Filter erstellen und auf Macie-Ergebnisse anwenden - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Filter erstellen und auf Macie-Ergebnisse anwenden

Um Ergebnisse mit bestimmten Merkmalen zu identifizieren und sich darauf zu konzentrieren, können Sie Ergebnisse in der Amazon Macie-Konsole und in Abfragen filtern, die Sie programmgesteuert mit Amazon Macie einreichen. API Wenn Sie einen Filter erstellen, verwenden Sie bestimmte Ergebnisattribute, um Kriterien für das Ein- oder Ausschließen von Ergebnissen aus einer Ansicht oder aus Abfrageergebnissen zu definieren. Ein Suchattribut ist ein Feld, in dem bestimmte Daten für ein Ergebnis gespeichert werden, z. B. Schweregrad, Typ oder der Name der Ressource, für die ein Ergebnis gilt.

In Macie besteht ein Filter aus einer oder mehreren Bedingungen. Jede Bedingung, auch als Kriterium bezeichnet, besteht aus drei Teilen:

  • Ein auf Attributen basierendes Feld, z. B. Schweregrad oder Befundtyp.

  • Ein Operator, z. B. ist gleich oder ungleich.

  • Ein oder mehrere Werte. Der Typ und die Anzahl der Werte hängen vom ausgewählten Feld und Operator ab.

Wie Sie Filterbedingungen definieren und anwenden, hängt davon ab, ob Sie die Amazon Macie-Konsole oder Amazon API Macie verwenden.

Ergebnisse mithilfe der Amazon Macie Macie-Konsole filtern

Wenn Sie die Amazon Macie Macie-Konsole zum Filtern von Ergebnissen verwenden, bietet Macie Optionen, mit denen Sie Felder, Operatoren und Werte für einzelne Bedingungen auswählen können. Sie greifen auf diese Optionen zu, indem Sie die Filtereinstellungen auf den Ergebnisseiten verwenden, wie in der folgenden Abbildung dargestellt.

Die Filtereinstellungen auf einer Ergebnisseite, das Menü „Suchstatus“ und das Feld „Filterkriterien“.

Mithilfe des Menüs „Suchstatus“ können Sie angeben, ob Ergebnisse berücksichtigt werden sollen, die durch eine Unterdrückungsregel unterdrückt (automatisch archiviert) wurden. Mithilfe des Felds Filterkriterien können Sie Filterbedingungen eingeben.

Wenn Sie den Cursor in das Feld Filterkriterien setzen, zeigt Macie eine Liste von Feldern an, die Sie für Filterbedingungen verwenden können. Die Felder sind nach logischen Kategorien geordnet. Beispielsweise umfasst die Kategorie Allgemeine Felder Felder, die für jede Art von Ergebnis gelten, und die Kategorie Klassifikationsfelder umfasst Felder, die nur für Ergebnisse mit vertraulichen Daten gelten. Die Felder sind innerhalb jeder Kategorie alphabetisch sortiert.

Um eine Bedingung hinzuzufügen, wählen Sie zunächst ein Feld aus der Liste aus. Um ein Feld zu finden, durchsuchen Sie die gesamte Liste oder geben Sie einen Teil des Feldnamens ein, um die Liste der Felder einzugrenzen.

Je nachdem, welches Feld Sie auswählen, zeigt Macie verschiedene Optionen an. Die Optionen spiegeln den Typ und die Art des von Ihnen ausgewählten Feldes wider. Wenn Sie beispielsweise das Feld Schweregrad auswählen, zeigt Macie eine Liste mit Werten an, aus denen Sie wählen können: Niedrig, Mittel und Hoch. Wenn Sie das Feld S3-Bucket-Name auswählen, zeigt Macie ein Textfeld an, in das Sie einen Bucket-Namen eingeben können. Welches Feld Sie auch wählen, Macie führt Sie durch die Schritte zum Hinzufügen einer Bedingung, die die erforderlichen Einstellungen für das Feld enthält.

Nachdem Sie eine Bedingung hinzugefügt haben, wendet Macie die Kriterien für die Bedingung an und fügt die Bedingung einem Filtertoken im Feld Filterkriterien hinzu, wie in der folgenden Abbildung gezeigt.

Das Feld Filterkriterien mit einem Token für eine Bedingung, das Werte für das Feld Schweregrad angibt.

In diesem Beispiel ist die Bedingung so konfiguriert, dass sie alle Ergebnisse mit mittlerem und hohem Schweregrad einschließt und alle Ergebnisse mit niedrigem Schweregrad ausschließt. Es werden Ergebnisse zurückgegeben, bei denen der Wert für das Feld Schweregrad dem Wert Mittel oder Hoch entspricht.

Tipp

Für viele Felder können Sie den Operator einer Bedingung von gleich in ungleich ändern, indem Sie das Gleichheitssymbol ( The equals icon, which is a solid gray circle. ) im Filtertoken für die Bedingung auswählen. Wenn Sie dies tun, ändert Macie den Operator in „ungleich“ und zeigt das Symbol „ungleich“ () im Token an. The not equals icon, which is an empty gray circle that has a backslash in it. Um wieder zum Gleichheitsoperator zu wechseln, wählen Sie das Symbol „Nicht gleich“.

Wenn Sie weitere Bedingungen hinzufügen, wendet Macie deren Kriterien an und fügt sie den Tokens im Feld Filterkriterien hinzu. Sie können das Feld jederzeit aufrufen, um festzustellen, welche Kriterien Sie angewendet haben. Um eine Bedingung zu entfernen, wählen Sie das Symbol „Bedingung entfernen“ ( The remove filter condition icon, which is a circle that has an X in it. ) im Token für die Bedingung.

Um Ergebnisse mithilfe der Konsole zu filtern
  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich Findings aus.

  3. (Optional) Wählen Sie im Navigationsbereich (unter Ergebnisse) die Option „Nach Bereich“, „Nach Typ“ oder „Nach Auftrag“ aus, um die Ergebnisse zunächst anhand einer vordefinierten logischen Gruppe zu überprüfen. Wählen Sie dann ein Element in der Tabelle aus. Wählen Sie im Detailbereich den Link für das Feld aus, auf das Sie sich konzentrieren möchten.

  4. (Optional) Um Ergebnisse anzuzeigen, die durch eine Unterdrückungsregel unterdrückt wurden, ändern Sie die Einstellung Filterstatus. Wählen Sie Archiviert, um nur unterdrückte Ergebnisse anzuzeigen, oder wählen Sie Alle, um sowohl unterdrückte als auch nicht unterdrückte Ergebnisse anzuzeigen. Um unterdrückte Ergebnisse auszublenden, wählen Sie „Aktuell“.

  5. Um eine Filterbedingung hinzuzufügen:

    1. Platzieren Sie den Cursor in dem Feld Filterkriterien und wählen Sie dann das Feld aus, das für die Bedingung verwendet werden soll. Informationen zu den Feldern, die Sie verwenden können, finden Sie unterFelder zum Filtern von Macie-Ergebnissen.

    2. Geben Sie den entsprechenden Wertetyp für das Feld ein. Ausführliche Informationen zu den verschiedenen Wertetypen finden Sie unterWerte für Felder angeben.

      Textarray (Zeichenketten)

      Für diesen Wertetyp stellt Macie häufig eine Werteliste zur Auswahl bereit. Wenn dies der Fall ist, wählen Sie jeden Wert aus, den Sie in der Bedingung verwenden möchten.

      Wenn Macie keine Werteliste bereitstellt, geben Sie einen vollständigen, gültigen Wert für das Feld ein. Um zusätzliche Werte für das Feld anzugeben, wählen Sie Anwenden und fügen Sie dann für jeden zusätzlichen Wert eine weitere Bedingung hinzu.

      Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus können Sie in Werten keine Teilwerte oder Platzhalterzeichen verwenden. Um beispielsweise Ergebnisse für einen S3-Bucket mit dem Namen my-S3-Bucket zu filtern, geben Sie my-S3-bucket als Wert für das Feld S3-Bucket-Name ein. Wenn Sie einen anderen Wert eingeben, z. B. my-s3-bucket odermy-S3, gibt Macie keine Ergebnisse für den Bucket zurück.

      Boolesch

      Für diesen Wertetyp stellt Macie eine Werteliste zur Auswahl bereit. Wählen Sie den Wert aus, den Sie in der Bedingung verwenden möchten.

      Datum/Uhrzeit (Zeitbereiche)

      Verwenden Sie für diesen Wertetyp die Felder Von und Bis, um einen inklusiven Zeitraum zu definieren:

      • Um einen festen Zeitraum zu definieren, verwenden Sie die Felder Von und Bis, um das erste Datum und die erste Uhrzeit bzw. das letzte Datum und die letzte Uhrzeit im Bereich anzugeben.

      • Um einen relativen Zeitraum zu definieren, der an einem bestimmten Datum und einer bestimmten Uhrzeit beginnt und zur aktuellen Uhrzeit endet, geben Sie das Startdatum und die Startzeit in die Felder Von ein und löschen Sie den gesamten Text in den Feldern Bis.

      • Um einen relativen Zeitraum zu definieren, der an einem bestimmten Datum und einer bestimmten Uhrzeit endet, geben Sie das Enddatum und die Endzeit in die Felder Bis ein und löschen Sie den gesamten Text in den Feldern Von.

      Beachten Sie, dass für Zeitwerte die 24-Stunden-Notation verwendet wird. Wenn Sie die Datumsauswahl verwenden, um Daten auszuwählen, können Sie die Werte verfeinern, indem Sie Text direkt in die Felder Von und Bis eingeben.

      Zahl (numerische Bereiche)

      Verwenden Sie für diesen Wertetyp die Felder Von und Bis, um eine oder mehrere ganze Zahlen einzugeben, die einen inklusiven, festen oder relativen numerischen Bereich definieren.

      Textwerte (Zeichenfolge)

      Geben Sie für diesen Wertetyp einen vollständigen, gültigen Wert für das Feld ein.

      Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus können Sie in Werten keine Teilwerte oder Platzhalterzeichen verwenden. Um beispielsweise Ergebnisse für einen S3-Bucket mit dem Namen my-S3-Bucket zu filtern, geben Sie my-S3-bucket als Wert für das Feld S3-Bucket-Name ein. Wenn Sie einen anderen Wert eingeben, z. B. my-s3-bucket odermy-S3, gibt Macie keine Ergebnisse für den Bucket zurück.

    3. Wenn Sie mit dem Hinzufügen von Werten für das Feld fertig sind, wählen Sie Anwenden aus. Macie wendet die Filterkriterien an und fügt die Bedingung einem Filtertoken im Feld Filterkriterien hinzu.

  6. Wiederholen Sie Schritt 5 für jede weitere Bedingung, die Sie hinzufügen möchten.

  7. Um eine Bedingung zu entfernen, wählen Sie das Symbol „Bedingung entfernen“ ( The remove filter condition icon, which is a circle that has an X in it. ) im Filtertoken für die Bedingung aus.

  8. Um eine Bedingung zu ändern, entfernen Sie die Bedingung, indem Sie das Symbol „Bedingung entfernen“ ( The remove filter condition icon, which is a circle that has an X in it. ) im Filtertoken für die Bedingung auswählen. Wiederholen Sie dann Schritt 5, um eine Bedingung mit den richtigen Einstellungen hinzuzufügen.

Tipp

Wenn Sie diesen Satz von Bedingungen später erneut verwenden möchten, können Sie den Satz als Filterregel speichern. Wählen Sie dazu im Feld Filterkriterien die Option Regel speichern aus. Geben Sie anschließend einen Namen und optional eine Beschreibung für die Regel ein. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

Programmgesteuertes Filtern von Ergebnissen mit dem Amazon Macie API

Um Ergebnisse programmgesteuert zu filtern, geben Sie Filterkriterien in Abfragen an, die Sie mit dem ListFindingsoder GetFindingStatistics-Betrieb von Amazon Macie einreichen. API Die ListFindings Operation gibt eine Reihe von Ergebnissen zurückIDs, eine ID für jedes Ergebnis, das den Filterkriterien entspricht. Der GetFindingStatistics Vorgang gibt aggregierte statistische Daten zu allen Ergebnissen zurück, die den Filterkriterien entsprechen, gruppiert nach einem Feld, das Sie in Ihrer Anfrage angeben.

Beachten Sie, dass sich die GetFindingStatistics Operationen ListFindings und von Vorgängen unterscheiden, mit denen Sie Ergebnisse unterdrücken. Im Gegensatz zu Unterdrückungsvorgängen, bei denen auch Filterkriterien angegeben werden, werden bei den GetFindingStatistics Operationen ListFindings und nur Ergebnisdaten abgefragt. Sie führen keine Aktion für Ergebnisse aus, die den Filterkriterien entsprechen. Verwenden Sie den CreateFindingsFilterBetrieb des Amazon MacieAPI, um Ergebnisse zu unterdrücken.

Um Filterkriterien in einer Abfrage anzugeben, fügen Sie Ihrer Anfrage eine Übersicht der Filterbedingungen bei. Geben Sie für jede Bedingung ein Feld, einen Operator und einen oder mehrere Werte für das Feld an. Der Typ und die Anzahl der Werte hängen vom ausgewählten Feld und Operator ab. Informationen zu den Feldern, Operatoren und Wertetypen, die Sie in einer Bedingung verwenden können, finden Sie unter Felder zum Filtern von Macie-ErgebnissenVerwenden von Operatoren unter bestimmten Bedingungen, undWerte für Felder angeben.

In den folgenden Beispielen wird gezeigt, wie Sie Filterkriterien in Abfragen angeben, die Sie mit AWS Command Line Interface (AWS CLI) einreichen. Sie können dies auch tun, indem Sie eine aktuelle Version eines anderen AWS Befehlszeilentools oder eines AWS SDK verwenden oder indem Sie HTTPS Anfragen direkt an Macie senden. Weitere Informationen zu AWS Tools und finden Sie unter ToolsSDKs, auf AWS denen Sie aufbauen können.

In den Beispielen wird der Befehl list-findings verwendet. Wenn ein Beispiel erfolgreich ausgeführt wird, gibt Macie ein Array zurück. findingIds Das Array listet die eindeutige Kennung für jedes Ergebnis auf, das den Filterkriterien entspricht, wie im folgenden Beispiel gezeigt.

{ "findingIds": [ "1f1c2d74db5d8caa76859ec52example", "6cfa9ac820dd6d55cad30d851example", "702a6fd8750e567d1a3a63138example", "826e94e2a820312f9f964cf60example", "274511c3fdcd87010a19a3a42example" ] }

Wenn keine Ergebnisse den Filterkriterien entsprechen, gibt Macie ein leeres findingIds Array zurück.

{ "findingIds": [] }

Beispiel 1: Ergebnisse nach Schweregrad filtern

In diesem Beispiel wird der Befehl list-findings verwendet, um Ergebnisse IDs für all Ihre aktuellen Ergebnisse mit hohem und mittlerem Schweregrad abzurufen. AWS-Region

Für Linux, macOS oder Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Für Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

Wobei gilt:

  • severity.description gibt den JSON Namen des Felds Schweregrad an.

  • eq gibt den Gleichheitsoperator an.

  • High and Medium sind ein Array von Aufzählungswerten für das Feld Schweregrad.

Beispiel 2: Filtern Sie Ergebnisse auf der Grundlage der Kategorie sensibler Daten

In diesem Beispiel wird der Befehl list-findings verwendet, um Ergebnisse IDs für all Ihre Ergebnisse mit vertraulichen Daten abzurufen, die sich in der aktuellen Region befinden, und um das Vorkommen von Finanzinformationen (und keine anderen Kategorien vertraulicher Daten) in S3-Objekten zu melden.

Verwenden Sie für Linux, macOS oder Unix den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit:

$ aws macie2 list-findings \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Verwenden Sie für Microsoft Windows das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern:

C:\> aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

Wobei gilt:

  • classificationDetails.result.sensitiveData.category gibt den JSON Namen des Felds für die Kategorie Vertrauliche Daten an.

  • eqExactMatch gibt den Gleichheitsoperator für exakte Übereinstimmung an.

  • FINANCIAL_INFORMATION ist ein Aufzählungswert für das Kategoriefeld Vertrauliche Daten.

Beispiel 3: Filtern Sie Ergebnisse auf der Grundlage eines festen Zeitbereichs

In diesem Beispiel wird der Befehl list-findings verwendet, um Ergebnisse IDs für all Ihre Ergebnisse abzurufen, die sich in der aktuellen Region befinden und zwischen dem 5. UTC Oktober 2020, 07:00 Uhr und dem 5. UTC November 2020, 07:00 Uhr (einschließlich) erstellt wurden.

Für Linux, macOS oder Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Für Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

Wobei gilt:

  • createdAt gibt den JSON Namen des Felds Erstellt am an.

  • gte gibt den Operator „Größer als“ oder „Gleich als“ an.

  • 1601881200000 ist das erste Datum und die erste Uhrzeit (als Unix-Zeitstempel in Millisekunden) im Zeitbereich.

  • lte gibt den Operator „kleiner als“ oder „gleich“ an.

  • 1604559600000 ist das letzte Datum und die letzte Uhrzeit (als Unix-Zeitstempel in Millisekunden) im Zeitbereich.

Beispiel 4: Filtert Ergebnisse auf der Grundlage des Unterdrückungsstatus

In diesem Beispiel wird der Befehl list-findings verwendet, um Ergebnisse IDs für all Ihre Ergebnisse abzurufen, die sich in der aktuellen Region befinden und durch eine Unterdrückungsregel unterdrückt (automatisch archiviert) wurden.

Für Linux, macOS oder Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Für Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

Wobei gilt:

  • archived gibt den JSON Namen des archivierten Felds an.

  • eq gibt den Gleichheitsoperator an.

  • true ist ein boolescher Wert für das Feld Archiviert.

Beispiel 5: Filtern Sie Ergebnisse auf der Grundlage mehrerer Felder und Wertetypen

In diesem Beispiel wird der Befehl list-findings verwendet, um Ergebnisse IDs für all Ihre Ergebnisse mit vertraulichen Daten abzurufen, die sich in der aktuellen Region befinden und die folgenden Kriterien erfüllen: wurden zwischen dem 5. UTC Oktober 2020, 07:00 Uhr und dem 5. UTC November 2020, 07:00 Uhr (ausschließlich) erstellt, melden Vorkommen von Finanzdaten und keinen anderen Kategorien vertraulicher Daten in S3-Objekten und wurden nicht durch eine Unterdrückungsregel unterdrückt (automatisch archiviert).

Verwenden Sie für Linux, macOS oder Unix den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit:

$ aws macie2 list-findings \ --finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Verwenden Sie für Microsoft Windows das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern:

C:\> aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

Wobei gilt:

  • createdAt gibt den JSON Namen des Felds Erstellt am an an an und:

    • gt gibt den Operator „Größer als“ oder „gleich“ an.

    • 1601881200000 ist das erste Datum und die erste Uhrzeit (als Unix-Zeitstempel in Millisekunden) im Zeitbereich.

    • lt gibt den Operator „kleiner als“ oder „gleich“ an.

    • 1604559600000 ist das letzte Datum und die letzte Uhrzeit (als Unix-Zeitstempel in Millisekunden) im Zeitbereich.

  • classificationDetails.result.sensitiveData.category gibt den JSON Namen des Felds für die Kategorie Vertrauliche Daten an und:

    • eqExactMatch gibt den Gleichheitsoperator für exakte Übereinstimmung an.

    • FINANCIAL_INFORMATION ist ein Aufzählungswert für das Feld.

  • archived gibt den JSON Namen des archivierten Felds an und:

    • eq gibt den Gleichheitsoperator an.

    • false ist ein boolescher Wert für das Feld.