與麥西樣本發現工作 - Amazon Macie
建立範例發現項檢閱範例結果抑制範例發現項目

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與麥西樣本發現工作

若要探索並了解 Amazon Macie 可產生的不同類型發現項目,您可以建立範例發現項目。範例發現項目會使用範例資料和預留位置值來示範每種發現項目類型可能包含的資訊類型。

例如,政策:IAMUser/S3 BucketPublic 範例發現項目包含虛擬 Amazon Simple Storage Service (Amazon S3) 貯體的詳細資訊。發現項目的詳細資料包括與變更值區之存取控制清單 (ACL) 的動作相關範例資料,以及將值區設為可公開存取的動作。同樣地,「: S3 物件/多個SensitiveData範例尋找項目」包含有關虛構 Microsoft Excel 活頁簿的詳細資料。發現項目的詳細資料包括有關工作簿中敏感資料類型和位置的範例資料。

除了熟悉不同發現項目類型可能包含的資訊之外,您還可以使用發現項目範例來測試與其他應用程式、服務和系統的整合。根據您帳戶的抑制規則,Macie 可以將樣本發現 EventBridge 作為事件發佈到 Amazon。透過使用範例發現項目中的範例資料,您可以開發和測試自動化解決方案,以監視和處理這些事件。根據您帳戶的發佈設定,Macie 也可以將範例結果發佈至 AWS Security Hub。 這表示您也可以使用範例發現項目來開發和測試解決方案,以監視和處理 Security Hub 中的 Macie 發現項目。如需將發現項目發佈至這些服務的相關資訊,請參閱 監控和處理問題清單

建立範例發現項

您可以使用亞馬遜 Macie 主控台或亞馬遜 Macie 來建立範例發現結果。API如果您使用主控台,Macie 會自動為 Macie 支援的每種類型發現項目產生一個範例尋找項目。如果使用API,則可以為每個類型建立範例,或僅為您指定的某些類型建立範例。

Console

請依照下列步驟使用 Amazon Macie 主控台建立範例發現項目。

建立範例發現項目

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在導覽窗格中,選擇設定

  3. 範例發現項目下,選擇產生範例發現項目

API

若要以程式設計方式建立範例發現項目,請使用 Amazon Macie API 的CreateSampleFindings操作。當您提交請求時,您可以選擇性地使用findingTypes參數來指定要建立的特定型態範例發現項目。若要自動建立所有類型的範例,請勿在要求中包含此參數。

若要使用建立範例發現項目 AWS Command Line Interface (AWS CLI),執行命create-sample-findings令。若要自動建立所有發現項目類型的範例,請勿包含finding-types參數。若只要建立特定發現項目類型的範例,請加入此參數,並指定要建立的範例發現項目類型。例如:

C:\> aws macie2 create-sample-findings --finding-types "SensitiveData:S3Object/Multiple" "Policy:IAMUser/S3BucketPublic"

位置 SensitiveData:S3Object/Multiple 是一種要創建的敏感數據的類型 Policy:IAMUser/S3BucketPublic 是一種要建立的原則尋找項目類型。

如果命令運行成功,Macie 返回一個空的響應。

檢閱範例結果

為了協助您識別範例發現項目,Amazon Macie 會將每個範例發現項目的「範例」欄位值設定為 True。此外,受影響的 S3 儲存貯體的名稱對於所有發現的範例都是相同的:macie-sample-finding-bucket。如果您使用 Amazon Macie 主控台上的「發現項目」頁面來檢閱範例發現項目,Macie 也會在每個範例發現項目的「尋找項目類型」欄位中顯示 [SAMPLE] 前置詞。

Console

請依照下列步驟使用 Amazon Macie 主控台檢閱發現項目範例。

若要檢閱樣本發現

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在導覽窗格中,選擇調查結果

  3. 在「發現的項目」頁面上,執行下列任一項作業:

    • 在「發現項目類型」欄中,找出類型以 [SAMPLE] 開頭的發現項目,如下圖所示。

      「發現項目」頁面上的「發現項目類型」欄 它會列出具有 [SAMPLE] 前置詞的發現項目。

    • 透過使用表格上方的「篩選條件」方塊,篩選表格以僅顯示發現項目的範例。若要執行此操作,請將游標放在方塊中。在顯示的欄位清單中,選擇 [範例]。然後選擇「」,然後選擇「套用」。這會將下列篩選條件套用至表格:

      具有篩選條件的「篩選條件」方塊,其中「範例」欄位的值等於 True。

  4. 若要檢閱特定範例發現項目的詳細資料,請選擇發現項目。詳細資料面板會顯示發現項目的資訊。

您也可以下載一或多個範例發現項目的詳細資訊,並將其儲存為JSON檔案。若要這樣做,請選取您要下載並儲存的每個範例發現項目的核取方塊。然後在 發現項目」頁面頂端的「作業」功能表中選擇「匯出」(JSON)。在出現的視窗中,選擇 [下載]。如需發現項目可包含之JSON欄位的詳細說明,請參閱 Amazon Macie API 參考中的發現項目

API

若要以程式設計方式檢閱範例發現項目,請先使用 Amazon Macie API 的ListFindings作業擷取您建立的每個範例發現項目的唯一識別碼 (findingId)。然後使用GetFindings作業擷取這些發現項目的詳細資訊。

當您提交ListFindings請求時,您可以指定篩選條件,以便僅在結果中包含發現項目的範例。要做到這一點,添加一個過濾條件,其中的sample字段的值是true。如果您正在使用 AWS CLI,執行清單發現項目命令,並使用finding-criteria參數來指定篩選條件。例如:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"sample\":{\"eq\":[\"true\"]}}}

如果您的請求成功,Macie 返回一個數組findingIds。陣列會列出目前帳戶中每個範例發現項目的唯一識別碼 AWS 區域.

若要接著擷取範例發現項目的詳細資訊,請在GetFindings要求中指定這些唯一識別碼,或針對 AWS CLI,當您執行取得發現項目命令時。

抑制範例發現項目

與其他調查結果一樣,Amazon Macie 會將樣本調查結果存儲 90 天。完成檢閱和試驗範例之後,您可以選擇性地建立隱藏規則來封存它們。如果您這麼做,範例發現項目會依預設停止顯示在主控台上,且其狀態會變更為已封存

若要使用 Amazon Macie 主控台存檔範例發現項目,請設定規則以在「範例」欄位的值為 True 時存檔發現項目。若要使用 Amazon Macie 存檔範例發現項目API,請設定規則以將發現項目存檔在sample欄位值所在的位true置。