Eine Unterdrückungsregel für Macie-Ergebnisse erstellen - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Unterdrückungsregel für Macie-Ergebnisse erstellen

Eine Unterdrückungsregel besteht aus einer Reihe von attributbasierten Filterkriterien, die Fälle definieren, in denen Amazon Macie Ergebnisse automatisch archivieren soll. Unterdrückungsregeln sind in Situationen hilfreich, in denen Sie eine Gruppe von Ergebnissen überprüft haben und nicht erneut darüber informiert werden möchten. Wenn Sie eine Unterdrückungsregel erstellen, geben Sie Filterkriterien, einen Namen und optional eine Beschreibung der Regel an. Macie bestimmt dann anhand der Kriterien der Regel, welche Ergebnisse automatisch archiviert werden sollen. Mithilfe von Unterdrückungsregeln können Sie Ihre Analyse der Ergebnisse optimieren.

Wenn Sie Ergebnisse mit einer Unterdrückungsregel unterdrücken, generiert Macie weiterhin Ergebnisse für nachfolgende Fälle vertraulicher Daten und potenzieller Richtlinienverstöße, die den Kriterien der Regel entsprechen. Macie ändert den Status der Ergebnisse jedoch automatisch in archiviert. Das bedeutet, dass die Ergebnisse nicht standardmäßig auf der Amazon Macie Macie-Konsole angezeigt werden, sondern in Macie gespeichert werden, bis sie ablaufen. (Macie speichert Ergebnisse 90 Tage lang.) Dies bedeutet auch, dass Macie die Ergebnisse nicht EventBridge als Veranstaltungen oder für Amazon veröffentlicht. AWS Security Hub

Beachten Sie, dass die Unterdrückungsregeln für Ihr Konto möglicherweise anders funktionieren, wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet. Dies hängt von der Kategorie der Ergebnisse ab, die Sie unterdrücken möchten, und davon, ob Sie ein Macie-Administrator- oder Mitgliedskonto haben:

  • Richtlinienergebnisse — Nur ein Macie-Administrator kann Richtlinienergebnisse für die Konten der Organisation unterdrücken.

    Wenn Sie ein Macie-Administratorkonto haben und eine Unterdrückungsregel erstellen, wendet Macie die Regel auf die Richtlinienfeststellungen für alle Konten in Ihrer Organisation an, sofern Sie die Regel nicht so konfigurieren, dass bestimmte Konten ausgeschlossen werden. Wenn Sie über ein Mitgliedskonto verfügen und die Richtlinienergebnisse für Ihr Konto unterdrücken möchten, arbeiten Sie mit Ihrem Macie-Administrator zusammen, um die Ergebnisse zu unterdrücken.

  • Ergebnisse sensibler Daten — Ein Macie-Administrator und einzelne Mitglieder können die Ergebnisse sensibler Daten unterdrücken, die bei der Suche nach sensiblen Daten entstehen. Ein Macie-Administrator kann auch Ergebnisse unterdrücken, die Macie bei der automatisierten Erkennung sensibler Daten für das Unternehmen generiert.

    Nur das Konto, das einen Auftrag zur Erkennung sensibler Daten erstellt, kann die Ergebnisse, die der Job generiert, unterdrücken oder auf andere Weise darauf zugreifen. Nur das Macie-Administratorkonto einer Organisation kann Ergebnisse unterdrücken oder auf andere Weise darauf zugreifen, die bei der automatischen Erkennung sensibler Daten für Konten in der Organisation entstehen.

Weitere Informationen zu den Aufgaben, die Administratoren und Mitglieder ausführen können, finden Sie unterBeziehungen zwischen Macie-Administrator und Mitgliedskonto.

Beachten Sie auch, dass sich Unterdrückungsregeln von Filterregeln unterscheiden. Eine Filterregel besteht aus einer Reihe von Filterkriterien, die Sie erstellen und speichern, um sie erneut zu verwenden, wenn Sie die Ergebnisse auf der Amazon Macie Macie-Konsole überprüfen. Obwohl beide Regeltypen Filterkriterien speichern und anwenden, führt eine Filterregel keine Aktion auf Ergebnisse aus, die den Kriterien der Regel entsprechen. Stattdessen bestimmt eine Filterregel nur, welche Ergebnisse auf der Konsole angezeigt werden, nachdem Sie die Regel angewendet haben. Weitere Informationen finden Sie unter Definition von Filterregeln. Abhängig von Ihren Analysezielen können Sie entscheiden, dass es am besten ist, eine Filterregel anstelle einer Unterdrückungsregel zu erstellen.

Um eine Unterdrückungsregel für Ergebnisse zu erstellen

Sie können eine Unterdrückungsregel mithilfe der Amazon Macie-Konsole oder Amazon API Macie erstellen. Bevor Sie eine Unterdrückungsregel erstellen, sollten Sie beachten, dass Sie Ergebnisse, die Sie mithilfe einer Unterdrückungsregel unterdrücken, nicht wiederherstellen (die Archivierung aufheben) können. Sie können unterdrückte Ergebnisse jedoch mithilfe von Macie überprüfen.

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine Unterdrückungsregel zu erstellen.

So erstellen Sie eine Unterdrückungsregel

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich Findings aus.

    Tipp

    Um eine bestehende Unterdrückungs- oder Filterregel als Ausgangspunkt zu verwenden, wählen Sie die Regel aus der Liste Gespeicherte Regeln aus.

    Sie können die Erstellung einer Regel auch vereinfachen, indem Sie die Ergebnisse zunächst anhand einer vordefinierten logischen Gruppe durchblättern und anschließend aufschlüsseln. In diesem Fall erstellt Macie automatisch die entsprechenden Filterbedingungen und wendet sie an. Dies kann ein hilfreicher Ausgangspunkt für die Erstellung einer Regel sein. Wählen Sie dazu im Navigationsbereich (unter Ergebnisse) die Option Nach Bereich, Nach Typ oder Nach Auftrag aus. Wählen Sie dann ein Element in der Tabelle aus. Wählen Sie im Detailbereich den Link für das Feld aus, auf das Sie sich konzentrieren möchten.

  3. Fügen Sie im Feld Filterkriterien Filterbedingungen hinzu, die die Attribute der Ergebnisse angeben, die durch die Regel unterdrückt werden sollen.

    Das Feld Filterkriterien auf der Ergebnisseite.

    Informationen zum Hinzufügen von Filterbedingungen finden Sie unterFilter erstellen und auf Macie-Ergebnisse anwenden.

  4. Wenn Sie mit dem Hinzufügen von Filterbedingungen für die Regel fertig sind, wählen Sie Ergebnisse unterdrücken aus.

  5. Geben Sie unter Unterdrückungsregel einen Namen und optional eine Beschreibung der Regel ein.

  6. Wählen Sie Save (Speichern) aus.

API

Um eine Unterdrückungsregel programmgesteuert zu erstellen, verwenden Sie den CreateFindingsFilterBetrieb von Amazon Macie API und geben Sie die entsprechenden Werte für die erforderlichen Parameter an:

  • Geben Sie für den action Parameter an, ARCHIVE um sicherzustellen, dass Macie Ergebnisse unterdrückt, die den Kriterien der Regel entsprechen.

  • Geben Sie für den criterion Parameter eine Zuordnung von Bedingungen an, die die Filterkriterien für die Regel definieren.

    In der Map sollte jede Bedingung ein Feld, einen Operator und einen oder mehrere Werte für das Feld angeben. Der Typ und die Anzahl der Werte hängen vom ausgewählten Feld und Operator ab. Informationen zu den Feldern, Operatoren und Wertetypen, die Sie in einer Bedingung verwenden können, finden Sie unter: Felder zum Filtern von Macie-ErgebnissenVerwenden von Operatoren unter bestimmten Bedingungen, undWerte für Felder angeben.

Um eine Unterdrückungsregel mithilfe von AWS Command Line Interface (AWS CLI) zu erstellen, führen Sie den create-findings-filterBefehl aus und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. In den folgenden Beispielen wird eine Unterdrückungsregel erstellt, die alle Ergebnisse mit vertraulichen Daten zurückgibt, die in der aktuellen AWS-Region Version enthalten sind, und das Vorkommen von Postanschriften (und keine anderen Arten vertraulicher Daten) in S3-Objekten meldet.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

Wobei gilt:

  • my_suppression_rule ist der benutzerdefinierte Name für die Regel.

  • criterionist eine Übersicht der Filterbedingungen für die Regel:

    • classificationDetails.result.sensitiveData.detections.type ist der JSON Name des Felds für den Typ „Erkennung sensibler Daten“.

    • eqExactMatch gibt den Gleichheitsoperator für exakte Übereinstimmung an.

    • ADDRESS ist ein Aufzählungswert für das Feld Typ der Erkennung sensibler Daten.

Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

Wo arn ist der Amazon-Ressourcenname (ARN) der Unterdrückungsregel, die erstellt wurde, und id ist der eindeutige Bezeichner für die Regel.

Weitere Beispiele für Filterkriterien finden Sie unterProgrammgesteuertes Filtern von Ergebnissen mit dem Amazon Macie API.