Revisión de los datos de cobertura de la detección de datos confidenciales automatizada - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión de los datos de cobertura de la detección de datos confidenciales automatizada

Para revisar y evaluar la cobertura mediante la detección automática de datos confidenciales, puede utilizar la consola Amazon Macie o Amazon Macie. API Tanto la consola como la API proporcionan datos que indican el estado actual de los análisis de sus buckets de uso general de Amazon Simple Storage Service (Amazon S3) en el momento actual. Región de AWS Los datos incluyen información sobre los problemas que crean lagunas en los análisis:

  • Buckets a los que Macie no puede acceder. Macie no puede analizar ningún objeto de estos buckets. La configuración de permisos de los buckets impide que Macie acceda a los buckets y a los objetos de los buckets.

  • Buckets que no almacenan ningún objeto clasificable. Macie no puede analizar ningún objeto de estos buckets. Todos los objetos utilizan clases de almacenamiento de Amazon S3 que Macie no admite o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento que Macie no admite.

  • Buckets que Macie aún no ha podido analizar debido a errores de clasificación en el nivel del objeto. Macie intentó analizar uno o más objetos de estos buckets. Sin embargo, Macie no pudo analizar los objetos debido a problemas con la configuración de los permisos en el nivel del objeto, el contenido de los objetos o las cuotas.

Los datos de cobertura se actualizan a medida que avanza la detección de datos confidenciales automatizada cada día. Si es el administrador de Macie de una organización, los datos incluyen información de los buckets de S3 que sean propiedad de sus cuentas de miembros.

nota

Los datos de cobertura no incluyen explícitamente los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Sin embargo, si corrige los problemas de cobertura que afectan a la detección de datos confidenciales automatizada, es probable que también aumente la cobertura de los trabajos que ejecute posteriormente. Para evaluar la cobertura de un trabajo, revise los resultados del trabajo. Si los eventos de registro u otros resultados de un trabajo indican problemas de cobertura, la guía de corrección para la detección de datos confidenciales automatizada puede ayudarle a solucionar algunos de los problemas.

Revisión de los datos de cobertura de la detección de datos confidenciales automatizada

Para revisar los datos de cobertura para la detección automática de datos confidenciales, puede utilizar la consola Amazon Macie o Amazon Macie. API En la consola, una sola página proporciona una vista unificada de los datos de cobertura de todos sus buckets de uso general de S3 en la región actual. Esto incluye un resumen de los problemas que se han producido recientemente en cada bucket. La página también ofrece opciones para revisar grupos de datos por tipo de problema. Para realizar un seguimiento de la investigación de problemas relacionados con grupos específicos, puede exportar los datos de la página a un archivo de valores separados por comas (). CSV

Console

Siga estos pasos para revisar los datos de cobertura mediante la consola de Amazon Macie.

Revisión de los datos de cobertura

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, elija Cobertura de recursos.

  3. En la página Cobertura de recursos, seleccione la pestaña correspondiente al tipo de datos de cobertura que desee revisar:

    • Todos: muestra todos los grupos de su cuenta. Para cada bucket, el campo Problemas indica si los problemas impidieron que Macie analizara los objetos del bucket. Si el valor de este campo es Ninguno, Macie ha analizado al menos uno de los objetos del bucket o no ha intentado analizar ninguno de los objetos del bucket todavía. Si hay problemas, este campo indica la naturaleza de los problemas y cómo solucionarlos. En el caso de los errores de clasificación en el nivel del objeto, también puede indicar (entre paréntesis) el número de ocurrencias del error.

    • Acceso denegado: enumera buckets a los que Macie no puede acceder. La configuración de permisos de estos buckets impide que Macie acceda a los buckets y a los objetos de los buckets. En consecuencia, Macie no puede analizar ningún objeto de los buckets.

    • Error de clasificación: enumera los buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto (problemas con la configuración de los permisos, el contenido de los objetos o las cuotas). Para cada bucket, el campo Problemas indica la naturaleza de cada tipo de error que se ha producido y ha impedido a Macie analizar un objeto del bucket. También indica cómo corregir cada tipo de error. Dependiendo del error, también puede indicar (entre paréntesis) el número de ocurrencias del error.

    • No clasificable: enumera los bucket que Macie no puede analizar porque no almacenan ningún objeto clasificable. Todos los objetos de estos buckets utilizan clases de almacenamiento de Amazon S3 no compatibles o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento no compatibles. En consecuencia, Macie no puede analizar ningún objeto de los buckets.

  4. Para desglosar y revisar los datos de respaldo de un bucket, elija el nombre del bucket. A continuación, consulte el panel de detalles para ver las estadísticas y otra información sobre el bucket.

  5. Para exportar la tabla a un CSV archivo, selecciona Exportar a CSV en la parte superior de la página. El CSV archivo resultante contiene un subconjunto de metadatos para cada segmento de la tabla, hasta un máximo de 50 000 grupos. El archivo incluye un campo Problemas de cobertura. El valor de este campo indica si los problemas impidieron a Macie analizar los objetos del bucket y, de ser así, la naturaleza de los problemas.

API

Para revisar los datos de cobertura mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la DescribeBucketsoperación de Amazon Macie. API Esta operación devuelve una matriz de objetos. Cada objeto contiene datos estadísticos y otra información sobre un bucket de uso general de S3 que coincida con los criterios del filtro.

En los criterios de filtro, incluya una condición para el tipo de datos de cobertura que desee revisar:

  • Para identificar los buckets a los que Macie no puede acceder debido a la configuración de permisos de los buckets, incluye una condición en la que el valor del campoerrorCode sea igual a ACCESS_DENIED.

  • Para identificar los buckets a los que Macie puede acceder y que aún no ha analizado, incluye las condiciones en las que el valor del campo sensitivityScore sea igual a 50 y el valor del campo errorCode no sea igual a ACCESS_DENIED.

  • Para identificar los buckets que Macie no puede analizar porque todos los objetos de los buckets utilizan clases o formatos de almacenamiento no compatibles, incluya condiciones en las que el valor del campo classifiableSizeInBytes sea igual a 0 y el valor del campo sizeInBytes sea mayor que 0.

  • Para identificar los grupos en los que Macie ha analizado al menos un objeto, incluya condiciones en las que el valor del campo sensitivityScore esté comprendido entre 1 y 99, pero no sea igual a 50. Para incluir también los buckets en los que se asignó manualmente la puntuación máxima, el rango debe estar comprendido entre 1 y 100.

  • Para identificar los buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto, incluye una condición en la que el valor del campo sensitivityScore sea igual a -1. Para, a continuación, revisar un desglose de los tipos y la cantidad de errores que se produjeron en un segmento en particular, utilice la operación. GetResourceProfile

Si utilizas el comando AWS Command Line Interface (AWS CLI), especifica los criterios de filtrado en las consultas que envíes ejecutando el comando describe-buckets. Para ver un desglose de los tipos y la cantidad de errores que se produjeron en un bucket de S3 concreto, si los hubiera, ejecute el comando. get-resource-profile

Por ejemplo, los siguientes AWS CLI comandos utilizan criterios de filtrado para recuperar los detalles de todos los buckets de S3 a los que Macie no puede acceder debido a la configuración de permisos de los buckets.

Este ejemplo está preparado para Unix, Linux y macOS:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Este ejemplo tiene el formato de Microsoft Windows.

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Si la solicitud se realiza correctamente, Macie devuelve una buckets matriz. La matriz contiene un objeto para cada depósito de S3 que se encuentra en el actual Región de AWS y que coincide con los criterios del filtro.

Si ningún bucket de S3 coincide con los criterios del filtro, Macie devuelve una matriz buckets vacía.

{
    "buckets": []
}

Para obtener más información sobre cómo especificar los criterios de filtro en las consultas, incluidos ejemplos de criterios comunes, consulte Filtrado del inventario de un bucket de S3.

Para obtener información detallada que podría ayudarle a solucionar los problemas de cobertura, consulte Solución de problemas de cobertura para la detección de datos confidenciales automatizada.