Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación y aplicación de filtros a los hallazgos de Macie
Para identificar y centrarse en los hallazgos que tienen características específicas, puede filtrar los hallazgos en la consola Amazon Macie y en las consultas que envíe mediante programación mediante Amazon Macie. API Al crear un filtro, se utilizan atributos específicos de los resultados para definir criterios que permitan incluir o excluir resultados de una vista o de los resultados de una consulta. Un atributo de búsqueda es un campo que almacena datos específicos de un hallazgo, como la gravedad, el tipo o el nombre del recurso al que se aplica el hallazgo.
En Macie, un filtro consta de una o más condiciones. Cada condición, también denominada criterio, consta de tres partes:
-
Un campo basado en atributos, como la Gravedad o el Tipo de resultado.
-
Un operador, como igual o no igual.
-
Uno o varios valores. El tipo y el número de valores dependen del campo y el operador que elija.
La forma en que defina y aplique las condiciones de filtrado depende de si utiliza la consola Amazon Macie o Amazon Macie. API
Filtrar los resultados mediante la consola Amazon Macie
Si utiliza la consola de Amazon Macie para filtrar los resultados, Macie ofrece opciones que le ayudan a elegir campos, operadores y valores para condiciones individuales. Para acceder a estas opciones, utilice los ajustes de filtrado de las páginas de Resultados, como se muestra en la siguiente imagen.
Mediante el menú Estado de los resultados, puede especificar si desea incluir los resultados que fueron suprimidos (archivados automáticamente) por una regla de supresión. Mediante el cuadro Criterios de filtrado, puede introducir las condiciones del filtrado.
Al colocar el cursor en el cuadro Criterios de filtrado, Macie muestra una lista de campos que puede utilizar en las condiciones de filtrado. Los campos están organizados por categorías lógicas. Por ejemplo, la categoría Campos comunes incluye los campos que se aplican a cualquier tipo de resultado y la categoría Classification fields (Campos de clasificación) incluye los campos que se aplican solo a los resultados de datos confidenciales. Los campos se ordenan alfabéticamente dentro de cada categoría.
Para añadir una condición, comience por elegir un campo de la lista. Para buscar un campo, navegue por la lista completa o introduzca parte del nombre del campo para reducir la lista de campos.
Dependiendo del campo que elija, Macie muestra diferentes opciones. Las opciones reflejan el tipo y la naturaleza del campo que elija. Por ejemplo, si selecciona el campo Gravedad, Macie mostrará una lista de valores entre los que elegir: Bajo, Medio y Alto. Si selecciona el campo Nombre del bucket S3, Macie mostrará un cuadro de texto en el que podrá introducir el nombre del bucket. Sea cual sea el campo que elija, Macie le guiará por los pasos necesarios para añadir una condición que incluya los ajustes necesarios para el campo.
Tras añadir una condición, Macie aplica los criterios de la condición y la añade a un token de filtro en el cuadro Criterios del filtro, como se muestra en la imagen siguiente.
En este ejemplo, la condición está configurada para incluir todos los resultados de gravedad media y alta, y excluir todos los resultados de gravedad baja. Devuelve los resultados en los que el valor del campo Gravedad es es igual a Medio o Alto.
sugerencia
En muchos campos, puede cambiar el operador de una condición de es igual a a no es igual a seleccionando el icono de igualdad (
) en el token de filtrado de la condición. Si lo hace, Macie cambia el operador a no es igual a y muestra el icono de no es igual a (
) en el token. Para volver a cambiar al operador es igual a, seleccione el icono no es igual a.
A medida que añada más condiciones, Macie aplicará sus criterios y los añadirá a los símbolos del cuadro Criterios del filtro. Puede consultar el cuadro en cualquier momento para determinar qué criterios has aplicado. Para eliminar una condición, seleccione el icono de eliminación de la condición (
) en el token para la condición.
Para filtrar los resultados mediante la consola
Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
-
En el panel de navegación, seleccione Findings (resultados).
-
(Opcional) Para repasar primero los resultados por un grupo lógico predefinido y revisarlos, seleccione Por bucket, Por tipo o Por trabajo en el panel de navegación (en Resultados). A continuación, seleccione un elemento en la tabla. En el panel de detalles, elija la conexión para el campo en el que se va a dinamizar.
-
(Opcional) Para mostrar los resultados que fueron suprimidos por una regla de supresión, cambie la configuración del Estado de filtrado. Seleccione Archivado para mostrar solo los resultados suprimidos o seleccione Todos para mostrar los resultados suprimidos y no suprimidos. Para ocultar los resultados suprimidos, seleccione Actual.
-
Para añadir una condición de filtrado:
-
Coloque el cursor en el cuadro Criterios de filtrado y, a continuación, elija el campo que desee utilizar para la condición. Para obtener más información sobre los campos que puede utilizar, consulte Campos para filtrar los hallazgos de Macie.
-
Introduzca el tipo de valor adecuado para el campo. Para obtener información sobre los distintos tipos de valores, consulte Especificar valores para los campos.
- Matriz de texto (cadenas)
-
Para este tipo de valores, Macie suele proporcionar una lista de valores entre los que elegir. Si este es el caso, seleccione cada valor que desee usar en la condición.
Si Macie no proporciona una lista de valores, introduzca un valor completo y válido para el campo. Para especificar valores adicionales para el campo, elija Aplicar y, a continuación, añada otra condición para cada valor adicional.
Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, no puede utilizar valores parciales ni caracteres comodín en los valores. Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca
my-S3-bucketcomo el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, comomy-s3-bucketomy-S3, Macie no devolverá los resultados del bucket. - Booleano
-
Para este tipo de valores, Macie proporciona una lista de valores entre los que elegir. Seleccione el valor que desea utilizar en la condición.
- Fecha/hora (intervalos de tiempo)
-
Para este tipo de valor, utilice los cuadros Desde y Hasta para definir un intervalo de tiempo inclusivo:
-
Para definir un intervalo de tiempo fijo, utilice los cuadros Desde y Hasta para especificar la primera fecha y hora y la última fecha y hora del intervalo, respectivamente.
-
Para definir un intervalo de tiempo relativo que comience en una fecha y hora determinadas y termine en la hora actual, introduzca la fecha y la hora de inicio en los cuadros Desde y elimine el texto de los cuadros Hasta.
-
Para definir un intervalo de tiempo relativo que comience en una fecha y hora determinadas y termine en la hora actual, introduzca la fecha y la hora de inicio en los cuadros Hasta y elimine el texto de los cuadros Desde.
Tenga en cuenta que los valores de hora utilizan la notación de 24 horas. Si utiliza el selector de fechas para elegir fechas, puede refinar los valores introduciendo el texto directamente en los cuadros Desde y Hasta.
-
- Número (rangos numéricos)
-
Para este tipo de valor, utilice los cuadros Desde y Hasta para introducir uno o más números enteros que definan un rango numérico inclusivo, fijo o relativo.
- Valores de texto (cadena)
-
Para este tipo de valor, introduzca un valor completo y válido para el campo.
Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, no puede utilizar valores parciales ni caracteres comodín en los valores. Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca
my-S3-bucketcomo el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, comomy-s3-bucketomy-S3, Macie no devolverá los resultados del bucket.
-
Cuando termine de añadir valores al campo, elija Aplicar. Macie aplica los criterios de filtro y añade la condición a un token de filtro en el cuadro de Criterios de filtro.
-
-
Repita el paso 5 para cada condición adicional que desee agregar.
-
Para eliminar una condición, pulse el icono de eliminación de la condición (
) en el token de filtrado para la condición. -
Para cambiar una condición, elimine la condición pulsando el icono de eliminación de la condición (
) en el token de filtrado para la condición. A continuación, repita el paso 5 para añadir una condición con la configuración correcta.
sugerencia
Si desea volver a utilizar este conjunto de condiciones posteriormente, puede guardar el conjunto como una regla de filtrado. Para ello, seleccione Guardar regla en el cuadro Criterios del filtro. Ingrese un nombre y, opcionalmente, una descripción para la regla. Cuando termine, elija Save (Guardar).
Filtrar los hallazgos mediante programación con Amazon Macie API
Para filtrar los resultados mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la GetFindingStatisticsoperación ListFindingso de Amazon Macie. API La ListFindings operación devuelve una matriz de resultadosIDs, con un identificador para cada hallazgo que coincida con los criterios del filtro. La operación GetFindingStatistics devuelve datos estadísticos agregados sobre todos los resultados que coinciden con los criterios de filtro, agrupados por un campo que especifique en la solicitud.
Tenga en cuenta que las operaciones ListFindings y GetFindingStatistics son diferentes de las operaciones que se utilizan para suprimir los resultados. A diferencia de las operaciones de supresión, que también especifican los criterios de filtrado, las operaciones ListFindings y GetFindingStatistics solo consultan los datos de los resultados. No llevan a cabo ninguna acción sobre los resultados que coinciden con los criterios de filtro. Para suprimir los hallazgos, utilice la CreateFindingsFilteroperación de Amazon MacieAPI.
Para especificar los criterios de filtrado en una consulta, incluya una asignación de las condiciones del filtrado en la solicitud. Para cada condición debe especificar un campo, un operador y uno o varios valores para el campo. El tipo y el número de valores dependen del campo y el operador que elija. Para obtener información sobre los campos, los operadores y los tipos de valores que puede usar en una condición, consulte Campos para filtrar los hallazgos de Macie, Uso de operadores en condiciones y Especificar valores para los campos.
En los siguientes ejemplos, se muestra cómo especificar los criterios de filtrado en las consultas que se envían mediante AWS Command Line Interface (AWS CLI). También puede hacerlo utilizando una versión actual de otra herramienta de línea de AWS comandos o una AWS
SDK, o enviando HTTPS las solicitudes directamente a Macie. Para obtener información sobre AWS las herramientasSDKs, consulte Herramientas sobre AWS las que construir
Ejemplos
- Filtrado de los resultados en función de la gravedad
- Filtrado de los resultados en función de la categoría de datos confidenciales
- Filtrado de los resultados en función de un intervalo de tiempo fijo
- Filtrado de los resultados en función del estado de supresión
- Filtrado de los resultados en función de varios campos y tipos de valores
Los ejemplos utilizan el comando list-findings. Si un ejemplo se ejecuta correctamente, Macie devuelve una matriz findingIds. La matriz indica el identificador único de cada resultado que coincide con los criterios de filtro, como se muestra en el siguiente ejemplo.
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}Si ningún resultado coincide con los criterios del filtro, Macie devuelve una matriz findingIds vacía.
{
"findingIds": []
}Ejemplo 1: filtrado de los resultados en función de la gravedad
En este ejemplo, se utiliza el comando list-findings IDs para recuperar los resultados de todos los hallazgos de gravedad alta y media del presente. Región de AWS
Para Linux, macOS o Unix:
$aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'
Para Microsoft Windows:
C:\>aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}
Donde:
-
severity.descriptionespecifica el JSON nombre del campo de gravedad. -
eqespecifica el operador igual. -
HighyMediumson una matriz de valores enumerados para el campo Gravedad.
Ejemplo 2: filtrado de los resultados en función de la categoría de datos confidenciales
En este ejemplo, se utiliza el comando list-findings IDs para recuperar todos los datos confidenciales que se encuentran en la región actual e informar sobre las apariciones de información financiera (y no de otras categorías de datos confidenciales) en los objetos de S3.
Para Linux, macOS o Unix, utilice el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad:
$aws macie2 list-findings \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'
Para Microsoft Windows, utilice el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad:
C:\>aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}
Donde:
-
classificationDetails.result.sensitiveData.categoryespecifica el JSON nombre del campo de la categoría de datos confidenciales. -
eqExactMatchespecifica el operador de coincidencia exacta igual a igual. -
FINANCIAL_INFORMATIONes un valor enumerado para el campo de categoría de datos confidenciales.
Ejemplo 3: Filtrado de los resultados en función de un intervalo de tiempo fijo
En este ejemplo, se utiliza el comando list-findings IDs para recuperar las búsquedas de todos los hallazgos que se encuentren en la región actual y que se hayan creado entre las 07:00 del 5 de UTC octubre de 2020 y las 07:00 del 5 de UTC noviembre de 2020 (ambos inclusive).
Para Linux, macOS o Unix:
$aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'
Para Microsoft Windows:
C:\>aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}
Donde:
-
createdAtespecifica el JSON nombre del campo Creado en. -
gteespecifica el operador mayor o igual a. -
1601881200000es la primera fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo. -
lteespecifica el operador menor o igual a. -
1604559600000es la última fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.
Ejemplo 4: Filtrado de los resultados en función del estado de supresión
En este ejemplo, se utiliza el comando list-findings IDs para recuperar los resultados de todos los hallazgos que se encuentran en la región actual y que fueron suprimidos (archivados automáticamente) por una regla de supresión.
Para Linux, macOS o Unix:
$aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'
Para Microsoft Windows:
C:\>aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}
Donde:
-
archivedespecifica el JSON nombre del campo archivado. -
eqespecifica el operador igual. -
truees un valor booleano para el campo Archivado.
Ejemplo 5: Filtrado de los resultados en función de varios campos y tipos de valores
En este ejemplo, se utiliza el comando list-findings IDs para recuperar todos los datos confidenciales que se encuentran en la región actual y que cumplen los siguientes criterios: se crearon entre las 07:00 del 5 de UTC octubre de 2020 y las 07:00 del 5 de UTC noviembre de 2020 (exclusivamente); notifican la aparición de datos financieros y no de otras categorías de datos confidenciales en objetos de S3; y no se han suprimido (archivado automáticamente) mediante una regla de supresión.
Para Linux, macOS o Unix, utilice el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad:
$aws macie2 list-findings \ --finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'
Para Microsoft Windows, utilice el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad:
C:\>aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}
Donde:
-
createdAtespecifica el JSON nombre del campo Creado en y:-
gtespecifica el operador mayor o igual a. -
1601881200000es la primera fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo. -
ltespecifica el operador menor o igual a. -
1604559600000es la última fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.
-
-
classificationDetails.result.sensitiveData.categoryespecifica el JSON nombre del campo de la categoría de datos confidenciales y:-
eqExactMatchespecifica el operador de coincidencia exacta igual a igual. -
FINANCIAL_INFORMATIONes un valor enumerado para el campo.
-
-
archivedespecifica el JSON nombre del campo archivado y:-
eqespecifica el operador igual. -
falsees un valor booleano para el campo.
-
