Uso de varias condiciones en un filtro Especificar valores para los campos Especificar varios valores para un campo Uso de operadores en condiciones

Fundamentos del filtrado de los hallazgos de Macie

Cuando cree un filtro, tenga presentes las siguientes características y directrices. Tenga en cuenta también que los resultados filtrados se limitan a los 90 días anteriores y a la Región de AWS actual. Amazon Macie almacena sus hallazgos solo durante 90 días en cada uno. Región de AWS

Uso de varias condiciones en un filtro

Un filtro puede incluir una o varias condiciones. Cada condición, también denominada criterio, consta de tres partes:

Un campo basado en atributos, como la Gravedad o el Tipo de resultado. Para obtener una lista de campos que puede utilizar, consulte Campos para filtrar los hallazgos de Macie.
Un operador, como igual o no igual. Para obtener una lista de operadores que puede utilizar, consulte Uso de operadores en condiciones.
Uno o varios valores. El tipo y el número de valores dependen del campo y el operador que elija.

Si un filtro contiene varias condiciones, Amazon Macie utiliza la AND lógica para unir las condiciones y evaluar los criterios del filtro. Esto significa que un resultado coincide con los criterios del filtro solo si coincide con todas las condiciones del filtro.

Por ejemplo, si agrega una condición para incluir solo los resultados de alta gravedad y agrega otra condición para incluir solo los resultados de datos confidenciales, Macie devolverá todos los resultados de datos confidenciales de alta gravedad. En otras palabras, Macie excluye todos los resultados de políticas y todos los resultados de datos confidenciales de gravedad media y baja.

Puede usar un campo solo una vez en un filtro. Sin embargo, puede especificar varios valores para varios campos.

Por ejemplo, si una condición utiliza el campo Gravedad para incluir únicamente los resultados de alta gravedad, no podrá utilizar el campo Gravedad en otra condición para incluir los de gravedad media o baja. En su lugar, especifique varios valores para la condición existente o utilice un operador diferente para la condición existente. Por ejemplo, para incluir todos los resultados de gravedad media y alta, añada una condición de Gravedad igual a Media, Alta o añada una condición de Gravedad no igual a Baja.

Especificar valores para los campos

Al especificar un valor para un campo, el valor debe ajustarse al tipo de datos subyacente del campo. Según el campo, puede especificar uno de los siguientes tipos de valores.

Matriz de texto (cadenas)

Especifica una lista de valores de texto (cadena) para un campo. Cada cadena se correlaciona con un valor predefinido o existente de un campo; por ejemplo, Alto para el campo de gravedad, :S3Object/Financial para el campo de tipo de búsqueda o el nombre de un depósito de S3 SensitiveDatapara el campo de nombre del depósito de S3.

Si utiliza una matriz, tenga en cuenta lo siguiente:

Estos valores distinguen entre mayúsculas y minúsculas.
No puede especificar valores parciales ni utilizar caracteres comodín en los valores. Debe especificar un valor completo y válido para el campo.

Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca my-S3-bucket como el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, como my-s3-bucket o my-S3, Macie no devolverá los resultados del bucket.

Para obtener una lista de valores válidos para cada campo, consulte Campos para filtrar los hallazgos de Macie.

Puede especificar hasta 50 valores en una matriz. La forma de especificar los valores depende de si utiliza la consola Amazon Macie o Amazon API Macie, como se explica en. Especificar varios valores para un campo

Booleano

Especifica uno de los dos valores mutuamente excluyentes de un campo.

Si utiliza la consola de Amazon Macie para especificar este tipo de valor, la consola proporciona una lista de valores entre los que puede elegir. Si usa Amazon MacieAPI, especifique true o false para el valor.

Fecha/hora (e intervalos de tiempo)

Especifica una fecha y hora absolutas para un campo. Si especifica este tipo de valor, debe especificar una fecha y una hora.

En la consola de Amazon Macie, los valores de fecha y hora están en la zona horaria local y utilizan una notación de 24 horas. En todos los demás contextos, estos valores están en formato de hora universal coordinada (UTC) y ISO 8601 extendido, por ejemplo2020-09-01T14:31:13Z, para las 14:31:13 p. m. del 1 de septiembre de 2020. UTC

Si un campo almacena un valor de fecha y hora, puede usarlo para definir un intervalo de tiempo fijo o relativo. Por ejemplo, puede incluir solo los resultados que se crearon entre dos fechas y horas específicas, o solo los resultados que se crearon antes o después de una fecha y hora específicas. La forma de definir un intervalo de tiempo depende de si utiliza la consola Amazon Macie o Amazon Macie: API

En la consola, utilice un selector de fechas o introduzca el texto directamente en los cuadros Desde y Hasta.
Con elAPI, defina un intervalo de tiempo fijo añadiendo una condición que especifique la primera fecha y hora del intervalo y añada otra condición que especifique la última fecha y hora del intervalo. Si lo hace, Macie utilizará la AND lógica para unir las condiciones. Para definir un intervalo de tiempo relativo, añada una condición que especifique la primera o la última fecha y hora del intervalo. Especifique los valores como marcas de tiempo de Unix en milisegundos, por ejemplo, para las 22:49:32 del 5 de noviembre de 2020. 1604616572653 UTC

En la consola, los intervalos de tiempo son inclusivos. Con elAPI, los rangos de tiempo pueden ser inclusivos o exclusivos, según el operador que elija.

Número (y rangos numéricos)

Especifica un entero largo para un campo.

Si un campo almacena un valor numérico, puede usarlo para definir un intervalo numérico fijo o relativo. Por ejemplo, puede incluir solo los resultados que informan de entre 50 y 90 casos de datos confidenciales en un objeto de S3. La forma de definir un rango numérico depende de si utiliza la consola Amazon Macie o Amazon Macie: API

En la consola, utilice las casillas Desde y Hasta para introducir los números más bajos y más altos del intervalo, respectivamente.
Con elAPI, defina un rango numérico fijo añadiendo una condición que especifique el número más bajo del rango y añada otra condición que especifique el número más alto del rango. Si lo hace, Macie utilizará la AND lógica para unir las condiciones. Para definir un intervalo numérico relativo, añada una condición que especifique el número más bajo o más alto del intervalo.

En la consola, los intervalos numéricos son inclusivos. Con elAPI, los rangos numéricos pueden ser inclusivos o exclusivos, según el operador que elija.

Texto (cadena)

Especifica un único valor de texto (cadena) para un campo. La cadena se correlaciona con un valor predefinido o existente para un campo, por ejemplo, Alto para el campo Gravedad, el nombre de un bucket de S3 para el campo nombre del bucket de S3 o el identificador único de un trabajo de detección de datos confidenciales para el campo ID de trabajo.

Si especifica una sola cadena de texto, tenga en cuenta lo siguiente:

Estos valores distinguen entre mayúsculas y minúsculas.
No puede utilizar valores parciales ni caracteres comodín en los valores. Debe especificar un valor completo y válido para el campo.

Para obtener una lista de valores válidos para cada campo, consulte Campos para filtrar los hallazgos de Macie.

Especificar varios valores para un campo

Con determinados campos y operadores, puede especificar varios valores para un campo. Si lo hace, Amazon Macie utilizará la lógica OR para unir los valores y evaluar los criterios del filtro. Esto significa que un resultado coincide con los criterios si tiene alguno de los valores del campo.

Por ejemplo, si añade una condición para incluir los resultados en los que el valor del campo Tipo de búsqueda es igual a :S3Object/Financial SensitiveData,:S3Object/Personal, SensitiveData Macie devuelve los datos confidenciales de los objetos S3 que contienen únicamente información financiera y de los objetos S3 que contienen únicamente información personal. En otras palabras, Macie excluye todos los resultados de políticas. Macie también excluye todos los resultados de datos confidenciales en el caso de los objetos que contienen otros tipos de datos confidenciales o varios tipos de datos confidenciales.

La excepción son las condiciones que utilizan el operador eqExactMatch. Para este operador, Macie utiliza la lógica para unir los valores y evaluar los criterios del filtro. AND Esto significa que un resultado coincide con los criterios solo si tiene todos los valores del campo y solo esos valores del campo. Para obtener más información sobre este operador, consulte Uso de operadores en condiciones.

La forma de especificar varios valores para un campo depende de si utiliza la consola Amazon Macie API o Amazon Macie. Con elAPI, se utiliza una matriz que muestra los valores.

En la consola, normalmente se eligen los valores de una lista. Sin embargo, para algunos campos, debe agregar una condición distinta para cada valor. Por ejemplo, para incluir los resultados de los datos que Macie detectó mediante determinados identificadores de datos personalizados, haga lo siguiente:

Coloque el cursor en el cuadro Criterios del filtro y, a continuación, elija el campo Nombre del identificador de datos personalizado. Introduzca el nombre de un identificador de datos personalizado y, a continuación, seleccione Aplicar.
Repita el paso anterior para cada identificador de datos personalizado adicional que desee especificar para el filtro.

Para obtener una lista de los campos para los que necesita hacer esto, consulte Campos para filtrar los hallazgos de Macie.

Uso de operadores en condiciones

Puede utilizar los siguientes tipos de operadores en condiciones individuales.

Igual (eq)

Coincide con (=) cualquier valor especificado para el campo. Puede usar el operador igual a con los siguientes tipos de valores: matriz de texto (cadenas), booleano, fecha/hora, número y texto (cadena).

Para muchos campos, puede usar este operador y especificar hasta 50 valores para el campo. Si lo hace, Amazon Macie utilizará la lógica OR para unir los valores. Esto significa que un resultado coincide con los criterios si tiene alguno de los valores especificados para el campo.

Por ejemplo:

Para incluir resultados que notifiquen casos de información financiera, información personal o información tanto financiera como personal, añada una condición que utilice el campo Categoría de datos confidenciales y este operador, y especifique Información financiera e Información personal como valores del campo.
Para incluir los resultados que notifiquen casos de números de tarjetas de crédito, direcciones postales o tanto números de tarjetas de crédito como direcciones postales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESScomo valores del campo.

Si utiliza Amazon Macie API para definir una condición que utilice este operador con un valor de fecha y hora, especifique el valor como una marca de tiempo de Unix en milisegundos, por ejemplo, para las 22:49:32 del 5 de noviembre de 2020. 1604616572653 UTC

Igual a coincidencia exacta (eqExactMatch)

Coincide exclusivamente con todos los valores especificados para el campo. Puede utilizar el operador igual a coincidencia exacta con un conjunto selecto de campos.

Si utiliza este operador y especifica varios valores para un campo, Macie utilizará la lógica para unir los valores. AND Esto significa que un resultado coincide con los criterios solo si tiene todos los valores especificados para el campo y solo esos valores para el campo. Puede especificar hasta 50 valores para el campo.

Por ejemplo:

Para incluir los resultados que notifiquen casos de números de tarjetas de crédito y ningún otro tipo de datos confidenciales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER como único valor para el campo.
Para incluir los resultados que notifiquen casos de números de tarjetas de crédito y direcciones postales (y ningún otro tipo de datos confidenciales), añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESS como valores para el campo.

Como Macie usa la AND lógica para unir los valores de un campo, no puede usar este operador en combinación con ningún otro operador para el mismo campo. En otras palabras, si utiliza el operador igual a coincidencia exacta con un campo en una condición, tendrá que usarlo en todas las demás condiciones que utlicen el mismo campo.

Al igual que otros operadores, puede usar el operador igual a coincidencia exacta en más de una condición de un filtro. Si lo hace, Macie utilizará la AND lógica para unir las condiciones y evaluar el filtro. Esto significa que un resultado coincide con los criterios del filtro solo si tiene todos los valores especificados por todas las condiciones del filtro.

Por ejemplo, para incluir los resultados que se crearon después de un tiempo determinado, notificar casos de números de tarjetas de crédito y no notificar ningún otro tipo de datos confidenciales, haga lo siguiente:

Agregue una condición que utilice el campo Creado en, utilice el operador mayor que y especifique la fecha y la hora de inicio para el filtro.
Agregue otra condición que utilice el campo Tipo de detección de datos confidenciales, utilice el operador igual a coincidencia exacta y especifique CREDIT_CARD_NUMBERcomo único valor para el campo.

Puede utilizar el operador igual a coincidencia exacta con los siguientes campos:

Identificador de datos personalizado (customDataIdentifiers.detections.arn)
Nombre de identificador de datos personalizado (customDataIdentifiers.detections.name)
Tecla de etiqueta de bucket de S3 (resourcesAffected.s3Bucket.tags.key)
Valor de la etiqueta del bucket de S3 (resourcesAffected.s3Bucket.tags.value)
Clave de la etiqueta del objeto de S3 (resourcesAffected.s3Object.tags.key)
Valor de la etiqueta de objeto de S3 (resourcesAffected.s3Object.tags.value)
Tipo de detección de datos confidenciales (sensitiveData.detections.type)
Categoría de datos confidenciales (sensitiveData.category)

En la lista anterior, el nombre entre paréntesis utiliza la notación de puntos para indicar el nombre del campo en las JSON representaciones de los hallazgos y del Amazon Macie. API

Mayor que (gt)

Es mayor que (>) el valor especificado para el campo. Puede usar el operador mayor que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen más de 90 casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola de Amazon Macie, introduzca 91 en el cuadro Desde, no introduzca ningún valor en el cuadro Hasta y a continuación, seleccione Aplicar. Las comparaciones numéricas y basadas en el tiempo están incluidas en la consola.

Si usa Amazon Macie API para definir un rango de tiempo que usa este operador, debe especificar los valores de fecha y hora como marcas de tiempo de Unix en milisegundos, por ejemplo, para las 22:49:32 del 5 de noviembre de 2020. 1604616572653 UTC

Mayor o igual que (gte)

Es mayor o igual que (>=) el valor especificado para el campo. Puede utilizar el operador mayor o igual que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen 90 o más casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola de Amazon Macie, introduzca 90 en el cuadro Desde, no introduzca ningún valor en el cuadro Hasta y a continuación, seleccione Aplicar.

Menor que (lt)

Es menor que (<) el valor especificado para el campo. Puede usar el operador menor que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen menos de 90 casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola de Amazon Macie, introduzca 89 en el cuadro Hasta, no introduzca ningún valor en el cuadro Desde y a continuación, seleccione Aplicar. Las comparaciones numéricas y basadas en el tiempo están incluidas en la consola.

Menor o igual que (lte)

Es menor o igual que (<=) el valor especificado para el campo. Puede utilizar el operador menor o igual que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen 90 o menos casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola de Amazon Macie, introduzca 90 en el cuadro Hasta, no introduzca ningún valor en el cuadro Desde y a continuación, seleccione Aplicar.

No igual a (neq)

No coincide (≠) con ningún valor especificado para el campo. Puede usar el operador no igual a con los siguientes tipos de valores: matriz de texto (cadenas), booleano, fecha/hora, número y texto (cadena).

Para muchos campos, puede usar este operador y especificar hasta 50 valores para el campo. Si lo hace, Macie utiliza el operador lógico OR para unir los valores. Esto significa que un resultado coincide con los criterios si no tiene ninguno de los valores especificados para el campo.

Por ejemplo:

Para excluir los resultados que notifiquen casos de información financiera, información personal o información tanto financiera como personal, añada una condición que utilice el campo Categoría de datos confidenciales y este operador, y especifique Información financiera e Información personal como valores del campo.
Para excluir los resultados que notifiquen casos de números de tarjetas de crédito, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER como valor del campo.
Para excluir los resultados que indiquen casos de números de tarjetas de crédito, direcciones postales o tanto números de tarjetas de crédito como direcciones postales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESScomo valores del campo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Filtro de resultados

Crear y aplicar filtros