适用于 Macie 的 Security Hub 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Macie 的 Security Hub 控件

这些 Amazon Security Hub 控件可评估 Amazon Macie 服务。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性

[Macie.1] 应启用 Amazon Macie

相关要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

Amazon Config 规则:macie-status-check

计划类型:定期

该控件检查是否为账户启用了 Amazon Macie。如果没有为该账户启用 Macie,则控制失败。

Amazon Macie 使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并实现针对这些风险的自动防护。Macie 会自动持续评估您的 Amazon Simple Storage Service(Amazon S3)存储桶的安全性和访问控制,并生成调查发现以通知您有关 Amazon S3 数据的安全性或隐私的潜在问题。Macie 还会自动发现和报告个人身份信息(PII)等敏感数据,,让您更好地了解在 Amazon S3 中存储的数据。要了解更多信息,请参阅《Amazon Macie 用户指南》

修复

要启用 Macie,请参阅《Amazon Macie 》中的启用 Macie

[Macie.2] 应启用 Macie 敏感数据自动发现

相关要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

Amazon Config 规则:macie-auto-sensitive-data-discovery-check

计划类型:定期

该控件可检查是否为 Amazon Macie 管理员账户启用了敏感数据自动发现。如果没有为 Macie 管理员账户启用敏感数据自动发现,则此控件将失败。此控件仅适用于管理员帐户。

Macie 会自动发现并报告 Amazon Simple Storage Service(Amazon S3)存储桶中的个人身份信息(PII)等敏感数据。通过敏感数据自动发现,Macie 可以持续评估您的存储桶清单,并使用采样技术来识别和选择存储桶中具有代表性的 S3 对象。然后,Macie 会分析所选对象,检查它们是否有敏感数据。随着分析的进行,Macie 会更新统计数据、清单数据及其提供的有关您 S3 数据的其他信息。Macie 还会生成调查发现以报告其发现的敏感数据。

修复

要创建和配置敏感数据自动发现作业以分析 S3 存储桶中的对象,请参阅《Amazon Macie User Guide》中的 Configuring automated sensitive data discovery for your account