As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integração do Amazon Macie com o AWS Security Hub
AWS Security Hub é um serviço que fornece uma visão abrangente da sua postura de segurança em todo o seu ambiente AWS e ajuda a verificar seu ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de vários Serviços da AWS e soluções de segurança do AWS Partner Network. O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta. Com o Security Hub, também é possível agregar descobertas de várias Regiões da AWS e então monitorar e processar todos os dados de descobertas agregadas de uma única região. Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub.
O Amazon Macie se integra ao Security Hub, o que significa que você pode publicar descobertas do Macie no Security Hub automaticamente. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança. Além disso, você pode usar o Security Hub para monitorar e processar descobertas de políticas e dados confidenciais como parte de um conjunto maior e agregado de dados de descobertas para seu AWS ambiente. Em outras palavras, você pode analisar as descobertas do Macie enquanto realiza análises mais amplas da postura de segurança da sua organização e corrigir as descobertas conforme necessário. O Security Hub elimina a complexidade de abordar grandes volumes de descobertas de vários provedores. Além disso, ele usa um formato padrão para todas as descobertas, incluindo as descobertas de Macie. O uso desse formato, o AWS Security Finding Format (ASFF), elimina a necessidade de realizar esforços demorados de conversão de dados.
Tópicos
Como o Amazon Macie publica as descobertas no AWS Security Hub
No AWS Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por Serviços da AWS, como o Amazon Macie, ou por soluções de segurança AWS Partner Network compatíveis. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Security Hub fornece ferramentas para gerenciar descobertas de todas essas fontes. Você pode revisar e filtrar listas de descobertas e revisar os detalhes de descobertas individuais. Para saber como, consulte Exibição de listas de descobertas e detalhes no Guia do usuário do AWS Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Para saber como, consulte Tomar medidas sobre descobertas no Guia do usuário do AWS Security Hub.
Todas as descobertas no Security Hub usam um formato JSON padrão chamado AWS Security Finding Format (ASFF). O ASFF inclui detalhes sobre a origem de um problema, os recursos afetados e o status atual de uma descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub.
Tipos de descobertas que o Macie o publica
Dependendo das configurações de publicação que você escolher para sua conta do Macie, o Macie pode publicar todas as descobertas criadas no Security Hub, tanto descobertas de dados confidenciais quanto descobertas de políticas. Para obter informações sobre essas configurações e como alterá-las, consulte Como definir as configurações de publicação para as descobertas. Por padrão, o Macie publica somente descobertas de políticas novas e atualizadas para o Security Hub. Macie não o publicará descobertas de dados confidenciais no Security Hub.
Descobertas de dados confidenciais
Se você configurar o Macie para publicar descobertas de dados confidenciais no Security Hub, o Macie publicará automaticamente cada descoberta de dados confidenciais criada para sua conta e o fará imediatamente após concluir o processamento da descoberta. O Macie faz isso para todas as descobertas de dados confidenciais que não são arquivadas automaticamente por uma regra de supressão.
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de trabalhos de descoberta de dados confidenciais que você executou e às atividades automatizadas de descoberta de dados confidenciais que o Macie realizou para sua organização. Somente a conta que cria um trabalho pode publicar as descobertas de dados confidenciais que o trabalho produz. Somente a conta de administrador do Macie pode publicar descobertas de dados confidenciais que a descoberta automatizada de dados confidenciais produz para sua organização.
Quando o Macie publica descobertas de dados confidenciais no Security Hub, ele usa o AWS Security Finding Format (ASFF), que é o formato padrão para todas as descobertas no Security Hub. No ASFF, o campo Types indica o tipo de descoberta. Esse campo usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta em Macie.
A tabela a seguir lista o tipo de descoberta ASFF para cada tipo de descoberta de dados confidenciais que o Macie pode criar.
| Tipo de descoberta | Tipo de descoberta do ASFF |
|---|---|
SensitiveData:S3Object/Credentials |
Sensitive Data Identifications/Passwords/SensitiveData:S3Object-Credentials |
SensitiveData:S3Object/CustomIdentifier |
Sensitive Data Identifications/PII/SensitiveData:S3Object-CustomIdentifier |
|
SensitiveData:S3Object/Financial |
Sensitive Data Identifications/Financial/SensitiveData:S3Object-Financial |
SensitiveData:S3Object/Multiple |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Multiple |
|
SensitiveData:S3Object/Personal |
Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal |
Descobertas de política
Se você configurar o Macie para publicar descobertas de política no Security Hub, o Macie publicará automaticamente cada nova descoberta de política criada e fará isso imediatamente após concluir o processamento da descoberta. Se o Macie detectar uma ocorrência subsequente de uma descoberta de política existente, o publicará automaticamente uma atualização da descoberta existente no Security Hub, usando uma frequência de publicação especificada para sua conta. O Macie executa essas tarefas para todas as descobertas de políticas que não são arquivadas automaticamente por uma regra de supressão.
Se você for o administrador do Macie de uma organização, a publicação se limita às descobertas de políticas para buckets do S3 que pertencem diretamente à sua conta. O Macie não publica descobertas de políticas que ele cria ou atualiza para contas de membros em sua organização. Isso ajuda a garantir que você não tenha dados de descobertas duplicados no Security Hub.
Como é o caso das descobertas de dados confidenciais, o Macie usa o AWS Security Finding Format (ASFF) ao publicar descobertas de políticas novas e atualizadas no Security Hub. No ASFF, o campo Types usa uma taxonomia ligeiramente diferente da taxonomia do tipo de descoberta no Macie.
A tabela a seguir lista o tipo de descoberta ASFF para cada tipo de descoberta de política que o Macie pode criar. Se Macie criou ou atualizou uma descoberta de política no Security Hub em ou após 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o campo Types ASFF no Security Hub.
| Tipo de descoberta | Tipo de descoberta do ASFF |
|---|---|
|
Policy:IAMUser/S3BlockPublicAccessDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled |
Policy:IAMUser/S3BucketEncryptionDisabled |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketEncryptionDisabled |
|
Policy:IAMUser/S3BucketPublic |
Effects/Data Exposure/Policy:IAMUser-S3BucketPublic |
Policy:IAMUser/S3BucketReplicatedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketReplicatedExternally |
|
Policy:IAMUser/S3BucketSharedExternally |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedExternally |
|
Policy:IAMUser/S3BucketSharedWithCloudFront |
Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BucketSharedWithCloudFront |
Se o Macie criou ou atualizou uma descoberta de política antes de 28 de janeiro de 2021, a descoberta tem um dos seguintes valores para o campo ASFF Types no Security Hub:
-
Policy:IAMUser/S3BlockPublicAccessDisabled
-
Policy:IAMUser/S3BucketEncryptionDisabled
-
Policy:IAMUser/S3BucketPublic
-
Policy:IAMUser/S3BucketReplicatedExternally
-
Policy:IAMUser/S3BucketSharedExternally
Os valores na lista anterior são mapeados diretamente para valores do campo Tipo de descoberta (type) no Macie.
nota
Ao analisar e processar as descobertas de políticas no Security Hub, observe as seguintes exceções:
-
Em certezas Regiões da AWS, o Macie começou a usar os tipos de descoberta ASFF para descobertas novas e atualizadas já em 25 de janeiro de 2021.
-
Se você agiu de acordo com uma descoberta de política no Security Hub antes de Macie começar a usar os tipos de descoberta ASFF em sua Região da AWS, o valor do campo
TypesASFF da descoberta será um dos tipos de descoberta do Macie na lista anterior. Não será um dos tipos de descoberta do ASFF na tabela anterior. Isso vale para as constatações de políticas nas quais você agiu usando o console AWS Security Hub ou a operação BatchUpdateFindings da API do AWS Security Hub.
Latência para publicar descobertas
Quando o Macie cria uma nova política ou uma descoberta de dados confidenciais, ele publica a descoberta no Security Hub imediatamente após concluir o processamento da descoberta.
Quando o Macie detecta uma ocorrência subsequente de uma descoberta de política existente, ele publica uma atualização para a descoberta existente do Security Hub. O momento da atualização depende da frequência de publicação que você escolher para sua conta Macie. Por padrão, o Macie publica atualizações a cada 15 minutos. Para obter mais informações, inclusive como alterar a configuração da sua conta, consulte Como definir as configurações de publicação para as descobertas.
Tentar novamente a publicação quando o Security Hub não estiver disponível
Se o Security Hub não estiver disponível, o Macie cria uma fila de descobertas que não foram recebidas pelo Security Hub. Quando o sistema é restaurado, Macie tenta publicar novamente até que as descobertas sejam recebidas pelo Security Hub.
Atualizar as descobertas do existentes no Security Hub
Depois que Macie publica uma descoberta de política no Security Hub, Macie atualiza a descoberta para refletir quaisquer ocorrências adicionais da descoberta ou atividade de descoberta. O Macie faz isso apenas para descobertas de políticas. Diferentemente das descobertas de políticas, todas as descobertas de dados confidenciais são tratadas como novas (únicas).
Quando o Macie publica uma atualização em uma descoberta de política, o Macie atualiza o valor do campo Atualizado em (UpdatedAt) da descoberta. Você pode usar esse valor para determinar quando o Macie detectou mais recentemente uma ocorrência subsequente da possível violação de política ou problema que produziu a descoberta.
O Macie também pode atualizar o valor do campo Tipos (Types) de uma descoberta se o valor existente do campo não for um Tipo de descoberta ASFF. Isso depende se você agiu de acordo com a descoberta no Security Hub. Se você não agiu de acordo com a descoberta, Macie altera o valor do campo para o tipo de descoberta ASFF apropriado. Se você agiu de acordo com a descoberta, usando o console AWS Security Hub ou a operação BatchUpdateFindings da API do AWS Security Hub, o Macie não altera o valor do campo.
Exemplos de descobertas do Amazon Macie em AWS Security Hub
Quando o Amazon Macie publica descobertas no AWS Security Hub, ele usa o AWS Security Finding Format (ASFF). Esse é o formato padrão para todas as descobertas no Security Hub. Os exemplos a seguir usam exemplos de dados para demonstrar a estrutura e a natureza dos dados de descobertas que o Macie publica no Security Hub nesse formato:
Exemplo de uma descoberta de dados confidenciais no Security Hub
Aqui está um exemplo de uma descoberta de dados confidenciais que Macie publicou no Security Hub usando o ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "5be50fce24526e670df77bc00example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types":[
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
],
"CreatedAt": "2022-05-11T10:23:49.667Z",
"UpdatedAt": "2022-05-11T10:23:49.667Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "The S3 object contains personal information.",
"Description": "The object contains personal information such as first or last names, addresses, or identification numbers.",
"ProductFields": {
"JobArn": "arn:aws:macie2:us-east-1:111122223333:classification-job/698e99c283a255bb2c992feceexample",
"S3Object.Path": "DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"S3Object.Extension": "tsv",
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"OriginType": "SENSITIVE_DATA_DISCOVERY_JOB",
"S3Object.PublicAccess": "false",
"S3Object.Size": "14",
"S3Object.StorageClass": "STANDARD",
"S3Bucket.allowsUnencryptedObjectUploads": "TRUE",
"JobId": "698e99c283a255bb2c992feceexample",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/5be50fce24526e670df77bc00example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-12-30T18:16:25.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
}
}
}
},
{
"Type": "AwsS3Object",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/2022 Sourcing.tsv",
"Partition": "aws",
"Region": "us-east-1",
"DataClassification": {
"DetailedResultsLocation": "s3://macie-data-discovery-results/AWSLogs/111122223333/Macie/us-east-1/
698e99c283a255bb2c992feceexample/111122223333/32b8485d-4f3a-3aa1-be33-aa3f0example.jsonl.gz",
"Result":{
"MimeType": "text/tsv",
"SizeClassified": 14,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 1,
"Type": "USA_SOCIAL_SECURITY_NUMBER",
"Occurrences": {
"Cells": [
{
"Column": 10,
"Row": 1,
"ColumnName": "Other"
}
]
}
}
],
"TotalCount": 1
}
],
"CustomDataIdentifiers": {
"Detections": [
],
"TotalCount": 0
}
}
},
"Details": {
"AwsS3Object": {
"LastModified": "2022-04-22T18:16:46.000Z",
"ETag": "ebe1ca03ee8d006d457444445example",
"VersionId": "SlBC72z5hArgexOJifxw_IN57example",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Sensitive Data Identifications/PII/SensitiveData:S3Object-Personal"
]
},
"Sample": false,
"ProcessedAt": "2022-05-11T10:23:49.667Z"
}Exemplo de uma descoberta de política no Security Hub
Aqui está um exemplo de uma descoberta de política que o Macie publicou no Security Hub usando o ASFF.
{
"SchemaVersion": "2018-10-08",
"Id": "36ca8ba0-caf1-4fee-875c-37760example",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/macie",
"ProductName": "Macie",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "aws/macie",
"AwsAccountId": "111122223333",
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
],
"CreatedAt": "2022-04-24T09:27:43.313Z",
"UpdatedAt": "2022-04-24T09:27:43.313Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "Block Public Access settings are disabled for the S3 bucket",
"Description": "All Amazon S3 block public access settings are disabled for the Amazon S3 bucket. Access to the bucket is
controlled only by access control lists (ACLs) or bucket policies.",
"ProductFields": {
"S3Bucket.effectivePermission": "NOT_PUBLIC",
"S3Bucket.allowsUnencryptedObjectUploads": "FALSE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/macie/36ca8ba0-caf1-4fee-875c-37760example",
"aws/securityhub/ProductName": "Macie",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Team": "Recruiting",
"Division": "HR"
},
"Details": {
"AwsS3Bucket": {
"OwnerId": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd08example",
"OwnerName": "johndoe",
"OwnerAccountId": "444455556666",
"CreatedAt": "2020-11-25T18:24:38.000Z",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
]
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"BlockPublicPolicy": false,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": false
}
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/AWS Security Best Practices/Policy:IAMUser-S3BlockPublicAccessDisabled"
]
},
"Sample": false
}Habilitar e configurar a integração do AWS Security Hub
Para integrar o Amazon Macie comAWS Security Hub, habilite o Security Hub para seu. Conta da AWS Para saber como, consulte Habilitando o Security Hub no Guia AWS Security Hub do Usuário.
Ao habilitar tanto o Macie quanto o Security Hub, a integração é habilitada automaticamente. Por padrão, o Macie começa a publicar automaticamente descobertas de políticas novas e atualizadas no Security Hub. Você não precisa realizar etapas adicionais para configurar a integração. Se você tiver descobertas de políticas existentes quando a integração estiver habilitada, o Macie não as publicará no Security Hub. Em vez disso, o Macie publica somente as descobertas de políticas que ele cria ou atualiza após a ativação da integração.
Opcionalmente, você pode personalizar sua configuração escolhendo a frequência com que o Macie publica atualizações das descobertas de políticas no Security Hub. Você também pode optar por publicar descobertas de dados confidenciais no Security Hub. Para saber como, consulte Como definir as configurações de publicação para as descobertas.
Interrompendo a publicação de descobertas para AWS Security Hub
Para parar de publicar as descobertas no AWS Security Hub, você pode alterar as configurações de publicação da sua conta do Amazon Macie. Para saber como, consulte Como escolher destinos de publicação para descobertas. Você também pode fazer isso usando o console do Security Hub ou a API do Security Hub. Para saber como, consulte Desabilitar e habilitar o fluxo de descobertas de uma integração (console) ou Desabilitar o fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.
