使用 Macie 样本调查结果 - Amazon Macie
生成样本调查发现查看样本调查发现抑制样本调查发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Macie 样本调查结果

要探索和了解 Amazon Macie 可以生成的不同类型的调查发现,您可以创建样本调查发现。样本调查发现使用示例数据和占位符值来演示每种类型的调查发现可能包含的信息类型。

例如,P olicy: IAMUser /S3 BucketPublic 示例调查结果包含有关虚构的亚马逊简单存储服务 (Amazon S3) 存储桶的详细信息。调查结果的详细信息包括有关操作者的示例数据和操作,这些操作更改了存储桶的访问控制列表 (ACL),并使存储桶可公开访问。同样,: s3Object/Multip SensitiveDatale 样本调查结果包含有关虚构的 Microsoft Excel 工作簿的详细信息。调查发现的详细信息包括有关工作簿中敏感数据的类型和位置的示例数据。

除了熟悉不同类型的发现结果可能包含的信息外,您还可以使用样本调查发现来测试与其他应用程序、服务和系统的集成。根据您账户的封禁规则,Macie 可以将调查结果样本 EventBridge 作为事件发布到亚马逊。通过使用样本调查发现中的示例数据,您可以开发和测试用于监控和处理这些事件的自动化解决方案。根据您账户的发布设置,Macie 还可以将样本调查结果发布到 AWS Security Hub。 这意味着您还可以使用样本发现来开发和测试解决方案,以便在 Security Hub 中监控和处理 Macie 调查结果。有关将调查发现发布到这些服务的信息,请参阅监控和处理结果

生成样本调查发现

您可以使用亚马逊 Macie 控制台或亚马逊 Macie 创建样本调查结果。API如果您使用控制台,Macie 会自动为 Macie 支持的每种调查发现生成一个样本调查发现。如果使用API,则可以为每种类型创建样本,也可以仅为指定的某些类型创建样本。

Console

按照以下步骤使用 Amazon Macie 控制台创建样本调查发现。

创建样本调查发现

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Settings(设置)

  3. Sample findings 下,选择 Generate sample findings

API

要以编程方式创建样本调查结果,请使用 Ama API zon Macie 的CreateSampleFindings操作。提交请求时,可以选择使用 findingTypes 参数仅指定要创建的某些类型的样本调查发现。要自动创建所有类型的样本,请不要在请求中包含此参数。

要创建样本调查结果,请使用 AWS Command Line Interface (AWS CLI),运行create-sample-findings命令。要自动创建所有类型调查发现的样本,请不要包含 finding-types 参数。要仅创建某些类型调查发现的样本,请包含此参数并指定要创建的样本调查发现的类型。例如:

C:\> aws macie2 create-sample-findings --finding-types "SensitiveData:S3Object/Multiple" "Policy:IAMUser/S3BucketPublic"

位置 SensitiveData:S3Object/Multiple 是一种需要创建的敏感数据查找和 Policy:IAMUser/S3BucketPublic 是一种需要创建的政策调查结果。

如果该命令成功运行,Macie 将返回空响应。

查看样本调查发现

为了帮助您识别样本调查结果,Amazon Macie 将每个样本结果的 “样本” 字段的值设置为 True。此外,所有示例发现的受影响的 S3 存储桶的名称都相同:macie-sample-finding-bucket。如果您使用 Amazon Macie 控制台上的调查结果页面查看样本调查结果,Macie 还会在每个样本查找结果的 “查找结果类型” 字段中显示 [SAMPLE] 前缀。

Console

按照以下步骤使用 Amazon Macie 控制台查看样本调查发现。

若要查看样本调查发现

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. 调查发现页面上,执行以下任何操作:

    • 查找结果类型列中,找到类型以 [SAMPLE] 开头的查找结果,如下图所示。

      “调查结果” 页面上的 “查找结果类型” 列。它列出了带有 [SAMPLE] 前缀的结果。

    • 使用表格上方的 筛选标准框,筛选表格以仅显示样本调查发现。为此,请将光标放在框中。在出现的字段列表中,选择 样本。然后选择,再选择应用。这会将以下筛选条件应用于表:

      带有筛选条件的 “筛选条件” 框,其中 “示例” 字段的值等于 True。

  4. 要查看特定样本调查发现的详细信息,请选择该调查发现。详细信息面板会显示调查发现的信息。

您也可以下载一个或多个样本调查结果的详细信息并将其保存为JSON文件。为此,选中要下载并保存的每个样本调查发现的复选框。然后在 “调查结果” 页面顶部的 “操作” 菜单上选择 “导出” (JSON)。在出现的窗口中,选择 下载。有关调查结果可能包含的JSON字段的详细描述,请参阅 Amazon Macie API 参考中的调查结果

API

要以编程方式查看样本调查结果,请先使用 Amazon API Macie 的ListFindings操作来检索您创建的每个样本查找结果的唯一标识符 findingId ()。然后使用该GetFindings操作来检索这些发现的详细信息。

提交 ListFindings 请求时,您可以指定筛选标准,以便在结果中仅包含样本调查发现。为此,请添加一个筛选条件,其中 sample 字段的值为 true。如果你使用的是 AWS CLI,运行 list-find ings 命令并使用finding-criteria参数指定筛选条件。例如:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"sample\":{\"eq\":[\"true\"]}}}

如果请求成功,Macie 将返回一个 findingIds 数组。该数组列出了当前账户中每个样本查找结果的唯一标识符 AWS 区域.

然后要检索样本调查结果的详细信息,请在GetFindings请求中指定这些唯一标识符,或者,对于 AWS CLI,当你运行 get-findings 命令时。

抑制样本调查发现

与其他调查结果一样,亚马逊 Macie 会将样本调查结果存储 90 天。完成样本的查看和实验后,您可以选择通过创建抑制规则将其存档。如果执行此操作,则默认情况下,样本调查发现将停止显示在控制台上,其状态将更改为已存档

要使用 Amazon Macie 控制台存档样本调查发现,请将规则配置为存档样本字段值为的调查发现。要使用 Amazon Macie 存档样本调查结果API,请将规则配置为在该sample字段值所在的地方存档调查结果。true