创建筛选条件并将其应用于 Macie 调查发现 - Amazon Macie
使用控制台筛选调查发现以编程方式筛选调查发现

创建筛选条件并将其应用于 Macie 调查发现

要识别并重点关注具有特定特征的调查发现,您可以在 Amazon Macie 控制台和使用 Amazon Macie API 以编程方式提交的查询中筛选调查发现。创建筛选条件时,您可使用指定的调查发现属性,定义在视图或查询结果中包含或排除调查发现的标准。调查发现属性是一个存储调查发现的特定数据的字段,例如严重性、类型或调查发现所适用的资源的名称。

Macie 中的筛选条件包含一个或多个条件。每个条件,也称为标准,由三个部分组成:

  • 基于属性的字段,例如严重性调查发现类型

  • 一个运算符,例如等于不等于

  • 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如何定义和应用筛选条件取决于您使用的是 Amazon Macie 主机还是 Amazon Macie API。

使用 Amazon Macie 控制台筛选调查发现

如果您使用 Amazon Macie 控制台筛选调查发现,Macie 会提供一些选项来帮助您为各个条件选择字段、运算符和值。您可以使用调查发现页面上的筛选条件设置访问这些选项,如下图中所示。

调查发现页面上的筛选条件设置、调查发现状态菜单和筛选条件标准方框。

通过使用调查发现状态菜单,您可以指定是否包括被抑制规则屏蔽(自动存档)的调查发现。通过使用筛选标准框,您可以输入筛选条件。

当您将光标置于筛选标准框中时,Macie 会显示可在筛选条件中使用的字段列表。这些字段按逻辑类别组织。例如,常用字段类别包括适用于任何类型的调查发现的字段,而分类字段类别包括仅适用于敏感数据调查发现的字段。这些字段在每个类别中按字母顺序排序。

要添加条件,请先从列表中选择一个字段。要查找字段,请浏览完整列表,或输入部分字段名称以缩小字段列表范围。

根据您选择的字段,Macie 显示不同的选项。这些选项反映了您选择的字段的类型和性质。例如,如果您选择严重性字段,Macie 会显示一个值列表供您选择:。如果您选择 S3 存储桶名称字段,Macie 会显示一个文本框,您可以在其中输入存储桶名称。无论您选择哪个字段,Macie 都会指导您完成添加包含该字段所需设置的条件的步骤。

添加条件后,Macie 会应用该条件的标准并将该条件添加到筛选标准框中的筛选条件令牌,如下图所示。

筛选条件标准方框带有一个用于指定严重性字段值的方框。

在此示例中,条件配置为包括所有中严重性和高严重性调查发现,并排除所有低严重性调查发现。它会返回严重性字段的值等于的调查发现。

提示

对于许多字段,您可以通过在条件的筛选条件令牌中选择等号图标 ( The equals icon, which is a solid gray circle. ) 来将条件的运算符从等于更改为不等于。如果您这样做,Macie 会将运算符更改为不等于,并在令牌中显示不等于图标 ( The not equals icon, which is an empty gray circle that has a backslash in it. )。要再次切换到等于运算符,请选择不等于图标。

当您添加更多条件时,Macie 会应用其标准并将其添加到筛选标准框中的令牌中。您可以随时参考方框来确定您应用了哪些标准。要删除条件,请在条件的令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. )。

要使用控制台筛选调查发现

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择调查发现

  3. (可选)要首先根据预定义的逻辑组进行透视和查看调查发现,请在导航窗格(在调查发现下)中选择按存储桶按类型按作业。然后在表格中选择一个项目。在详细信息面板中,为字段选择要转置的链接。

  4. (可选)要显示被抑制规则屏蔽的调查发现,请更改筛选状态设置。选择已存档 以仅显示屏蔽的调查发现,或选择全部以同时显示屏蔽和未屏蔽的调查发现。要隐藏屏蔽的调查发现,请选择当前

  5. 要添加筛选条件,请执行以下操作:

    1. 将光标置于筛选标准框中,然后选择要用于条件的字段。有关您可以使用的字段的信息,请参阅 用于筛选 Macie 调查发现的字段

    2. 输入字段的相应类型的值。有关不同类型值的详细信息,请参阅 为字段指定值

      文本数组(字符串)

      对于这种类型的值,Macie 通常会提供一个值列表供您选择。如果是这种情况,请选择要在条件中使用的每个值。

      如果 Macie 未提供值列表,请为该字段输入一个完整、有效的值。要为该字段指定其他值,请选择应用,然后为每个附加值添加另一个条件。

      注意,值区分大小写。此外,不能在值中使用部分值或通配符。例如,要筛选名为 my-S3-bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

      布尔值

      对于这种类型的值,Macie 提供了一个值列表供您选择。选择要在条件中使用的值。

      日期/时间(时间范围)

      对于这种类型的值,使用框定义一个包含性时间范围:

      • 要定义固定的时间范围,请使用框分别指定该范围内的第一个日期和时间以及最后一个日期和时间。

      • 要定义从特定日期和时间开始并在当前时间结束的相对时间范围,请在框中输入开始日期和时间,然后删除框中的任何文本。

      • 要定义在特定日期和时间结束的相对时间范围,请在框中输入结束日期和时间,然后删除框中的任何文本。

      请注意,时间值使用 24 小时表示法。如果您使用日期选择器选择日期,则可以通过直接在框中输入文本来细化值。

      数字(数值范围)

      对于这种类型的值,使用框输入一个或多个整数,这些整数定义了包含、固定或相对数值范围。

      文本(字符串)值

      对于此类值,请为该字段输入一个完整、有效的值。

      注意,值区分大小写。此外,不能在值中使用部分值或通配符。例如,要筛选名为 my-S3-bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

    3. 为该字段添加完值后,选择应用。Macie 应用筛选标准并将该条件添加到筛选标准框中的筛选条件令牌中。

  6. 对于要添加的每个附加条件,请重复步骤 5。

  7. 要删除条件,请在条件的筛选条件令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. )。

  8. 要更改条件,请在条件的筛选条件令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. ) 来移除该条件。然后重复步骤 5,添加设置正确的条件。

提示

如果您想随后再次使用这组条件,可以将该条件集另存为筛选规则。为此,请在筛选标准框中选择保存规则。输入规则的名称和描述(可选)。完成后,选择保存

使用 Amazon Macie API 以编程方式筛选调查发现

要以编程方式筛选调查发现,请在使用 Amazon Macie API 的 ListFindingsGetFindingStatistics 操作提交的查询中指定筛选标准。该 ListFindings 操作返回一个由调查发现 ID 组成的数组,每个符合筛选条件的调查发现对应一个 ID。GetFindingStatistics 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据,这些数据按您在请求中指定的字段分组。

请注意,ListFindingsGetFindingStatistics 操作与用于屏蔽调查发现的操作不同。与还指定筛选标准的屏蔽操作不同,ListFindingsGetFindingStatistics 操作仅查询调查发现数据。它们不会对符合筛选条件的调查发现执行任何操作。要屏蔽调查发现,请使用 Amazon Macie API 的 CreateFindingsFilter 操作。

要在查询中指定筛选标准,请在请求中加入筛选条件地图。为每个条件指定一个字段、一个运算符以及该字段的一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅用于筛选 Macie 调查发现的字段在条件中使用运算符为字段指定值

以下示例向您展示了如何在使用 AWS Command Line Interface(AWS CLI) 提交的查询中指定筛选标准。您也可以使用其他 AWS 命令行工具或 AWS SDK 的当前版本,或者直接向 Macie 发送 HTTPS 请求来执行此操作。有关 AWS 工具和 SDK 的信息,请参阅在 AWS 上构建的工具

这些示例使用 list-findings 命令。如果示例成功运行,Macie 将返回一个 findingIds 数组。该数组列出了符合筛选标准的每个调查发现的唯一标识符,如以下示例所示。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

如果没有符合筛选条件的调查发现,Macie 将返回空 findingIds 数组。

{
    "findingIds": []
}

示例 1:基于严重性筛选调查发现

此示例使用 list-findings 命令检索当前 AWS 区域 中所有高严重性和中严重性调查发现的调查发现 ID。

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

其中:

  • severity.description 指定严重性字段的 JSON 名称。

  • eq 指定等于运算符。

  • 严重性字段的枚举值数组。

示例 2:基于敏感数据类别筛选调查发现

此示例使用 list-findings 命令检索当前区域中所有敏感数据调查发现的调查发现 ID,并报告 S3 对象中出现的财务信息(没有其他类别的敏感数据)。

对于 Linux、macOS 或 Unix,使用反斜杠 (\) 行继续符来提高可读性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

对于 Microsoft Windows,使用脱字符 (^) 行继续符来提高可读性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

其中:

  • classificationDetails.result.sensitiveData.category 指定敏感数据类别字段的 JSON 名称。

  • eqExactMatch 指定等于精确匹配运算符。

  • FINANCIAL_INFORMATION敏感数据类别字段的枚举值。

示例 3:根据固定时间范围筛选调查发现

此示例使用 list-findings 命令检索当前区域中所有调查发现的调查发现 ID,这些调查发现是在 2020 年 10 月 5 日 07:00 UTC 到 2020 年 11 月 5 日 07:00 UTC(包括这两个时间点)之间创建的。

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

其中:

  • createdAt 指定创建时间字段的 JSON 名称。

  • gte 指定大于或等于运算符。

  • 1601881200000 是时间范围内的第一个日期和时间(作为以毫秒为单位的 Unix 时间戳)。

  • lte 指定小于或等于运算符。

  • 1604559600000 是时间范围内的最后一个日期和时间(作为以毫秒为单位的 Unix 时间戳)。

示例 4:根据屏蔽状态筛选调查发现

此示例使用 list-findings 命令检索位于当前区域并被抑制规则屏蔽(自动存档)的所有调查发现的调查发现 ID。

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

其中:

  • 已存档指定已存档字段的 JSON 名称。

  • eq 指定等于运算符。

  • true已存档字段的布尔值。

示例 5:根据多个字段和值类型筛选调查发现

此示例使用 list-findings 命令检索位于当前区域且符合以下标准的所有敏感数据调查发现的调查发现 ID:创建于 2020 年 10 月 5 日 07:00 UTC 至 2020 年 11 月 5 日 07:00 UTC 之间(不包括这两个时间点);报告 S3 对象中出现的财务数据但没有其他类别的敏感数据;未被抑制规则屏蔽(自动存档)。

对于 Linux、macOS 或 Unix,使用反斜杠 (\) 行继续符来提高可读性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

对于 Microsoft Windows,使用脱字符 (^) 行继续符来提高可读性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

其中:

  • createdAt 指定创建时间字段的 JSON 名称,并且:

    • gt 指定大于或等于运算符。

    • 1601881200000 是时间范围内的第一个日期和时间(作为以毫秒为单位的 Unix 时间戳)。

    • 指定小于或等于运算符。

    • 1604559600000 是时间范围内的最后一个日期和时间(作为以毫秒为单位的 Unix 时间戳)。

  • classificationDetails.result.sensitiveData.category 指定敏感数据类别字段的 JSON 名称,并且:

    • eqExactMatch 指定等于精确匹配运算符。

    • FINANCIAL_INFORMATION 是该字段的枚举值。

  • archived指定已存档字段的 JSON 名称,并且:

    • eq 指定等于运算符。

    • false 是该字段的布尔值。