기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Macie와 통합 AWS Security Hub
AWS Security Hub 서비스에서는 사용자에게 사용자 AWS 환경에서의 보안 상태를 포괄적으로 제공하며 보안 업계 표준 및 모범 사례와 비교하여 환경을 점검합니다. 이는 부분적으로 AWS 서비스지원되는 AWS Partner Network여러 보안 솔루션에서 얻은 조사 결과를 사용하고, 집계하고, 구성하고, 우선 순위를 정하는 방식으로 이루어집니다. Security Hub는 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 분석하는 데 도움이 됩니다. 또한 Security Hub를 사용하여 여러 AWS 리전의 조사 결과를 집계하고 집계된 조사 결과 데이터를 단일 리전에서 모니터링 및 처리할 수도 있습니다. 에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.
Amazon Macie는 Security Hub와 통합되므로 Macie의 조사 결과를 Security Hub에 자동으로 게시할 수 있습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 결과가 포함됩니다. 또한 Security Hub를 사용하여 사용자 AWS 환경에 대한 대규모 집계된 조사 결과 데이터 집합의 일부로 정책 및 민감한 데이터 탐지 결과를 모니터링하고 처리할 수 있습니다. 즉, 조직의 보안 태세를 폭넓게 분석하면서 Macie의 조사 결과를 분석하고 필요에 따라 결과를 수정할 수 있습니다. Security Hub를 사용하면 여러 공급자로부터 많은 양의 조사 결과를 처리해야 하는 복잡성을 줄일 수 있습니다. 또한, Macie의 조사 결과를 포함하여 모든 조사 결과에 대해 표준 형식을 사용합니다. 이 형식인 AWS보안 조사 결과 형식(ASFF)을 사용하면 시간이 많이 걸리는 데이터 변환 작업을 수행할 필요가 없습니다.
주제
Amazon Macie가 조사 결과를 AWS Security Hub로 게시하는 방법
AWS Security Hub에서, 보안 문제를 조사 결과로서 추적합니다. 일부 조사 결과는 Amazon Macie 와 같은 AWS 서비스에 의해 또는 지원되는 AWS Partner Network 보안 솔루션에서 감지한 문제에서 나옵니다. Security Hub에는 보안 문제를 감지하고 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.
Security Hub는 이러한 모든 출처의 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 방법을 알아보려면 AWS Security Hub사용 설명서의 조사 결과 목록 및 세부 정보 보기를 참조하세요. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. 방법을 알아보려면, AWS Security Hub 사용 설명서에서 조사 결과에 대한 작업 수행을 참조하세요.
Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 조사 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub 사용 설명서의 AWS 보안 조사 결과 형식(ASFF)을 참조하세요.
Macie가 게시하는 조사 결과의 유형
Macie 계정에 대해 사용자가 선택한 게시 설정에 따라 Macie는 Security Hub에 생성하는 모든 조사 결과(민감한 데이터 조사 결과 및 정책 조사 결과 모두)를 게시할 수 있습니다. 이 설정과 설정을 변경하는 자세한 내용은 조사 결과에 대한 게시 설정 구성을(를) 참조하세요. 기본적으로 Macie는 신규 및 업데이트된 정책 조사 결과만 Security Hub에 게시합니다. Macie는 Security Hub에 중요한 데이터 조사 결과를 게시하지 않습니다.
민감한 데이터 조사 결과
민감한 데이터 조사 결과를 Security Hub에 게시하도록 Macie를 구성한 경우, Macie는 사용자 계정에 대해 생성한 각 민감한 데이터 조사 결과를 자동으로 게시하고 조사 결과 처리가 완료된 후 즉시 게시합니다. Macie는 억제 규칙에 의해 자동으로 보관되지 않는 모든 민감한 데이터 검색 결과에 대해 이 작업을 수행합니다.
사용자가 조직의 Macie 관리자인 경우, 사용자가 실행한 민감한 데이터 검색 작업에서 얻은 결과와 Macie가 조직을 위해 수행한 민감한 데이터 자동 검색 작업으로 게시가 제한됩니다. 작업을 생성한 계정만 해당 작업이 생성한 민감한 데이터 결과를 게시할 수 있습니다. Macie 관리자 계정만 민감한 데이터 자동 검색을 통해 조직에 제공하는 민감한 데이터 결과를 게시할 수 있습니다.
Macie는 민감한 데이터 조사 결과를 Security Hub에 게시할 때 AWS보안 조사 결과 형식(ASFF) 즉, Security Hub의 모든 조사 결과에 대한 표준 형식을 사용합니다. ASFF에서 Types 필드는 조사 결과 유형을 나타냅니다. 이 필드는 Macie의 검색 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 생성할 수 있는 각 유형의 민감한 데이터 조사 결과에 대한 ASFF 검색 유형이 나열되어 있습니다.
| Macie 조사 결과 유형. | ASFF 결과 유형 |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
정책 조사 결과
정책 조사 결과를 Security Hub에 게시하도록 Macie를 구성한 경우 Macie는 새로 생성한 각 정책 조사 결과를 자동으로 게시하고 조사 결과 처리를 완료한 직후에 게시합니다. Macie는 기존 결과의 후속 발생을 감지하는 경우, Security Hub에서 기존 결과의 후속 발생을 감지하는 경우, 사용자가 계정에 대해 지정한 게시 빈도를 사용하여 Security Hub에 기존 결과의 업데이트를 자동으로 게시합니다. Macie는 억제 규칙에 의해 자동으로 보관되지 않는 모든 정책 결과에 대해 이러한 작업을 수행합니다.
조직의 Macie 관리자인 경우 사용자 계정이 직접 소유한 S3 버킷에 대한 정책 조사 결과만 게시할 수 있습니다. Macie는 조직의 구성원 계정을 위해 생성하거나 업데이트한 정책 결과를 게시하지 않습니다. 이렇게 하면 Security Hub에 조사 결과 데이터가 중복되지 않도록 할 수 있습니다.
민감한 데이터 조사 결과의 경우와 마찬가지로 Security Hub에 신규 및 업데이트된 정책 조사 결과를 게시할 때 Macie는 AWS 보안 조사 결과 형식(ASFF)을 사용합니다. ASFF에서 Types 필드는 Macie의 조사 결과 유형 분류법과 약간 다른 분류법을 사용합니다.
다음 표에는 Macie가 생성할 수 있는 각 정책 조사 결과 유형에 대한 ASFF 조사 결과 유형이 나열되어 있습니다. Macie가 2021년 1월 28일 또는 그 이후에 Security Hub에서 정책 조사 결과를 만들거나 업데이트한 경우 Security Hub의 ASFF Types 필드에 대한 다음 값 중 하나가 조사 결과에 포함됩니다.
| Macie 조사 결과 유형. | ASFF 결과 유형 |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Macie가 2021년 1월 28일 이전에 정책 조사 결과를 생성했거나 마지막으로 업데이트한 경우, Security Hub의 ASFF Types 필드에 대한 다음 값 중 하나가 조사 결과에 포함됩니다.
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
위 목록의 값은 Macie의 검색 유형(type) 필드 값에 직접 매핑됩니다.
참고
Security Hub에서 정책 조사 결과를 검토하고 처리할 때는 다음 예외 사항에 유의하세요.
-
확실히 AWS 리전 Macie는 2021년 1월 25일부터 신규 및 업데이트된 조사 결과에 대해 ASFF 조사 결과 유형을 사용하기 시작했습니다.
-
Macie가 AWS 리전에 있는 ASFF 조사 결과 유형을 사용하기 시작하기 전에 사용자가 Security Hub에서 정책 조사 결과를 적용한 경우, 조사 결과의 ASFF
Types필드 값은 이전 목록에 Macie 조사 결과 유형 중 하나가 됩니다. 이는 위 표의 ASFF 검색 유형 중 하나가 아닐 것입니다. 이는 AWS Security Hub 콘솔이나 BatchUpdateFindings API AWS Security Hub 작업을 사용하여 조치를 취한 정책 조사 결과에 해당됩니다.
조사 결과 게시 지연 시간
Macie는 새 정책 또는 민감한 데이터 조사 결과를 만들면 조사 결과 처리가 완료된 후 즉시 Security Hub에 결과를 게시합니다.
Macie는 기존 정책 조사 결과가 이후에 발생하는 것을 감지하면 기존 Security Hub 조사 결과에 업데이트를 게시합니다. 업데이트 시기는 Macie 계정에 대해 선택한 게시 빈도에 따라 달라집니다. 기본적으로 Macie는 15분마다 업데이트를 게시합니다. 계정 설정을 변경하는 방법 등 자세한 내용은 조사 결과에 대한 게시 설정 구성을(를) 참조하세요.
Security Hub를 사용할 수 없을 때 다시 게시를 시도
Security Hub를 사용할 수 없는 경우 Macie는 Security Hub에서 수신하지 않은 조사 결과 대기열을 생성합니다. 시스템이 복원되면 Macie는 Security Hub에서 조사 결과를 받을 때까지 게시를 다시 시도합니다.
Security Hub에서 기존 결과 업데이트
Macie가 Security Hub에 조사 결과를 게시한 후 Macie는 조사 결과 또는 조사 결과 활동의 추가 발생을 반영하여 조사 결과를 업데이트합니다. Macie는 정책 조사 결과에 대해서만 이 작업을 수행합니다. 민감한 데이터 조사 결과는 정책 조사 결과와는 달리 모두 새로운(고유한) 것으로 취급됩니다.
Macie가 정책 조사 결과에 대한 업데이트를 게시하면 Macie는 조사 결과의 업데이트 날짜(UpdatedAt) 필드 값을 업데이트합니다. 이 값을 사용하여 Macie가 결과를 초래한 잠재적 정책 위반 또는 문제의 후속 발생을 가장 최근에 발견한 시기를 확인할 수 있습니다.
Macie는 해당 필드의 기존 값이 ASFF 조사 결과 유형이 아닌 경우 조사 결과의 유형(Types) 필드 값을 업데이트할 수도 있습니다. 이는 Security Hub에서 그 결과를 바탕으로 조치를 취했는지 여부에 따라 달라집니다. 조사 결과에 따라 조치를 취하지 않은 경우 Macie는 필드 값을 적절한 ASFF 조사 결과 유형으로 변경합니다. AWS Security Hub콘솔이나 API AWS Security Hub 조작BatchUpdateFindings을 사용하여 조사 결과에 따라 조치를 취한 경우 Macie는 필드 값을 변경하지 않습니다.
AWS Security Hub에서 Amazon Macie 조사 결과의 예
Amazon Macie가 조사 결과를 AWS Security Hub에 게시할 때, 그것은 AWS 보안 조사 결과 형식(ASFF)을 사용합니다. Security Hub의 모든 결과의 표준 형식입니다. 다음 예제는 샘플 데이터를 사용하여 Macie가 Security Hub에 다음과 같은 형식으로 게시하는 결과 데이터의 구조와 특성을 보여줍니다.
Security Hub의 민감한 데이터 조사 결과의 예
다음은 Macie가 ASFF를 사용하여 Security Hub에 게시한 민감한 데이터 조사 결과의 예입니다.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Security Hub에서의 정책 조사 결과 예시
여기에 Macie가 ASFF에서 Security Hub에 게시한 새로운 정책 조사 결과의 예입니다.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}AWS Security Hub 통합 활성화 및 구성
Amazon Macie와 AWS Security Hub 통합하려면 사용자 전용 Security Hub를 활성화하십시오. AWS 계정 방법을 알아보려면 사용 AWS Security Hub설명서의 Security Hub 활성화를 참조하십시오.
Macie와 Security Hub를 둘 다 활성화하면, 통합이 자동으로 활성화됩니다. 기본적으로 Macie는 신규 및 업데이트된 정책 결과를 Security Hub에 자동으로 게시하기 시작합니다. 통합을 구성하기 위해 추가 단계를 수행할 필요는 없습니다. 통합이 활성화되었을 때 기존 정책 결과가 있는 경우 Macie는 해당 결과를 Security Hub에 게시하지 않습니다. 대신 Macie는 통합이 활성화된 후 생성하거나 업데이트한 정책 결과만 게시합니다.
Macie가 Security Hub에서 정책 조사 결과에 대한 업데이트를 게시하는 빈도를 선택하여 구성을 사용자 정의할 수도 있습니다. 민감한 데이터 결과를 Security Hub에 게시하도록 선택할 수도 있습니다. 자세한 방법은 조사 결과에 대한 게시 설정 구성(을)를 참조하세요.
AWS Security Hub에 대한 조사 결과 게시 중지
AWS Security Hub로의 조사 결과 게시를 중지하려면, Amazon Macie 계정에 대한 게시 설정을 변경할 수 있습니다. 자세한 방법은 조사 결과에 대한 게시 대상 선택(을)를 참조하세요. Security Hub 콘솔 또는 Security Hub API를 사용하여 이 작업을 수행할 수도 있습니다. 그 방법에 대해 알려면, AWS Security Hub 사용 설명서에서 통합(콘솔)에서 조사 결과 흐름 비활성화 및 활성화 또는 통합에서 조사 결과 비활성화(Security Hub API, AWS CLI)를 참조하세요.
