為 Macie 調查結果建立禁止規則 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 Macie 調查結果建立禁止規則

禁止規則是一組屬性型篩選條件,用於定義您希望 Amazon Macie 自動封存調查結果的案例。抑制規則在您已檢閱某類調查結果且不想再次收到通知的情況下很有用。建立禁止規則時,您可以指定篩選條件、名稱,以及規則的選擇性描述。然後,Macie 會使用規則的條件來決定要自動封存的調查結果。透過使用禁止規則,您可以簡化調查結果的分析。

如果您使用禁止規則來禁止調查結果,Macie 會繼續產生符合規則條件的敏感資料和潛在政策違規事件調查結果。不過,Macie 會自動將調查結果的狀態變更為封存的 。這表示依預設,調查結果不會出現在 Amazon Macie 主控台上,但會保留在 Macie 中,直到過期為止。(Macie 會儲存調查結果 90 天。) 這也表示 Macie 不會將調查結果發佈至 Amazon EventBridge 作為事件或 AWS Security Hub。

請注意,如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分,則禁止規則的運作方式可能會有所不同。這取決於您要隱藏的調查結果類別,以及您是否擁有 Macie 管理員或成員帳戶:

  • 政策調查結果 – 只有 Macie 管理員可以隱藏組織帳戶的政策調查結果。

    如果您有 Macie 管理員帳戶,而且您建立了禁止規則,除非您設定規則來排除特定帳戶,否則 Macie 會將規則套用至組織中所有帳戶的政策調查結果。如果您有成員帳戶,而且想要隱藏帳戶的政策調查結果,請與您的 Macie 管理員合作來隱藏調查結果。

  • 敏感資料調查結果 – Macie 管理員和個別成員可以抑制敏感資料探索任務產生的敏感資料調查結果。Macie 管理員也可以隱藏 Macie 在為組織執行自動敏感資料探索時產生的調查結果。

    只有建立敏感資料探索任務的帳戶可以禁止或以其他方式存取任務產生的敏感資料調查結果。只有組織的 Macie 管理員帳戶可以禁止或以其他方式存取自動化敏感資料探索為組織中帳戶產生的調查結果。

如需管理員和成員可執行之任務的詳細資訊,請參閱 Macie 管理員和成員帳戶關係

另請注意,禁止規則與篩選條件規則不同。篩選條件規則是您建立並儲存的一組篩選條件,供您在 Amazon Macie 主控台上檢閱調查結果時再次使用。雖然兩種類型的規則都會儲存並套用篩選條件,但篩選條件規則不會對符合規則條件的調查結果執行任何動作。相反地,篩選條件規則只會在您套用規則之後,決定哪些調查結果會出現在主控台上。如需詳細資訊,請參閱定義篩選條件規則。根據您的分析目標,您可以判斷最好建立篩選條件規則,而不是禁止規則。

為調查結果建立禁止規則

您可以使用 Amazon Macie 主控台或 Amazon Macie 建立禁止規則API。建立禁止規則之前,請務必注意,您無法使用禁止規則還原 (取消封存) 禁止的調查結果。不過,您可以使用 Macie 檢閱隱藏的調查結果

Console

請依照下列步驟,使用 Amazon Macie 主控台建立禁止規則。

建立隱藏規則

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇調查結果

    提示

    若要使用現有的禁止或篩選條件規則作為起點,請從已儲存規則清單中選擇規則。

    您也可以先根據預先定義的邏輯群組,對調查結果進行樞紐分析和深入分析,以簡化規則的建立。如果您這樣做,Macie 會自動建立並套用適當的篩選條件,這會是建立規則的有用起點。若要執行此操作,請在導覽窗格中選擇依儲存貯體 依類型 依任務在調查結果 下)。然後選擇表格中的項目。在詳細資訊面板中,選擇要樞紐分析的欄位連結。

  3. 篩選條件方塊中,新增篩選條件,以指定您希望規則隱藏之調查結果的屬性。

    調查結果頁面上的篩選條件方塊。

    若要了解如何新增篩選條件,請參閱 建立篩選條件並將其套用至 Macie 調查結果

  4. 完成規則的篩選條件新增後,請選擇隱藏調查結果

  5. 禁止規則 下,輸入名稱,以及選擇性地輸入規則的描述。

  6. 選擇 Save (儲存)。

API

若要以程式設計方式建立禁止規則,請使用 Amazon Macie CreateFindingsFilter的操作,API並為所需的參數指定適當的值:

  • 針對 action 參數,指定 ARCHIVE 以確保 Macie 抑制符合規則條件的調查結果。

  • 針對 criterion 參數,指定定義規則篩選條件的條件映射。

    在地圖中,每個條件都應該指定欄位、運算子和一個或多個欄位值。值的類型和數量取決於您選擇的欄位和運算子。如需您可以在 條件中使用的欄位、運算子和值類型的相關資訊,請參閱:用於篩選 Macie 調查結果的欄位在 條件下使用運算子指定欄位的值

若要使用 AWS Command Line Interface (AWS CLI) 建立禁止規則,請執行 create-findings-filter命令,並指定所需參數的適當值。下列範例會建立抑制規則,傳回目前的所有敏感資料調查結果, AWS 區域 並報告 S3 物件中郵寄地址 (以及沒有其他類型的敏感資料) 的出現。

此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

此範例已針對 Microsoft Windows 格式化,並使用 caret (^) 換行字元來改善可讀性。

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

其中:

  • my_suppression_rule 是規則的自訂名稱。

  • criterion 是規則的篩選條件映射:

    • classificationDetails.result.sensitiveData.detections.type敏感資料偵測類型欄位JSON的名稱。

    • eqExactMatch 指定等於完全相符運算子。

    • ADDRESS敏感資料偵測類型欄位的列舉值。

如果此命令成功執行,您會收到類似如下的輸出。

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

其中 arn 是所建立禁止規則的 Amazon Resource Name (ARN),id也是規則的唯一識別符。

如需篩選條件的其他範例,請參閱 使用 Amazon Macie 以程式設計方式篩選調查結果 API