Création d'une règle de suppression pour les résultats de Macie - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une règle de suppression pour les résultats de Macie

Une règle de suppression est un ensemble de critères de filtrage basés sur des attributs qui définissent les cas dans lesquels vous souhaitez qu'Amazon Macie archive automatiquement les résultats. Les règles de suppression sont utiles lorsque vous avez examiné une catégorie de résultats et que vous ne souhaitez pas en être informé à nouveau. Lorsque vous créez une règle de suppression, vous spécifiez des critères de filtre, un nom et, éventuellement, une description de la règle. Macie utilise ensuite les critères de la règle pour déterminer les résultats à archiver automatiquement. En utilisant des règles de suppression, vous pouvez rationaliser votre analyse des résultats.

Si vous supprimez les résultats à l'aide d'une règle de suppression, Macie continue de générer des résultats pour les occurrences ultérieures de données sensibles et les violations potentielles des politiques qui répondent aux critères de la règle. Cependant, Macie change automatiquement le statut des résultats en « archivé ». Cela signifie que les résultats n'apparaissent pas par défaut sur la console Amazon Macie, mais qu'ils sont conservés dans Macie jusqu'à leur expiration. (Macie conserve les résultats pendant 90 jours.) Cela signifie également que Macie ne publie pas les résultats sur Amazon EventBridge sous forme d'événements ou pour AWS Security Hub.

Notez que les règles de suppression peuvent fonctionner différemment pour votre compte, si celui-ci fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie. Cela dépend de la catégorie de résultats que vous souhaitez supprimer et du fait que vous possédez un compte administrateur ou membre Macie :

  • Conclusions relatives aux politiques — Seul un administrateur Macie peut supprimer les conclusions relatives aux politiques relatives aux comptes de l'organisation.

    Si vous avez un compte administrateur Macie et que vous créez une règle de suppression, Macie applique la règle aux conclusions des politiques relatives à tous les comptes de votre organisation, sauf si vous configurez la règle pour exclure des comptes spécifiques. Si vous avez un compte membre et que vous souhaitez supprimer les conclusions des politiques relatives à votre compte, contactez votre administrateur Macie pour supprimer les conclusions.

  • Découverte de données sensibles : un administrateur Macie et des membres individuels peuvent supprimer les découvertes de données sensibles produites par leurs tâches de découverte de données sensibles. Un administrateur Macie peut également supprimer les résultats générés par Macie lors de la découverte automatique de données sensibles pour l'organisation.

    Seul le compte qui crée une tâche de découverte de données sensibles peut supprimer ou accéder aux découvertes de données sensibles produites par la tâche. Seul le compte administrateur Macie d'une organisation peut supprimer ou accéder aux résultats produits par la découverte automatique de données sensibles pour les comptes de l'organisation.

Pour plus d'informations sur les tâches que les administrateurs et les membres peuvent effectuer, consultezRelations entre l'administrateur Macie et le compte membre.

Notez également que les règles de suppression sont différentes des règles de filtrage. Une règle de filtrage est un ensemble de critères de filtre que vous créez et enregistrez pour réutiliser lorsque vous consultez les résultats sur la console Amazon Macie. Bien que les deux types de règles stockent et appliquent des critères de filtre, une règle de filtre n'effectue aucune action sur les résultats correspondant aux critères de la règle. Au lieu de cela, une règle de filtrage détermine uniquement les résultats qui apparaissent sur la console une fois que vous l'avez appliquée. Pour de plus amples informations, veuillez consulter Définition des règles de filtrage. En fonction de vos objectifs d'analyse, vous pouvez déterminer qu'il est préférable de créer une règle de filtrage plutôt qu'une règle de suppression.

Pour créer une règle de suppression pour les résultats

Vous pouvez créer une règle de suppression à l'aide de la console Amazon Macie ou Amazon Macie. API Avant de créer une règle de suppression, il est important de noter que vous ne pouvez pas restaurer (désarchiver) les résultats que vous avez supprimés à l'aide d'une règle de suppression. Vous pouvez toutefois consulter les résultats supprimés à l'aide de Macie.

Console

Suivez ces étapes pour créer une règle de suppression à l'aide de la console Amazon Macie.

Pour créer une règle de suppression
  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. Dans le volet de navigation, choisissez Conclusions.

    Astuce

    Pour utiliser une règle de suppression ou de filtrage existante comme point de départ, choisissez-la dans la liste Règles enregistrées.

    Vous pouvez également rationaliser la création d'une règle en faisant d'abord pivoter et en analysant les résultats par un groupe logique prédéfini. Dans ce cas, Macie crée et applique automatiquement les conditions de filtre appropriées, ce qui peut constituer un point de départ utile pour créer une règle. Pour ce faire, choisissez Par compartiment, Par type ou Par tâche dans le volet de navigation (sous Résultats). Choisissez ensuite un élément dans le tableau. Dans le panneau de détails, choisissez le lien vers lequel le champ doit être pivoté.

  3. Dans la zone Critères de filtre, ajoutez des conditions de filtre qui spécifient les attributs des résultats que vous souhaitez que la règle supprime.

    La zone Critères de filtrage sur la page Résultats.

    Pour savoir comment ajouter des conditions de filtre, voirCréation et application de filtres aux résultats de Macie.

  4. Lorsque vous avez fini d'ajouter des conditions de filtre pour la règle, choisissez Supprimer les résultats.

  5. Sous Règle de suppression, entrez un nom et, éventuellement, une description de la règle.

  6. Choisissez Save (Enregistrer).

API

Pour créer une règle de suppression par programmation, utilisez le CreateFindingsFilterfonctionnement d'Amazon API Macie et spécifiez les valeurs appropriées pour les paramètres requis :

  • Pour le action paramètre, spécifiez ARCHIVE pour vous assurer que Macie supprime les résultats correspondant aux critères de la règle.

  • Pour le criterion paramètre, spécifiez une carte des conditions qui définissent les critères de filtre pour la règle.

    Dans la carte, chaque condition doit spécifier un champ, un opérateur et une ou plusieurs valeurs pour le champ. Le type et le nombre de valeurs dépendent du champ et de l'opérateur que vous choisissez. Pour plus d'informations sur les champs, les opérateurs et les types de valeurs que vous pouvez utiliser dans une condition, voir : Champs pour filtrer les résultats de MacieUtilisation d'opérateurs dans des conditions, etSpécification de valeurs pour les champs.

Pour créer une règle de suppression à l'aide de AWS Command Line Interface (AWS CLI), exécutez la create-findings-filtercommande et spécifiez les valeurs appropriées pour les paramètres requis. Les exemples suivants créent une règle de suppression qui renvoie toutes les données sensibles trouvées dans la version actuelle Région AWS et signalent les occurrences d'adresses postales (et aucun autre type de données sensibles) dans les objets S3.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws macie2 create-findings-filter \ --action ARCHIVE \ --name my_suppression_rule \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

C:\> aws macie2 create-findings-filter ^ --action ARCHIVE ^ --name my_suppression_rule ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

Où :

  • my_suppression_rule est le nom personnalisé de la règle.

  • criterionest une carte des conditions de filtrage pour la règle :

    • classificationDetails.result.sensitiveData.detections.type est le JSON nom du champ Type de détection de données sensibles.

    • eqExactMatch spécifie l'opérateur de correspondance exacte égal à égal.

    • ADDRESS est une valeur énumérée pour le champ Type de détection de données sensibles.

Si la commande s'exécute correctement, vous recevez une sortie similaire à ce qui suit.

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" }

Où se arn trouve le nom de ressource Amazon (ARN) de la règle de suppression créée et id l'identifiant unique de la règle.

Pour d'autres exemples de critères de filtre, voirFiltrer les résultats par programmation avec Amazon Macie API.