为 Macie 搜索结果创建抑制规则 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Macie 搜索结果创建抑制规则

抑制规则是一组基于属性的筛选标准,用于定义您希望 Amazon Macie 自动存档调查发现的情况。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。创建抑制规则时,需要指定筛选标准、名称以及该规则的描述(可选)。然后,Macie 使用规则的标准来确定要自动存档哪些调查结果。通过使用抑制规则,您可以简化对结果的分析。

如果您使用抑制规则抑制调查发现,Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为已存档。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。(Macie 会将调查结果存储 90 天。) 这也意味着 Macie 不会将调查结果 EventBridge 作为活动发布给亚马逊,也不会发布给。 AWS Security Hub

请注意,如果你的账户属于一个集中管理多个 Macie 账户的组织,那么禁止规则对你的账户的作用可能会有所不同。这取决于您想要抑制的调查发现的类别,以及您拥有的是 Macie 管理员账户还是成员账户:

  • 策略调查发现 - 只有 Macie 管理员才能抑制组织账户的政策调查发现。

    如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您有成员账户,并且想要隐瞒账户的政策发现,请与您的 Macie 管理员合作隐藏这些发现。

  • 敏感数据调查发现‬ – Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。

    只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。

有关管理员和成员可以执行的任务的更多信息,请参阅Macie 管理员和成员账户关系

另请注意,抑制规则与过滤规则不同。筛选规则 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则条件的结果执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关更多信息,请参阅 定义筛选规则。根据您的分析目标,您可能会确定最好创建筛选规则而不是抑制规则。

为调查结果创建抑制规则

您可以使用亚马逊 Macie 主机或亚马逊 Macie 创建禁止规则。API在创建抑制规则之前,请务必注意,您无法恢复(取消存档)使用抑制规则抑制的调查发现。但是,您可以使用 Macie 查看隐藏的结果

Console

按照以下步骤,使用 Amazon Macie 控制台创建抑制规则。

创建禁止规则

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

    提示

    要使用现有的抑制或筛选规则作为起点,请从已保存的规则列表中选择该规则。

    您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做,Macie 会自动创建并应用适当的筛选条件,这可能是创建规则的有用起点。为此,请在导航窗格(在 “调查结果” 下)中选择 “按存储桶”、“按类型” 或 “按作业”。然后在表格中选择一个项目。在详细信息面板中,为字段选择要转置的链接。

  3. 筛选标准框中,添加筛选条件,以指定您希望规则抑制的调查发现的属性。

    调查发现页面的筛选标准框。

    要了解如何添加筛选条件,请参阅 为 Macie 搜索结果创建和应用过滤器

  4. 在添加完规则的筛选条件后,请选择抑制调查发现

  5. 抑制规则下,输入规则的名称和描述(可选)。

  6. 选择保存

API

要以编程方式创建禁止规则,请使用 Amazon API Macie 的CreateFindingsFilter操作并为所需参数指定相应的值:

  • 对于 action 参数,请指定 ARCHIVE 以确保 Macie 抑制符合规则标准的调查发现。

  • 对于 criterion 参数,请指定定义规则筛选条件的条件映射。

    在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅:用于筛选 Macie 搜索结果的字段在条件中使用运算符、和为字段指定值

要使用 AWS Command Line Interface (AWS CLI) 创建抑制规则,请运行create-findings-filter命令并为所需参数指定适当的值。以下示例创建了一个抑制规则,该规则返回当前发现的所有敏感数据, AWS 区域 并报告 S3 对象中出现的邮件地址(没有其他类型的敏感数据)。

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

其中:

  • my_suppression_rule 是规则的自定义名称。

  • criterion 是该规则的筛选条件映射:

    • classificationDetails.result.sensitiveData.detections.type 是 “敏感数据检测类型” 字段的JSON名称。

    • eqExactMatch 指定等于精确匹配运算符。

    • ADDRESS 是 “敏感数据检测类型” 字段的枚举值。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

其中arn是已创建的禁止规则的 Amazon 资源名称 (ARN),id也是该规则的唯一标识符。

有关筛选标准的其他示例,请参阅 使用 Amazon Macie 以编程方式筛选结果 API