篩選 Macie 調查結果的基本原理 - Amazon Macie
在篩選條件中使用多個條件指定欄位的值為 欄位指定多個值在 條件下使用運算子

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

篩選 Macie 調查結果的基本原理

當您篩選調查結果時,請記住下列功能和準則。另請注意,篩選結果僅限於前 90 天和目前的 AWS 區域。Amazon Macie 只會在每個 中儲存您的調查結果 90 天 AWS 區域。

在篩選條件中使用多個條件

篩選條件可以包含一或多個條件。每個條件也稱為條件 ,由三個部分組成:

  • 屬性型欄位,例如嚴重性調查結果類型 。如需您可以使用的欄位清單,請參閱 用於篩選 Macie 問題清單的欄位

  • 運算子,例如等於或不等於 。如需您可以使用的運算子清單,請參閱 在 條件下使用運算子

  • 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。

如果篩選條件包含多個條件,Amazon Macie AND 會使用邏輯來加入條件並評估篩選條件。這表示只有當調查結果符合篩選條件中的所有條件時,才會符合篩選條件。

例如,如果您新增條件以僅包含高嚴重性調查結果,並新增另一個條件以僅包含敏感資料調查結果,則 Macie 會傳回所有高嚴重性的敏感資料調查結果。換句話說,Macie 排除所有政策調查結果,以及所有中嚴重性和低嚴重性敏感資料調查結果。

您只能在篩選條件中使用 欄位一次。不過,您可以為許多欄位指定多個值。

例如,如果條件使用嚴重性欄位僅包含高嚴重性調查結果,則您無法在其他條件中使用嚴重性欄位來包含中嚴重性或低嚴重性調查結果。相反地,請為現有條件指定多個值,或為現有條件使用不同的運算子。例如,若要包含所有中嚴重性和高嚴重性調查結果,請新增嚴重性等於中、高條件,或新增嚴重性不等於條件。

指定欄位的值

當您指定欄位的值時,該值必須符合該欄位的基礎資料類型。視 欄位而定,您可以指定下列其中一種類型的值。

文字陣列 (字串)

指定欄位的文字 (字串) 值清單。每個字串都與欄位的預先定義或現有值相關聯,例如嚴重性欄位為調查結果類型欄位為 SensitiveData:S3Object/Financial,或 S3 儲存貯體名稱欄位的 S3 儲存貯體名稱

如果您使用陣列,請注意下列事項:

  • 值區分大小寫。

  • 您無法指定部分值或在值中使用萬用字元。您必須為 欄位指定完整且有效的值。

例如,若要篩選名為 my-S3-bucket3-bucket 之 S3 儲存貯體的調查結果,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 不會傳回儲存貯體的調查結果。

如需每個欄位的有效值清單,請參閱 用於篩選 Macie 問題清單的欄位

您可以在陣列中指定最多 50 個值。指定值的方式取決於您使用的是 Amazon Macie 主控台還是 Amazon Macie API,如 中所述為 欄位指定多個值

:布林值

指定欄位的兩個互斥值之一。

如果您使用 Amazon Macie 主控台來指定此類型的值,則主控台會提供可供選擇的值清單。如果您使用 Amazon Macie API,請指定 值falsetrue或 。

日期/時間 (和時間範圍)

指定欄位的絕對日期和時間。如果您指定此類型的值,則必須同時指定日期和時間。

在 Amazon Macie 主控台上,日期和時間值位於您的本機時區,並使用 24 小時表示法。在所有其他內容中,這些值採用國際標準時間 (UTC) 和延伸ISO的 8601 格式,例如 2020-09-01T14:31:13Z 2020 年 UTC9 月 1 日下午 2:31:13。

如果欄位儲存日期/時間值,您可以使用 欄位定義固定或相對時間範圍。例如,您只能包含在兩個特定日期和時間之間建立的調查結果,或只包含在特定日期和時間之前或之後建立的調查結果。如何定義時間範圍取決於您使用的是 Amazon Macie 主控台或 Amazon MacieAPI:

  • 在主控台上,使用日期選擇器,或直接在起始結束方塊中輸入文字。

  • 使用 API,透過新增指定範圍內第一個日期和時間的條件來定義固定時間範圍,並新增另一個指定範圍內最後一個日期和時間的條件。如果您這樣做,Macie AND 會使用邏輯來加入條件。若要定義相對時間範圍,請新增一個條件,指定範圍內的第一個或最後一個日期和時間。以毫秒為單位將值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

在主控台上,時間範圍包含在內。使用 API時,時間範圍可以是包含或排他性,取決於您選擇的運算子。

數字 (和數值範圍)

指定欄位的長整數。

如果欄位儲存數值,您可以使用 欄位來定義固定或相對數值範圍。例如,您只能包含在 S3 物件中報告 50-90 個敏感資料的調查結果。如何定義數值範圍取決於您使用的是 Amazon Macie 主控台還是 Amazon MacieAPI:

  • 在主控台上,使用方塊分別輸入範圍內的最低和最高數字。

  • 使用 API,透過新增指定範圍內最低數字的條件來定義固定數字範圍,並新增另一個指定範圍內最高數字的條件。如果您這樣做,Macie AND 會使用邏輯來加入條件。若要定義相對數值範圍,請新增一個條件,指定範圍內的最低或最高數字。

在 主控台上,包含數值範圍。使用 API時,數值範圍可以是包含或排斥範圍,具體取決於您選擇的運算子。

文字 (字串)

指定欄位的單一文字 (字串) 值。字串與欄位的預先定義或現有值相關聯,例如嚴重性欄位為、S3 儲存貯體名稱欄位的 S3 儲存貯體名稱,或工作 ID 欄位敏感資料探索任務的唯一識別符。

如果您指定單一文字字串,請注意下列事項:

  • 值區分大小寫。

  • 您無法在值中使用部分值或萬用字元。您必須為 欄位指定完整且有效的值。

例如,若要篩選名為 my-S3-bucket3-bucket 之 S3 儲存貯體的調查結果,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 不會傳回儲存貯體的調查結果。

如需每個欄位的有效值清單,請參閱 用於篩選 Macie 問題清單的欄位

為 欄位指定多個值

對於某些欄位和運算子,您可以為欄位指定多個值。如果您這樣做,Amazon Macie 會使用 OR 邏輯來聯結值並評估篩選條件。這表示如果調查結果具有欄位的任何值,則會符合條件。

例如,如果您新增條件以包含調查結果,其中調查結果類型的欄位值等於 SensitiveData:S3Object/Financial, SensitiveData:S3Object/Personal,Macie 會傳回僅包含財務資訊的 S3 物件,以及僅包含個人資訊的 S3 物件的敏感資料調查結果。換句話說,Macie 會排除所有政策調查結果。Macie 也排除包含其他類型敏感資料或多種類型敏感資料的物件的所有敏感資料調查結果。

例外狀況是使用 的條件 eqExactMatch 運算子。對於此運算子,Macie AND 使用邏輯來聯結值並評估篩選條件。這表示只有當調查結果具有欄位的所有值,且只有欄位的那些值時,才會符合條件。若要進一步了解此運算子,請參閱 在 條件下使用運算子

如何為 欄位指定多個值取決於您使用的是 Amazon Macie API還是 Amazon Macie 主控台。透過 API,您可以使用列出值的陣列。

在主控台上,您通常會從清單中選擇值。不過,對於某些欄位,您必須為每個值新增不同的條件。例如,若要包含 Macie 使用特定自訂資料識別符偵測到的資料調查結果,請執行下列動作:

  1. 將游標放在篩選條件方塊中,然後選擇自訂資料識別碼名稱欄位。輸入自訂資料識別符的名稱,然後選擇套用

  2. 針對您要為篩選條件指定的每個其他自訂資料識別符,重複上述步驟。

如需需要執行此操作的欄位清單,請參閱 用於篩選 Macie 問題清單的欄位

在 條件下使用運算子

您可以在個別條件下使用下列類型的運算子。

等於 (eq)

比對 (=) 為 欄位指定的任何值。您可以使用等於運算子搭配下列類型的值:文字陣列 (字串)、布林值、日期/時間、數字和文字 (字串)。

對於許多欄位,您可以使用此運算子,並為欄位指定最多 50 個值。如果您這樣做,Amazon Macie 會使用 OR 邏輯來加入值。這表示如果調查結果具有為 欄位指定的任何值,則會符合條件。

例如:

  • 若要包含報告財務資訊、個人資訊或財務和個人資訊的調查結果,請新增使用敏感資料類別欄位和此運算子的條件,並將財務資訊和個人資訊指定為欄位的值。

  • 若要包含報告發生信用卡號碼、郵寄地址或同時報告信用卡號碼和郵寄地址的調查結果,請為敏感資料偵測類型欄位新增條件、使用此運算子,並指定 CREDIT_CARD_NUMBERADDRESS 作為 欄位的值。

如果您使用 Amazon Macie API來定義使用此運算子搭配日期/時間值的條件,請以毫秒為單位將值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

等於完全相符 (eqExactMatch)

完全符合為 欄位指定的所有值。您可以使用等於完全相符運算子搭配一組選取的欄位。

如果您使用此運算子並為 欄位指定多個值,Macie AND 會使用邏輯來聯結這些值。這表示只有當發現物具有為 欄位指定的所有值,且只有欄位指定的這些值時,才會符合條件。您可以為 欄位指定最多 50 個值。

例如:

  • 若要包含報告發生信用卡號碼和沒有其他類型敏感資料的調查結果,請為敏感資料偵測類型欄位新增條件、使用此運算子,並指定 CREDIT_CARD_NUMBER 作為 欄位的唯一值。

  • 若要包含報告發生信用卡號碼和郵寄地址 (以及沒有其他類型的敏感資料) 的調查結果,請為敏感資料偵測類型欄位新增條件、使用此運算子,並指定 CREDIT_CARD_NUMBERADDRESS 作為 欄位的值。

由於 Macie AND 使用邏輯來聯結欄位的值,因此您無法將此運算子與相同欄位的任何其他運算子結合使用。換句話說,如果您使用等於完全相符運算子,且欄位處於一個條件,則必須在所有其他使用相同欄位的條件中使用它。

與其他運算子一樣,您可以在篩選條件中的多個條件中使用等於完全相符運算子。如果您這樣做,Macie AND 會使用邏輯來加入條件並評估篩選條件。這表示只有當調查結果具有篩選條件中所有條件指定的所有值時,才會符合篩選條件。

例如,若要包含在特定時間後建立的調查結果、報告信用卡號碼的出現,以及不報告任何其他類型的敏感資料,請執行下列動作:

  1. 新增使用建立於 欄位的條件、使用大於 的運算子,並指定篩選條件的開始日期和時間。

  2. 新增另一個使用敏感資料偵測類型欄位的條件,使用等於完全相符運算子,並指定 CREDIT_CARD_NUMBER 作為 欄位的唯一值。

您可以使用等於完全相符運算子搭配下列欄位:

  • 自訂資料識別碼 ID (customDataIdentifiers.detections.arn

  • 自訂資料識別符名稱 (customDataIdentifiers.detections.name

  • S3 儲存貯體標籤金鑰 (resourcesAffected.s3Bucket.tags.key

  • S3 儲存貯體標籤值 (resourcesAffected.s3Bucket.tags.value

  • S3 物件標籤金鑰 (resourcesAffected.s3Object.tags.key

  • S3 物件標籤值 (resourcesAffected.s3Object.tags.value

  • 敏感資料偵測類型 (sensitiveData.detections.type

  • 敏感資料類別 (sensitiveData.category

在上述清單中,括號名稱使用點符號,以調查結果JSON表示方式和 Amazon Macie 來表示欄位的名稱API。

大於 (gt)

大於 (>) 欄位指定的值。您可以使用大於 的運算子搭配數字和日期/時間值。

例如,若要僅包含 S3 物件中報告超過 90 個敏感資料的調查結果,請新增使用敏感資料總數欄位和此運算子的條件,並將 90 指定為欄位的值。若要在 Amazon Macie 主控台上執行此操作,91請在方塊中輸入 ,不要在收件者方塊中輸入值,然後選擇套用 。主控台上包含數值和時間比較。

如果您使用 Amazon Macie API來定義使用此運算子的時間範圍,則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

大於或等於 (gte)

大於或等於 (>=) 欄位指定的值。您可以使用大於或等於運算子的數字和日期/時間值。

例如,若要僅包含 S3 物件中報告 90 個或更多敏感資料的調查結果,請新增使用敏感資料總數欄位和此運算子的條件,並將 90 指定為欄位的值。若要在 Amazon Macie 主控台上執行此操作,90請在方塊中輸入 ,不要在收件人方塊中輸入值,然後選擇套用

如果您使用 Amazon Macie API來定義使用此運算子的時間範圍,則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

小於 (lt)

小於 (<) 欄位指定的值。您可以使用小於 的運算子搭配數字和日期/時間值。

例如,若要僅包含 S3 物件中報告少於 90 個敏感資料的調查結果,請新增使用敏感資料總數欄位和此運算子的條件,並將 90 指定為欄位的值。若要在 Amazon Macie 主控台上執行此操作,89請在收件人方塊中輸入 ,請勿在寄件人方塊中輸入值,然後選擇套用 。主控台上包含數值和時間比較。

如果您使用 Amazon Macie API來定義使用此運算子的時間範圍,則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

小於或等於 (lte)

小於或等於 (<=) 欄位指定的值。您可以使用小於或等於運算子的數字和日期/時間值。

例如,若要僅包含 S3 物件中報告 90 個或更少敏感資料的調查結果,請新增使用敏感資料總數欄位和此運算子的條件,並將 90 指定為欄位的值。若要在 Amazon Macie 主控台上執行此操作,90請在收件人方塊中輸入 ,請勿在寄件人方塊中輸入值,然後選擇套用

如果您使用 Amazon Macie API來定義使用此運算子的時間範圍,則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。

不等於 (neq)

不符合 (≠) 為 欄位指定的任何值。您可以使用不等於運算子搭配下列類型的值:文字陣列 (字串)、布林值、日期/時間、數字和文字 (字串)。

對於許多欄位,您可以使用此運算子,並為欄位指定最多 50 個值。如果您這樣做,Macie 會使用 OR 邏輯來聯結值。這表示如果結果沒有為 欄位指定的任何值,則符合條件。

例如:

  • 若要排除報告財務資訊、個人資訊或財務和個人資訊發生情況的調查結果,請新增使用敏感資料類別欄位和此運算子的條件,並將財務資訊和個人資訊指定為欄位的值。

  • 若要排除報告發生信用卡號碼的調查結果,請為敏感資料偵測類型欄位新增條件、使用此運算子,並指定 CREDIT_CARD_NUMBER 作為 欄位的值。

  • 若要排除報告發生信用卡號碼、郵寄地址或同時報告信用卡號碼和郵寄地址的調查結果,請為敏感資料偵測類型欄位新增條件、使用此運算子,並指定 CREDIT_CARD_NUMBERADDRESS 作為 欄位的值。

如果您使用 Amazon Macie API來定義使用此運算子搭配日期/時間值的條件,請以毫秒為單位將值指定為 Unix 時間戳記,例如 1604616572653 2020 年 UTC11 月 5 日 22:49:32。