建立篩選條件並將其套用至 Macie 調查結果 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立篩選條件並將其套用至 Macie 調查結果

若要識別並專注於具有特定特徵的調查結果,您可以在 Amazon Macie 主控台和使用 Amazon Macie 以程式設計方式提交的查詢中篩選調查結果API。建立篩選條件時,您可以使用調查結果的特定屬性來定義從檢視或查詢結果中包含或排除調查結果的條件。調查結果屬性是存放調查結果特定資料的欄位,例如調查結果套用的資源嚴重性、類型或名稱。

在 Macie 中,篩選條件包含一或多個條件。每個條件也稱為條件 ,由三個部分組成:

  • 屬性型欄位,例如嚴重性調查結果類型

  • 運算子,例如等於或不等於

  • 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。

如何定義和套用篩選條件取決於您使用的是 Amazon Macie 主控台還是 Amazon MacieAPI。

使用 Amazon Macie 主控台篩選調查結果

如果您使用 Amazon Macie 主控台篩選調查結果,Macie 會提供選項,協助您選擇個別條件的欄位、運算子和值。您可以使用調查結果頁面上的篩選條件設定來存取這些選項,如下圖所示。

調查結果頁面上的篩選條件設定、調查結果狀態選單和篩選條件條件方塊。

透過使用調查結果狀態選單,您可以指定是否包含由禁止規則 禁止 (自動封存) 的調查結果。使用篩選條件方塊,您可以輸入篩選條件。

當您將游標置於篩選條件方塊中時,Macie 會顯示可在篩選條件中使用的欄位清單。欄位依邏輯類別整理。例如,通用欄位類別包含套用至任何類型的調查結果的欄位,而分類欄位類別包含僅適用於敏感資料調查結果的欄位。每個類別內的欄位會依字母順序排序。

若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位名稱以縮小欄位清單範圍。

Macie 會根據您選擇的欄位顯示不同的選項。這些選項反映您選擇的欄位類型和性質。例如,如果您選擇嚴重性欄位,Macie 會顯示要選擇的值清單:。如果您選擇 S3 儲存貯體名稱欄位,Macie 會顯示文字方塊,您可以在其中輸入儲存貯體名稱。無論您選擇哪個欄位,Macie 都會引導您完成新增條件的步驟,其中包含欄位所需的設定。

新增條件後,Macie 會套用條件的條件,並將條件新增至篩選條件條件方塊中的篩選條件權杖,如下圖所示。

針對指定嚴重性欄位值的條件,具有權杖的篩選條件方塊。

在此範例中,條件設定為包含所有中嚴重性和高嚴重性調查結果,並排除所有低嚴重性調查結果。它會傳回嚴重性欄位值等於的調查結果。

提示

對於許多欄位,您可以針對條件選擇篩選條件權杖中的等於圖示 ( The equals icon, which is a solid gray circle. ),將條件的運算子從等於變更為不等於。如果您這樣做,Macie 會將運算子變更為不等於 ,並在權杖中顯示不等於圖示 ( The not equals icon, which is an empty gray circle that has a backslash in it. )。若要再次切換至等於運算子,請選擇不等於圖示。

當您新增更多條件時,Macie 會套用其條件,並將其新增至篩選條件方塊中的權杖。您可以隨時參考 方塊,以判斷您已套用哪些條件。若要移除條件,請在條件的權杖中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. )。

使用主控台篩選調查結果
  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇調查結果

  3. (選用) 若要先依預先定義的邏輯群組篩選和檢閱調查結果,請在導覽窗格中依儲存貯體 依類型 依任務在調查結果 下) 選擇 。然後選擇表格中的項目。在詳細資訊面板中,選擇要樞紐分析的欄位連結。

  4. (選用) 若要顯示受禁止規則 禁止的調查結果,請變更篩選條件狀態設定。選擇已封存以僅顯示隱藏的調查結果,或選擇全部以顯示隱藏和未隱藏的調查結果。若要隱藏隱藏的調查結果,請選擇目前

  5. 若要新增篩選條件:

    1. 將游標放在篩選條件方塊中,然後選擇條件要使用的欄位。如需有關您可以使用之欄位的資訊,請參閱 用於篩選 Macie 調查結果的欄位

    2. 為 欄位輸入適當的值類型。如需不同類型值的詳細資訊,請參閱 指定欄位的值

      文字陣列 (字串)

      對於這種類型的值,Macie 通常會提供可供選擇的值清單。如果是這種情況,請選取您要在 條件中使用的每個值。

      如果 Macie 未提供值清單,請為 欄位輸入完整且有效的值。若要為 欄位指定其他值,請選擇套用 ,然後為每個額外值新增另一個條件。

      請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket3-bucket 之 S3 儲存貯體的調查結果,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 將不會傳回儲存貯體的調查結果。

      :布林值

      對於此類型的值,Macie 會提供可供選擇的值清單。選取您要在 條件中使用的值。

      日期/時間 (時間範圍)

      對於此類型的值,請使用起始結束方塊來定義包含的時間範圍:

      • 若要定義固定時間範圍,請使用方塊,分別指定範圍內的第一個日期和時間,以及最後一個日期和時間。

      • 若要定義開始於特定日期和時間,並在目前時間結束的相對時間範圍,請在起始方塊中輸入開始日期和時間,然後在結束方塊中刪除任何文字。

      • 若要定義結束於特定日期和時間的相對時間範圍,請在結束方塊中輸入結束日期和時間,然後在開始方塊中刪除任何文字。

      請注意,時間值使用 24 小時表示法。如果您使用日期選擇器來選擇日期,則可以直接在來源目的地方塊中輸入文字來精簡值。

      數字 (數值範圍)

      對於此類型的值,請使用方塊,輸入一或多個定義包含、固定或相對數值範圍的整數。

      文字 (字串) 值

      針對此類型的值,輸入欄位的完整有效值。

      請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket3-bucket 之 S3 儲存貯體的調查結果,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 將不會傳回儲存貯體的調查結果。

    3. 完成欄位的新增值時,請選擇套用 。Macie 會套用篩選條件,並將條件新增至篩選條件方塊中的篩選條件權杖。

  6. 針對您要新增的每個其他條件重複步驟 5。

  7. 若要移除條件,請在條件的篩選條件權杖中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. )。

  8. 若要變更條件,請在條件的篩選條件權杖中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. ),以移除條件。然後重複步驟 5 以使用正確的設定新增條件。

提示

如果隨後想要再次使用此條件集,您可以將此集儲存為篩選條件規則。若要這麼做,請在篩選條件方塊中選擇儲存規則。然後輸入 名稱,並選擇性地輸入規則的描述。完成後,請選擇儲存

使用 Amazon Macie 以程式設計方式篩選調查結果 API

若要以程式設計方式篩選調查結果,請在您使用 ListFindings或 Amazon Macie GetFindingStatistics操作提交的查詢中指定篩選條件API。ListFindings 操作會傳回調查結果 的陣列IDs,每個符合篩選條件的調查結果各有一個 ID。GetFindingStatistics 操作會傳回符合篩選條件之所有調查結果的彙總統計資料,並依您在請求中指定的欄位分組。

請注意, ListFindingsGetFindingStatistics操作與您用來隱藏調查結果 的操作不同。與禁止操作不同,其也指定篩選條件, ListFindingsGetFindingStatistics操作只會查詢調查結果資料。他們不會對符合篩選條件的調查結果執行任何動作。若要隱藏調查結果,請使用 Amazon Macie CreateFindingsFilter的操作API。

若要在查詢中指定篩選條件,請在請求中包含篩選條件的映射。針對每個條件,指定欄位、運算子和一個或多個欄位值。值的類型和數量取決於您選擇的欄位和運算子。如需您可以在 條件中使用的欄位、運算子和值類型的相關資訊,請參閱用於篩選 Macie 調查結果的欄位在 條件下使用運算子指定欄位的值

下列範例示範如何在使用 AWS Command Line Interface (AWS CLI) 提交的查詢中指定篩選條件。您也可以使用目前版本的另一個 AWS 命令列工具或 AWS SDK,或直接將HTTPS請求傳送至 Macie,藉此執行此操作。如需 AWS 工具和 的相關資訊SDKs,請參閱在 上建置的工具 AWS

這些範例使用 list-findings 命令。如果範例執行成功,Macie 會傳回findingIds陣列。陣列會列出符合篩選條件的每個調查結果的唯一識別符,如下列範例所示。

{ "findingIds": [ "1f1c2d74db5d8caa76859ec52example", "6cfa9ac820dd6d55cad30d851example", "702a6fd8750e567d1a3a63138example", "826e94e2a820312f9f964cf60example", "274511c3fdcd87010a19a3a42example" ] }

如果沒有符合篩選條件的調查結果,Macie 會傳回空findingIds陣列。

{ "findingIds": [] }

範例 1:根據嚴重性篩選調查結果

此範例使用 list-findings 命令來擷取目前 中IDs所有高嚴重性和中嚴重性調查結果的調查結果 AWS 區域。

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

其中:

  • severity.description 指定嚴重性欄位JSON的名稱。

  • eq 指定等於運算子。

  • High 以及 Medium嚴重性欄位列舉值的陣列。

範例 2:根據敏感資料類別篩選調查結果

此範例使用 list-findings 命令來擷取目前區域中所有敏感資料調查結果IDs的調查結果,並報告 S3 物件中財務資訊 (且沒有其他類別的敏感資料) 的發生情況。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 換行字元來改善可讀性:

$ aws macie2 list-findings \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

對於 Microsoft Windows,使用 caret (^) 換行字元來改善可讀性:

C:\> aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

其中:

  • classificationDetails.result.sensitiveData.category 指定敏感資料類別欄位JSON的名稱。

  • eqExactMatch 指定等於完全相符運算子。

  • FINANCIAL_INFORMATION敏感資料類別欄位的列舉值。

範例 3:根據固定時間範圍篩選調查結果

此範例使用 list-findings 命令來擷取目前區域中所有調查結果IDs的調查結果,這些調查結果是在 2020 年 10 UTC 月 5 日 07:00 和 2020 年 UTC11 月 5 日 07:00 (包含) 之間建立的。

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

其中:

  • createdAt 指定在 欄位建立JSON的名稱。

  • gte 指定大於或等於運算子的 。

  • 1601881200000 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

  • lte 指定小於或等於運算子的 。

  • 1604559600000 是時間範圍中的上次日期和時間 (以毫秒為單位的 Unix 時間戳記)。

範例 4:根據禁止狀態篩選調查結果

此範例使用 list-findings 命令來擷取目前區域中所有調查結果IDs的調查結果,並由禁止規則加以禁止 (自動封存)。

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

其中:

  • archived 指定封存欄位JSON的名稱。

  • eq 指定等於運算子。

  • true封存欄位的布林值。

範例 5:根據多個欄位和值類型篩選調查結果

此範例使用 list-findings 命令來擷取目前區域中IDs所有敏感資料調查結果,並符合下列條件: 是在 2020 UTC 年 10 月 5 日至 2020 年 1UTC1 月 5 日 07:00 之間建立的 (僅限);報告財務資料發生,以及 S3 物件中沒有其他類別的敏感資料;並且沒有受到禁止規則抑制 (自動封存)。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 換行字元來改善可讀性:

$ aws macie2 list-findings \ --finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

對於 Microsoft Windows,使用 caret (^) 換行字元來改善可讀性:

C:\> aws macie2 list-findings ^ --finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

其中:

  • createdAt 指定在 欄位建立JSON的名稱,以及:

    • gt 指定大於或等於運算子的 。

    • 1601881200000 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

    • lt 指定小於或等於運算子的 。

    • 1604559600000 是時間範圍中的上次日期和時間 (以毫秒為單位的 Unix 時間戳記)。

  • classificationDetails.result.sensitiveData.category 指定敏感資料類別欄位JSON的名稱,以及:

    • eqExactMatch 指定等於完全相符運算子。

    • FINANCIAL_INFORMATION 是 欄位的列舉值。

  • archived 指定封存欄位JSON的名稱,以及:

    • eq 指定等於運算子。

    • false 是 欄位的布林值。