问题标签 [amazon-macie]

在 S3 中扫描数据的最佳方法是什么（可能出于审计目的）？我被要求对此进行一些研究，而使用 AWS Athena 是我能想到的第一个想法。但如果您能提供更多知识/想法，我将不胜感激。

谢谢！

在 AWS Macie 文档中，它显示了添加基本警报的示例。

要添加的示例查询是s3_world_readability:"true"

我们在哪里可以找到可以查询的有效字段列表？

文档指的是在 Macie 中构建查询，但我在任何地方都看不到我可以查询哪些字段的任何列表。

我试图弄清楚如果存储桶没有强制执行服务器端加密的存储桶策略，我是否可以创建 Macie 警报

我错过了一些明显的东西吗？

更新

发现您可以从 Macie 控制台的“研究”选项卡中获得一些建议。

在选择 S3 存储桶属性时使用此模式，我可以深入了解存储桶策略。

我的存储桶政策是

我可以在 Macie 中使用以下查询，它将使用此策略返回存储桶

因此，如果要查询与强制 SSE 的条件匹配的存储桶策略，我尝试：

但我什么也得不到。我有更好的方法来查询这些属性吗？

在我们的 django 应用程序中，我们允许用户直接将文件上传到 S3。

我们使用generate_presigned_post来做到这一点。

一切正常，但我们现在在Macie中收到可疑访问警报，因为它看到 EC2 凭据正在外部使用。

Macie 的描述是

此警报由在 Amazon IP 空间之外使用的临时 EC2 实例凭证创建。EC2 实例配置文件凭证预计最常用于 EC2 实例，它们已由 EC2 元数据服务提供。Metasploit 等开源开发框架使用此技术，从 AWS 网络外部观察它们的使用可能表明它们的潜在泄漏。请考虑与用户联系以确认他们是否有意在 AWS 之外使用 EC2 凭证。如果是这样，请将有效用户列入白名单或考虑重置 IAM 用户凭证。

这是有道理的，因为 Instance 角色会生成外部用户使用的预签名帖子 URL。

我是否真的面临外部用户可以获得与我的实例角色相同的访问权限的风险？

如果是这样，是否值得创建一个只能在我的特定存储桶中访问的单独角色s3:PutObject，然后在生成预签名的帖子 url 之前假设该角色？这样，如果以某种方式受到损害，它就不会拥有与实例角色一样多的特权？

根据Boto3 文档，该 url 应该只授予将特定对象发布到特定存储桶的权限，但是这个 Macie 警报让我感到紧张。

谢谢！

在用户指南中，我没有在受支持的 CloudFormation 资源列表中看到 Macie。https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html这是否意味着您无法通过 CloudFormation 模板创建 Macie 资源？

我想了解 Athena 对 Macie 识别的 S3 中敏感数据的调用是否会包含在 Macie 执行的行为分析中？例如，如果某人使用 Athena 获取查询结果的方式会触发 Macie 的异常警报，那么该级别的可见性是否可用？

我尝试使用 macie 对我的文档进行分类查询。但是我不知道如何找到带有驾驶执照或国民身份证号码的文件...

在它使用 aws 的示例中，显示 pii_type: "mail" 用于电子邮件或 pii_types: "cc_number" 用于信用卡号码，但我没有找到出生日期、IP 地址、驾驶执照 ID（美国）、国民身份证的示例数字（美国）。

我如何/我可以为这些文档搜索或创建基本警报？

谢谢您的帮助。

我在 Amazon Macie 做一些 POC。我从文档中得知它可以识别信用卡等 PII 数据。甚至我运行了一个示例，其中我将一些有效的信用卡号放入 CSV 并放入 S3 存储桶并由 Macie 识别。

我想知道相同的 PII 数据是否在 S3 存储桶中的某个数据库备份/转储文件下。Macie 能够识别吗？我在文档中没有找到任何东西。

我们刚刚开始使用 Amazon Macie，在创建存储桶以将结果保存超过 90 天时遇到了问题。

我们得到的错误是：

当我查看我的 IAM 策略配置时，我们正在使用 AWS SSO 连接到控制台，并且我的用户具有管理员权限，有效地 * 在资源和 * 操作中。

S3 存储桶策略为：

这是我们创建的对称密钥的策略：

kms 密钥允许我的角色和 macie 的角色作为管理员配置以及使用配置，如下所示：

我们试图创建一个具有特定：macie2:PutClassificationExportConfiguration 的 IAM 用户，但无济于事。

创建一个新的存储桶，无论是公共的还是私有的，也无济于事。我们还尝试在存储桶策略中显式添加我们的管理员用户，并在策略中授予 macie 服务的所有权限，但也无济于事。我们总是遇到同样的错误。存储桶与密钥位于同一区域和帐户中。

唯一来自不同账户的是 AWS SSO 托管角色，它们用于组织内的主账户。

有谁知道我们显然没有意识到在哪里寻找的缺失链接在哪里？

非常感谢你的帮助！

我正在使用 terraform 启用 AWS Macie 2，并且我正在定义一个默认分类作业，如下所示：

AWS Macie 需要一个 S3 存储桶列表来分析。我想知道是否有一种方法可以使用通配符或其他方法选择帐户中的所有存储桶。我们的生产帐户包含数百个 S3 存储桶，并且对其中的每个值进行硬编码s3_job_definition是不可行的。

有任何想法吗？

我对这三个方面的理解是，他们在事件和日志中寻找模式以确定是否存在潜在的安全漏洞。另一个问题涉及到这一点，但有些不尽人意。我从那个回复中得到的是：

... GuardDuty 更倾向于实际妥协的迹象，而洞察力更多只是“不寻常”的 API 活动

Macie：Amazon Macie 是一项完全托管的数据安全和数据隐私服务，它使用机器学习和模式匹配来发现和保护您在 AWS 中的敏感数据。

Cloudtrail Insights：AWS CloudTrail Insights 通过持续分析 CloudTrail 管理事件，帮助 AWS 用户识别和响应与写入 API 调用相关的异常活动。

GuardDuty：Amazon GuardDuty 是一种威胁检测服务，可以持续监控恶意活动和未经授权的行为，以保护您的 AWS 账户、工作负载和存储在 Amazon S3 中的数据

有什么区别，我应该什么时候使用什么服务？有人可以围绕实际差异做更多解释吗？