分析自动敏感数据发现的调查发现 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

分析自动敏感数据发现的调查发现

当 Amazon Macie 执行自动敏感数据发现时,它会为在其中发现敏感数据的每个 Amazon Simple Storage Service (Amazon S3)对象创建敏感数据调查发现。敏感数据调查发现是 Macie 在 S3 对象中发现的敏感数据的详细报告。调查发现不包括 Macie 发现的敏感数据。相反,它提供了用于进一步调查和必要补救的信息。

每项敏感数据调查发现都会提供严重性评级和详细信息,例如:

  • Macie 发现敏感数据的日期与时间。

  • Macie 发现敏感数据的类别和类型。

  • Macie 发现的每种敏感数据的出现次数。

  • Macie 是如何找到敏感数据、自动敏感数据发现或敏感数据发现任务作业。

  • 受影响的 S3 存储桶和对象的名称、公开访问设置、加密类型和其他信息。

根据受影响 S3 对象的文件类型或存储格式,详细信息还可能包括 Macie 发现的、多达 15 处敏感数据的位置。

Macie 会将敏感数据调查发现存储 90 天。您可以使用 Amazon Macie 控制台或 Amazon Macie API 访问它们。您还可以使用其他应用程序、服务和系统,监控和处理调查发现。有关更多信息,请参阅 查看和分析调查发现

要分析自动敏感数据发现所得出的结果

若要识别和分析 Macie 在为您的账户执行自动敏感数据发现时创建的调查发现,您可筛选调查发现。您可通过筛选条件,指定调查发现属性,以构建自定义视图和调查发现查询。筛选调查发现,您可以使用 Amazon Macie 控制台,也可以使用 Amazon Macie API 以编程方式提交查询。有关更多信息,请参阅 筛选调查发现

注意

如果您的账户属于集中管理多个 Macie 账户的组织,则只有您的组织的 Macie 管理员才能直接访问自动敏感数据发现为您组织中的账户生成的调查发现。如果您拥有成员账户,并且想要查看账户的调查发现,请联系您的 Macie 管理员。

Console

按照以下步骤,使用 Amazon Macie 控制台识别和分析调查发现。

要分析自动发现所得出的调查发现

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. 要显示被抑制规则隐藏的调查发现,请使用调查发现状态设置。选择全部可同时显示隐藏和未隐藏的调查发现,或者选择已存档以仅显示隐藏的调查发现。然后要再次隐藏被抑制的调查发现,请选择当前

  4. 将光标置于筛选标准框。在出现的字段列表中,选择 原始类型

    此字段指定 Macie 是如何找到敏感数据(生成调查发现)、自动敏感数据发现或敏感数据发现任务作业。要在筛选字段列表中查找此字段,您可以浏览完整列表,或者输入部分字段名称以缩小字段列表范围。

  5. 选择 AUTOMATED_SENSITIVE_DATA_DISCOVERY 作为该字段的值,然后选择应用。Macie 应用筛选标准并将该条件添加到筛选标准框中的筛选条件令牌中。

  6. 若要细化结果,请为其他字段添加筛选条件,例如:创建时间表示调查发现创建的时间;S3 存储桶名称表示受影响存储桶的名称;或敏感数据检测类型表示检测和产生调查发现的敏感类型。

如果您想在随后再次使用这组条件,可以将其另存为筛选规则。为此,请在筛选标准框中选择保存规则。输入规则的名称和描述(可选)。完成后,选择保存

API

要以编程方式识别和分析结果,请在使用 Amazon Macie API 的ListFindingsGetFindingStatistics操作提交的查询中指定筛选条件。该ListFindings操作返回一个查找结果数组 IDs,每个符合筛选条件的查找结果对应一个 ID。然后,您可以使用它们 IDs 来检索每个发现的详细信息。GetFindingStatistics 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据,这些数据按您在请求中指定的字段分组。有关以编程方式筛选调查发现的更多信息,请参阅 筛选调查发现

在筛选条件中,纳入 originType 字段条件。此字段指定 Macie 是如何找到敏感数据(生成调查发现)、自动敏感数据发现或敏感数据发现任务作业。如果自动敏感数据发现得出了调查发现,则该字段的值为 AUTOMATED_SENSITIVE_DATA_DISCOVERY

要使用 AWS Command Line Interface (AWS CLI) 识别和分析调查结果,请运行 list- findings 或get-finding-statistics命令。以下示例使用list-findings命令检索当前 AWS 区域自动发现 IDs 敏感数据的所有高严重性发现结果的结果。

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}

其中:

  • classificationDetails.originType 指定 原始类型 字段的 JSON 名称,以及:

    • eq 指定 等于 运算符。

    • AUTOMATED_SENSITIVE_DATA_DISCOVERY 是该字段的枚举值。

  • severity.description 指定 严重性 字段的 JSON 名称,以及:

    • eq 指定 等于 运算符。

    • High 是该字段的枚举值。

如果请求成功,Macie 将返回一个数组。findingIds该数组列出了符合筛选标准的每个调查发现的唯一标识符,如以下示例所示。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

如果没有符合筛选条件的调查发现,Macie 将返回空findingIds数组。

{
    "findingIds": []
}