Fundamentos da filtragem das descobertas do Macie - Amazon Macie
Uso de várias condições em um filtroEspecificando valores para camposEspecificando vários valores para um campoUsando operadores em condições

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fundamentos da filtragem das descobertas do Macie

Ao filtrar as descobertas, lembre-se dos seguintes recursos e diretrizes. Observe também que os resultados filtrados estão limitados aos 90 dias anteriores e aos Região da AWS atuais. O Amazon Macie armazena suas descobertas por apenas 90 dias em cada uma. Região da AWS

Uso de várias condições em um filtro

Um filtro pode incluir uma ou mais condições. Cada condição, também chamada de critério, consiste em três partes:

  • Um campo baseado em atributos, como Gravidade ou tipo de descoberta. Para obter uma lista de campos que você pode usar, consulte Campos para filtrar as descobertas do Macie.

  • Um operador, como igual ou não igual. Para obter uma lista de operadores que você pode usar, consulte Usando operadores em condições.

  • Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.

Se um filtro contém várias condições, o Amazon Macie usa a AND lógica para unir as condições e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios do filtro somente se corresponder a todas as condições do filtro.

Por exemplo, se você adicionar uma condição para incluir somente descobertas de alta gravidade e adicionar outra condição para incluir somente descobertas de dados confidenciais, o Macie retornará todas as descobertas de dados confidenciais de alta gravidade. Em outras palavras, o Macie exclui todas as conclusões de políticas e todas as descobertas de dados confidenciais de gravidade média e baixa.

Você pode usar um campo somente uma vez em um filtro. No entanto, você pode especificar vários valores para vários campos.

Por exemplo, se uma condição usa o campo Gravidade para incluir somente descobertas de alta gravidade, você não pode usar o campo Gravidade em outra condição para incluir descobertas de gravidade média ou baixa. Em vez disso, especifique vários valores para a condição existente ou use um operador diferente para a condição existente. Por exemplo, para incluir todas as descobertas de gravidade média e alta, adicione uma condição Gravidade igual a Média, Alta ou adicione uma condição Gravidade não igual a Baixa.

Especificando valores para campos

Quando você especifica um valor para um campo, o valor precisa estar em conformidade com o tipo de dados subjacente do campo. Dependendo do campo, você pode especificar um dos seguintes tipos de valores.

Matriz de texto (sequências de caracteres)

Especifica uma lista de valores de texto (string) para um campo. Cada string se correlaciona a um valor predefinido ou existente para um campo — por exemplo, Alto para o campo Severidade, :S3Object/Financial para o campo Tipo de descoberta ou o nome de um bucket do S3 SensitiveDatapara o campo de nome do bucket do S3.

Se você usar uma matriz, observe o seguinte:

  • Os valores diferenciam maiúsculas de minúsculas.

  • Você não pode especificar valores parciais nem usar caracteres curinga nos valores. Você precisa especificar um valor completo e válido para o campo.

Por exemplo, para filtrar as descobertas de um bucket do S3 chamado my-S3-bucket, insira my-S3-bucket como valor para o campo de nome do bucket do S3. Se você inserir qualquer outro valor, como my-s3-bucket ou my-S3, o Macie não retornará as descobertas para o bucket.

Para obter uma lista de valores válidos para cada campo, consulte Campos para filtrar as descobertas do Macie.

Você pode especificar até 50 valores em uma matriz. A forma como você especifica os valores depende de você usar o console do Amazon Macie ou o Amazon API Macie, conforme discutido em. Especificando vários valores para um campo

Booleano

Especifica um dos dois valores mutuamente exclusivos para um campo.

Se você usar o console do Amazon Macie para especificar esse tipo de valor, o console fornecerá uma lista de valores para você escolher. Se você usa o Amazon MacieAPI, especifique true ou false para o valor.

Data/hora (e intervalos de tempo)

Especifica uma data e hora absolutas para um campo. Se você especificar esse tipo de valor, precisará especificar uma data e uma hora.

No console do Amazon Macie, os valores de data e hora estão em seu fuso horário local e usam notação de 24 horas. Em todos os outros contextos, esses valores estão no Tempo Universal Coordenado (UTC) e no formato ISO 8601 estendido — por exemplo, 2020-09-01T14:31:13Z para 14h31:13 de 1º de setembro de 2020. UTC

Se um campo armazenar um valor de data/hora, você poderá usar o campo para definir um intervalo de tempo fixo ou relativo. Por exemplo, você pode incluir somente as descobertas que foram criadas entre duas datas e horários específicos ou somente aquelas que foram criadas antes ou depois de uma data e hora específicas. A forma como você define um intervalo de tempo depende se você usa o console do Amazon Macie ou o Amazon Macie: API

  • No console, use um seletor de data ou insira o texto diretamente nas caixas De e Para.

  • Com oAPI, defina um intervalo de tempo fixo adicionando uma condição que especifica a primeira data e hora no intervalo e adicione outra condição que especifica a última data e hora no intervalo. Se você fizer isso, Macie usa a AND lógica para unir as condições. Para definir um intervalo de tempo relativo, adicione uma condição que especifique a primeira ou a última data e hora no intervalo. Especifique os valores como timestamps Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

No console, os intervalos de tempo são inclusivos. Com oAPI, os intervalos de tempo podem ser inclusivos ou exclusivos, dependendo da operadora que você escolher.

Número (e intervalos numéricos)

Especifica um número inteiro longo para um campo.

Se um campo armazenar um valor de data/hora, você poderá usar o campo para definir um intervalo de tempo fixo ou relativo. Por exemplo, você pode incluir somente as descobertas que relatam de 50 a 90 ocorrências de dados confidenciais em um objeto do S3. A forma como você define um intervalo numérico depende se você usa o console do Amazon Macie ou o Amazon Macie: API

  • No console, use as caixas De e Para para inserir os números mais baixos e mais altos no intervalo, respectivamente.

  • Com oAPI, defina um intervalo numérico fixo adicionando uma condição que especifica o menor número no intervalo e adicione outra condição que especifica o número mais alto no intervalo. Se você fizer isso, Macie usa a AND lógica para unir as condições. Para definir um intervalo numérico relativo, adicione uma condição que especifique o menor ou o maior número no intervalo.

No console, os intervalos de tempo são inclusivos. Com oAPI, os intervalos numéricos podem ser inclusivos ou exclusivos, dependendo da operadora que você escolher.

Texto (string)

Especifica uma lista de valores de texto (string) para um campo. A string está correlacionada a um valor predefinido ou existente para um campo — por exemplo, Alto para o campo Gravidade, o nome de um bucket do S3 para o campo de nome do bucket do S3 ou o identificador exclusivo de um trabalho de descoberta de dados confidenciais para o campo Job ID.

Se você especificar uma única sequência de texto, observe o seguinte:

  • Os valores diferenciam maiúsculas de minúsculas.

  • Você não pode especificar valores parciais nem usar caracteres curinga nos valores. Você precisa especificar um valor completo e válido para o campo.

Por exemplo, para filtrar as descobertas de um bucket do S3 chamado my-S3-bucket, insira my-S3-bucket como valor para o campo de nome do bucket do S3. Se você inserir qualquer outro valor, como my-s3-bucket ou my-S3, o Macie não retornará as descobertas para o bucket.

Para obter uma lista de valores válidos para cada campo, consulte Campos para filtrar as descobertas do Macie.

Especificando vários valores para um campo

Com determinados campos e operadores, você pode especificar vários valores para um campo. Se você fizer isso, o Amazon Macie usa a lógica OR para unir os valores e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios se tiver algum dos valores do campo.

Por exemplo, se você adicionar uma condição para incluir descobertas em que o valor do campo Tipo de descoberta seja igual a: S3 SensitiveData, o Object/Financial, SensitiveData:S3Object/Personal Macie retornará descobertas de dados confidenciais para objetos do S3 que contêm somente informações financeiras e objetos do S3 que contêm somente informações pessoais. Em outras palavras, Macie exclui todas as descobertas de políticas. O Macie também exclui todas as descobertas de dados confidenciais para objetos que contêm outros tipos de dados confidenciais ou vários tipos de dados confidenciais.

A exceção são as condições que usam o eqExactMatchOperador . Para esse operador, o Macie usa a AND lógica para unir os valores e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios somente se tiver todos os valores para o campo e somente esses valores para o campo. Para saber mais sobre esse operador, consulte Usando operadores em condições.

A forma como você especifica vários valores para um campo depende se você usa o console do Amazon Macie API ou do Amazon Macie. Com oAPI, você usa uma matriz que lista os valores.

No console, você normalmente escolhe os valores de uma lista. No entanto, para alguns campos, você precisa adicionar uma condição distinta para cada valor. Por exemplo, para incluir descobertas de dados que o Macie detectou usando determinados identificadores de dados personalizados, faça o seguinte:

  1. Coloque o cursor na caixa Critérios de filtro e selecione o campo Nome do identificador de dados personalizado. Insira o nome de um identificador de dados personalizado e selecione Aplicar.

  2. Repita a etapa anterior para cada identificador de dados personalizado adicional que você deseja especificar para o filtro.

Para obter uma lista dos campos para os quais você precisa fazer isso, consulte Campos para filtrar as descobertas do Macie.

Usando operadores em condições

Você pode usar os seguintes tipos de operadores em condições individuais.

Igual a (eq)

Corresponde (=) a qualquer valor especificado para o campo. Você pode usar o operador igual a com os seguintes tipos de valores: matriz de texto (cadeias de caracteres), booleano, data/hora, número e texto (sequência de caracteres).

Para muitos campos, você pode usar esse operador e especificar até 50 valores para o campo. Se você fizer isso, o Amazon Macie usa a lógica OR para unir os valores. Isso significa que uma descoberta corresponde aos critérios se tiver algum dos valores do campo.

Por exemplo:

  • Para incluir descobertas que relatam ocorrências de informações financeiras, informações pessoais ou informações financeiras e pessoais, adicione uma condição que use o campo Categoria de dados confidenciais e esse operador e especifique Informações financeiras e Informações pessoais como valores para o campo.

  • Para incluir descobertas que relatam ocorrências de números de cartão de crédito, endereços para correspondência ou números de cartão de crédito e endereços para correspondência, adicione uma condição ao campo Tipo de detecção de dados confidenciais, use esse operador e especifique CREDIT_CARD_NUMBER e ADDRESScomo os valores do campo.

Se você usar o Amazon Macie API para definir uma condição que usa esse operador com um valor de data/hora, especifique o valor como um timestamp Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

É igual à correspondência exata (eqExactMatch)

Corresponde exclusivamente a todos os valores especificados para o campo. Você pode usar o operador de igual a correspondência exata com um conjunto selecionado de campos.

Se você usar esse operador e especificar vários valores para um campo, o Macie usa a AND lógica para unir os valores. Isso significa que uma descoberta corresponde aos critérios somente se tiver todos os valores para o campo e somente esses valores para o campo. Você pode especificar até 50 valores para o campo.

Por exemplo:

  • Para incluir descobertas que relatam ocorrências de números de cartão de crédito e nenhum outro tipo de dado confidencial, adicione uma condição para o campo Tipo de detecção de dados confidenciais, use esse operador e especifique CREDIT_CARD_NUMBERcomo o único valor para o campo.

  • Para incluir descobertas que relatam ocorrências de números de cartão de crédito e endereços de correspondência (e nenhum outro tipo de dados confidenciais), adicione uma condição para o campo Tipo de detecção de dados confidenciais, use esse operador e especifique CREDIT_CARD_NUMBER e ADDRESScomo os valores do campo.

Como o Macie usa a AND lógica para unir os valores de um campo, você não pode usar esse operador em combinação com outros operadores para o mesmo campo. Em outras palavras, se você usar o operador de igual a correspondência exata a um campo em uma condição, precisará usá-lo em todas as outras condições que usam o mesmo campo.

Como outros operadores, você pode usar o operador de igual a correspondência exata em mais de uma condição em um filtro. Se você fizer isso, o Macie usa a AND lógica para unir as condições e avaliar o filtro. Isso significa que uma descoberta corresponde aos critérios do filtro somente se tiver todos os valores especificados por todas as condições do filtro.

Por exemplo, para incluir descobertas que foram criadas após um certo tempo, relatar ocorrências de números de cartão de crédito e não relatar nenhum outro tipo de dado confidencial, faça o seguinte:

  1. Adicione uma condição que use o campo Criado em, use o operador maior que e especifique a data e a hora de início do filtro.

  2. Adicione outra condição que use o campo Tipo de detecção de dados confidenciais, use o operador de correspondência exata igual e especifique CREDIT_CARD_NUMBERcomo o único valor para o campo.

Você pode usar o operador de igual a correspondência exata com os seguintes campos:

  • Identificador de dados personalizado (customDataIdentifiers.detections.arn)

  • Nome do identificador de dados personalizado (customDataIdentifiers.detections.name)

  • Chave de tag de bucket S3 (resourcesAffected.s3Bucket.tags.key)

  • Valor de tag de bucket S3 (resourcesAffected.s3Bucket.tags.value)

  • Chave de tag de objeto S3 (resourcesAffected.s3Object.tags.key)

  • Valor da tag de objeto S3 (resourcesAffected.s3Object.tags.value)

  • Tipo de detecção de dados confidenciais (sensitiveData.detections.type)

  • Categoria de dados confidenciais (sensitiveData.category)

Na lista anterior, o nome entre parênteses usa a notação de pontos para indicar o nome do campo nas JSON representações das descobertas e do Amazon Macie. API

Maior que (gt)

É maior que (>) o valor especificado para o campo. Você pode usar o operador maior que com valores numéricos e de data/hora.

Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo Contagem total de dados confidenciais e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira 91 na caixa De, não insira um valor na caixa Para e selecione Aplicar. As comparações numéricas e baseadas em tempo estão incluídas no console.

Se você usar o Amazon Macie API para definir um intervalo de tempo que usa esse operador, precisará especificar os valores de data/hora como timestamps Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

Maior ou igual a (gte)

É maior ou igual ao (>=) valor especificado para o campo. Você pode usar o operador maior que ou igual a com valores numéricos e de data/hora.

Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo Contagem total de dados confidenciais e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira 90 na caixa De, não insira um valor na caixa Para e selecione Aplicar.

Se você usar o Amazon Macie API para definir um intervalo de tempo que usa esse operador, precisará especificar os valores de data/hora como timestamps Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

Menos de (lt)

É menor que (>) o valor especificado para o campo. Você pode usar o operador menor que com valores numéricos e de data/hora.

Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo Contagem total de dados confidenciais e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira 89 na caixa De, não insira um valor na caixa Para e selecione Aplicar. As comparações numéricas e baseadas em tempo estão incluídas no console.

Se você usar o Amazon Macie API para definir um intervalo de tempo que usa esse operador, precisará especificar os valores de data/hora como timestamps Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

Menor ou igual a (lte)

É menor ou igual ao (<=) valor especificado para o campo. Você pode usar o operador menor que ou igual a com valores numéricos e de data/hora.

Por exemplo, para incluir somente as descobertas que relatam 90 ou menos ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo Contagem total de dados confidenciais e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira 90 na caixa Até, não insira um valor na caixa De e selecione Aplicar.

Se você usar o Amazon Macie API para definir um intervalo de tempo que usa esse operador, precisará especificar os valores de data/hora como timestamps Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC

Não é igual (neq)

Não corresponde (=) a qualquer valor especificado para o campo. Você pode usar o operador não igual a com os seguintes tipos de valores: matriz de texto (cadeias de caracteres), booleano, data/hora, número e texto (sequência de caracteres).

Para muitos campos, você pode usar esse operador e especificar até 50 valores para o campo. Se você fizer isso, Macie usa a lógica OR para unir as condições. Isso significa que uma descoberta corresponde aos critérios se tiver algum dos valores do campo.

Por exemplo:

  • Para excluir descobertas que relatam ocorrências de informações financeiras, informações pessoais ou informações financeiras e pessoais, adicione uma condição que use o campo Categoria de dados confidenciais e esse operador e especifique Informações financeiras e Informações pessoais como valores para o campo.

  • Para excluir descobertas que relatam ocorrências de números de cartão de crédito, adicione uma condição para o campo Tipo de detecção de dados confidenciais, use esse operador e especifique CREDIT_CARD_NUMBERcomo o valor do campo.

  • Para excluir descobertas que relatam ocorrências de números de cartão de crédito, endereços para correspondência ou números de cartão de crédito e endereços para correspondência, adicione uma condição ao campo Tipo de detecção de dados confidenciais, use esse operador e especifique CREDIT_CARD_NUMBER e ADDRESScomo os valores do campo.

Se você usar o Amazon Macie API para definir uma condição que usa esse operador com um valor de data/hora, especifique o valor como um timestamp Unix em milissegundos — por exemplo, para 22:49:32 de 5 de novembro de 2020. 1604616572653 UTC