查看 Macie 中抑制的调查发现
如果您使用抑制规则抑制调查发现,Amazon Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为已存档。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。(Macie 会将调查发现存储 90 天。) 这也意味着 Macie 不会将调查发现作为事件发布到 Amazon EventBridge 或 AWS Security Hub。
由于抑制的调查发现在 Macie 中最多可保留 90 天,因此您可以在过期前访问和查看这些调查发现。除了扩大调查发现的分析范围,这还能帮助您确定是否要调整抑制标准。要调整标准,请更改账户的抑制规则。
您可以通过更改筛选设置,在 Amazon Macie 控制台上查看抑制的调查发现。
在控制台上查看抑制的调查发现
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/
。 -
在导航窗格中,选择调查发现。调查发现页面显示 Macie 于过去 90 天内在当前的 AWS 区域 为您的账户创建或更新的调查发现。默认情况下,这不包括被抑制规则隐藏的调查发现。
-
要按预定义的逻辑组透视和查看调查发现,请在导航窗格(在调查发现下)中选择按存储桶、按类型或按作业。
-
对于调查发现状态,请执行下面的一项操作:
-
要仅显示抑制的调查发现,请选择已存档。
-
要同时显示抑制和未抑制的调查发现,请选择全部。
-
要再次隐藏抑制的调查发现,请选择当前。
-
您也可以使用 Amazon Macie API 访问抑制的调查发现。要检索抑制的调查发现列表,请使用 ListFindings 操作。在您的请求中,包含一个指定 archived 字段 true 的筛选条件。有关如何使用 AWS Command Line Interface (AWS CLI) 执行此操作的示例,请参阅 以编程方式筛选调查发现。然后,要检索一个或多个抑制的调查发现的详细信息,请使用 GetFindings 操作。在请求中,指定要检索的每个调查发现的唯一标识符。
注意
在查看调查发现时,请注意抑制规则对于作为组织一部分的账户可能会有不同的作用。这取决于调查发现的类别,以及您是否拥有 Macie 管理员或成员账户:
-
策略调查发现:只有 Macie 管理员才能抑制组织账户的政策调查发现。
如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您拥有成员账户,并且想要抑制账户的策略调查发现,请联系您的 Macie 管理员一起抑制调查发现。
-
敏感数据调查发现:Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。
只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。
有关管理员和成员可以执行的任务的更多信息,请参阅 Macie 管理员和成员账户的关系。
