Crear una regla de supresión para los hallazgos de Macie - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una regla de supresión para los hallazgos de Macie

Una regla de supresión es un conjunto de criterios de filtrado basados en atributos que define los casos en los que desea que Amazon Macie archive los resultados automáticamente. Las reglas de supresión son útiles en situaciones en las que haya revisado una clase de resultados y no quiere que se le vuelva a notificar sobre ellos. Al crear una regla de supresión, se especifican los criterios de filtrado, un nombre y, si lo desea, una descripción de la regla. Luego, Macie usa los criterios de la regla para determinar qué hallazgos archivar automáticamente. Al utilizar las reglas de supresión, puede agilizar el análisis de los hallazgos.

Si suprime los resultados con una regla de supresión, Macie seguirá generando resultados para casos posteriores de datos confidenciales y posibles infracciones de las políticas que coincidan con los criterios de la regla. Sin embargo, Macie cambia automáticamente el estado de los resultados a archivado. Esto significa que los resultados no aparecen de forma predeterminada en la consola de Amazon Macie, pero permanecen en Macie hasta que caducan. (Macie guarda los resultados durante 90 días). Esto también significa que Macie no publica los hallazgos en Amazon EventBridge como eventos o para AWS Security Hub.

Ten en cuenta que las reglas de supresión pueden funcionar de forma diferente para tu cuenta si esta forma parte de una organización que gestiona de forma centralizada varias cuentas de Macie. Esto depende de la categoría de resultados que desee suprimir y de si tiene una cuenta de administrador o de miembro de Macie:

  • Resultados de política: solo un administrador de Macie puede suprimir los resultados de política para las cuentas de la organización.

    Si tiene una cuenta de administrador de Macie y crea una regla de supresión, Macie la aplicará a los resultados de política para todas las cuentas de su organización, a menos que configure la regla para excluir cuentas específicas. Si tiene una cuenta de miembro y quiere suprimir las constataciones de políticas relacionadas con su cuenta, póngase en contacto con su administrador de Macie para eliminarlas.

  • Resultados de datos confidenciales: un administrador de Macie y los miembros individuales pueden suprimir los resultados de datos confidenciales que generen sus trabajos de detección de datos confidenciales. Un administrador de Macie puede además ocultar los resultados que genere Macie al tiempo que realiza una detección automatizada de datos confidenciales para la organización.

    Solo la cuenta que crea un trabajo de detección de datos confidenciales puede suprimir o acceder de otro modo a los resultados de datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie de una organización puede suprimir o acceder de otro modo a los resultados que la detección automatizada de datos confidenciales genere para las cuentas de la organización.

Para obtener más información sobre las tareas que pueden realizar los administradores y los miembros, consulte Relaciones entre el administrador y la cuenta de los miembros de Macie.

Tenga en cuenta también que las reglas de supresión son diferentes de las reglas de filtrado. Una regla del filtro es un conjunto de criterios de filtrado que usted crea y guarda para volver a usarlos al revisar los resultados en la consola de Amazon Macie. Aunque ambos tipos de reglas almacenan y aplican los criterios de filtrado, una regla de filtrado no realiza ninguna acción en función de los hallazgos que coinciden con los criterios de la regla. En su lugar, una regla de filtrado solo determina qué resultados aparecen en la consola después de aplicar la regla. Para obtener más información, consulte Definir las reglas de filtrado. En función de sus objetivos de análisis, puede determinar que es mejor crear una regla de filtrado en lugar de una regla de supresión.

Para crear una regla de supresión de los hallazgos

Puede crear una regla de supresión mediante la consola Amazon Macie o Amazon Macie. API Antes de crear una regla de supresión, es importante tener en cuenta que no se pueden restaurar (desarchivar) los resultados que hayan suprimido mediante una regla de supresión. Sin embargo, puede revisar los hallazgos suprimidos utilizando Macie.

Console

Siga estos pasos para crear una regla de supresión con la consola de Amazon Macie.

Para crear una regla de supresión

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Findings (resultados).

    sugerencia

    Para usar una regla de supresión o filtrado existente como punto de partida, seleccione la regla de la lista de Reglas guardadas.

    También puede simplificar la creación de una regla primero centrándose y profundizando en los resultados por un grupo lógico predefinido. Si lo hace, Macie crea y aplica automáticamente las condiciones de filtrado adecuadas, lo que puede ser un punto de partida útil para crear una regla. Para ello, seleccione Por grupo, Por tipo o Por trabajo en el panel de navegación (en Resultados). A continuación, seleccione un elemento en la tabla. En el panel de detalles, elija la conexión para el campo en el que se va a dinamizar.

  3. En el cuadro Criterios de filtrado, añada condiciones de filtrado que especifiquen los atributos de los resultados que desee que suprima la regla.

    El cuadro Criterios del filtro de la página de Resultados.

    Para aprender cómo agregar condiciones de filtrado, consulte Creación y aplicación de filtros a los hallazgos de Macie.

  4. Cuando termine de agregar condiciones de filtrado a la regla, seleccione Suprimir resultados.

  5. En Regla de supresión, introduzca un nombre y, opcionalmente, una descripción de la regla.

  6. Seleccione Guardar.

API

Para crear una regla de supresión mediante programación, utilice la CreateFindingsFilteroperación Amazon API Macie y especifique los valores adecuados para los parámetros requeridos:

  • Para el parámetro action, especifique el ARCHIVE para asegurarse de que Macie suprima los resultados que coincidan con los criterios de la regla.

  • Para el parámetro criterion, especifique un mapa de condiciones que defina los criterios de filtrado de la regla.

    En el mapa, cada condición debe especificar un campo, un operador y uno o varios valores para el campo. El tipo y el número de valores dependen del campo y el operador que elija. Para obtener información sobre los campos, los operadores y los tipos de valores que puede usar en una condición, consulte:Campos para filtrar los hallazgos de Macie, yUso de operadores en condiciones. Especificar valores para los campos

Para crear una regla de supresión mediante AWS Command Line Interface (AWS CLI), ejecute el create-findings-filtercomando y especifique los valores adecuados para los parámetros necesarios. En los ejemplos siguientes se crea una regla de supresión que devuelve todos los datos confidenciales encontrados en el archivo actual Región de AWS y las apariciones de direcciones postales (y no de otros tipos de datos confidenciales) en los objetos de S3.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

Donde:

  • my_suppression_rule es el nombre personalizado de la regla.

  • criterion es un mapa de las condiciones de filtro de la regla:

    • classificationDetails.result.sensitiveData.detections.type es el JSON nombre del campo del tipo de detección de datos confidenciales.

    • eqExactMatch especifica el operador de coincidencia exacta igual a igual.

    • ADDRESS es un valor enumerado para el campo de tipo de detección de datos confidenciales.

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la regla de supresión que se creó y id es el identificador único de la regla.

Para ver ejemplos adicionales de criterios de filtrado, consulte Filtrar los hallazgos mediante programación con Amazon Macie API.