为 Macie 调查结果创建和管理筛选规则 - Amazon Macie
创建筛选规则应用筛选规则更改筛选规则删除筛选规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Macie 调查结果创建和管理筛选规则

筛选规则 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行一致分析。例如,您可创建一条筛选规则,以用于分析包含未解密对象的 S3 存储桶的所有高严重性策略调查发现;创建另一条规则,用于分析可报告指定类型敏感数据的、高严重性敏感数据调查发现。

请注意,筛选规则与隐藏规则不同。抑制规则是您创建并保存的一组筛选条件,用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则条件的调查发现执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息,请参阅取消发现结果

要创建和管理筛选规则,您可以使用亚马逊 Macie 控制台或亚马逊 Macie。API以下主题说明如何使用。对于API,主题包括如何使用 AWS Command Line Interface (AWS CLI) 执行这些任务的示例。您也可以使用其他 AWS 命令行工具的当前版本或直接向 Macie 发送HTTPS请求来执行这些任务。 AWS SDK有关 AWS 工具和的信息SDKs,请参阅构建工具 AWS

创建筛选规则

创建筛选规则时,需要指定筛选条件、名称以及规则描述(可选)。您可以使用亚马逊 Macie 主机或亚马逊 Macie 创建筛选规则。API

Console

按照以下步骤,使用 Amazon Macie 控制台创建筛选规则。

若要创建筛选规则

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

    提示

    若要先使用现有筛选规则,请从已保存规则列表中选择此规则。

    您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做,Macie 会自动创建并应用适当的筛选条件,这可能是创建规则的有用起点。据此,请在导航窗格选择按存储桶按类型按作业调查发现下),然后选择表内的项目。在详细信息面板中,为字段选择要转置的链接。

  3. 筛选标准框,添加定义规则筛选条件的条件。

    调查发现页面的筛选标准框。

    要了解如何添加筛选条件,请参阅 为 Macie 搜索结果创建和应用过滤器

  4. 定义完规则筛选条件后,在筛选标准框内选择保存规则

    调查发现页面的筛选标准框内的保存规则链接。

  5. 筛选规则下,输入规则的名称和描述(可选)。

  6. 选择保存

API

要以编程方式创建筛选规则,请使用 Amazon API Macie 的CreateFindingsFilter操作并为所需参数指定相应的值:

  • 对于 action 参数,指定 NOOP 以确保 Macie 不会隐藏(自动存档)符合规则标准的结果。

  • 对于 criterion 参数,请指定定义规则筛选条件的条件映射。

    在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅用于筛选 Macie 搜索结果的字段在条件中使用运算符为字段指定值

要使用创建筛选规则 AWS CLI,请运行create-findings-filter命令并为所需参数指定相应的值。以下示例创建了一个筛选规则,该规则可返回当前发现的所有敏感数据, AWS 区域 并报告 S3 对象中出现的个人信息(不包括其他类别的敏感数据)。

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 create-findings-filter \
--action NOOP \
--name my_filter_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["PERSONAL_INFORMATION"]}}}'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 create-findings-filter ^
--action NOOP ^
--name my_filter_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"PERSONAL_INFORMATION\"]}}}

其中:

  • my_filter_rule 是规则的自定义名称。

  • criterion 是该规则的筛选条件映射:

    • classificationDetails.result.sensitiveData.category 是 “敏感数据类别” 字段的JSON名称。

    • eqExactMatch 指定等于精确匹配运算符。

    • PERSONAL_INFORMATION 是 “敏感数据类别” 字段的枚举值。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
    "id": "9b2b4508-aa2f-4940-b347-d1451example"
}

其中arn是创建的筛选规则的 Amazon 资源名称 (ARN),id也是该规则的唯一标识符。

有关筛选标准的其他示例,请参阅 使用 Amazon Macie 以编程方式筛选结果 API

应用筛选规则

当您应用筛选规则时,Amazon Macie 会使用规则条件确定纳入工作台调查发现视图或从中移除的调查发现。Macie 还会显示条件,帮助您确定您的应用条件。

请注意,筛选规则专为与 Amazon Macie 控制台配合使用而设计。您不能在使用 Ama API zon Macie 以编程方式提交的查询中直接使用它们。但是,如果您使用API来查询结果,则可以使用GetFindingsFilter操作来检索规则的筛选条件。然后,您可以将条件添加至查询。有关在查询中指定筛选条件的信息,请参见 为 Macie 搜索结果创建和应用过滤器

按以下步骤,通过应用筛选规则在控制台上筛选调查发现。

要应用筛选规则

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 发现结果

  3. 已保存规则列表中,选择要应用的规则。Macie 应用规则条件并在筛选标准 框内显示此条件。

  4. (可选)若要细化条件,请使用筛选标准框添加或移除筛选条件。如果您这样操作,则您的更改不会影响规则设置。若非您明确将其另存为新规则,否则 Macie 不会保存您的任何更改。

  5. 若要应用不同的筛选规则,请重复第 3 步。

应用筛选规则后,您可以通过在筛选标准框内选择X,以从您的视图中快速移除所有筛选条件。

更改筛选规则

您可以随时使用亚马逊 Macie 主机或 Amazon Macie 更改筛选规则的设置。API您还可以为规则分配和管理标签。

标签是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 标记 Macie 资源

Console

按照以下步骤,使用 Amazon Macie 控制台更改现有筛选规则设置。

要更改筛选规则

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 发现结果

  3. 已保存规则列表中,在要更改的筛选规则旁边选择编辑图标 ( The edit icon, which is a box that has a pencil in it. )。

  4. 执行以下任一操作:

    • 若要更改规则筛选条件,请使用筛选标准框输入所需条件。要了解如何操作,请参阅 为 Macie 搜索结果创建和应用过滤器

    • 若要更改规则的名称,请在 筛选规则 下的 名称 框内输入新名称。

    • 要更改规则的描述,请在 筛选规则 下的 描述 框内输入新的描述。

    • 若要分配、查看或编辑规则标签,请在 筛选规则 下选择管理标签。然后根据需要查看并更改标签。一个规则可具有最多 50 个标签。

  5. 完成更改后,选择 Save (保存)

API

要以编程方式更改筛选规则,请使用 Ama API zon Macie 的UpdateFindingsFilter操作。提交请求时,请使用支持的参数为要更改的每个设置指定一个新值。

对于 id 参数,请为待更改规则指定唯一标识符。您可以通过使用ListFindingsFilter操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS CLI,请运行list-findings-filters命令来检索此列表。

要使用更改筛选规则 AWS CLI,请运行update-findings-filter命令并使用支持的参数为要更改的每个设置指定新值。例如,以下命令可更改现有筛选规则的名称。

C:\> aws macie2 update-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example --name personal_information_only

其中:

  • 9b2b4508-aa2f-4940-b347-d1451example 是规则的唯一标识符。

  • personal_information_only 是该规则的新名称。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
    "id": "9b2b4508-aa2f-4940-b347-d1451example"
}

其中arn是已更改规则的 Amazon 资源名称 (ARN),id也是该规则的唯一标识符。

同样,以下示例通过将 action 参数值从 ARCHIVE 更改为NOOP,以将隐藏规则转换为筛选规则。

C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action NOOP

其中:

  • 8a1c3508-aa2f-4940-b347-d1451example 是规则的唯一标识符。

  • NOOP 是 Macie 对符合规则标准的发现执行的新操作——不执行任何操作(不要压制调查结果)。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
    "id": "8a1c3508-aa2f-4940-b347-d1451example"
}

其中arn是已更改规则的 Amazon 资源名称 (ARN),id也是该规则的唯一标识符。

删除筛选规则

您可以随时使用亚马逊 Macie 主机或亚马逊 Macie 删除筛选规则。API

Console

按照以下步骤,使用 Amazon Macie 控制台删除筛选规则。

要删除筛选规则

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. 已保存规则列表中,在要删除的筛选规则旁边选择编辑图标 ( The edit icon, which is a box that has a pencil in it. )。

  4. 筛选规则下,选择 删除

API

要以编程方式删除筛选规则,请使用 Ama API zon Macie 的DeleteFindingsFilter操作。对于 id 参数,请为待删除规则指定唯一标识符。您可以通过使用ListFindingsFilter操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS CLI,请运行list-findings-filters命令来检索此列表。

要使用删除筛选规则 AWS CLI,请运行delete-findings-filter命令。例如:

C:\> aws macie2 delete-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example

位置 9b2b4508-aa2f-4940-b347-d1451example 是要删除的过滤规则的唯一标识符。

如果命令成功运行,Macie 将返回一个空的 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4 xx 或 500 的响应,说明操作失败的原因。