筛选 Macie 调查发现的基础知识 - Amazon Macie
在筛选条件中使用多个条件为字段指定值为字段指定多个值在条件中使用运算符

筛选 Macie 调查发现的基础知识

当您筛选调查发现时,请记住以下功能和指南。另请注意,筛选结果仅限于前 90 天和当前 AWS 区域。Amazon Macie 在每个 AWS 区域 中将您的调查发现仅保存 90 天。

在筛选条件中使用多个条件

筛选条件可能包含一个或多个条件。每个条件,也称为标准,由三个部分组成:

  • 基于属性的字段,例如严重性调查发现类型。有关可以使用的字段列表,请参阅 用于筛选 Macie 调查发现的字段

  • 一个运算符,例如等于不等于。有关可以使用的运算符列表,请参阅 在条件中使用运算符

  • 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如果一个筛选条件包含多个条件,Amazon Macie 会使用 AND 逻辑来连接条件并评测筛选标准。这意味着,只有当结果与筛选条件中的所有条件都匹配时,它才会匹配筛选条件。

例如,如果您添加一个条件以仅包含高严重性调查发现,而添加另一个条件以仅包含敏感数据调查发现,则 Macie 将返回所有高严重性的敏感数据调查发现。换句话说,Macie 会排除所有策略调查发现以及所有中等严重性和低严重性的敏感数据调查发现。

在筛选条件中只能使用一个字段一次。但是,您可以为多个字段指定多个值。

例如,如果某个条件使用严重性字段仅包含高严重性调查发现,则不能在其他条件中使用严重性字段来包含中等严重性或低严重性调查发现。相反,可以为现有条件指定多个值,或者对现有条件使用不同的运算符。例如,要包括所有中等严重性和高严重性结果,请添加严重性等于中、高条件或添加严重性不等于条件。

为字段指定值

为字段指定值时,该值必须符合该字段的基础数据类型。根据字段的不同,您可以指定以下值类型之一。

文本数组(字符串)

为字段指定文本(字符串)值列表。每个字符串都与字段的预定义值或现有值相关联,例如,严重性字段为调查发现类型字段为 SensitiveData:S3Object/FinancialS3 存储桶名称字段为 S3 存储桶名称。

如果您使用数组,请注意以下几点:

  • 值区分大小写。

  • 您不能指定部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。

例如,要筛选名为 my-S3-bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

有关每个字段的有效值的列表,请参阅 用于筛选 Macie 调查发现的字段

您最多可以在一个数组中指定 50 个值。如何指定这些值取决于您使用的是 Amazon Macie 控制台还是 Amazon Macie API,如 为字段指定多个值 中所述。

布尔值

为字段指定两个互斥值中的一个。

如果您使用 Amazon Macie 控制台来指定此类值,则控制台会提供一个值列表供您选择。如果您使用 Amazon Macie API,请为值指定 truefalse

日期/时间(及时间范围)

为字段指定绝对日期和时间。如果指定这种类型的值,则必须同时指定日期和时间。

在 Amazon Macie 控制台上,日期和时间值以您的当地时区为单位,并使用 24 小时表示法。在所有其他情况下,这些值均采用协调世界时 (UTC) 和扩展的 ISO 8601 格式,例如 2020-09-01T14:31:13Z 为世界标准时间 2020 年 9 月 1 日下午 2:31:13。

如果字段存储日期/时间值,则可以使用该字段来定义固定或相对时间范围。例如,您可以仅包括在两个特定日期和时间之间创建的调查发现,或者仅包含在特定日期和时间之前或之后创建的调查发现。如何定义时间范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API:

  • 在控制台上,使用日期选择器或直接在框中输入文本。

  • 在 API 上,通过添加一个用于指定该范围内的第一个日期和时间的条件来定义固定时间范围,然后添加另一个用于指定该范围内最后一个日期和时间的条件。如果这样做,Macie 会使用 AND 逻辑来加入条件。要定义相对时间范围,请添加一个条件来指定该范围内的第一个或最后一个日期和时间。将这些值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

在控制台上,时间范围包含在内。在 API 上,时间范围可以是包容性的,也可以是排他性的,具体取决于您选择的运算符。

数字(和数值范围)

为字段指定长整数。

如果字段存储数值,则可以使用该字段定义固定或相对数值范围。例如,您只能包含那些在 S3 对象中报告 50-90 次出现的敏感数据的发现。如何定义数值范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API:

  • 在控制台上,使用框分别输入该范围内的最小和最高数字。

  • 使用API,通过添加一个指定范围内最低数字的条件来定义一个固定的数字范围,并添加另一个指定范围内最高数字的条件。如果这样做,Macie 会使用 AND 逻辑来加入条件。要定义相对数值范围,请添加一个条件来指定该范围内的最小或最高数字。

在控制台上,数值范围包含在内。使用 API,数值范围可以是包容性的,也可以是排他性的,具体取决于您选择的运算符。

文本(字符串)

为字段指定单个文本(字符串)值。该字符串与字段的预定义值或现有值相关联,例如严重性字段为S3 存储桶名称字段为 S3 存储桶的名称,或作业 ID字段为敏感数据发现作业的唯一标识符。

如果您指定一个文本字符串,请注意以下几点:

  • 值区分大小写。

  • 您不能使用部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。

例如,要筛选名为 my-S3-bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

有关每个字段的有效值的列表,请参阅 用于筛选 Macie 调查发现的字段

为字段指定多个值

使用某些字段和运算符,您可以为一个字段指定多个值。如果您这样做,Amazon Macie 会使用 OR 逻辑来连接值并评测筛选条件。这意味着,如果某项查找结果具有为该字段的任何值,则该结果与该条件相匹配。

例如,如果您添加一个条件以包括调查发现类型字段的值等于 SensitiveData:S3Object/Financial SensitiveData:S3Object/Personal 的结果,则 Macie 会返回仅包含财务信息的 S3 对象和仅包含个人信息的 S3 对象的敏感数据调查发现。换句话说,Macie 排除了所有策略调查发现。对于包含其他类型的敏感数据或多种类型的敏感数据的对象,Macie 还会排除所有敏感数据发现。

使用 eqExactMatch 运算符的条件除外。对于这个运算符,Macie 使用 AND 逻辑连接值并评测筛选条件。这意味着,只有当查找结果包含该字段的所有值并且包含该字段的那些值时,它才符合标准。要详细了解此运算符,请参阅 在条件中使用运算符

如何为一个字段指定多个值取决于您是使用 Amazon Macie API 还是 Amazon Macie 控制台。使用 API,您可以使用列出值的数组。

在控制台上,您通常会从列表中选择值。但是,对于某些字段,您必须为每个值添加不同的条件。例如,要包括 Macie 使用某些自定义数据标识符检测到的数据的调查发现,请执行以下操作:

  1. 将光标置于筛选标准框中,然后选择自定义数据标识符名称字段。输入自定义数据标识符的名称,然后选择应用

  2. 对要为筛选条件指定的每个其他自定义数据标识符重复上述步骤。

有关需要执行此操作的字段列表,请参阅 用于筛选 Macie 调查发现的字段

在条件中使用运算符

您可以在各个条件中使用以下类型的运算符。

等于号 (eq)

匹配 (=) 为该字段指定的任何值。可以对以下类型的值使用等号运算符:文本数组(字符串)、布尔值、日期/时间、数字和文本(字符串)。

对于许多字段,您可以使用此运算符为该字段指定多达 50 个值。如果这样做,Amazon Macie 将使用 OR 逻辑连接这些值。这意味着,如果某项查找结果具有为该字段指定的任何值,则该结果与该条件相匹配。

例如:

  • 要包含报告财务信息、个人信息或财务和个人信息出现情况的结果,请添加使用敏感数据类别字段和此操作符的条件,并将财务信息个人信息指定为该字段的值。

  • 要包括报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现,请为敏感数据检测类型字段添加条件,使用此运算符,然后指定 CREDIT_CARD_NUMBERADDRESS 作为该字段的值。

如果您使用 Amazon Macie API 定义使用此运算符和日期/时间值的条件,请将该值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

等于完全匹配 (eqExactMatch)

只匹配为该字段指定的所有值。您可以将等于完全匹配运算符与一组选定的字段一起使用。

如果您使用此运算符并为一个字段指定多个值,Macie 会使用 AND 逻辑来连接这些值。这意味着,只有当查找结果包含为该字段指定的所有值并且包含该字段的那些值时,它才符合条件。您最多可以指定 50 个值。

例如:

  • 要包括报告信用卡号出现次数而不报告其他类型敏感数据的结果,请为敏感数据检测类型字段添加条件,使用此运算符,然后指定 CREDIT_CARD_NUMBER 为该字段的唯一值。

  • 要包含报告出现信用卡号和邮寄地址(不包含其他类型的敏感数据)的结果,请为敏感数据检测类型字段添加一个条件,使用此操作符,并指定 CREDIT_CARD_NUMBERADDRESS 作为该字段的值。

由于 Macie 使用 AND 逻辑来连接字段的值,因此对于同一字段,您不能将此运算符与任何其他运算符组合使用。换句话说,如果您在一个条件中对字段使用等于完全匹配运算符,则必须在使用相同字段的所有其他条件中使用该运算符。

与其他运算符一样,可以在筛选条件中的多个条件使用等于完全匹配运算符。如果这样做,Macie 会使用 AND 逻辑来加入条件并评测筛选条件。这意味着查找结果只有在具有筛选条件中所有条件指定的所有值时才符合筛选条件。

例如,要包括在一定时间后创建的调查发现,报告信用卡号的出现次数,并且不报告任何其他类型的敏感数据,请执行以下操作:

  1. 添加一个条件,该条件使用创建时间字段,使用大于运算符,并指定筛选条件的开始日期和时间。

  2. 添加另一个条件,该条件使用敏感数据检测类型字段,使用等于完全匹配运算符,并指定 CREDIT_CARD_NUMBER 为该字段的唯一值。

您可以对以下字段使用等于完全匹配运算符:

  • 自定义数据标识符 ID (customDataIdentifiers.detections.arn)

  • 自定义数据标识符名称 (customDataIdentifiers.detections.name)

  • S3 存储桶标签键 (resourcesAffected.s3Bucket.tags.key)

  • S3 存储桶标签值 (resourcesAffected.s3Bucket.tags.value)

  • S3 对象标签键 (resourcesAffected.s3Object.tags.key)

  • S3 对象标签值 (resourcesAffected.s3Object.tags.value)

  • 敏感数据检测类型 (sensitiveData.detections.type)

  • 敏感数据类别 (sensitiveData.category)

在前面的列表中,括号中的名称使用点符号来表示搜索结果和 Amazon Macie API 的 JSON 表示形式中的字段名称。

大于 (gt)

大于 (>) 为该字段指定的值。您可以将大于运算符与数字和日期/时间值一起使用。

例如,要仅包括那些在 S3 对象中报告敏感数据出现次数超过 90 次的结果,请添加一个使用敏感数据总计数字段和此运算符的条件,并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作,请在框中输入 91,不要在框中输入值,然后选择应用。控制台上包含数字和基于时间的比较。

如果您使用 Amazon Macie API 定义使用此运算符的时间范围,则必须将日期/时间值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

大于或等于 (gte)

大于或等于 (>=) 为该字段指定的值。您可以将大于或等于运算符与数字和日期/时间值一起使用。

例如,要仅包含那些报告 S3 对象中敏感数据出现 90 次或以上的结果,可以添加一个条件,使用敏感数据总计数字段和此操作符,并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作,请在框中输入 90,不要在框中输入值,然后选择应用

如果您使用 Amazon Macie API 定义使用此运算符的时间范围,则必须将日期/时间值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

小于 (lt)

小于 (<) 为该字段指定的值。您可以将小于运算符与数字和日期/时间值一起使用。

例如,要只包含那些报告 S3 对象中敏感数据出现次数少于 90 次的结果,可以添加一个条件,使用敏感数据总计数字段和此操作符,并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作,请在框中输入 89,不要在框中输入值,然后选择应用。控制台上包含数字和基于时间的比较。

如果您使用 Amazon Macie API 定义使用此运算符的时间范围,则必须将日期/时间值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

小于或等于 (lte)

小于或等于 (<=) 为该字段指定的值。您可以将小于或等于运算符与数字和日期/时间值一起使用。

例如,要仅包括那些在 S3 对象中报告敏感数据出现次数少于或等于 90 次的结果,请添加一个使用敏感数据总计数字段和此运算符的条件,并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作,请在框中输入 90,不要在框中输入值,然后选择应用

如果您使用 Amazon Macie API 定义使用此运算符的时间范围,则必须将日期/时间值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。

不等于 (neq)

不匹配 (≠) 为该字段指定的任何值。可以对以下类型的值使用不等于运算符:文本数组(字符串)、布尔值、日期/时间、数字和文本(字符串)。

对于许多字段,您可以使用此运算符为该字段指定多达 50 个值。如果这样做,Macie 将使用 OR 逻辑连接这些值。这意味着,如果某项查找结果没有该字段的任何值,则该结果与该条件相匹配。

例如:

  • 要排除报告财务信息、个人信息或财务和个人信息出现情况的调查发现,请添加一个使用敏感数据类别字段和此运算符的条件,并将财务信息和个人信息指定为该字段的值。

  • 要排除报告出现信用卡号的结果,请为敏感数据检测类型字段添加一个条件,使用此运算符,并指定 CREDIT_CARD_NUMBER 为该字段的值。

  • 要排除报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现,请为敏感数据检测类型字段添加条件,使用此运算符,然后指定CREDIT_CARD_NUMBERADDRESS作为该字段的值。

如果您使用 Amazon Macie API 定义使用此运算符和日期/时间值的条件,请将该值指定为以毫秒为单位的 Unix 时间戳,例如,1604616572653 为世界标准时间 2020 年 11 月 5 日 22:49:32。