Macie 検出結果の抑制ルールを作成する - Amazon Macie

Macie 検出結果の抑制ルールを作成する

suppression rules (抑制ルール) は、Amazon Macie が調査結果を自動的にアーカイブするケースを定義する属性ベースのフィルター条件のセットです。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。抑制ルールを作成するときは、フィルター基準と名前、必要に応じてルールの詳細を指定します。次に、Macie はルールの基準を使用して、自動的にアーカイブする検出結果を特定します。抑制ルールを使用すると、検出結果の分析を合理化できます。

抑制ルールを使用して検出結果を抑制する場合、Macie は、ルールの基準を満たす機密データおよび潜在的なポリシー違反の今後の発生について検出結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に archived (アーカイブ済み) に変更します。これは、調査結果がデフォルトで Amazon Macie コンソールに表示されないけれども、有効期限が切れるまで Macie には保持されることを意味します。(Macie は 90 日間検出結果を保存します)。つまり、Macie は検出結果を Amazon EventBridge (イベントとして) または AWS Security Hub に発行しません。

アカウントが複数の Macie アカウントを一元的に管理する組織に含まれる場合、アカウントによって抑制ルールの動作が異なる場合があります。これは、制限したい結果のカテゴリと、Macie 管理者アカウントまたはメンバーアカウントのどちらを使用しているかによって異なります。

  • ポリシー検出結果 — 組織のアカウントに関するポリシー検出結果を制限できるのは Macie 管理者のみです。

    Macie 管理者アカウントを持ち、抑制ルールを作成する場合、特定のアカウントを除外するようにルールを設定しない限り、Macie は組織内のすべてのアカウントのポリシー検出結果にルールを適用します。お客様が Macie メンバーアカウントをお持ちで、そのアカウントのポリシー検出結果を抑制する場合は、Macie 管理者と協力して検出結果を抑制できます。

  • 機密データ検出結果 — Macie 管理者と個々のメンバーは、機密データ検出ジョブで生成された機密データ検出結果を制限することができます。Macie 管理者は、組織の機密データ自動検出を実行している間に、Macie が生成する検出結果を制限することもできます。

    機密データ検出ジョブを作成するアカウントのみ、そのジョブの生成する機密データの検出結果を制限、または検出結果にアクセスできます。組織の Macie 管理者アカウントのみが、機密データ自動検出によって組織内のアカウント用に生成された検出結果を制限、または検出結果にアクセスできます。

管理者とメンバーが実行できるタスクの詳細については、Macie 管理者とメンバーアカウントの関係 を参照してください。

抑制ルールは、フィルタールールとは異なることに注意してください。フィルタールールは、Amazon Macie コンソールで調査結果を表示するときに再度使用するために作成および保存するフィルター基準のセットです。どちらのタイプのルールもフィルター基準を保存および適用しますが、フィルタールールは、ルールの基準と一致する検出結果に対してアクションを実行しません。代わりに、フィルタールールは、ルールを適用した後にコンソールに表示される調査結果の決定のみを行います。詳細については、「フィルタールールを定義する」を参照してください。分析目標によっては、抑制ルールではなくフィルタールールを作成することが最善である場合があります。

検出結果の抑制ルールを作成するには

抑制ルールは、Amazon Macie コンソールまたは Amazon Macie API を使用して作成できます。抑制ルールを作成する前に、抑制ルールを使用して抑制した調査結果を復元 (アーカイブ解除) できないことに注意してください。ただし、Macie を使用して、抑制された検出結果を確認できます。

Console

Amazon Macie コンソールを使用して抑制ルールを作成するには、次のステップに従います。

抑制ルールを作成するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 調査結果を選択します。

    ヒント

    既存の抑制ルールまたはフィルタールールを開始点として使用するには、Saved rules (保存されたルール) のリストからルールを選択します。

    また、事前定義された論理グループによる調査結果を最初にピボットしてドリルダウンすることで、ルールの作成を合理化することもできます。これを行うと、Macie は適切なフィルター条件を自動的に作成して適用します。これは、ルールを作成するために役立つ開始点となる場合があります。これを行うには、ナビゲーションペインの([検出結果] の下) [バケット別][タイプ別]、または [ジョブ別] を選択します。次に、テーブル内の項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。

  3. フィルタ条件ボックスで、ルールで抑制する検出結果の属性を指定するフィルター条件を追加します。

    [検出結果]ページの [フィルター条件]ボックス。

    フィルター条件を追加する方法については、フィルターの作成と Macie の検出結果への適用を参照してください。

  4. ルールのフィルター条件の追加が完了したら、フィルターバーの上にある 検出結果を抑制する を選択します。

  5. 抑制ルール の下で、ルールの名前を入力し、必要に応じて説明を入力します。

  6. 保存 を選択します。

API

プログラムで抑制ルールを作成するには、Amazon Macie API の CreateFindingsFilter オペレーションを使用して、必要なパラメータに適切な値を指定します。

  • action パラメータでは、ARCHIVE を指定して、Macie がルールの基準を満たす検出結果を制限するようにします。

  • criterion パラメータでは、ルールのフィルター基準を定義する条件のマップを指定します。

    マップでは、条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定する必要があります。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、「Macie 検出結果をフィルタリングするためのフィールド」、「条件での演算子の使用」、および「フィールドの値を指定する」を参照してください。

AWS Command Line Interface (AWS CLI) を使用して抑制ルールを作成するには、create-findings-filter コマンドを実行し、必要なパラメータに適切な値を指定します。次の例では、現在の AWS リージョン 内にあり、S3 オブジェクト内の郵送先住所 (他のタイプの機密データは含まない) の出現をレポートするすべての機密データの検出結果を返す抑制ルールを作成します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

コードの説明は以下のとおりです。

  • my_suppression_rule は、ルールのカスタム名です。

  • criterion は、ルールのフィルター条件のマップです。

    • classificationDetails.result.sensitiveData.detections.type は、機密データの検出タイプ フィールドの JSON 名です。

    • eqexactMatch は、完全一致と等しい 演算子を指定します。

    • ADDRESS は、機密データ検出タイプ フィールドの列挙値です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

ここで、arn は、作成された抑制ルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です。

フィルター基準のその他の例については、「Amazon Macie API を用いて調査結果をプログラムでフィルタリングする」を参照してください。