本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Macie 调查结果创建和管理筛选规则
筛选规则 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行一致分析。例如,您可创建一条筛选规则,以用于分析包含未解密对象的 S3 存储桶的所有高严重性策略调查发现;创建另一条规则,用于分析可报告指定类型敏感数据的、高严重性敏感数据调查发现。
请注意,筛选规则与隐藏规则不同。抑制规则是您创建并保存的一组筛选条件,用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则条件的调查发现执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息,请参阅取消发现结果。
要创建和管理筛选规则,您可以使用亚马逊 Macie 控制台或亚马逊 Macie。API以下主题说明如何使用。对于API,主题包括如何使用 AWS Command Line Interface (AWS CLI) 执行这些任务的示例。您也可以使用其他 AWS 命令行工具的当前版本或直接向 Macie 发送HTTPS请求来执行这些任务。 AWS
SDK有关 AWS 工具和的信息SDKs,请参阅构建工具 AWS。
创建筛选规则
创建筛选规则时,需要指定筛选条件、名称以及规则描述(可选)。您可以使用亚马逊 Macie 主机或亚马逊 Macie 创建筛选规则。API
- Console
-
按照以下步骤,使用 Amazon Macie 控制台创建筛选规则。
- API
-
要以编程方式创建筛选规则,请使用 Amazon API Macie 的CreateFindingsFilter操作并为所需参数指定相应的值:
-
对于 action
参数,指定 NOOP
以确保 Macie 不会隐藏(自动存档)符合规则标准的结果。
-
对于 criterion
参数,请指定定义规则筛选条件的条件映射。
在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅用于筛选 Macie 搜索结果的字段、在条件中使用运算符和为字段指定值。
要使用创建筛选规则 AWS CLI,请运行create-findings-filter命令并为所需参数指定相应的值。以下示例创建了一个筛选规则,该规则可返回当前发现的所有敏感数据, AWS 区域 并报告 S3 对象中出现的个人信息(不包括其他类别的敏感数据)。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。
$
aws macie2 create-findings-filter \
--action NOOP \
--name my_filter_rule
\
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category
":{"eqExactMatch
":["PERSONAL_INFORMATION
"]}}}'
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
C:\>
aws macie2 create-findings-filter ^
--action NOOP ^
--name my_filter_rule
^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category
\":{\"eqExactMatch
\":[\"PERSONAL_INFORMATION
\"]}}}
其中:
如果命令成功运行,则您将收到类似于以下内容的输出:
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
其中arn
是创建的筛选规则的 Amazon 资源名称 (ARN),id
也是该规则的唯一标识符。
有关筛选标准的其他示例,请参阅 使用 Amazon Macie 以编程方式筛选结果 API。
应用筛选规则
当您应用筛选规则时,Amazon Macie 会使用规则条件确定纳入工作台调查发现视图或从中移除的调查发现。Macie 还会显示条件,帮助您确定您的应用条件。
请注意,筛选规则专为与 Amazon Macie 控制台配合使用而设计。您不能在使用 Ama API zon Macie 以编程方式提交的查询中直接使用它们。但是,如果您使用API来查询结果,则可以使用GetFindingsFilter操作来检索规则的筛选条件。然后,您可以将条件添加至查询。有关在查询中指定筛选条件的信息,请参见 为 Macie 搜索结果创建和应用过滤器。
按以下步骤,通过应用筛选规则在控制台上筛选调查发现。
应用筛选规则后,您可以通过在筛选标准框内选择X,以从您的视图中快速移除所有筛选条件。
更改筛选规则
您可以随时使用亚马逊 Macie 主机或 Amazon Macie 更改筛选规则的设置。API您还可以为规则分配和管理标签。
标签是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 标记 Macie 资源。
- Console
-
按照以下步骤,使用 Amazon Macie 控制台更改现有筛选规则设置。
- API
-
要以编程方式更改筛选规则,请使用 Ama API zon Macie 的UpdateFindingsFilter操作。提交请求时,请使用支持的参数为要更改的每个设置指定一个新值。
对于 id
参数,请为待更改规则指定唯一标识符。您可以通过使用ListFindingsFilter操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS CLI,请运行list-findings-filters命令来检索此列表。
要使用更改筛选规则 AWS CLI,请运行update-findings-filter命令并使用支持的参数为要更改的每个设置指定新值。例如,以下命令可更改现有筛选规则的名称。
C:\>
aws macie2 update-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example
--name personal_information_only
其中:
如果命令成功运行,则您将收到类似于以下内容的输出:
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
其中arn
是已更改规则的 Amazon 资源名称 (ARN),id
也是该规则的唯一标识符。
同样,以下示例通过将 action
参数值从 ARCHIVE
更改为NOOP
,以将隐藏规则转换为筛选规则。
C:\>
aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example
--action NOOP
其中:
如果命令成功运行,则您将收到类似于以下内容的输出:
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
其中arn
是已更改规则的 Amazon 资源名称 (ARN),id
也是该规则的唯一标识符。
删除筛选规则
您可以随时使用亚马逊 Macie 主机或亚马逊 Macie 删除筛选规则。API
- Console
-
按照以下步骤,使用 Amazon Macie 控制台删除筛选规则。
- API
-
要以编程方式删除筛选规则,请使用 Ama API zon Macie 的DeleteFindingsFilter操作。对于 id
参数,请为待删除规则指定唯一标识符。您可以通过使用ListFindingsFilter操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS CLI,请运行list-findings-filters命令来检索此列表。
要使用删除筛选规则 AWS CLI,请运行delete-findings-filter命令。例如:
C:\>
aws macie2 delete-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example
位置 9b2b4508-aa2f-4940-b347-d1451example
是要删除的过滤规则的唯一标识符。
如果命令成功运行,Macie 将返回一个空的 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4 xx 或 500 的响应,说明操作失败的原因。