Macie 検出結果のフィルタリングの基礎 - Amazon Macie
フィルターで複数の条件を使用するフィールドの値を指定する1 つのフィールドに複数の値を指定する条件での演算子の使用

Macie 検出結果のフィルタリングの基礎

検出結果をフィルタリングする場合は、次の特徴とガイドラインに留意してください。また、フィルタリングされた結果は、過去 90 日間と現在の AWS リージョン に限定されることにも注意してください。Amazon Macie は、調査結果をそれぞれの AWS リージョン で90日間だけ保存します。

フィルターで複数の条件を使用する

フィルターには、1 つ以上の条件を含めることができます。各条件は、criterion (基準) とも呼ばれ、3 つの部分で設定されています。

  • 属性ベースのフィールド (Severity (重要度) や Finding type (調査結果タイプ) など)。使用できるフィールドのリストについては、Macie 検出結果をフィルタリングするためのフィールドを参照してください。

  • 演算子 (equalsnot equals など)。使用できる演算子のリストについては、条件での演算子の使用を参照してください。

  • 1 つまたは複数の値。値のタイプと数は、選択するフィールドと演算子によって異なります。

フィルターに複数の条件が含まれている場合、Amazon Macie は AND ロジックを使用して条件を結合し、フィルター基準を評価します。これは、調査結果は、すべて のフィルター内の条件に一致した場合にのみ、フィルター基準を満たすことを意味します。

例えば、重要度の高い調査結果のみを含めるように条件を追加し、機密データの調査結果のみを含めるように別の条件を追加した場合、Macie は高い重要度の機密データの調査結果をすべて返します。つまり、Macie は、すべてのポリシーの調査結果と、中程度の重要度および低い重要度の機密データの調査結果をすべて除外します。

フィルターでは、フィールドを 1 回だけ使用できます。ただし、多くのフィールドに複数の値を指定することができます。

例えば、高い重要度の調査結果のみを含めるように条件で Severity (重要度) フィールドを使用する場合は、中程度の重要度または低い重要度の調査結果を含めるように別の条件で Severity (重要度) フィールドを使用することはできません。代わりに、既存の条件に複数の値を指定するか、既存の条件に別の演算子を使用します。例えば、中程度の重要度と高い重要度の調査結果をすべて含めるには、Severity (重要度) equals Medium, High (中、高) 条件を追加するか、Severity (重要度) not equals Low (低) 条件を追加します。

フィールドの値を指定する

フィールドの値を指定する場合、値はフィールドの基盤となるデータタイプに準拠する必要があります。フィールドに応じて、次のいずれかのタイプの値を指定できます。

テキスト (文字列) の配列

フィールドのテキスト (文字列) 値のリストを指定します。各文字列は、フィールドの事前定義された値または既存の値と相関します。例えば、重要度フィールドでは 調査結果タイプ フィールドでは SensitiveData:S3Object/Financial、または S3 バケット名 フィールドでは S3 バケットの名前です。

配列を使用する場合は、次の点に注意してください。

  • 値は大文字と小文字が区別されます。

  • 部分的な値を指定したり、値にワイルドカード文字を使用したりすることはできません。フィールドに完全で有効な値を指定する必要があります。

例えば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名 フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

各フィールドの有効な値のリストについては、Macie 検出結果をフィルタリングするためのフィールドを参照してください。

配列には、最大 50 個までの値を指定できます。値の指定方法は、1 つのフィールドに複数の値を指定するで説明されているように、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

ブール値

フィールドの 2 つの相互に排他的な値のうちの 1 つを指定します。

Amazon Macie コンソールを使用してこのタイプの値を指定する場合、コンソールには選択可能な値のリストが表示されます。Amazon Macie API を使用する場合は、値で true または false を指定します。

日付/時刻 (および時間範囲)

フィールドで絶対的な日付と時刻を指定します。このタイプの値を指定する場合は、日付と時刻の両方を指定する必要があります。

Amazon Macie コンソールでは、日付と時刻の値はお客様のローカルタイムゾーンにあり、24 時間表記を使用します。その他のすべてのコンテキストでは、これらの値は協定世界時 (UTC) 形式および拡張 ISO 8601 形式になります。例えば、2:31:13 PM UTC September 1, 2020 では、2020-09-01T14:31:13Z

フィールドに日付/時刻値が保存されている場合、フィールドを使用して固定時間範囲または相対時間範囲を定義できます。例えば、2 つの特定の日時の間に作成された調査結果のみ、または特定の日時の前後に作成された調査結果のみを含めることができます。時間範囲の定義方法は、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

  • コンソールで、日付ピッカーを使用するか、テキストを From および To ボックスに直接入力します。

  • API を使用して、範囲内の最初の日付と時刻を指定する条件を追加して固定時間範囲を定義し、範囲内の最後の日付と時刻を指定する別の条件を追加します。これを行うと、Macie は AND ロジックを使用して条件を結合します。相対時間範囲を定義するには、範囲内の最初または最後の日付と時刻を指定する条件を 1 つ追加します。値を Unix のタイムスタンプとしてミリ秒単位で指定します。例えば、22:49:32 UTC November 5, 2020 では、1604616572653

コンソールでは、時間範囲は包括的です。API を使用すると、選択した演算子に応じて、時間範囲を包括的または排他的にすることができます。)

数値 (および数値範囲

フィールドで長い整数を指定します。

フィールドに数値が保存されている場合、フィールドを使用して固定または相対数値範囲を定義できます。例えば、S3 オブジェクトでは、50~90 回の機密データの出現をレポートする結果のみを含めることができます。数値範囲の定義方法は、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

  • コンソールで、From および To ボックスを使用して、範囲内の最小および最大の数値をそれぞれ入力します。

  • API を使用して、範囲内の最小の数値を指定する条件を追加して固定数値範囲を定義し、範囲内の最大の数値を指定する別の条件を追加します。これを行うと、Macie は AND ロジックを使用して条件を結合します。相対数値範囲を定義するには、範囲内の最小または最大の数値を指定する条件を 1 つ追加します。

コンソールでは、数値範囲は包括的です。API を使用すると、選択した演算子に応じて、数値範囲を包括的または排他的にすることができます。

テキスト (文字列)

フィールドの単一のテキスト (文字列) 値を指定します。各文字列は、フィールドの事前定義された値または既存の値と相関します。例えば、重要度フィールドでは S3 バケット名 フィールドでは S3 バケットの名前、または ジョブ ID フィールドでは機密データ検出ジョブの一意の識別子です。

単一のテキスト文字列を指定する場合は、次の点に注意してください。

  • 値は大文字と小文字が区別されます。

  • 部分的な値を使用したり、値にワイルドカード文字を使用したりすることはできません。フィールドに完全で有効な値を指定する必要があります。

例えば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名 フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

各フィールドの有効な値のリストについては、Macie 検出結果をフィルタリングするためのフィールドを参照してください。

1 つのフィールドに複数の値を指定する

特定のフィールドと演算子では、フィールドに複数の値を指定できます。これを行うと、Amazon Macie は OR ロジックを使用して値を結合し、フィルター基準条件を評価します。これは、調査結果は、フィールドの値の いずれか を持つ場合に、基準を満たすことを意味します。

例えば、調査結果タイプ の値がSensitiveData:S3Object/Financial, SensitiveData:S3Object/Personalと等しい調査結果を含めるように条件を追加した場合、Macie は財務データのみを含む S3 オブジェクトと、個人情報のみを含む S3 オブジェクトの機密データの調査結果を返します。つまり、Macie はすべてのポリシーの調査結果を除外します。Macie は、他のタイプの機密データまたは複数のタイプの機密データを含むオブジェクトに関するすべての機密データの調査結果を除外します。

例外は、eqExactMatch 演算子を使用する条件です。この演算子では、Macie は AND ロジックを使用して値を結合し、フィルター基準を評価します。これは、調査結果は、フィールドの値の すべて およびフィールドのそれらの値 のみ を持つ場合のみ、基準を満たすことを意味します。この演算子の詳細については、条件での演算子の使用を参照してください。

フィールドに複数の値を指定する方法は、Amazon Macie API と Amazon Macie コンソールのどちらを使用するかによって異なります。API では、値をリスト化する配列を使用します。

コンソールでは通常、リストから値を選択します。ただし、一部のフィールドでは、値ごとに異なる条件を追加する必要があります。例えば、Macie が特定のカスタムデータ識別子を使用して検出したデータの調査結果を含めるには、以下を行います。

  1. フィルター条件 ボックスにカーソルを置き、カスタムデータ識別子名 フィールドを選択します。カスタムデータ識別子の名前を入力し、適用 を選択します。

  2. フィルターで指定する追加のカスタムデータ ID ごとに、上記のステップを繰り返します。

これを行う必要があるフィールドのリストについては、Macie 検出結果をフィルタリングするためのフィールドを参照してください。

条件での演算子の使用

個別の条件で、次のタイプの演算子を使用できます。

等しいeq

フィールドで指定された値に一致します (=)。次のタイプの値を持つ equals 演算子を使用できます: テキスト (文字列) の配列、ブール値、日付/時刻、数値、テキスト (文字列)。

多くのフィールドでは、この演算子を使用して、フィールドの値を最大 50 個まで指定できます。これを行うと、Amazon Macie は OR ロジックを使用して値を結合します。これは、調査結果は、フィールドの指定された値のいずれかを持つ場合に、基準を満たすことを意味します。

例:

  • 財務情報、個人情報、または財務情報と個人情報両方の出現をレポートする調査結果を含めるには、機密データのカテゴリ フィールドとこの演算子を使用する条件を追加し、財務情報個人情報 をフィールドの値として指定します。

  • クレジットカード番号、郵送先住所、またはクレジットカード番号と郵送先住所の両方の出現を報告する調査結果を含めるには、機密データ検出タイプフィールドに条件を追加し、この演算子を使用し、フィールドの値として CREDIT_CARD_NUMBERとADDRESS を指定します。

Amazon Macie API を使用して日付/時刻値でこの演算子を使用する条件を定義する場合は、その値を Unix タイムスタンプとしてミリ秒単位で指定します。例えば、22:49:32 UTC November 5, 2020 では、1604616572653

完全一致eqExactMatch

フィールドに指定されたすべての値に排他的に一致します。フィールドの選択セットを持つ equals exact match (完全一致と等しい) 演算子を使用できます。

この演算子を使用してフィールドに複数の値を指定すると、Macie は AND ロジックを使用して値を結合します。これは、調査結果は、フィールドの指定された値の すべて およびフィールドのそれらの値 のみ を持つ場合のみ、基準を満たすことを意味します。フィールドには、最大 50 個までの値を指定できます。

例:

  • クレジットカード番号の発生を報告し、他のタイプの機密データを報告しない調査結果を含めるには、機密データ検出タイプフィールドに条件を追加し、この演算子を使用し、フィールドの唯一の値としてCREDIT_CARD_NUMBERを指定します。

  • クレジットカード番号と郵送先住所の両方の発生を報告する調査結果を含めるには(他のタイプの機密データは含まず)、機密データ検出タイプフィールドに条件を追加し、この演算子を使用し、フィールドの値として CREDIT_CARD_NUMBER とADDRESSを指定します。

Macie は AND ロジックを使用してフィールドの値を結合するため、同じフィールドの他の演算子と組み合わせてこの演算子を使用することはできません。つまり、1 つの条件でフィールドの 完全一致と等しい 演算子を使用する場合、同じフィールドを使用する他のすべての条件でそれを使用する必要があります。

他の演算子と同様に、フィルター内の複数の条件で 完全一致と等しい 演算子を使用できます。これを行うと、Macie は AND ロジックを使用して条件を結合し、フィルターを評価します。これは、調査結果は、フィルター内の すべて の条件によって指定された すべて の値を持つ場合のみ、フィルター基準を満たすことを意味します。

例えば、特定の時間後に作成された結果を含めるようにし、クレジットカード番号の出現をレポートし、他のタイプの機密データをレポートしない場合は、以下を行います。

  1. 作成日時 フィールドを使用し、以上演算子を使用し、フィルターの開始日時を指定する条件を追加します。

  2. 機密データ検出タイプフィールドを使用し、完全一致と等しい演算子を使用し、フィールドの唯一の値としてCREDIT_CARD_NUMBERを指定する別の条件を追加する。

次のフィールドを持つ 完全一致と等しい 演算子を使用できます。

  • カスタムデータ識別子customDataIdentifiers.detections.arn

  • カスタムデータ識別子customDataIdentifiers.detections.name

  • S3 バケットタグキーresourcesAffected.s3Bucket.tags.key

  • S3 バケットタグ値resourcesAffected.s3Bucket.tags.value

  • S3 オブジェクトタグキーresourcesAffected.s3Object.tags.key

  • S3 オブジェクトタグ値resourcesAffected.s3Object.tags.value

  • 機密データの検出タイプsensitiveData.detections.type

  • 機密データのカテゴリsensitiveData.category

前のリストでは、括弧内の名前は、調査結果と Amazon Macie API の JSON 表現内のフィールドの名前を示すために、ドット表記を使用しています。

gtより大きい

フィールドに指定された値より大きい (>)。数値と日付/時刻の値を持つ greater than (~より大きい) 演算子を使用できます。

例えば、S3 オブジェクトで 90 件を超える機密データの出現をレポートする調査結果のみを含めるには、Sensitive data total count (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、From ボックスに 91 と入力し、To ボックスには値を入力せず、次に Apply (適用) を選択します。コンソールでは、数値と時間ベースの比較は包括的です。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653

gteより大きいか等しい

この値は、フィールドで指定した値以上 (>=) にする必要があります。数値と日付/時刻の値を持つ greater than or equal to (~以上) 演算子を使用できます。

例えば、S3 オブジェクトで 90 件以上の機密データの出現をレポートする調査結果のみを含めるには、Sensitive data total count (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、From ボックスに 90 と入力し、To ボックスには値を入力せず、次に 適用 を選択します。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653

lt未満

フィールドに指定された値より小さい (<)。数値と日付/時刻の値を持つ Less than (lt) (~より小さい (lt)) 演算子を使用できます。

例えば、S3 オブジェクトで 90 件未満の機密データの出現をレポートする調査結果のみを含めるには、Sensitive data total count (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、To ボックスに 89 と入力し、From ボックスには値を入力せず、次に 適用 を選択します。コンソールでは、数値と時間ベースの比較は包括的です。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653

lte以下

この値は、フィールドで指定した値以下 (<=) にする必要があります。数値と日付/時刻の値を持つ ~以下 演算子を使用できます。

例えば、S3 オブジェクトで 90 件以下の機密データの出現をレポートする調査結果のみを含めるには、Sensitive data total count (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、To ボックスに 90 と入力し、From ボックスには値を入力せず、次に 適用 を選択します。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。例えば、22:49:32 UTC November 5, 2020では、1604616572653

neq等しくない

フィールドで指定された値に一致しません (≠)。次のタイプの値を持つ not equals 演算子を使用できます: テキスト (文字列) の配列、ブール値、日付/時刻、数値、テキスト (文字列)。

多くのフィールドでは、この演算子を使用して、フィールドの値を最大 50 個まで指定できます。これを行うと、Macie は OR ロジックを使用して値を結合します。これは、調査結果は、フィールドの指定された値の いずれか を持たない場合に、基準を満たすことを意味します。

例:

  • 財務情報、個人情報、または財務情報と個人情報両方の出現をレポートする調査結果を除外するには、機密データのカテゴリ フィールドとこの演算子を使用する条件を追加し、財務情報個人情報 をフィールドの値として指定します。

  • クレジットカード番号の出現を報告する調査結果を除外するには、機密データ検出タイプフィールドに条件を追加し、この演算子を使用し、フィールドの値として CREDIT_CARD_NUMBER を指定します。

  • クレジットカード番号、郵送先住所、またはクレジットカード番号と郵送先住所の両方の出現を報告する調査結果を除外するには、機密データ検出タイプフィールドに条件を追加し、この演算子を使用し、フィールドの値としてCREDIT_CARD_NUMBER とADDRESSを指定します。

Amazon Macie API を使用して日付/時刻値でこの演算子を使用する条件を定義する場合は、その値を Unix タイムスタンプとしてミリ秒単位で指定します。例えば、22:49:32 UTC November 5, 2020 では、1604616572653