Como funciona a descoberta automatizada de dados confidenciais - Amazon Macie
Componentes principaisConsiderações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a descoberta automatizada de dados confidenciais

Quando você habilita o Amazon Macie para você Conta da AWS, o Macie cria uma função vinculada ao serviço AWS Identity and Access Management (IAM) para sua conta atual. Região da AWS A política de permissões para essa função permite que Macie ligue para outras pessoas Serviços da AWS e monitore AWS recursos em seu nome. Ao usar essa função, Macie gera e mantém um inventário completo dos seus buckets de uso geral do Amazon Simple Storage Service (Amazon S3) na região. O inventário inclui informações sobre cada um dos seus buckets do S3 e objetos nos buckets. Se você for o administrador do Macie de uma organização, seu inventário inclui informações sobre os buckets que suas contas membros possuem. Para ter mais informações, consulte Gerenciar várias contas da .

Se você habilitar a descoberta automatizada de dados confidenciais, o Macie avaliará seus dados de inventário diariamente para identificar objetos do S3 que são elegíveis para descoberta automatizada. Como parte da avaliação, o Macie também seleciona uma amostra de objetos representativos para analisar. Em seguida, Macie recupera e analisa a versão mais recente de cada objeto selecionado, inspecionando-o em busca de dados confidenciais.

À medida em que a análise progride a cada dia, o Macie também atualiza estatísticas e outras informações que fornece sobre os dados do Amazon S3. O Macie também produz registros dos dados confidenciais que encontra e das análises que realiza. Os dados resultantes fornecem informações sobre onde Macie encontrou dados confidenciais em seu conjunto de dados do Amazon S3, que podem abranger todos os buckets de uso geral do S3 que o Macie monitora e analisa para sua conta. Os dados podem ajudá-lo a avaliar a segurança e a privacidade de seus dados do Amazon S3, determinar onde realizar uma investigação mais profunda e identificar casos em que a remediação é necessária.

Para uma breve demonstração de como funciona a descoberta automatizada de dados confidenciais, assista ao vídeo a seguir:

Para configurar e gerenciar a descoberta automatizada de dados confidenciais, sua conta deve ser a conta de administrador do Macie de uma organização ou uma conta autônoma do Macie. Se sua conta fizer parte de uma organização, somente o administrador do Macie da sua organização poderá ativar ou desativar a descoberta automática de dados confidenciais para contas em sua organização. Além disso, somente o administrador do Macie pode definir e gerenciar configurações automatizadas de descoberta de dados confidenciais para as contas.

Componentes principais

O Amazon Macie usa uma combinação de recursos e técnicas para realizar a descoberta automatizada de dados confidenciais. Eles funcionam em conjunto com os recursos que o Macie fornece para ajudá-lo a monitorar seus dados do Amazon S3 para fins de segurança e controle de acesso.

Selecionando os objetos do S3 para análise

Diariamente, o Macie avalia seus dados no Inventário Amazon S3 para identificar objetos do S3 que são elegíveis para análise por meio da descoberta automatizada de dados confidenciais. Se você for o administrador do Macie de uma organização, por padrão, a avaliação inclui dados dos buckets do S3 que suas contas membros possuem.

Como parte da avaliação, Macie usa técnicas de amostragem para selecionar objetos S3 representativos para análise. As técnicas definem grupos de objetos que têm metadados semelhantes e, provavelmente, têm conteúdo semelhante. Os grupos são baseados em dimensões como nome, prefixo, classe de armazenamento, extensão do nome do arquivo e data da última modificação do bucket. Em seguida, o Macie seleciona um conjunto representativo de amostras de cada grupo, recupera a versão mais recente de cada objeto selecionado do Amazon S3 e analisa cada objeto selecionado para determinar se o objeto contém dados confidenciais. Quando a análise é concluída, o Macie descarta sua cópia do objeto.

A estratégia de amostragem prioriza análises distribuídas. Em geral, ele usa uma abordagem abrangente para seu patrimônio de dados do Amazon S3. Todos os dias, um conjunto representativo de objetos do S3 é selecionado do maior número possível de buckets de uso geral, com base no tamanho total de armazenamento de todos os objetos classificáveis em seu conjunto de dados do Amazon S3. Por exemplo, se o Macie já analisou e encontrou dados confidenciais em objetos em um bucket e ainda não analisou objetos em outro bucket, o último bucket é de maior prioridade para análise. Com essa abordagem, você obtém uma visão ampla da confidencialidade dos seus dados do Amazon S3 mais rapidamente. Dependendo do tamanho do seu patrimônio de dados, os resultados da análise podem começar a aparecer em 48 horas.

A estratégia de amostragem também prioriza a análise de diferentes tipos de objetos do S3 e objetos que foram criados ou alterados recentemente. Não é garantido que uma amostra de objeto único seja conclusiva. Portanto, a análise de um conjunto diversificado de objetos pode gerar uma visão melhor dos tipos e da quantidade de dados confidenciais que um bucket do S3 pode conter. Além disso, priorizar objetos novos ou alterados recentemente ajuda a análise a se adaptar às mudanças em seu inventário de buckets. Por exemplo, se os objetos forem criados ou alterados após uma análise anterior, esses objetos terão prioridade maior para análises subsequentes. Por outro lado, se um objeto foi analisado anteriormente e não mudou desde essa análise, o Macie não analisará o objeto novamente. Essa abordagem ajuda você a estabelecer linhas de base de confiabilidade para determinados buckets do S3. Então, à medida que as análises incrementais contínuas progridem em sua conta, suas avaliações de confiabilidade de determinados buckets podem se tornar cada vez mais profundas e detalhadas a uma velocidade previsível.

Definindo o escopo das análises

Por padrão, o Macie inclui todos os buckets de uso geral do S3 que ele monitora e analisa para sua conta quando avalia seus dados de inventário e seleciona objetos do S3 para análise. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.

Você pode ajustar o escopo das análises excluindo buckets específicos do S3. Por exemplo, talvez você prefira excluir buckets que normalmente armazenam dados de AWS registro, como registros de AWS CloudTrail eventos. Para excluir um bucket, você pode alterar as configurações automatizadas de descoberta de dados confidenciais da sua conta ou do bucket. Se você fizer isso, o Macie começará a excluir o bucket quando o próximo ciclo diário de avaliação e análise começar. Você pode excluir até 1.000 compartimentos das análises. Se você excluir um bucket do S3, poderá incluí-lo novamente posteriormente. Para fazer isso, altere as configurações da sua conta ou do bucket novamente. O Macie, então, começará a incluir o bucket quando o próximo ciclo diário de avaliação e análise começar.

Se você for o administrador do Macie de uma organização, também poderá ativar ou desativar a descoberta automática de dados confidenciais para contas individuais em sua organização. Se você desativar a descoberta automática de uma conta, o Macie excluirá todos os buckets do S3 que a conta possui. Se, posteriormente, você reativar a descoberta automática da conta, Macie começará a incluir os buckets novamente.

Determinando quais tipos de dados confidenciais devem ser detectados e reportados

Por padrão, o Macie inspeciona objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. Para obter uma lista desses identificadores de dados gerenciados, consulte Configurações padrão para descoberta automatizada de dados confidenciais.

Você pode personalizar as análises para se concentrarem em tipos específicos de dados confidenciais. Para fazer isso, altere as configurações de descoberta automatizada de dados confidenciais de sua conta de qualquer uma das seguintes maneiras:

  • Adicionar ou remover identificadores de dados gerenciados — Um identificador de dados gerenciados é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, como números de cartão de crédito, chaves de acesso AWS secretas ou números de passaporte de um determinado país ou região. Para ter mais informações, consulte Usar identificadores de dados gerenciados.

  • Adicionar ou remover identificadores de dados personalizados — Um identificador de dados personalizado é um conjunto de critérios que você define para detectar dados confidenciais. Com identificadores de dados personalizados, você pode detectar dados confidenciais que refletem determinados cenários, propriedade intelectual ou dados proprietários, como IDs de funcionários, números da conta de clientes ou classificações de dados internos, da sua organização. Para ter mais informações, consulte Criar identificadores de dados personalizados.

  • Adicionar ou remover listas de permissões — No Macie, uma lista de permissões especifica o texto ou um padrão de texto que você deseja que o Macie ignore nos objetos do S3. Normalmente, essas são exceções de dados confidenciais para seus cenários ou ambientes específicos, como nomes públicos ou números de telefone da sua organização ou dados de amostra que sua organização usa para testes. Para ter mais informações, consulte Como definir exceções de dados sigilosos com listas de permissões.

Se você alterar as configurações, o Macie aplicará suas alterações quando o próximo ciclo diário de análise começar. Se você for o administrador do Macie de uma organização, o Macie usa as configurações da sua conta ao analisar objetos do S3 para outras contas na sua organização.

Você também pode ajustar as configurações no nível do bucket que determinam se tipos específicos de dados confidenciais são incluídos nas avaliações da sensibilidade de um bucket. Para saber como, consulte Gerenciando a descoberta automatizada de dados confidenciais para buckets do S3 individuais.

Calculando pontuações de confidencialidade

Por padrão, o Macie calcula automaticamente uma pontuação de sensibilidade para cada bucket de uso geral do S3 que ele monitora e analisa para sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.

No Macie, uma pontuação de confidencialidade é uma medida quantitativa da interseção de duas dimensões principais: a quantidade de dados confidenciais que o Macie encontrou em um bucket e a quantidade de dados que o Macie analisou em um bucket. Uma pontuação de confidencialidade de um bucket do S3 determina qual rótulo de sensibilidade Macie atribui ao bucket. Um rótulo de confidencialidade é uma representação qualitativa da pontuação de confidencialidade de um bucket, como, por exemplo, Confidencial, Não confidencial e Não analisado ainda. Para obter detalhes sobre a faixa de pontuações de confidencialidade e rótulos que Macie define, consulte Pontuação de confidencialidade para buckets do S3.

Importante

A pontuação e o rótulo de confidencialidade de um bucket do S3 não implicam nem indicam a criticidade ou a importância que o bucket ou os objetos do bucket podem ter para sua organização. Em vez disso, eles têm como objetivo fornecer pontos de referência que podem ajudá-lo a identificar e monitorar possíveis riscos de segurança.

Quando você ativa inicialmente a descoberta automatizada de dados confidenciais, o Macie atribui automaticamente uma pontuação de sensibilidade de 50 e o rótulo Ainda não analisado a cada bucket do S3. A exceção são os buckets vazios. Um bucket vazio é um bucket que não armazena nenhum objeto ou todos os objetos do bucket contêm zero (0) bytes de dados. Se esse for o caso de um bucket, o Macie atribui uma pontuação de 1 ao bucket e atribui o rótulo de Não confidencial ao bucket.

À medida que a descoberta automatizada de dados confidenciais progride, o Macie atualiza as pontuações e rótulos de sensibilidade para refletir os resultados das análises. Por exemplo: .

  • Se o Macie não encontrar dados confidenciais em um objeto, o Macie diminui a pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.

  • Se o Macie encontrar dados confidenciais em um objeto, o Macie aumentará a pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade do bucket conforme necessário.

  • Se o Macie encontrar dados confidenciais em um objeto que é alterado posteriormente, o Macie remove as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.

  • Se o Macie encontrar dados confidenciais em um objeto que é excluído posteriormente, o Macie remove as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.

Você pode ajustar as configurações de pontuação de sensibilidade para determinados buckets do S3 incluindo ou excluindo tipos específicos de dados confidenciais da pontuação de um bucket. Você também pode substituir a pontuação calculada de um bucket atribuindo manualmente a pontuação máxima (100) ao bucket. Se você atribuir a pontuação máxima, o bucket será rotulado como Confidencial. Para ter mais informações, consulte Gerenciando a descoberta automatizada para buckets do S3 individuais.

Gerando metadados, estatísticas e resultados

Quando você ativa a descoberta automatizada de dados confidenciais, o Macie gera e começa a manter dados adicionais de inventário, estatísticas e outras informações sobre os buckets de uso geral do S3 que ele monitora e analisa para sua conta. Se você for o administrador do Macie de uma organização, por padrão, isso inclui buckets que suas contas de membros possuem.

As informações adicionais capturam os resultados das atividades automatizadas de descoberta de dados confidenciais que a Macie realizou até agora. Também complementa outras informações que o Macie fornece sobre seus dados do Amazon S3, como as configurações de acesso público e acesso compartilhado para determinados buckets. As informações adicionais incluem:

  • As estatísticas agregadas de confidencialidade de dados, como o número total de buckets nos quais o Macie encontrou dados confidenciais e quantos desses buckets estão acessíveis ao público.

  • Uma representação visual e interativa da confidencialidade dos dados no seu patrimônio de dados do Amazon S3.

  • Detalhes em nível de bucket que indicam o status atual das análises. Por exemplo, uma lista de objetos que o Macie analisou em um bucket, os tipos de dados confidenciais que o Macie encontrou em um bucket e o número de ocorrências de cada tipo de dado confidencial que o Macie encontrou.

As informações também incluem estatísticas e detalhes que podem ajudá-lo a avaliar e monitorar a cobertura dos seus dados do Amazon S3. Você pode verificar o status geral das análises de seu patrimônio de dados e para determinados buckets do S3 em seu inventário de buckets. Você também pode identificar problemas que impediram o Macie de analisar objetos em buckets específicos. Se você corrigir os problemas, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes. Para ter mais informações, consulte Como avaliar a cobertura da descoberta automatizada de dados confidenciais.

O Macie recalcula e atualiza automaticamente essas informações enquanto realiza a descoberta automatizada de dados confidenciais. Por exemplo, se o Macie encontrar dados confidenciais em um objeto do S3 que é posteriormente alterado ou excluído, o Macie atualiza os metadados do bucket aplicável: remove o objeto da lista de objetos analisados; remove ocorrências de dados confidenciais que o Macie encontrou no objeto; recalcula a pontuação de sensibilidade, se a pontuação for calculada automaticamente; e atualiza o rótulo de sensibilidade conforme necessário para refletir a nova pontuação.

Além de metadados e estatísticas, o Macie produz registros dos dados confidenciais que encontra e da análise que realiza: descobertas de dados confidenciais, que relatam dados confidenciais que Macie encontra em objetos individuais do S3, e resultados confidenciais da descoberta de dados, que registram detalhes sobre a análise de objetos individuais do S3.

Para ter mais informações, consulte Analisando estatísticas e resultados automatizados de descoberta de dados confidenciais.

Considerações

Ao configurar e usar o Amazon Macie para realizar a descoberta automática de dados confidenciais para seus dados do Amazon S3, lembre-se do seguinte:

  • Suas configurações de descoberta automatizada se aplicam somente às atuais Região da AWS. Consequentemente, as análises e os dados resultantes se aplicam somente aos buckets e objetos de uso geral do S3 na região atual. Para realizar a descoberta automatizada e acessar os dados resultantes em Regiões adicionais, habilite e configure a descoberta automatizada em cada Região adicional.

  • Se você for o administrador do Macie de uma organização:

    • Você pode realizar a descoberta automatizada de uma conta-membro somente se o Macie estiver habilitado para a conta na Região atual. Além disso, você deve habilitar a descoberta automática para a conta nessa região. Os membros não podem ativar a descoberta automática para suas próprias contas.

    • Se você habilitar a descoberta automática para uma conta de membro, o Macie usará as configurações de descoberta automática da sua conta de administrador ao analisar os dados da conta do membro. As configurações aplicáveis são: a lista de buckets do S3 a serem excluídos das análises e os identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões a serem usadas ao analisar objetos do S3. Os membros não podem definir essas configurações para suas próprias contas.

    • Os membros não podem acessar as configurações de descoberta automatizada para seus buckets do S3. Por exemplo, um membro não pode ajustar as configurações de pontuação de sensibilidade de um bucket que ele possui. Somente o administrador do Macie pode acessar essas configurações.

    • Os membros não podem acessar estatísticas confidenciais de descoberta de dados e outros resultados que o Macie fornece diretamente para seus buckets S3. Por exemplo, um membro não pode usar o Macie para revisar as pontuações de sensibilidade de seus buckets do S3 ou acessar as descobertas que a descoberta automatizada produz para seus objetos do S3. Somente o administrador do Macie pode acessar esses dados usando o Macie.

  • Se as configurações de permissões de um bucket do S3 impedirem o Macie de recuperar informações ou acessar o bucket ou os objetos do bucket, o Macie não poderá realizar a descoberta automatizada do bucket. O Macie só pode fornecer um subconjunto de informações sobre o bucket, como o ID da conta da Conta da AWS que possui o bucket, o nome do bucket e quando o Macie recuperou mais recentemente os metadados do bucket e do objeto para o bucket como parte do ciclo diário de atualizações. Em seu inventário de buckets, a pontuação de confidencialidade desses buckets é 50 e seu rótulo de confidencialidade é Não analisado ainda.

    Para identificar rapidamente os buckets do S3 para os quais esse é o caso, consulte seus dados de cobertura de descoberta automatizada. Para ter mais informações, consulte Como avaliar a cobertura da descoberta automatizada de dados confidenciais. Para investigar o problema de um determinado bucket, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para ter mais informações, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

  • Para ser elegível para seleção e análise, um objeto do S3 deve ser armazenado em um bucket de uso geral e deve ser classificável. Um objeto é classificável se usar uma classe de armazenamento do Amazon S3 compatível e tiver uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Para ter mais informações, consulte Classes e formatos de armazenamento suportados.

  • Se um objeto do S3 for criptografado, o Macie só poderá analisá-lo se o objeto for criptografado com uma chave que o Macie possa acessar e tem permissão para usar. Para ter mais informações, consulte Analisando objetos criptografados do S3. Para identificar casos em que as configurações de criptografia impediram o Macie de analisar um ou mais objetos em um bucket, consulte seus dados de cobertura de descoberta automatizada. Para ter mais informações, consulte Como avaliar a cobertura da descoberta automatizada de dados confidenciais.