Principes fondamentaux du filtrage des résultats de Macie - Amazon Macie
Utilisation de plusieurs conditions dans un filtreSpécification de valeurs pour les champsSpécification de plusieurs valeurs pour un champUtilisation d'opérateurs dans des conditions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principes fondamentaux du filtrage des résultats de Macie

Lorsque vous filtrez les résultats, tenez compte des fonctionnalités et directives suivantes. Notez également que les résultats filtrés sont limités aux 90 jours précédents et aux 90 jours actuels Région AWS. Amazon Macie ne conserve vos résultats que pendant 90 jours par recherche. Région AWS

Utilisation de plusieurs conditions dans un filtre

Un filtre peut inclure une ou plusieurs conditions. Chaque condition, également appelée critère, comprend trois parties :

  • Champ basé sur un attribut, tel que le niveau de gravité ou le type de recherche. Pour obtenir la liste des champs que vous pouvez utiliser, consultezChamps pour filtrer les résultats de Macie.

  • Un opérateur, tel que égal ou non égal. Pour obtenir la liste des opérateurs que vous pouvez utiliser, consultezUtilisation d'opérateurs dans des conditions.

  • Une ou plusieurs valeurs. Le type et le nombre de valeurs dépendent du champ et de l'opérateur que vous choisissez.

Si un filtre contient plusieurs conditions, Amazon Macie utilise la AND logique pour joindre les conditions et évaluer les critères du filtre. Cela signifie qu'un résultat correspond aux critères du filtre uniquement s'il répond à toutes les conditions du filtre.

Par exemple, si vous ajoutez une condition pour inclure uniquement les résultats de gravité élevée et une autre condition pour inclure uniquement les résultats de données sensibles, Macie renvoie tous les résultats de données sensibles de gravité élevée. En d'autres termes, Macie exclut tous les résultats relatifs aux politiques et tous les résultats de données sensibles de gravité moyenne ou faible.

Vous ne pouvez utiliser un champ qu'une seule fois dans un filtre. Vous pouvez toutefois spécifier plusieurs valeurs pour de nombreux champs.

Par exemple, si un état utilise le champ Sévérité pour inclure uniquement des résultats de gravité élevée, vous ne pouvez pas utiliser le champ Sévérité dans un autre état pour inclure des résultats de gravité moyenne ou faible. Spécifiez plutôt plusieurs valeurs pour la condition existante ou utilisez un opérateur différent pour la condition existante. Par exemple, pour inclure tous les résultats de gravité moyenne et élevée, ajoutez un état de gravité égal à moyen ou élevé ou ajoutez un état de gravité différent de faible.

Spécification de valeurs pour les champs

Lorsque vous spécifiez une valeur pour un champ, celle-ci doit être conforme au type de données sous-jacent du champ. En fonction du champ, vous pouvez spécifier l'un des types de valeurs suivants.

Tableau de texte (chaînes)

Spécifie une liste de valeurs de texte (chaîne) pour un champ. Chaque chaîne est corrélée à une valeur prédéfinie ou existante pour un champ, par exemple, High pour le champ Severity, :S3Object/Financial pour le champ de type Finding, ou le nom d'un compartiment S3 SensitiveDatapour le champ de nom du compartiment S3.

Si vous utilisez un tableau, notez ce qui suit :

  • Les valeurs distinguent les majuscules et minuscules.

  • Vous ne pouvez pas spécifier de valeurs partielles ni utiliser de caractères génériques dans les valeurs. Vous devez spécifier une valeur complète et valide pour le champ.

Par exemple, pour filtrer les résultats d'un compartiment S3 nommé My-S3-bucket, entrez my-S3-bucket la valeur du champ Nom du compartiment S3. Si vous entrez une autre valeur, telle que my-s3-bucket oumy-S3, Macie ne renverra pas les résultats pour le bucket.

Pour obtenir la liste des valeurs valides pour chaque champ, consultezChamps pour filtrer les résultats de Macie.

Vous pouvez spécifier jusqu'à 50 valeurs dans un tableau. La façon dont vous spécifiez les valeurs varie selon que vous utilisez la console Amazon Macie ou Amazon API Macie, comme indiqué dans. Spécification de plusieurs valeurs pour un champ

Booléen

Spécifie l'une des deux valeurs mutuellement exclusives pour un champ.

Si vous utilisez la console Amazon Macie pour spécifier ce type de valeur, la console fournit une liste de valeurs parmi lesquelles choisir. Si vous utilisez Amazon MacieAPI, spécifiez true ou false pour la valeur.

Date/heure (et plages horaires)

Spécifie une date et une heure absolues pour un champ. Si vous spécifiez ce type de valeur, vous devez spécifier à la fois une date et une heure.

Sur la console Amazon Macie, les valeurs de date et d'heure sont indiquées dans votre fuseau horaire local et utilisent une notation de 24 heures. Dans tous les autres contextes, ces valeurs sont au format Temps universel coordonné (UTC) et au format ISO 8601 étendu, par exemple 2020-09-01T14:31:13Z pour 14 h 31 min 13 s le 1er septembre 2020. UTC

Si un champ contient une valeur de date/heure, vous pouvez l'utiliser pour définir une plage de temps fixe ou relative. Par exemple, vous pouvez inclure uniquement les résultats créés entre deux dates et heures spécifiques, ou uniquement les résultats créés avant ou après une date et une heure spécifiques. La façon dont vous définissez une plage horaire varie selon que vous utilisez la console Amazon Macie ou Amazon Macie : API

  • Sur la console, utilisez un sélecteur de date ou saisissez du texte directement dans les champs From et To.

  • Avec leAPI, définissez une plage horaire fixe en ajoutant une condition qui spécifie la première date et l'heure de la plage, et ajoutez une autre condition qui spécifie la dernière date et heure de la plage. Si vous le faites, Macie utilise AND la logique pour joindre les conditions. Pour définir une plage de temps relative, ajoutez une condition qui spécifie la première ou la dernière date et heure de la plage. Spécifiez les valeurs sous forme d'horodatage Unix en millisecondes, par exemple, pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Sur la console, les plages horaires sont inclusives. Avec leAPI, les plages de temps peuvent être inclusives ou exclusives, selon l'opérateur que vous choisissez.

Nombre (et plages numériques)

Spécifie un entier long pour un champ.

Si un champ contient une valeur numérique, vous pouvez l'utiliser pour définir une plage numérique fixe ou relative. Par exemple, vous ne pouvez inclure que les résultats qui signalent 50 à 90 occurrences de données sensibles dans un objet S3. La façon dont vous définissez une plage numérique varie selon que vous utilisez la console Amazon Macie ou Amazon Macie : API

  • Sur la console, utilisez les champs From et To pour saisir les nombres les plus bas et les plus élevés de la plage, respectivement.

  • Avec leAPI, définissez une plage numérique fixe en ajoutant une condition spécifiant le nombre le plus bas de la plage et en ajoutant une autre condition spécifiant le nombre le plus élevé de la plage. Si vous le faites, Macie utilise AND la logique pour joindre les conditions. Pour définir une plage numérique relative, ajoutez une condition spécifiant le nombre le plus bas ou le plus élevé de la plage.

Sur la console, les plages numériques sont incluses. Avec leAPI, les plages numériques peuvent être inclusives ou exclusives, selon l'opérateur que vous choisissez.

Texte (chaîne)

Spécifie une valeur de texte (chaîne) unique pour un champ. La chaîne est en corrélation avec une valeur prédéfinie ou existante pour un champ, par exemple, High pour le champ Severity, le nom d'un compartiment S3 pour le champ du nom du compartiment S3 ou l'identifiant unique d'une tâche de découverte de données sensibles pour le champ Job ID.

Si vous spécifiez une seule chaîne de texte, notez ce qui suit :

  • Les valeurs distinguent les majuscules et minuscules.

  • Vous ne pouvez pas utiliser de valeurs partielles ou de caractères génériques dans les valeurs. Vous devez spécifier une valeur complète et valide pour le champ.

Par exemple, pour filtrer les résultats d'un compartiment S3 nommé My-S3-bucket, entrez my-S3-bucket la valeur du champ Nom du compartiment S3. Si vous entrez une autre valeur, telle que my-s3-bucket oumy-S3, Macie ne renverra pas les résultats pour le bucket.

Pour obtenir la liste des valeurs valides pour chaque champ, consultezChamps pour filtrer les résultats de Macie.

Spécification de plusieurs valeurs pour un champ

Avec certains champs et opérateurs, vous pouvez spécifier plusieurs valeurs pour un champ. Dans ce cas, Amazon Macie utilise la logique OR pour joindre les valeurs et évaluer les critères de filtrage. Cela signifie qu'une recherche correspond aux critères si elle contient l'une des valeurs du champ.

Par exemple, si vous ajoutez une condition pour inclure les résultats dont la valeur du champ Type de recherche est égale à : S3 SensitiveData, Object/Financial, SensitiveData:S3Object/Personal Macie renvoie des résultats de données sensibles pour les objets S3 contenant uniquement des informations financières et les objets S3 contenant uniquement des informations personnelles. En d'autres termes, Macie exclut toutes les conclusions des politiques. Macie exclut également toutes les découvertes de données sensibles pour les objets contenant d'autres types de données sensibles ou plusieurs types de données sensibles.

L'exception concerne les conditions qui utilisent le eqExactMatchopérateur. Pour cet opérateur, Macie utilise AND la logique pour joindre les valeurs et évaluer les critères de filtrage. Cela signifie qu'une recherche correspond aux critères uniquement si elle contient toutes les valeurs du champ et uniquement ces valeurs pour le champ. Pour en savoir plus sur cet opérateur, consultezUtilisation d'opérateurs dans des conditions.

La manière dont vous spécifiez plusieurs valeurs pour un champ dépend de votre utilisation de la console Amazon Macie API ou Amazon Macie. Avec leAPI, vous utilisez un tableau répertoriant les valeurs.

Sur la console, vous choisissez généralement les valeurs dans une liste. Toutefois, pour certains champs, vous devez ajouter une condition distincte pour chaque valeur. Par exemple, pour inclure les résultats relatifs aux données détectées par Macie à l'aide de certains identifiants de données personnalisés, procédez comme suit :

  1. Placez votre curseur dans la zone Critères de filtre, puis choisissez le champ Nom de l'identifiant de données personnalisé. Entrez le nom d'un identifiant de données personnalisé, puis choisissez Appliquer.

  2. Répétez l'étape précédente pour chaque identifiant de données personnalisé supplémentaire que vous souhaitez spécifier pour le filtre.

Pour obtenir la liste des champs pour lesquels vous devez effectuer cette opération, consultezChamps pour filtrer les résultats de Macie.

Utilisation d'opérateurs dans des conditions

Vous pouvez utiliser les types d'opérateurs suivants dans des conditions individuelles.

Est égal à (eq)

Correspond à (=) n'importe quelle valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur égal avec les types de valeurs suivants : tableau de texte (chaînes), booléen, date/heure, nombre et texte (chaîne).

Pour de nombreux champs, vous pouvez utiliser cet opérateur et spécifier jusqu'à 50 valeurs pour le champ. Dans ce cas, Amazon Macie utilise la logique OR pour joindre les valeurs. Cela signifie qu'une recherche correspond aux critères si elle contient l'une des valeurs spécifiées pour le champ.

Par exemple :

  • Pour inclure les résultats signalant la présence d'informations financières, d'informations personnelles ou à la fois d'informations financières et personnelles, ajoutez une condition utilisant le champ Catégorie de données sensibles et cet opérateur, et spécifiez Informations financières et Informations personnelles comme valeurs du champ.

  • Pour inclure les résultats signalant la présence de numéros de carte de crédit, d'adresses postales ou à la fois de numéros de carte de crédit et d'adresses postales, ajoutez une condition pour le champ Type de détection de données sensibles, utilisez cet opérateur et spécifiez CREDIT_CARD_NUMBER et ADDRESScomme valeurs pour le champ.

Si vous utilisez Amazon Macie API pour définir une condition qui utilise cet opérateur avec une valeur de date/heure, spécifiez la valeur sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Correspond exactement à la correspondance (eqExactMatch)

Correspond exclusivement à toutes les valeurs spécifiées pour le champ. Vous pouvez utiliser l'opérateur de correspondance exacte égale à un ensemble de champs sélectionnés.

Si vous utilisez cet opérateur et que vous spécifiez plusieurs valeurs pour un champ, Macie utilise la AND logique pour joindre les valeurs. Cela signifie qu'un résultat correspond aux critères uniquement s'il contient toutes les valeurs spécifiées pour le champ et uniquement ces valeurs pour le champ. Vous pouvez spécifier jusqu'à 50 valeurs pour le champ.

Par exemple :

  • Pour inclure les résultats signalant l'occurrence de numéros de carte de crédit et aucun autre type de données sensibles, ajoutez une condition pour le champ Type de détection de données sensibles, utilisez cet opérateur et spécifiez CREDIT_CARD_NUMBERcomme seule valeur pour le champ.

  • Pour inclure les résultats signalant l'occurrence de numéros de carte de crédit et d'adresses postales (et aucun autre type de données sensibles), ajoutez une condition pour le champ Type de détection de données sensibles, utilisez cet opérateur et spécifiez CREDIT_CARD_NUMBER et ADDRESScomme valeurs pour le champ.

Comme Macie utilise la AND logique pour joindre les valeurs d'un champ, vous ne pouvez pas utiliser cet opérateur en combinaison avec d'autres opérateurs pour le même champ. En d'autres termes, si vous utilisez l'opérateur de correspondance exacte égale avec un champ dans une condition, vous devez l'utiliser dans toutes les autres conditions qui utilisent le même champ.

Comme les autres opérateurs, vous pouvez utiliser l'opérateur de correspondance exacte égale dans plusieurs conditions d'un filtre. Dans ce cas, Macie utilise AND la logique pour joindre les conditions et évaluer le filtre. Cela signifie qu'un résultat correspond aux critères du filtre uniquement s'il possède toutes les valeurs spécifiées par toutes les conditions du filtre.

Par exemple, pour inclure les résultats créés après un certain temps, signaler les occurrences de numéros de carte de crédit et ne signaler aucun autre type de données sensibles, procédez comme suit :

  1. Ajoutez une condition qui utilise le champ Created at, utilise l'opérateur supérieur à et spécifie la date et l'heure de début du filtre.

  2. Ajoutez une autre condition qui utilise le champ Type de détection de données sensibles, utilise l'opérateur de correspondance exacte égale et spécifie CREDIT_CARD_NUMBERcomme seule valeur pour le champ.

Vous pouvez utiliser l'opérateur de correspondance exacte égale avec les champs suivants :

  • ID d'identifiant de données personnalisé (customDataIdentifiers.detections.arn)

  • Nom de l'identifiant de données personnalisé (customDataIdentifiers.detections.name)

  • clé d'identification du compartiment S3 (resourcesAffected.s3Bucket.tags.key)

  • Valeur de la balise du compartiment S3 (resourcesAffected.s3Bucket.tags.value)

  • clé de balise d'objet S3 (resourcesAffected.s3Object.tags.key)

  • Valeur de la balise d'objet S3 (resourcesAffected.s3Object.tags.value)

  • Type de détection de données sensibles (sensitiveData.detections.type)

  • Catégorie de données sensibles (sensitiveData.category)

Dans la liste précédente, le nom entre parenthèses utilise la notation par points pour indiquer le nom du champ dans les JSON représentations des résultats et de l'Amazon Macie. API

Supérieur à (gt)

Est supérieur à (>) la valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur supérieur à avec des valeurs numériques et date/heure.

Par exemple, pour inclure uniquement les résultats signalant plus de 90 occurrences de données sensibles dans un objet S3, ajoutez une condition qui utilise le champ Nombre total de données sensibles et cet opérateur, et spécifiez 90 comme valeur pour le champ. Pour ce faire, sur la console Amazon Macie, entrez 91 dans le champ De, ne saisissez aucune valeur dans le champ À, puis choisissez Appliquer. Les comparaisons numériques et temporelles sont incluses dans la console.

Si vous utilisez Amazon Macie API pour définir une plage horaire utilisant cet opérateur, vous devez spécifier les valeurs de date/heure sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Supérieur ou égal à (gte)

Est supérieur ou égal à (>=) la valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur supérieur ou égal à pour les valeurs numériques et de date/heure.

Par exemple, pour inclure uniquement les résultats signalant au moins 90 occurrences de données sensibles dans un objet S3, ajoutez une condition qui utilise le champ Nombre total de données sensibles et cet opérateur, et spécifiez 90 comme valeur pour le champ. Pour ce faire, sur la console Amazon Macie, entrez 90 dans le champ De, ne saisissez aucune valeur dans le champ À, puis choisissez Appliquer.

Si vous utilisez Amazon Macie API pour définir une plage horaire utilisant cet opérateur, vous devez spécifier les valeurs de date/heure sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Inférieur à (lt)

Est inférieur à (<) la valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur inférieur à avec des valeurs numériques et date/heure.

Par exemple, pour inclure uniquement les résultats signalant moins de 90 occurrences de données sensibles dans un objet S3, ajoutez une condition qui utilise le champ Nombre total de données sensibles et cet opérateur, et spécifiez 90 comme valeur pour le champ. Pour ce faire, sur la console Amazon Macie, entrez 89 dans le champ À, ne saisissez aucune valeur dans le champ De, puis choisissez Appliquer. Les comparaisons numériques et temporelles sont incluses dans la console.

Si vous utilisez Amazon Macie API pour définir une plage horaire utilisant cet opérateur, vous devez spécifier les valeurs de date/heure sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Inférieur ou égal à (lte)

Est inférieur ou égal à (<=) la valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur inférieur ou égal à pour les valeurs numériques et de date/heure.

Par exemple, pour inclure uniquement les résultats signalant 90 occurrences ou moins de données sensibles dans un objet S3, ajoutez une condition qui utilise le champ Nombre total de données sensibles et cet opérateur, et spécifiez 90 comme valeur pour le champ. Pour ce faire, sur la console Amazon Macie, entrez 90 dans le champ À, ne saisissez aucune valeur dans le champ De, puis choisissez Appliquer.

Si vous utilisez Amazon Macie API pour définir une plage horaire utilisant cet opérateur, vous devez spécifier les valeurs de date/heure sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC

Non égal à (neq)

Ne correspond à aucune valeur spécifiée pour le champ. Vous pouvez utiliser l'opérateur différent avec les types de valeurs suivants : tableau de texte (chaînes), booléen, date/heure, nombre et texte (chaîne).

Pour de nombreux champs, vous pouvez utiliser cet opérateur et spécifier jusqu'à 50 valeurs pour le champ. Dans ce cas, Macie utilise la logique OR pour joindre les valeurs. Cela signifie qu'un résultat correspond aux critères s'il ne contient aucune des valeurs spécifiées pour le champ.

Par exemple :

  • Pour exclure les résultats signalant la présence d'informations financières, d'informations personnelles ou à la fois d'informations financières et personnelles, ajoutez une condition utilisant le champ Catégorie de données sensibles et cet opérateur, et spécifiez Informations financières et Informations personnelles comme valeurs du champ.

  • Pour exclure les résultats signalant des occurrences de numéros de carte de crédit, ajoutez une condition pour le champ Type de détection de données sensibles, utilisez cet opérateur et spécifiez CREDIT_CARD_NUMBERcomme valeur du champ.

  • Pour exclure les résultats signalant la présence de numéros de carte de crédit, d'adresses postales ou à la fois de numéros de carte de crédit et d'adresses postales, ajoutez une condition pour le champ Type de détection de données sensibles, utilisez cet opérateur et spécifiez CREDIT_CARD_NUMBER et ADDRESScomme valeurs pour le champ.

Si vous utilisez Amazon Macie API pour définir une condition qui utilise cet opérateur avec une valeur de date/heure, spécifiez la valeur sous forme d'horodatage Unix en millisecondes, par exemple pour le 5 novembre 2020 à 22:49:32. 1604616572653 UTC