Nozioni di base sul filtraggio dei risultati di Macie - Amazon Macie
Utilizzo di più condizioni in un filtroSpecificare i valori per i campiSpecificare più valori per un campoUtilizzo degli operatori in determinate condizioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base sul filtraggio dei risultati di Macie

Quando filtri i risultati, tieni a mente le seguenti funzionalità e linee guida. Tieni inoltre presente che i risultati filtrati sono limitati ai 90 giorni precedenti e a quelli attuali. Regione AWS Amazon Macie archivia i risultati per soli 90 giorni ciascuno. Regione AWS

Utilizzo di più condizioni in un filtro

Un filtro può includere una o più condizioni. Ogni condizione, nota anche come criterio, è composta da tre parti:

  • Un campo basato su attributi, come Severity o Finding type. Per un elenco dei campi che è possibile utilizzare, vedere. Campi per filtrare i risultati di Macie

  • Un operatore, ad esempio uguale o non uguale. Per un elenco degli operatori che è possibile utilizzare, vedere. Utilizzo degli operatori in condizioni

  • Uno o più valori. Il tipo e il numero di valori dipendono dal campo e dall'operatore scelti.

Se un filtro contiene più condizioni, Amazon Macie utilizza la AND logica per unire le condizioni e valutare i criteri di filtro. Ciò significa che una ricerca soddisfa i criteri del filtro solo se corrisponde a tutte le condizioni del filtro.

Ad esempio, se aggiungi una condizione per includere solo i risultati con elevata gravità e aggiungi un'altra condizione per includere solo i risultati relativi ai dati sensibili, Macie restituisce tutti i risultati relativi ai dati sensibili ad alta gravità. In altre parole, Macie esclude tutti i risultati delle politiche e tutti i risultati relativi ai dati sensibili di media e bassa gravità.

È possibile utilizzare un campo solo una volta in un filtro. Tuttavia, è possibile specificare più valori per molti campi.

Ad esempio, se una condizione utilizza il campo Severità per includere solo risultati di gravità elevata, non è possibile utilizzare il campo Severità in un'altra condizione per includere risultati di gravità media o bassa. Specificate invece più valori per la condizione esistente o utilizzate un operatore diverso per la condizione esistente. Ad esempio, per includere tutti i risultati di gravità media e alta, aggiungi una condizione di gravità uguale a media, alta o aggiungi una condizione di gravità non uguale a bassa.

Specificare i valori per i campi

Quando si specifica un valore per un campo, il valore deve essere conforme al tipo di dati sottostante del campo. A seconda del campo, è possibile specificare uno dei seguenti tipi di valori.

Matrice di testo (stringhe)

Specifica un elenco di valori di testo (stringa) per un campo. Ogni stringa è correlata a un valore predefinito o esistente per un campo, ad esempio High per il campo Severity, S3Object/Financial per il campo Finding type o il nome di un bucket S3 SensitiveDataper il campo del nome del bucket S3.

Se usi un array, tieni presente quanto segue:

  • I valori distinguono tra maiuscole e minuscole

  • Non è possibile specificare valori parziali o utilizzare caratteri jolly nei valori. È necessario specificare un valore completo e valido per il campo.

Ad esempio, per filtrare i risultati per un bucket S3 denominato my-S3-bucket, immettilo my-S3-bucket come valore per il campo del nome del bucket S3. Se inserisci qualsiasi altro valore, ad esempio my-s3-bucket o, Macie non restituirà i risultati per il my-S3 bucket.

Per un elenco di valori validi per ogni campo, vedi. Campi per filtrare i risultati di Macie

È possibile specificare fino a 50 valori in una matrice. Il modo in cui si specificano i valori dipende dal fatto che si utilizzi la console Amazon Macie o Amazon API Macie, come descritto in. Specificare più valori per un campo

Booleano

Speciifica uno dei due valori che si escludono a vicenda per un campo.

Se utilizzi la console Amazon Macie per specificare questo tipo di valore, la console fornisce un elenco di valori tra cui scegliere. Se utilizzi Amazon MacieAPI, specifica true o false per il valore.

Data/ora (e intervalli di tempo)

Speciifica una data e un'ora assolute per un campo. Se si specifica questo tipo di valore, è necessario specificare sia una data che un'ora.

Sulla console Amazon Macie, i valori di data e ora si riferiscono al fuso orario locale e utilizzano la notazione a 24 ore. In tutti gli altri contesti, questi valori sono in formato Coordinated Universal Time (UTC) e ISO 8601 esteso, ad 2020-09-01T14:31:13Z esempio alle 14:31:13 del 1° settembre 2020. UTC

Se un campo memorizza un valore di data/ora, è possibile utilizzare il campo per definire un intervallo di tempo fisso o relativo. Ad esempio, è possibile includere solo i risultati creati tra due date e ore specifiche o solo i risultati creati prima o dopo una data e un'ora specifiche. Il modo in cui definisci un intervallo di tempo dipende dal fatto che utilizzi la console Amazon Macie o Amazon Macie: API

  • Sulla console, usa un selettore di date o inserisci il testo direttamente nelle caselle Da e To.

  • ConAPI, definisci un intervallo di tempo fisso aggiungendo una condizione che specifichi la prima data e ora dell'intervallo e aggiungi un'altra condizione che specifichi l'ultima data e ora dell'intervallo. Se lo fai, Macie usa la AND logica per unire le condizioni. Per definire un intervallo di tempo relativo, aggiungi una condizione che specifichi la prima o l'ultima data e ora dell'intervallo. Specificate i valori come timestamp Unix in millisecondi, ad esempio 22:49:32 del 5 novembre 2020. 1604616572653 UTC

Sulla console, gli intervalli di tempo sono inclusi. ConAPI, gli intervalli di tempo possono essere inclusivi o esclusivi, a seconda dell'operatore scelto.

Numero (e intervalli numerici)

Specifica un numero intero lungo per un campo.

Se un campo memorizza un valore numerico, è possibile utilizzare il campo per definire un intervallo numerico fisso o relativo. Ad esempio, puoi includere solo i risultati che riportano 50-90 occorrenze di dati sensibili in un oggetto S3. Il modo in cui definisci un intervallo numerico dipende dal fatto che utilizzi la console Amazon Macie o Amazon Macie: API

  • Sulla console, usa le caselle Da e A per inserire rispettivamente i numeri più bassi e più alti dell'intervallo.

  • ConAPI, definisci un intervallo numerico fisso aggiungendo una condizione che specifichi il numero più basso dell'intervallo e aggiungi un'altra condizione che specifichi il numero più alto dell'intervallo. Se lo fai, Macie usa la AND logica per unire le condizioni. Per definire un intervallo numerico relativo, aggiungi una condizione che specifichi il numero più basso o più alto dell'intervallo.

Sulla console, gli intervalli numerici sono inclusi. ConAPI, gli intervalli numerici possono essere inclusivi o esclusivi, a seconda dell'operatore scelto.

Testo (stringa)

Specificate un singolo valore di testo (stringa) per un campo. La stringa è correlata a un valore predefinito o esistente per un campo, ad esempio, High per il campo Severity, il nome di un bucket S3 per il campo S3 bucket name o l'identificatore univoco per un processo di rilevamento di dati sensibili per il campo Job ID.

Se specificate una singola stringa di testo, tenete presente quanto segue:

  • I valori distinguono tra maiuscole e minuscole

  • Non è possibile utilizzare valori parziali o caratteri jolly nei valori. È necessario specificare un valore completo e valido per il campo.

Ad esempio, per filtrare i risultati per un bucket S3 denominato my-S3-bucket, immettilo my-S3-bucket come valore per il campo del nome del bucket S3. Se inserisci qualsiasi altro valore, ad esempio my-s3-bucket o, Macie non restituirà i risultati per il my-S3 bucket.

Per un elenco di valori validi per ogni campo, vedi. Campi per filtrare i risultati di Macie

Specificare più valori per un campo

Con determinati campi e operatori, è possibile specificare più valori per un campo. In tal caso, Amazon Macie utilizza la logica OR per unire i valori e valutare i criteri di filtro. Ciò significa che una ricerca corrisponde ai criteri se contiene uno dei valori del campo.

Ad esempio, se aggiungi una condizione per includere risultati in cui il valore del campo Tipo di ricerca è uguale a: S3 SensitiveData, Object/Financial, SensitiveData:S3Object/Personal Macie restituisce risultati di dati sensibili per gli oggetti S3 che contengono solo informazioni finanziarie e gli oggetti S3 che contengono solo informazioni personali. In altre parole, Macie esclude tutti i risultati delle politiche. Macie esclude anche tutti i dati sensibili rilevati per oggetti che contengono altri tipi di dati sensibili o più tipi di dati sensibili.

L'eccezione è rappresentata dalle condizioni che utilizzano il eqExactMatchoperatore. Per questo operatore, Macie utilizza AND la logica per unire i valori e valutare i criteri di filtro. Ciò significa che una ricerca soddisfa i criteri solo se contiene tutti i valori del campo e solo i valori del campo. Per ulteriori informazioni su questo operatore, consultaUtilizzo degli operatori in condizioni.

Il modo in cui si specificano più valori per un campo dipende dal fatto che si utilizzi Amazon Macie API o la console Amazon Macie. ConAPI, si utilizza un array che elenca i valori.

Sulla console, in genere si scelgono i valori da un elenco. Tuttavia, per alcuni campi, è necessario aggiungere una condizione distinta per ogni valore. Ad esempio, per includere i risultati relativi ai dati rilevati da Macie utilizzando determinati identificatori di dati personalizzati, procedi come segue:

  1. Posiziona il cursore nella casella Criteri di filtro, quindi seleziona il campo Nome identificatore di dati personalizzato. Inserisci il nome di un identificatore di dati personalizzato, quindi scegli Applica.

  2. Ripeti il passaggio precedente per ogni identificatore di dati personalizzato aggiuntivo che desideri specificare per il filtro.

Per un elenco dei campi per i quali è necessario eseguire questa operazione, consulta. Campi per filtrare i risultati di Macie

Utilizzo degli operatori in condizioni

È possibile utilizzare i seguenti tipi di operatori in condizioni individuali.

Uguale a (eq)

Corrisponde a (=) qualsiasi valore specificato per il campo. È possibile utilizzare l'operatore equals con i seguenti tipi di valori: matrice di testo (stringhe), booleano, data/ora, numero e testo (stringa).

Per molti campi, è possibile utilizzare questo operatore e specificare fino a 50 valori per il campo. In tal caso, Amazon Macie utilizza la logica OR per unire i valori. Ciò significa che un risultato corrisponde ai criteri se presenta uno dei valori specificati per il campo.

Per esempio:

  • Per includere risultati che segnalano l'occorrenza di informazioni finanziarie, informazioni personali o informazioni sia finanziarie che personali, aggiungi una condizione che utilizzi il campo Categoria di dati sensibili e questo operatore e specifica Informazioni finanziarie e Informazioni personali come valori per il campo.

  • Per includere i risultati che riportano le occorrenze dei numeri di carta di credito, degli indirizzi postali o sia dei numeri di carta di credito che degli indirizzi postali, aggiungi una condizione per il campo Tipo di rilevamento dei dati sensibili, utilizza questo operatore e specifica CREDIT_CARD_NUMBER e ADDRESScome valori per il campo.

Se utilizzi Amazon Macie API per definire una condizione che utilizza questo operatore con un valore di data/ora, specifica il valore come timestamp Unix in millisecondi, ad esempio 22:49:32 del 5 novembre 2020. 1604616572653 UTC

È uguale alla corrispondenza esatta (eqExactMatch)

Corrisponde esclusivamente a tutti i valori specificati per il campo. È possibile utilizzare l'operatore equals exact match con un set selezionato di campi.

Se usi questo operatore e specifichi più valori per un campo, Macie usa la AND logica per unire i valori. Ciò significa che un risultato soddisfa i criteri solo se contiene tutti i valori specificati per il campo e solo quei valori per il campo. È possibile specificare fino a 50 valori per il campo.

Per esempio:

  • Per includere risultati che riportano le occorrenze dei numeri di carta di credito e nessun altro tipo di dati sensibili, aggiungi una condizione per il campo Tipo di rilevamento dei dati sensibili, utilizza questo operatore e specifica CREDIT_CARD_NUMBERcome unico valore per il campo.

  • Per includere risultati che riportino la presenza sia dei numeri di carta di credito che degli indirizzi postali (e nessun altro tipo di dati sensibili), aggiungi una condizione per il campo Tipo di rilevamento dei dati sensibili, utilizza questo operatore e specifica CREDIT_CARD_NUMBER e ADDRESScome valori per il campo.

Poiché Macie usa la AND logica per unire i valori di un campo, non puoi usare questo operatore in combinazione con altri operatori per lo stesso campo. In altre parole, se si utilizza l'operatore di corrispondenza esatta con un campo in una condizione, è necessario utilizzarlo in tutte le altre condizioni che utilizzano lo stesso campo.

Come altri operatori, è possibile utilizzare l'operatore di corrispondenza esatta in più di una condizione in un filtro. Se lo fai, Macie usa la AND logica per unire le condizioni e valutare il filtro. Ciò significa che un risultato corrisponde ai criteri del filtro solo se ha tutti i valori specificati da tutte le condizioni del filtro.

Ad esempio, per includere i risultati creati dopo un certo periodo di tempo, segnalare le occorrenze dei numeri di carta di credito e non segnalare nessun altro tipo di dati sensibili, procedi come segue:

  1. Aggiungi una condizione che utilizzi il campo Creato in, utilizzi l'operatore maggiore di e specifichi la data e l'ora di inizio del filtro.

  2. Aggiungi un'altra condizione che utilizza il campo Tipo di rilevamento dei dati sensibili, utilizza l'operatore equals exact match e specifica CREDIT_CARD_NUMBERcome unico valore per il campo.

È possibile utilizzare l'operatore equals exact match con i seguenti campi:

  • ID identificatore di dati personalizzato () customDataIdentifiers.detections.arn

  • Nome dell'identificatore di dati personalizzato () customDataIdentifiers.detections.name

  • Chiave bucket tag S3 () resourcesAffected.s3Bucket.tags.key

  • valore del tag bucket S3 () resourcesAffected.s3Bucket.tags.value

  • Chiave del tag dell'oggetto S3 () resourcesAffected.s3Object.tags.key

  • valore del tag dell'oggetto S3 () resourcesAffected.s3Object.tags.value

  • Tipo di rilevamento dei dati sensibili () sensitiveData.detections.type

  • Categoria di dati sensibili (sensitiveData.category)

Nell'elenco precedente, il nome tra parentesi utilizza la notazione a punti per indicare il nome del campo nelle JSON rappresentazioni dei risultati e di Amazon Macie. API

Maggiore di (gt)

È maggiore di (>) il valore specificato per il campo. È possibile utilizzare l'operatore maggiore di con valori numerici e di data/ora.

Ad esempio, per includere solo i risultati che riportano più di 90 occorrenze di dati sensibili in un oggetto S3, aggiungi una condizione che utilizzi il campo Conteggio totale dei dati sensibili e questo operatore e specifica 90 come valore per il campo. Per eseguire questa operazione sulla console Amazon Macie, inserisci 91 nella casella Da, non inserire un valore nella casella A, quindi scegli Applica. I confronti numerici e temporali sono inclusi nella console.

Se utilizzi Amazon Macie API per definire un intervallo di tempo che utilizza questo operatore, devi specificare i valori di data/ora come timestamp Unix in millisecondi, ad esempio per 22:49:32 del 5 novembre 2020. 1604616572653 UTC

Maggiore o uguale a (gte)

È maggiore o uguale a (> =) il valore specificato per il campo. È possibile utilizzare l'operatore maggiore o uguale a con valori numerici e di data/ora.

Ad esempio, per includere solo i risultati che segnalano 90 o più occorrenze di dati sensibili in un oggetto S3, aggiungi una condizione che utilizzi il campo Conteggio totale dei dati sensibili e questo operatore e specifica 90 come valore per il campo. Per eseguire questa operazione sulla console Amazon Macie, inserisci 90 nella casella Da, non inserire un valore nella casella A, quindi scegli Applica.

Se utilizzi Amazon Macie API per definire un intervallo di tempo che utilizza questo operatore, devi specificare i valori di data/ora come timestamp Unix in millisecondi, ad esempio per 22:49:32 del 5 novembre 2020. 1604616572653 UTC

Meno di (lt)

È inferiore a (<) il valore specificato per il campo. È possibile utilizzare l'operatore less than con valori numerici e di data/ora.

Ad esempio, per includere solo i risultati che riportano meno di 90 occorrenze di dati sensibili in un oggetto S3, aggiungi una condizione che utilizzi il campo Conteggio totale dei dati sensibili e questo operatore e specifica 90 come valore per il campo. Per eseguire questa operazione sulla console Amazon Macie, inserisci 89 nella casella A, non inserire un valore nella casella Da, quindi scegli Applica. I confronti numerici e temporali sono inclusi nella console.

Se utilizzi Amazon Macie API per definire un intervallo di tempo che utilizza questo operatore, devi specificare i valori di data/ora come timestamp Unix in millisecondi, ad esempio per 22:49:32 del 5 novembre 2020. 1604616572653 UTC

Minore o uguale a (lte)

È minore o uguale a (< =) il valore specificato per il campo. È possibile utilizzare l'operatore minore o uguale a con valori numerici e di data/ora.

Ad esempio, per includere solo i risultati che riportano 90 o meno occorrenze di dati sensibili in un oggetto S3, aggiungi una condizione che utilizzi il campo Conteggio totale dei dati sensibili e questo operatore e specifica 90 come valore per il campo. Per eseguire questa operazione sulla console Amazon Macie, inserisci 90 nella casella A, non inserire un valore nella casella Da, quindi scegli Applica.

Se utilizzi Amazon Macie API per definire un intervallo di tempo che utilizza questo operatore, devi specificare i valori di data/ora come timestamp Unix in millisecondi, ad esempio per 22:49:32 del 5 novembre 2020. 1604616572653 UTC

Non è uguale a (neq)

Non corrisponde (≤) a nessun valore specificato per il campo. È possibile utilizzare l'operatore not equals con i seguenti tipi di valori: array di testo (stringhe), booleano, data/ora, numero e testo (stringa).

Per molti campi, è possibile utilizzare questo operatore e specificare fino a 50 valori per il campo. Se lo fai, Macie usa la logica OR per unire i valori. Ciò significa che un risultato corrisponde ai criteri se non ha nessuno dei valori specificati per il campo.

Per esempio:

  • Per escludere i risultati che segnalano la presenza di informazioni finanziarie, informazioni personali o informazioni sia finanziarie che personali, aggiungi una condizione che utilizzi il campo Categoria di dati sensibili e questo operatore e specifica Informazioni finanziarie e Informazioni personali come valori per il campo.

  • Per escludere i risultati che riportano le occorrenze di numeri di carta di credito, aggiungi una condizione per il campo Tipo di rilevamento dei dati sensibili, utilizza questo operatore e specifica CREDIT_CARD_NUMBERcome valore per il campo.

  • Per escludere i risultati che segnalano la presenza di numeri di carta di credito, indirizzi postali o sia numeri di carta di credito che indirizzi postali, aggiungi una condizione per il campo Tipo di rilevamento dei dati sensibili, utilizza questo operatore e specifica CREDIT_CARD_NUMBER e ADDRESScome valori per il campo.

Se utilizzi Amazon Macie API per definire una condizione che utilizza questo operatore con un valore di data/ora, specifica il valore come timestamp Unix in millisecondi, ad esempio 22:49:32 del 5 novembre 2020. 1604616572653 UTC