Creazione di una regola di soppressione per i risultati di Macie - Amazon Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una regola di soppressione per i risultati di Macie

Una regola di soppressione è un insieme di criteri di filtro basati sugli attributi che definisce i casi in cui si desidera che Amazon Macie archivi automaticamente i risultati. Le regole di soppressione sono utili in situazioni in cui hai esaminato una classe di risultati e non desideri riceverne nuovamente una notifica. Quando create una regola di soppressione, specificate i criteri di filtro, un nome e, facoltativamente, una descrizione della regola. Macie utilizza quindi i criteri della regola per determinare quali risultati archiviare automaticamente. Utilizzando le regole di soppressione, è possibile semplificare l'analisi dei risultati.

Se sopprimi i risultati con una regola di soppressione, Macie continua a generare risultati per le successive occorrenze di dati sensibili e per le potenziali violazioni delle politiche che soddisfano i criteri della regola. Tuttavia, Macie modifica automaticamente lo stato dei risultati in Archiviato. Ciò significa che i risultati non vengono visualizzati per impostazione predefinita sulla console Amazon Macie, ma persistono in Macie fino alla scadenza. (Macie archivia i risultati per 90 giorni.) Ciò significa anche che Macie non pubblica i risultati su Amazon EventBridge come eventi o come tali. AWS Security Hub

Tieni presente che le regole di soppressione potrebbero funzionare in modo diverso per il tuo account, se il tuo account fa parte di un'organizzazione che gestisce centralmente più account Macie. Dipende dalla categoria di risultati che vuoi eliminare e dal fatto che tu abbia un account amministratore o membro di Macie:

  • Risultati delle policy: solo un amministratore Macie può sopprimere i risultati delle policy per gli account dell'organizzazione.

    Se disponi di un account amministratore Macie e crei una regola di soppressione, Macie applica la regola ai risultati delle politiche per tutti gli account dell'organizzazione, a meno che non configuri la regola per escludere account specifici. Se disponi di un account membro e desideri eliminare i risultati delle policy relativi al tuo account, collabora con l'amministratore di Macie per eliminarli.

  • Rilevamenti relativi a dati sensibili: un amministratore di Macie e i singoli membri possono eliminare i risultati di dati sensibili prodotti dai loro lavori di rilevamento di dati sensibili. Un amministratore Macie può anche eliminare i risultati generati da Macie durante l'individuazione automatica di dati sensibili per l'organizzazione.

    Solo l'account che crea un processo di rilevamento di dati sensibili può sopprimere o accedere in altro modo ai risultati di dati sensibili prodotti dal lavoro. Solo l'account amministratore Macie di un'organizzazione può sopprimere o accedere in altro modo ai risultati prodotti dall'individuazione automatica di dati sensibili per gli account dell'organizzazione.

Per ulteriori informazioni sulle attività che gli amministratori e i membri possono eseguire, consulta. Relazioni tra amministratore e account membro di Macie

Si noti inoltre che le regole di soppressione sono diverse dalle regole di filtro. Una regola di filtro è un insieme di criteri di filtro che crei e salvi per riutilizzarli quando esamini i risultati sulla console Amazon Macie. Sebbene entrambi i tipi di regole memorizzino e applichino criteri di filtro, una regola di filtro non esegue alcuna azione sui risultati che corrispondono ai criteri della regola. Invece, una regola di filtro determina solo quali risultati vengono visualizzati sulla console dopo l'applicazione della regola. Per ulteriori informazioni, consulta Definizione delle regole di filtro. A seconda degli obiettivi di analisi, potresti decidere che sia meglio creare una regola di filtro anziché una regola di soppressione.

Per creare una regola di soppressione per i risultati

Puoi creare una regola di soppressione utilizzando la console Amazon Macie o l'API Amazon Macie. Prima di creare una regola di soppressione, è importante notare che non è possibile ripristinare (annullare l'archiviazione) i risultati soppressi utilizzando una regola di soppressione. Tuttavia, puoi esaminare i risultati soppressi utilizzando Macie.

Console

Segui questi passaggi per creare una regola di soppressione utilizzando la console Amazon Macie.

Come creare una regola di eliminazione

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Nel riquadro di navigazione, seleziona Esiti.

    Suggerimento

    Per utilizzare una regola di soppressione o filtro esistente come punto di partenza, scegli la regola dall'elenco Regole salvate.

    È inoltre possibile semplificare la creazione di una regola eseguendo innanzitutto il pivot e analizzando i risultati in base a un gruppo logico predefinito. In questo caso, Macie crea e applica automaticamente le condizioni di filtro appropriate, che possono essere un utile punto di partenza per creare una regola. Per fare ciò, scegli Per bucket, Per tipo o Per lavoro nel riquadro di navigazione (sotto Risultati). Quindi scegli un elemento nella tabella. Nel pannello dei dettagli, scegli il link relativo al campo su cui eseguire il pivot.

  3. Nella casella Criteri di filtro, aggiungi le condizioni di filtro che specificano gli attributi dei risultati che desideri eliminare dalla regola.

    La casella Filtra criteri nella pagina Risultati.

    Per informazioni su come aggiungere condizioni di filtro, consultaCreazione e applicazione di filtri ai risultati di Macie.

  4. Quando hai finito di aggiungere le condizioni di filtro per la regola, scegli Sopprimi risultati.

  5. In Regola di soppressione, inserisci un nome e, facoltativamente, una descrizione della regola.

  6. Seleziona Salva.

API

Per creare una regola di soppressione a livello di codice, utilizza il CreateFindingsFilterfunzionamento dell'API Amazon Macie e specifica i valori appropriati per i parametri richiesti:

  • Per il action parametro, specifica ARCHIVE per assicurarti che Macie sopprima i risultati che corrispondono ai criteri della regola.

  • Per il criterion parametro, specifica una mappa di condizioni che definiscono i criteri di filtro per la regola.

    Nella mappa, ogni condizione deve specificare un campo, un operatore e uno o più valori per il campo. Il tipo e il numero di valori dipendono dal campo e dall'operatore scelti. Per informazioni sui campi, gli operatori e i tipi di valori che è possibile utilizzare in una condizione, vedere: Campi per filtrare i risultati di MacieUtilizzo degli operatori in condizioni, eSpecificare i valori per i campi.

Per creare una regola di soppressione utilizzando il comando AWS Command Line Interface (AWS CLI), esegui il create-findings-filtercomando e specifica i valori appropriati per i parametri richiesti. Gli esempi seguenti creano una regola di soppressione che restituisce tutti i dati sensibili rilevati negli attuali dati Regione AWS e riporta le occorrenze degli indirizzi postali (e nessun altro tipo di dati sensibili) negli oggetti S3.

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

Questo esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

Dove:

  • my_suppression_ruleè il nome personalizzato per la regola.

  • criterionè una mappa delle condizioni di filtro per la regola:

    • classificationDetails.result.sensitiveData.detections.typeè il nome JSON del campo Tipo di rilevamento dei dati sensibili.

    • eqExactMatchspecifica l'operatore equals exact match.

    • ADDRESSè un valore enumerato per il campo Tipo di rilevamento dei dati sensibili.

Se eseguirai il comando correttamente, riceverai un output simile al seguente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

arnDov'è l'Amazon Resource Name (ARN) della regola di soppressione che è stata creata e id l'identificatore univoco della regola.

Per ulteriori esempi di criteri di filtro, consulta. Filtraggio dei risultati in modo programmatico con l'API Amazon Macie