Filtrare i risultati utilizzando la console Filtraggio dei risultati a livello di codice

Creazione e applicazione di filtri ai risultati di Macie

Per identificare e concentrarti sui risultati con caratteristiche specifiche, puoi filtrare i risultati sulla console Amazon Macie e nelle query inviate a livello di codice utilizzando Amazon Macie. API Quando crei un filtro, utilizzi attributi specifici dei risultati per definire criteri per includere o escludere i risultati da una vista o dai risultati delle query. Un attributo di ricerca è un campo che memorizza dati specifici per un risultato, come la gravità, il tipo o il nome della risorsa a cui si applica un risultato.

In Macie, un filtro è costituito da una o più condizioni. Ogni condizione, nota anche come criterio, è composta da tre parti:

Un campo basato su attributi, come Severity o Finding type.
Un operatore, ad esempio uguale o non uguale.
Uno o più valori. Il tipo e il numero di valori dipendono dal campo e dall'operatore scelti.

Il modo in cui definisci e applichi le condizioni di filtro dipende dal fatto che utilizzi la console Amazon Macie o Amazon Macie. API

Argomenti

Filtrare i risultati utilizzando la console
Filtraggio dei risultati a livello di codice

Filtrare i risultati utilizzando la console Amazon Macie

Se utilizzi la console Amazon Macie per filtrare i risultati, Macie offre opzioni per aiutarti a scegliere campi, operatori e valori per condizioni individuali. Puoi accedere a queste opzioni utilizzando le impostazioni dei filtri nelle pagine Findings, come mostrato nell'immagine seguente.

Utilizzando il menu Finding status, è possibile specificare se includere i risultati che sono stati soppressi (archiviati automaticamente) da una regola di soppressione. Utilizzando la casella Criteri di filtro, è possibile inserire le condizioni di filtro.

Quando posizionate il cursore nella casella Criteri di filtro, Macie visualizza un elenco di campi che è possibile utilizzare nelle condizioni di filtro. I campi sono organizzati per categorie logiche. Ad esempio, la categoria Campi comuni include campi che si applicano a qualsiasi tipo di ricerca e la categoria Campi di classificazione include campi che si applicano solo ai risultati di dati sensibili. I campi sono ordinati alfabeticamente all'interno di ogni categoria.

Per aggiungere una condizione, inizia scegliendo un campo dall'elenco. Per trovare un campo, sfoglia l'elenco completo o inserisci parte del nome del campo per restringere l'elenco dei campi.

A seconda del campo scelto, Macie mostra diverse opzioni. Le opzioni riflettono il tipo e la natura del campo scelto. Ad esempio, se scegli il campo Severità, Macie visualizza un elenco di valori tra cui scegliere: Basso, Medio e Alto. Se scegli il campo del nome del bucket S3, Macie visualizza una casella di testo in cui puoi inserire il nome del bucket. Qualunque campo tu scelga, Macie ti guida attraverso i passaggi per aggiungere una condizione che includa le impostazioni richieste per il campo.

Dopo aver aggiunto una condizione, Macie applica i criteri relativi alla condizione e aggiunge la condizione a un token di filtro nella casella Criteri del filtro, come mostrato nell'immagine seguente.

La casella dei criteri di filtro con un token per una condizione che specifica i valori per il campo Severità.

In questo esempio, la condizione è configurata per includere tutti i risultati di gravità media e alta e per escludere tutti i risultati di bassa gravità. Restituisce risultati in cui il valore del campo Severità è uguale a Medio o Alto.

Suggerimento

Per molti campi, è possibile modificare l'operatore di una condizione da uguale a non uguale scegliendo l'icona uguale ( ) nel token di filtro relativo alla condizione. Se lo fai, Macie cambia l'operatore in not equals e visualizza l'icona not equals () nel token. Per passare nuovamente all'operatore equals, scegli l'icona not equals.

Man mano che aggiungi altre condizioni, Macie applica i relativi criteri e li aggiunge ai token nella casella Filtra criteri. Puoi fare riferimento al riquadro in qualsiasi momento per determinare quali criteri hai applicato. Per rimuovere una condizione, scegli l'icona di rimozione della condizione ( ) nel token della condizione.

Per filtrare i risultati utilizzando la console

Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/
Nel riquadro di navigazione, seleziona Esiti.
(Facoltativo) Per analizzare prima i risultati in base a un gruppo logico predefinito, scegli Per bucket, Per tipo o Per processo nel pannello di navigazione (sotto Risultati). Quindi scegli un elemento nella tabella. Nel pannello dei dettagli, scegli il link relativo al campo su cui eseguire il pivot.
(Facoltativo) Per visualizzare i risultati che sono stati soppressi da una regola di soppressione, modifica l'impostazione dello stato del filtro. Scegliete Archiviato per visualizzare solo i risultati soppressi oppure scegliete Tutti per visualizzare sia i risultati soppressi che quelli non soppressi. Per nascondere i risultati soppressi, scegliete Corrente.
Per aggiungere una condizione di filtro:
1. Posiziona il cursore nella casella Criteri del filtro, quindi scegli il campo da utilizzare per la condizione. Per informazioni sui campi che puoi utilizzare, consultaCampi per filtrare i risultati di Macie.
2. Immettere il tipo di valore appropriato per il campo. Per informazioni dettagliate sui diversi tipi di valori, vedereSpecificare i valori per i campi.
  Matrice di testo (stringhe)
  
  Per questo tipo di valore, Macie fornisce spesso un elenco di valori tra cui scegliere. In tal caso, selezionate ogni valore che desiderate utilizzare nella condizione.
  
  Se Macie non fornisce un elenco di valori, inserisci un valore completo e valido per il campo. Per specificare valori aggiuntivi per il campo, scegli Applica, quindi aggiungi un'altra condizione per ogni valore aggiuntivo.
  
  Nota che i valori distinguono tra maiuscole e minuscole. Inoltre, non è possibile utilizzare valori parziali o caratteri jolly nei valori. Ad esempio, per filtrare i risultati per un bucket S3 denominato my-S3-bucket, immettilo my-S3-bucket come valore per il campo del nome del bucket S3. Se inserisci qualsiasi altro valore, ad esempio my-s3-bucket o, Macie non restituirà i risultati per il my-S3 bucket.
  
  Booleano
  
  Per questo tipo di valore, Macie fornisce un elenco di valori tra cui scegliere. Seleziona il valore che desideri utilizzare nella condizione.
  
  Data/ora (intervalli di tempo)
  Per questo tipo di valore, utilizzate le caselle Da e A per definire un intervallo di tempo inclusivo:
  
  Per definire un intervallo di tempo fisso, utilizzate le caselle Da e A per specificare rispettivamente la prima data e ora e l'ultima data e ora dell'intervallo.
  
  Per definire un intervallo di tempo relativo che inizi in una determinata data e ora e termini nell'ora corrente, immettete la data e l'ora di inizio nelle caselle Da ed eliminate il testo nelle caselle To.
  
  Per definire un intervallo di tempo relativo che termini con una determinata data e ora, inserite la data e l'ora di fine nelle caselle A ed eliminate il testo nelle caselle Da.
  
  Tieni presente che i valori temporali utilizzano la notazione a 24 ore. Se si utilizza il selettore di date per scegliere le date, è possibile rifinire i valori inserendo il testo direttamente nelle caselle Da e A.
  Numero (intervalli numerici)
  
  Per questo tipo di valore, utilizzate le caselle Da e A per inserire uno o più numeri interi che definiscono un intervallo numerico inclusivo, fisso o relativo.
  
  Valori di testo (stringa)
  
  Per questo tipo di valore, inserisci un valore completo e valido per il campo.
  
  Nota che i valori fanno distinzione tra maiuscole e minuscole Inoltre, non è possibile utilizzare valori parziali o caratteri jolly nei valori. Ad esempio, per filtrare i risultati per un bucket S3 denominato my-S3-bucket, immettilo my-S3-bucket come valore per il campo del nome del bucket S3. Se inserisci qualsiasi altro valore, ad esempio my-s3-bucket o, Macie non restituirà i risultati per il my-S3 bucket.
3. Quando hai finito di aggiungere i valori per il campo, scegli Applica. Macie applica i criteri di filtro e aggiunge la condizione a un token di filtro nella casella Criteri di filtro.
Ripeti il passaggio 5 per ogni condizione aggiuntiva che desideri aggiungere.
Per rimuovere una condizione, scegli l'icona di rimozione della condizione ( ) nel token del filtro relativo alla condizione.
Per modificare una condizione, rimuovi la condizione scegliendo l'icona di rimozione della condizione ( ) nel token del filtro relativo alla condizione. Quindi ripeti il passaggio 5 per aggiungere una condizione con le impostazioni corrette.

Suggerimento

Se desideri utilizzare nuovamente questo set di condizioni in un secondo momento, puoi salvarlo come regola di filtro. A tale scopo, scegli Salva regola nella casella Criteri di filtro. Quindi inserisci un nome e, facoltativamente, una descrizione per la regola. Al termine, scegli Salva.

Filtraggio dei risultati in modo programmatico con Amazon Macie API

Per filtrare i risultati in modo programmatico, specifica i criteri di filtro nelle query inviate utilizzando Amazon Macie ListFindingso il GetFindingStatisticsfunzionamento di Amazon Macie. API L'ListFindingsoperazione restituisce una serie di risultatiIDs, un ID per ogni risultato che corrisponde ai criteri di filtro. L'GetFindingStatisticsoperazione restituisce dati statistici aggregati su tutti i risultati che corrispondono ai criteri di filtro, raggruppati in base a un campo specificato nella richiesta.

Tieni presente che le GetFindingStatistics operazioni ListFindings and sono diverse dalle operazioni utilizzate per sopprimere i risultati. A differenza delle operazioni di soppressione, che specificano anche criteri di filtro, le GetFindingStatistics operazioni ListFindings and interrogano solo i dati dei risultati. Non eseguono alcuna azione sui risultati che soddisfano i criteri di filtro. Per eliminare i risultati, utilizza il CreateFindingsFilterfunzionamento di Amazon API Macie.

Per specificare i criteri di filtro in una query, includi una mappa delle condizioni di filtro nella richiesta. Per ogni condizione, specificate un campo, un operatore e uno o più valori per il campo. Il tipo e il numero di valori dipendono dal campo e dall'operatore scelti. Per informazioni sui campi, gli operatori e i tipi di valori che è possibile utilizzare in una condizione, vedere Campi per filtrare i risultati di Macie Utilizzo degli operatori in condizioni, eSpecificare i valori per i campi.

Gli esempi seguenti mostrano come specificare i criteri di filtro nelle query inviate utilizzando AWS Command Line Interface (AWS CLI). Puoi farlo anche utilizzando la versione corrente di un altro strumento a riga di AWS comando o un AWS SDK, oppure inviando HTTPS richieste direttamente a Macie. Per informazioni sugli AWS strumenti eSDKs, consulta Tools to Build on AWS.

Esempi

Filtra i risultati in base alla gravità
Filtra i risultati in base alla categoria di dati sensibili
Filtra i risultati in base a un intervallo di tempo fisso
Filtra i risultati in base allo stato di soppressione
Filtra i risultati in base a più campi e tipi di valori

Negli esempi viene utilizzato il comando list-finding. Se un esempio viene eseguito correttamente, Macie restituisce un array. findingIds L'array elenca l'identificatore univoco per ogni risultato che corrisponde ai criteri di filtro, come illustrato nell'esempio seguente.


{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

Se nessun risultato corrisponde ai criteri di filtro, Macie restituisce un array vuotofindingIds.


{
    "findingIds": []
}

Esempio 1: filtra i risultati in base alla gravità

In questo esempio viene utilizzato il comando list-findings per recuperare i risultati di tutti i risultati di gravità elevata e media presenti nella versione corrente. IDs Regione AWS

Per Linux, macOS o Unix:


$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Per Microsoft Windows:


C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

Dove:

severity.description specifica il JSON nome del campo Severità.
eq specifica l'operatore equals.
High e Medium sono una matrice di valori enumerati per il campo Severità.

Esempio 2: filtra i risultati in base alla categoria di dati sensibili

Questo esempio utilizza il comando list-finding IDs per recuperare i risultati di tutti i dati sensibili rilevati nella regione corrente e riportare le occorrenze di informazioni finanziarie (e nessun'altra categoria di dati sensibili) negli oggetti S3.

Per Linux, macOS o Unix, utilizzando il carattere di continuazione di riga con barra rovesciata (\) per migliorare la leggibilità:


$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Per Microsoft Windows, utilizzando il carattere di continuazione di riga con cursore (^) per migliorare la leggibilità:


C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

Dove:

classificationDetails.result.sensitiveData.category specifica il JSON nome del campo Categoria di dati sensibili.
eqExactMatch specifica l'operatore equals Exact Match.
FINANCIAL_INFORMATION è un valore enumerato per il campo Categoria di dati sensibili.

Esempio 3: filtra i risultati in base a un intervallo di tempo fisso

Questo esempio utilizza il comando list-findings IDs per recuperare i risultati di tutti i risultati che si trovano nella regione corrente e sono stati creati tra le 07:00 del 5 UTC ottobre 2020 e le 07:00 del 5 UTC novembre 2020 (inclusi).

Per Linux, macOS o Unix:


$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Per Microsoft Windows:


C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

Dove:

createdAt specifica il JSON nome del campo Created at.
gte specifica l'operatore maggiore o uguale a.
1601881200000 è la prima data e ora (come timestamp Unix in millisecondi) nell'intervallo di tempo.
lte specifica l'operatore minore o uguale a.
1604559600000 è l'ultima data e ora (come timestamp Unix in millisecondi) nell'intervallo di tempo.

Esempio 4: filtra i risultati in base allo stato di soppressione

Questo esempio utilizza il comando list-finding IDs per recuperare i risultati di tutti i risultati che si trovano nella regione corrente e che sono stati soppressi (archiviati automaticamente) da una regola di soppressione.

Per Linux, macOS o Unix:


$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Per Microsoft Windows:


C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

Dove:

archived specifica il JSON nome del campo Archiviato.
eq specifica l'operatore equals.
true è un valore booleano per il campo Archiviato.

Esempio 5: filtra i risultati in base a più campi e tipi di valori

Questo esempio utilizza il comando list-finding IDs per recuperare i risultati per tutti i risultati relativi ai dati sensibili che si trovano nella regione corrente e soddisfano i seguenti criteri: sono stati creati tra le 07:00 del 5 UTC ottobre 2020 e le 07:00 del 5 UTC novembre 2020 (esclusivamente); segnala le occorrenze di dati finanziari e nessun'altra categoria di dati sensibili negli oggetti S3; e non sono stati soppressi (archiviati automaticamente) da una regola di soppressione.

Per Linux, macOS o Unix, utilizzando il carattere di continuazione di riga con barra rovesciata (\) per migliorare la leggibilità:


$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Per Microsoft Windows, utilizzando il carattere di continuazione di riga con cursore (^) per migliorare la leggibilità:


C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

Dove:

createdAt specifica il JSON nome del campo Created at e:
- gt specifica l'operatore maggiore o uguale a.
- 1601881200000 è la prima data e ora (come timestamp Unix in millisecondi) nell'intervallo di tempo.
- lt specifica l'operatore minore o uguale a.
- 1604559600000 è l'ultima data e ora (come timestamp Unix in millisecondi) nell'intervallo di tempo.
classificationDetails.result.sensitiveData.category specifica il JSON nome del campo della categoria di dati sensibili e:
- eqExactMatch specifica l'operatore equals Exact Match.
- FINANCIAL_INFORMATION è un valore enumerato per il campo.
archived specifica il JSON nome del campo archiviato e:
- eq specifica l'operatore equals.
- false è un valore booleano per il campo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Campi per filtrare i risultati

Definizione delle regole di filtro