Suprimiendo los hallazgos de Macie - Amazon Macie
Crear reglas de supresiónRevisión de resultados suprimidosModificación de reglas de supresiónEliminación de reglas de supresión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Suprimiendo los hallazgos de Macie

Para agilizar su análisis de los resultados, puede crear y utilizar reglas de supresión. Una regla de supresión es un conjunto de criterios de filtrado basados en atributos que define los casos en los que desea que Amazon Macie archive los resultados automáticamente. Las reglas de supresión son útiles en situaciones en las que haya revisado una clase de resultados y no quiere que se le vuelva a notificar sobre ellos.

Por ejemplo, puede decidir permitir que los buckets de S3 contengan direcciones de correo, si los buckets no permiten el acceso público y cifran los objetos nuevos automáticamente con una AWS KMS key particular. En este caso, puede crear una regla de supresión que especifique los criterios de filtrado para los siguientes campos: el tipo de detección de datos confidenciales, el permiso de acceso público del bucket S3 y el identificador de la KMS clave de cifrado del bucket S3. La regla suprime los resultados futuros que coincidan con los criterios de filtrado.

Si suprime los resultados con una regla de supresión, Macie seguirá generando resultados para casos posteriores de datos confidenciales y posibles infracciones de las políticas que coincidan con los criterios de la regla. Sin embargo, Macie cambia automáticamente el estado de los resultados a archivado. Esto significa que los resultados no aparecen de forma predeterminada en la consola de Amazon Macie, pero permanecen en Macie hasta que caducan. Macie guarda los resultados durante 90 días.

Además, Macie no publica los hallazgos suprimidos en Amazon EventBridge como eventos o para AWS Security Hub. Sin embargo, Macie sigue creando y almacenando los resultados de la detección de datos confidenciales que se correlacionen con los resultados de datos confidenciales que usted suprima. Esto permite garantizar que tenga un historial inmutable de resultados de información confidencial para las auditorías o investigaciones de protección de datos que realice.

nota

Si su cuenta es parte de una organización que administra de forma centralizada varias cuentas de Macie, las reglas de supresión pueden funcionar de forma diferente para su cuenta. Esto depende de la categoría de resultados que desee suprimir y de si tiene una cuenta de administrador o de miembro de Macie:

  • Resultados de política: solo un administrador de Macie puede suprimir los resultados de política para las cuentas de la organización.

    Si tiene una cuenta de administrador de Macie y crea una regla de supresión, Macie la aplicará a los resultados de política para todas las cuentas de su organización, a menos que configure la regla para excluir cuentas específicas. Si tiene una cuenta de miembro de Macie y desea suprimir los resultados de política para su cuenta, póngase en contacto con su administrador de Macie.

  • Resultados de datos confidenciales: un administrador de Macie y los miembros individuales pueden suprimir los resultados de datos confidenciales que generen sus trabajos de detección de datos confidenciales. Un administrador de Macie puede además ocultar los resultados que genere Macie al tiempo que realiza una detección automatizada de datos confidenciales para la organización.

    Solo la cuenta que crea un trabajo de detección de datos confidenciales puede suprimir o acceder de otro modo a los resultados de datos confidenciales que genere el trabajo. Solo la cuenta de administrador de Macie de una organización puede suprimir o acceder de otro modo a los resultados que la detección automatizada de datos confidenciales genere para las cuentas de la organización.

Para obtener más información sobre las tareas que pueden realizar los administradores y los miembros, consulte Relaciones entre el administrador y la cuenta de los miembros de Macie.

Para crear y gestionar reglas de supresión, puede utilizar la consola Amazon Macie o Amazon Macie. API En los siguientes temas se explica cómo hacerlo. Para ellosAPI, los temas incluyen ejemplos de cómo realizar estas tareas mediante el comando AWS Command Line Interface ()AWS CLI. También puede realizar estas tareas utilizando una versión actual de otra herramienta de línea de AWS comandos o una AWS SDK, o enviando HTTPS las solicitudes directamente a Macie. Para obtener información sobre AWS las herramientas ySDKs, consulte Herramientas sobre AWS las que construir.

Crear reglas de supresión

Antes de crear una regla de supresión, es importante tener en cuenta que no se pueden restaurar (desarchivar) los resultados que hayan suprimido mediante una regla de supresión. Sin embargo, puede revisar los hallazgos suprimidos en la consola de Amazon Macie y acceder a los hallazgos suprimidos con Amazon Macie. API

Al crear una regla de supresión, se especifican los criterios de filtrado, un nombre y, si lo desea, una descripción de la regla. Puede crear una regla de supresión mediante la consola Amazon Macie o Amazon Macie. API

Console

Siga estos pasos para crear una regla de supresión con la consola de Amazon Macie.

Para crear una regla de supresión

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Findings (resultados).

    sugerencia

    Para usar una regla de supresión o filtrado existente como punto de partida, seleccione la regla de la lista de Reglas guardadas.

    También puede simplificar la creación de una regla primero centrándose y profundizando en los resultados por un grupo lógico predefinido. Si lo hace, Macie crea y aplica automáticamente las condiciones de filtrado adecuadas, lo que puede ser un punto de partida útil para crear una regla. Para ello, elija Por bucket, Por tipo o Por trabajo en el panel de navegación (en Resultados) y, a continuación, elija un elemento de la tabla. En el panel de detalles, elija la conexión para el campo en el que se va a dinamizar.

  3. En el cuadro Criterios de filtrado, añada condiciones de filtrado que especifiquen los atributos de los resultados que desee que suprima la regla.

    El cuadro Criterios del filtro de la página de Resultados.

    Para aprender cómo agregar condiciones de filtrado, consulte Creación y aplicación de filtros a los hallazgos de Macie.

  4. Cuando termine de agregar condiciones de filtrado a la regla, seleccione Suprimir resultados.

  5. En Regla de supresión, introduzca un nombre y, opcionalmente, una descripción de la regla.

  6. Seleccione Guardar.

API

Para crear una regla de supresión mediante programación, utilice la CreateFindingsFilteroperación Amazon API Macie y especifique los valores adecuados para los parámetros requeridos:

  • Para el parámetro action, especifique el ARCHIVE para asegurarse de que Macie suprima los resultados que coincidan con los criterios de la regla.

  • Para el parámetro criterion, especifique un mapa de condiciones que defina los criterios de filtrado de la regla.

    En el mapa, cada condición debe especificar un campo, un operador y uno o varios valores para el campo. El tipo y el número de valores dependen del campo y el operador que elija. Para obtener información sobre los campos, los operadores y los tipos de valores que puede usar en una condición, consulte Campos para filtrar los hallazgos de Macie, Uso de operadores en condiciones y Especificar valores para los campos.

Para crear una regla de supresión mediante el AWS CLI, ejecute el create-findings-filtercomando y especifique los valores adecuados para los parámetros necesarios. En los ejemplos siguientes se crea una regla de supresión que devuelve todos los datos confidenciales que se encuentran en la versión actual Región de AWS e informa de las apariciones de direcciones postales (y no de otros tipos de datos confidenciales) en los objetos de S3.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

Donde:

  • my_suppression_rule es el nombre personalizado de la regla.

  • criterion es un mapa de las condiciones de filtro de la regla:

    • classificationDetails.result.sensitiveData.detections.type es el JSON nombre del campo del tipo de detección de datos confidenciales.

    • eqExactMatch especifica el operador de coincidencia exacta igual a igual.

    • ADDRESS es un valor enumerado para el campo de tipo de detección de datos confidenciales.

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la regla de supresión que se creó y id es el identificador único de la regla.

Para ver ejemplos adicionales de criterios de filtrado, consulte Filtrar los hallazgos mediante programación con Amazon Macie API.

Revisión de resultados suprimidos

De forma predeterminada, Amazon Macie no muestra los hallazgos suprimidos en la consola. Sin embargo, puede revisar estos resultados en la consola cambiando la configuración del filtro.

Para revisar los resultados suprimidos en la consola

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Findings (Resultados). La página de hallazgos muestra los hallazgos que Macie creó o actualizó para su cuenta en la actualidad Región de AWS durante los últimos 90 días. De forma predeterminada, esto no incluye los resultados que se suprimieron mediante una regla de supresión.

  3. Para el Estado del resultado, realice una de las siguientes acciones:

    • Para mostrar solo los resultados suprimidos, seleccione Archivado.

    • Para mostrar los resultados suprimidos y no suprimidos, seleccione Todos.

    • Para volver a ocultar los resultados suprimidos, seleccione Actual.

También puedes acceder a los hallazgos suprimidos mediante Amazon MacieAPI. Para recuperar una lista de los hallazgos suprimidos, utilice la ListFindingsoperación e incluya una condición de filtro que especifique true el archived campo. Para ver un ejemplo de cómo hacerlo utilizando el AWS CLI, consulteFiltrar los resultados mediante programación. A continuación, para recuperar los detalles de uno o más hallazgos suprimidos, utilice la GetFindingsoperación y especifique el identificador único de cada hallazgo que desee recuperar.

Modificación de reglas de supresión

Puede cambiar la configuración de una regla de supresión en cualquier momento mediante la consola Amazon Macie o Amazon Macie. API También puede asignar y administrar etiquetas para la regla.

Una etiqueta es una etiqueta que usted define y asigna a ciertos tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte Etiquetado de los recursos de Macie.

Console

Para cambiar la configuración de una regla de supresión existente con la consola de Amazon Macie siga estos pasos.

Para crear una regla de supresión

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Findings (resultados).

  3. En la lista de Reglas guardadas, seleccione el icono de edición ( The edit icon, which is a box that has a pencil in it. ) situado junto a la regla de supresión que desee cambiar.

  4. Realice uno de los siguientes procedimientos:

    • Para cambiar los criterios de la regla, utilice el cuadro Criterios de filtrado para introducir condiciones que especifiquen los atributos de los resultados que desea que la regla suprima. Para saber cómo hacerlo, consulte Creación y aplicación de filtros a los hallazgos de Macie.

    • Para cambiar el nombre de la regla, introduzca un nombre nuevo en el cuadro Nombre bajo Regla de supresión.

    • Para cambiar la descripción de la regla, introduzca una nueva descripción en el cuadro Descripción bajo Regla de supresión.

    • Para asignar, revisar o editar las etiquetas de la regla, seleccione Administrar etiquetas bajo Regla de supresión. A continuación, revise y cambie las etiquetas según sea necesario. Una regla puede tener hasta 50 etiquetas.

  5. Cuando termine de realizar los cambios, seleccione Save (Guardar).

API

Para cambiar una regla de supresión mediante programación, utilice la UpdateFindingsFilteroperación de Amazon Macie. API Cuando envíe su solicitud, utilice los parámetros admitidos con el fin de especificar un nuevo valor para cada configuración que desee cambiar.

Para el parámetro id, especifique el identificador único de la regla que desee cambiar. Puede obtener este identificador mediante la ListFindingsFilteroperación para recuperar una lista de las reglas de supresión y filtrado de su cuenta. Si utilizas el AWS CLI, ejecuta el list-findings-filterscomando para recuperar esta lista.

Para cambiar una regla de supresión mediante el AWS CLI, ejecute el update-findings-filtercomando y utilice los parámetros compatibles para especificar un nuevo valor para cada configuración que desee cambiar. Por ejemplo, el comando siguiente cambia el nombre de una regla de supresión existente.

C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only

Donde:

  • 8a3c5608-aa2f-4940-b347-d1451example es el identificador único de la regla.

  • mailing_addresses_only es el nuevo nombre de la regla.

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la regla que se ha modificado y id es el identificador único de la regla.

Del mismo modo, en el siguiente ejemplo una regla de filtrado se convierte en una regla de supresión cambiando el valor del parámetro action de NOOP aARCHIVE.

C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE

Donde:

  • 8a1c3508-aa2f-4940-b347-d1451example es el identificador único de la regla.

  • ARCHIVE es la nueva acción que Macie debe realizar cuando los hallazgos coincidan con los criterios de la regla: suprimirlos.

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
    "id": "8a1c3508-aa2f-4940-b347-d1451example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la regla que se ha modificado y id es el identificador único de la regla.

Eliminación de reglas de supresión

Puede eliminar una regla de supresión en cualquier momento mediante la consola Amazon Macie o Amazon Macie. API Si elimina una regla de supresión, Macie dejará de suprimir los casos nuevos y posteriores de resultados que coincidan con los criterios de la regla y no supriman otras reglas. Sin embargo, tenga en cuenta que Macie podría seguir suprimiendo los resultados que esté procesando actualmente y que coincidan con los criterios de la regla.

Tras eliminar una regla de supresión, los casos nuevos y posteriores de resultados que coincidan con los criterios de la regla pasarán a tener el estado actual (no archivado). Esto significa que aparecerán de forma predeterminada en la consola de Amazon Macie. Además, Macie publica estos hallazgos en Amazon EventBridge como eventos. Según la configuración de publicación de su cuenta, Macie también publica los resultados en AWS Security Hub.

Console

Siga estos pasos para eliminar una regla de supresión mediante la consola de Amazon Macie.

Para eliminar una regla de supresión

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Findings (resultados).

  3. En la lista Reglas guardadas, seleccione el icono de edición ( The edit icon, which is a box that has a pencil in it. ) situado junto a la regla de supresión que desee eliminar.

  4. Bajo Regla de supresión, seleccione Eliminar.

API

Para eliminar una regla de supresión mediante programación, utilice la DeleteFindingsFilteroperación de Amazon Macie. API Para el parámetro id, especifique el identificador único de la regla de supresión que desee eliminar. Puede obtener este identificador mediante la ListFindingsFilteroperación para recuperar una lista de las reglas de supresión y filtrado de su cuenta. Si utilizas el AWS CLI, ejecuta el list-findings-filterscomando para recuperar esta lista.

Para eliminar una regla de supresión mediante el AWS CLI, ejecute el delete-findings-filtercomando. Por ejemplo:

C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example

Donde 8a3c5608-aa2f-4940-b347-d1451example es el identificador único de la regla de supresión que se va a eliminar.

Si el comando se ejecuta correctamente, Macie devuelve una respuesta HTTP 200 vacía. De lo contrario, Macie devuelve una respuesta de HTTP 4 xx ó 500 que indica el motivo del error de la operación.