本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
抑制馬西埃發現
若要簡化發現項目的分析,您可以建立和使用抑制規則。抑制規則是一組以屬性為基礎的篩選條件,用於定義您希望 Amazon Macie 自動存檔發現項目的案例。抑制規則在您已檢閱過一類發現項目且不想再次收到通知的情況下很有幫助。
例如,您可能會決定允許 S3 儲存貯體包含郵寄地址,如果儲存貯體不允許公開存取,而且儲存貯體會以特定物件自動加密新物件 AWS KMS key。在此情況下,您可以建立抑制規則,為下列欄位指定篩選準則:敏感資料偵測類型、S3 儲存貯體公開存取權限和 S3 儲存貯體加密KMS金鑰 ID。此規則會隱藏符合篩選準則的 future 發現項目。
如果您使用抑制規則隱藏發現項目,Macie 會繼續為後續出現的機密資料和符合規則條件的潛在策略違規產生發現項目。但是,Macie 會自動將發現項目的狀態變更為已封存。這意味著發現結果默認情況下不會顯示在 Amazon Macie 控制台上,但它們會保留在 Macie 中直到過期。瑪西存儲 90 天的發現。
此外,Macie 不會將抑制的發現 EventBridge 作為事件或發布到 AWS Security Hub Amazon。不過,Macie 會繼續建立並儲存與您隱藏的敏感資料發現項目相關的敏感資料探索結果。這有助於確保您擁有不可變的敏感資料發現歷史記錄,以進行資料隱私權和保護稽核或您執行的調查。
如果您的帳戶屬於集中管理多個 Macie 帳戶的組織,則隱藏規則對您的帳戶的運作方式可能會有所不同。這取決於您要隱藏的發現項目類別,以及您是否擁有 Macie 管理員或成員帳戶:
-
策略發現項目 — 只有 Macie 管理員可以隱藏組織帳號的策略發現項目。
如果您有 Macie 管理員帳戶,並且建立了一個抑制規則,Macie 會將規則套用至組織中所有帳號的策略發現項目,除非您將規則設定為排除特定帳號。如果您有 Macie 成員帳戶,並且想要隱藏帳戶的政策發現,請聯絡您的 Macie 管理員。
-
敏感資料發現項目 — Macie 管理員和個別成員可以隱藏敏感資料探索工作產生的敏感資料發現項目。Macie 管理員也可以抑制 Macie 在為組織執行自動化敏感資料探索時產生的發現項目。
只有建立敏感資料探索工作的帳戶才能隱藏或以其他方式存取工作產生的機密資料發現項目。只有組織的 Macie 管理員帳戶可以隱藏或以其他方式存取針對組織中帳戶自動化敏感資料探索產生的發現項目。
如需有關管理員和成員可執行之工作的詳細資訊,請參閱Macie 管理員和成員帳戶關係。
若要建立和管理抑制規則,您可以使用 Amazon Macie 主控台或 Amazon Mac API ie。下列主題說明如何進行。對於API,主題包括如何使用 AWS Command Line Interface (AWS CLI) 執行這些工作的範例。您也可以使用目前版本的其他 AWS 命令列工具或 AWS
SDK,或直接傳送HTTPS要求至 Macie 來執行這些工作。如需有關 AWS 工具的資訊SDKs,請參閱建置於其上的工具 AWS。
建立抑制規則
建立抑制規則之前,請務必注意,您無法還原 (取消封存) 使用抑制規則所隱藏的發現項目。但是,您可以在 Amazon Macie 主控台上查看抑制的發現結果,並使用 Amazon Macie 存取抑制的發現結果。API
建立抑制規則時,您可以指定篩選準則、名稱以及規則的描述 (選擇性)。您可以使用亞馬遜 Macie 控制台或 Amazon Macie 創建一個抑制規則。API
- Console
-
請依照下列步驟使用 Amazon Macie 主控台建立抑制規則。
建立隱藏規則
在https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。
-
在導覽窗格中,選擇調查結果。
若要使用現有的抑制或篩選規則作為起點,請從「已儲存的規則」清單中選擇規則。
您也可以先依預先定義的邏輯群組樞紐和向下鑽研發現項目,藉此簡化規則的建立。如果您這麼做,Macie 會自動建立並套用適當的篩選條件,這對於建立規則很有幫助的起點。若要執行此操作,請在導覽窗格 (「搜尋結果」下) 中選擇「依時段」、「依類型」或「依工作」,然後選擇表格中的項目。在詳細資料面板中,選擇要旋轉之欄位的連結。
-
在「篩選條件」方塊中,新增篩選條件,以指定您要規則隱藏之發現項目的屬性。
若要瞭解如何新增篩選條件,請參閱創建和應用過濾器到 Macie 發現。
-
完成新增規則的篩選條件後,請選擇 [隱藏發現項目]。
-
在隱藏規則下,輸入規則的名稱,並選擇性地輸入規則的描述。
-
選擇 Save (儲存)。
- API
-
若要以程式設計方式建立抑制規則,請使用 Amazon Macie 的CreateFindingsFilter作業,API並為所需參數指定適當的值:
-
對於action參數,請指定ARCHIVE以確保 Macie 隱藏符合規則條件的發現項目。
-
對於criterion參數,請指定定義規則篩選準則的條件對映。
在對映中,每個條件都應指定欄位、運算子以及欄位的一或多個值。值的類型和數目取決於您選擇的欄位和運算子。如需有關可在條件中使用之欄位、運算子和值類型的資訊,請參閱用於篩選 Macie 發現項目的欄位在條件下使用運算子、和指定欄位的值。
若要使用建立抑制規則 AWS CLI,請執行指create-findings-filter令並為所需參數指定適當的值。下列範例會建立一個隱藏規則,此規則會傳回目前所有敏感資料發現項目,以 AWS 區域 及 S3 物件中郵寄地址 (且不包含其他類型的機密資料)。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'
此範例針對 Microsoft Windows 進行格式化,並使用脫字元 (^) 行接續字元來提高可讀性。
C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}
其中:
如果此命令成功執行,您會收到類似如下的輸出。
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
其中arn是所建立之抑制規則的 Amazon 資源名稱 (ARN),id是規則的唯一識別碼。
如需篩選準則的其他範例,請參閱使用 Amazon Macie 以程式設計方式篩選結果 API。
複查抑制的發現
根據預設,Amazon Macie 不會在主控台上顯示抑制的發現項目。不過,您可以透過變更篩選器設定,在主控台上檢閱這些發現項目。
您也可以使用 Amazon Macie API 存取抑制的發現項目。若要擷取隱藏的發現項目清單,請使用ListFindings作業並包含為archived欄位指定true的篩選條件。如需如何使用執行此操作的範例 AWS CLI,請參閱以編程方式過濾。若要接著擷取一或多個隱藏發現項目的詳細資訊,請使用此GetFindings作業,並為每個要擷取的發現項目指定唯一的識別碼。
變更抑制規則
您可以隨時使用 Amazon Macie 主控台或亞馬遜 Macie 變更抑制規則的設定。API您也可以指派和管理規則的標籤。
標籤是您定義並指派給特定 AWS 資源類型的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。標籤可協助您以不同的方式識別、分類及管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記麥西資源。
- Console
-
請遵循下列步驟,使用 Amazon Macie 主控台變更現有抑制規則的設定。
- API
-
若要以程式設計方式變更抑制規則,請使用 Amazon Macie API 的UpdateFindingsFilter操作。當您提交請求時,請使用支援的參數為您要變更的每個設定指定新值。
針對id參數,指定要變更之規則的唯一識別碼。您可以使用ListFindingsFilter操作來擷取帳戶的隱藏和篩選規則清單,以取得此識別碼。如果您使用的是 AWS CLI,請執行list-findings-filters命令以擷取此清單。
若要使用變更抑制規則 AWS CLI,請執行指update-findings-filter令並使用支援的參數為您要變更的每個設定指定新值。例如,下列指令會變更既有抑制規則的名稱。
C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only
其中:
如果此命令成功執行,您會收到類似如下的輸出。
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
其中arn是已變更之規則的 Amazon 資源名稱 (ARN),id是規則的唯一識別碼。
同樣地,下列範例會將action參數的值從NOOP變更為,將篩選規則轉換為隱藏規則ARCHIVE。
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE
其中:
如果命令執行成功,您會收到類似下列內容的輸出:
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
其中arn是已變更之規則的 Amazon 資源名稱 (ARN),id是規則的唯一識別碼。
刪除抑制規則
您可以隨時使用亞馬遜 Macie 控制台或 Amazon Macie 刪除抑制規則。API如果您刪除抑制規則,Macie 會停止隱藏符合規則準則且不會被其他規則抑制的新發現項目和後續發現項目。但請注意,Macie 可能會繼續隱藏目前正在處理並符合規則條件的發現項目。
刪除抑制規則後,符合規則條件的新發現項目和後續發現項目的狀態為目前 (未封存)。這意味著它們默認顯示在 Amazon Macie 控制台上。此外,Macie 將這些發現 EventBridge 作為事件發布給 Amazon。根據您帳戶的發佈設定,Macie 也會將發現項目發佈至 AWS Security Hub。
- Console
-
請依照下列步驟使用 Amazon Macie 主控台刪除抑制規則。
- API
-
若要以程式設計方式刪除抑制規則,請使用 Amazon Macie API 的DeleteFindingsFilter操作。對於id參數,指定要刪除之抑制規則的唯一識別碼。您可以使用ListFindingsFilter操作來擷取帳戶的隱藏和篩選規則清單,以取得此識別碼。如果您使用的是 AWS CLI,請執行list-findings-filters命令以擷取此清單。
若要使用刪除抑制規則 AWS CLI,請執行delete-findings-filter指令。例如:
C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example
位置 8a3c5608-aa2f-4940-b347-d1451example 是要刪除之隱藏規則的唯一識別碼。
如果命令運行成功,Macie 返回一個空的 HTTP 200 響應。否則,Macie 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
