Fundamentos del filtrado de resultados - Amazon Macie
Uso de varias condiciones en un filtroEspecificar valores para los camposEspecificar varios valores para un campoUso de operadores en condiciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Fundamentos del filtrado de resultados

Cuando cree un filtro, tenga presentes las siguientes características y directrices. Tenga en cuenta también que los resultados filtrados se limitan a los 90 días anteriores y a la Región de AWS actual. Amazon Macie almacena sus resultados solo durante 90 días en cada Región de AWS.

Uso de varias condiciones en un filtro

Un filtro puede incluir una o varias condiciones. Cada condición, también denominada criterio, consta de tres partes:

  • Un campo basado en atributos, como la Gravedad o el Tipo de resultado. Para obtener una lista de campos que puede utilizar, consulte Campos para filtrar los resultados.

  • Un operador, como igual o no igual. Para obtener una lista de operadores que puede utilizar, consulte Uso de operadores en condiciones.

  • Uno o varios valores. El tipo y el número de valores dependen del campo y el operador que elija.

Si un filtro contiene varias condiciones, Macie utiliza el operador lógico AND para unir las condiciones y evaluar los criterios del filtro. Esto significa que un resultado coincide con los criterios del filtro solo si coincide con todas las condiciones del filtro.

Por ejemplo, si agrega una condición para incluir solo los resultados de alta gravedad y agrega otra condición para incluir solo los resultados de datos confidenciales, Macie devolverá todos los resultados de datos confidenciales de alta gravedad. En otras palabras, Macie excluye todos los resultados de políticas y todos los resultados de datos confidenciales de gravedad media y baja.

Puede usar un campo solo una vez en un filtro. Sin embargo, puede especificar varios valores para varios campos.

Por ejemplo, si una condición utiliza el campo Gravedad para incluir únicamente los resultados de alta gravedad, no podrá utilizar el campo Gravedad en otra condición para incluir los de gravedad media o baja. En su lugar, especifique varios valores para la condición existente o utilice un operador diferente para la condición existente. Por ejemplo, para incluir todos los resultados de gravedad media y alta, añada una condición de Gravedad igual a Media, Alta o añada una condición de Gravedad no igual a Baja.

Especificar valores para los campos

Al especificar un valor para un campo, el valor debe ajustarse al tipo de datos subyacente del campo. Según el campo, puede especificar uno de los siguientes tipos de valores.

Matriz de texto (cadenas)

Especifica una lista de valores de texto (cadena) para un campo. Cada cadena se correlaciona con un valor predefinido o existente de un campo; por ejemplo, Alto para el campo Gravedad, SensitiveData:s3Object/Financial para el campo Tipo de resultado o el nombre de un bucket de S3 para el campo nombre del bucket de S3.

Si utiliza una matriz, tenga en cuenta lo siguiente:

  • Estos valores distinguen entre mayúsculas y minúsculas.

  • No puede especificar valores parciales ni utilizar caracteres comodín en los valores. Debe especificar un valor completo y válido para el campo.

Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca my-S3-bucket como el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, como my-s3-bucket o my-S3, Macie no devolverá los resultados del bucket.

Para obtener una lista de valores válidos para cada campo, consulte Campos para filtrar los resultados.

Puede especificar hasta 50 valores en una matriz. La forma de especificar los valores depende de si utiliza la consola de Amazon Macie o la API de Amazon Macie, como se explica en Especificar varios valores para un campo.

Booleano

Especifica uno de los dos valores mutuamente excluyentes de un campo.

Si utiliza la consola Amazon Macie para especificar este tipo de valor, la consola proporciona una lista de valores entre los que puede elegir. Si utiliza la API de Amazon Macie, especifique true o false para el valor.

Fecha/hora (e intervalos de tiempo)

Especifica una fecha y hora absolutas para un campo. Si especifica este tipo de valor, debe especificar una fecha y una hora.

En la consola Amazon Macie, los valores de fecha y hora están en la zona horaria local y utilizan una notación de 24 horas. En todos los demás contextos, estos valores están en hora universal coordinada (UTC) y en formato ISO 8601 extendido, por ejemplo 2020-09-01T14:31:13Z para las 2:31:13 PM UTC del 1 de septiembre de 2020.

Si un campo almacena un valor de fecha y hora, puede usarlo para definir un intervalo de tiempo fijo o relativo. Por ejemplo, puede incluir solo los resultados que se crearon entre dos fechas y horas específicas, o solo los resultados que se crearon antes o después de una fecha y hora específicas. La forma en que defina un intervalo de tiempo, depende de si utiliza la consola de Amazon Macie o la API de Amazon Macie.

  • En la consola, utilice un selector de fechas o introduzca el texto directamente en los cuadros Desde y Hasta.

  • Con la API, defina un intervalo de tiempo fijo añadiendo una condición que especifique la primera fecha y hora del intervalo y añada otra condición que especifique la última fecha y hora del intervalo. Si lo hace, Macie utilizará el operador lógico AND para unir las condiciones. Para definir un intervalo de tiempo relativo, añada una condición que especifique la primera o la última fecha y hora del intervalo. Especifique los valores como marcas de tiempo de Unix en milisegundos, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

En la consola, los intervalos de tiempo son inclusivos. Con la API, los intervalos de tiempo pueden ser inclusivos o exclusivos, según el operador que elija.

Número (y rangos numéricos)

Especifica un entero largo para un campo.

Si un campo almacena un valor numérico, puede usarlo para definir un intervalo numérico fijo o relativo. Por ejemplo, puede incluir solo los resultados que informan de entre 50 y 90 casos de datos confidenciales en un objeto de S3. La forma en que defina un intervalo de tiempo, depende de si utiliza la consola de Amazon Macie o la API de Amazon Macie.

  • En la consola, utilice las casillas Desde y Hasta para introducir los números más bajos y más altos del intervalo, respectivamente.

  • Con la API, defina un intervalo de tiempo fijo añadiendo una condición que especifique el primer número del intervalo y, añada otra condición que especifique el último número del intervalo. Si lo hace, Macie utilizará el operador lógico AND para unir las condiciones. Para definir un intervalo numérico relativo, añada una condición que especifique el número más bajo o más alto del intervalo.

En la consola, los intervalos numéricos son inclusivos. Con la API, los intervalos numéricos pueden ser inclusivos o exclusivos, según el operador que elija.

Texto (cadena)

Especifica un único valor de texto (cadena) para un campo. La cadena se correlaciona con un valor predefinido o existente para un campo, por ejemplo, Alto para el campo Gravedad, el nombre de un bucket de S3 para el campo nombre del bucket de S3 o el identificador único de un trabajo de detección de datos confidenciales para el campo ID de trabajo.

Si especifica una sola cadena de texto, tenga en cuenta lo siguiente:

  • Estos valores distinguen entre mayúsculas y minúsculas.

  • No puede utilizar valores parciales ni caracteres comodín en los valores. Debe especificar un valor completo y válido para el campo.

Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca my-S3-bucket como el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, como my-s3-bucket o my-S3, Macie no devolverá los resultados del bucket.

Para obtener una lista de valores válidos para cada campo, consulte Campos para filtrar los resultados.

Especificar varios valores para un campo

Con determinados campos y operadores, puede especificar varios valores para un campo. Si lo hace, Macie utiliza el operador lógico OR para unir los valores y evaluar los criterios del filtro. Esto significa que un resultado coincide con los criterios si tiene alguno de los valores del campo.

Por ejemplo, si añade una condición para incluir los resultados en los que el valor del campo Tipo de resultado es igual a SensitiveData:S3Object/Financial, SensitiveData:S3Object/Personal, Macie devuelve resultados de datos confidenciales de los objetos de S3 que contienen solo información financiera y de los objetos de S3 que contienen solo información personal. En otras palabras, Macie excluye todos los resultados de políticas. Macie también excluye todos los resultados de datos confidenciales en el caso de los objetos que contienen otros tipos de datos confidenciales o varios tipos de datos confidenciales.

La excepción son las condiciones que utilizan el operador eqExactMatch. Para este operador, Macie usa el operador lógico AND para unir los valores y evaluar los criterios del filtro. Esto significa que un resultado coincide con los criterios solo si tiene todos los valores del campo y solo esos valores del campo. Para obtener más información sobre este operador, consulte Uso de operadores en condiciones.

La forma de especificar varios valores para un campo depende de si utiliza la API de Amazon Macie o la consola de Amazon Macie. Con la API, se utiliza una matriz que enumera los valores.

En la consola, normalmente se eligen los valores de una lista. Sin embargo, para algunos campos, debe agregar una condición distinta para cada valor. Por ejemplo, para incluir los resultados de los datos que Macie detectó mediante determinados identificadores de datos personalizados, haga lo siguiente:

  1. Coloque el cursor en el cuadro Criterios del filtro y, a continuación, elija el campo Nombre del identificador de datos personalizado. Introduzca el nombre de un identificador de datos personalizado y, a continuación, seleccione Aplicar.

  2. Repita el paso anterior para cada identificador de datos personalizado adicional que desee especificar para el filtro.

Para obtener una lista de los campos para los que necesita hacer esto, consulte Campos para filtrar los resultados.

Uso de operadores en condiciones

Puede utilizar los siguientes tipos de operadores en condiciones individuales.

Igual (eq)

Coincide con (=) cualquier valor especificado para el campo. Puede usar el operador igual a con los siguientes tipos de valores: matriz de texto (cadenas), booleano, fecha/hora, número y texto (cadena).

Para muchos campos, puede usar este operador y especificar hasta 50 valores para el campo. Si lo hace, Macie utiliza el operador lógico OR para unir los valores. Esto significa que un resultado coincide con los criterios si tiene alguno de los valores especificados para el campo.

Por ejemplo:

  • Para incluir resultados que notifiquen casos de información financiera, información personal o información tanto financiera como personal, añada una condición que utilice el campo Categoría de datos confidenciales y este operador, y especifique Información financiera e Información personal como valores del campo.

  • Para incluir los resultados que notifiquen casos de números de tarjetas de crédito, direcciones postales o tanto números de tarjetas de crédito como direcciones postales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESScomo valores del campo.

Si usa la API de Amazon Macie para definir una condición que utilice este operador con un valor de fecha y hora, especifique el valor como una marca de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

Igual a coincidencia exacta (eqExactMatch)

Coincide exclusivamente con todos los valores especificados para el campo. Puede utilizar el operador igual a coincidencia exacta con un conjunto selecto de campos.

Si utiliza este operador y especifica varios valores para un campo, Macie utilizará el operador lógico AND para unir los valores. Esto significa que un resultado coincide con los criterios solo si tiene todos los valores especificados para el campo y solo esos valores para el campo. Puede especificar hasta 50 valores para el campo.

Por ejemplo:

  • Para incluir los resultados que notifiquen casos de números de tarjetas de crédito y ningún otro tipo de datos confidenciales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER como único valor para el campo.

  • Para incluir los resultados que notifiquen casos de números de tarjetas de crédito y direcciones postales (y ningún otro tipo de datos confidenciales), añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESS como valores para el campo.

Como Macie utiliza el operador lógico AND para unir los valores de un campo, no puede utilizar este operador junto con ningún otro operador para el mismo campo. En otras palabras, si utiliza el operador igual a coincidencia exacta con un campo en una condición, tendrá que usarlo en todas las demás condiciones que utlicen el mismo campo.

Al igual que otros operadores, puede usar el operador igual a coincidencia exacta en más de una condición de un filtro. Si lo hace, Macie utiliza el operador lógico AND para unir las condiciones y evaluar el filtro. Esto significa que un resultado coincide con los criterios del filtro solo si tiene todos los valores especificados por todas las condiciones del filtro.

Por ejemplo, para incluir los resultados que se crearon después de un tiempo determinado, notificar casos de números de tarjetas de crédito y no notificar ningún otro tipo de datos confidenciales, haga lo siguiente:

  1. Agregue una condición que utilice el campo Creado en, utilice el operador mayor que y especifique la fecha y la hora de inicio para el filtro.

  2. Agregue otra condición que utilice el campo Tipo de detección de datos confidenciales, utilice el operador igual a coincidencia exacta y especifique CREDIT_CARD_NUMBERcomo único valor para el campo.

Puede utilizar el operador igual a coincidencia exacta con los siguientes campos:

  • Identificador de datos personalizado (customDataIdentifiers.detections.arn)

  • Nombre de identificador de datos personalizado (customDataIdentifiers.detections.name)

  • Tecla de etiqueta de bucket de S3 (resourcesAffected.s3Bucket.tags.key)

  • Valor de la etiqueta del bucket de S3 (resourcesAffected.s3Bucket.tags.value)

  • Clave de la etiqueta del objeto de S3 (resourcesAffected.s3Object.tags.key)

  • Valor de la etiqueta de objeto de S3 (resourcesAffected.s3Object.tags.value)

  • Tipo de detección de datos confidenciales (sensitiveData.detections.type)

  • Categoría de datos confidenciales (sensitiveData.category)

En la lista anterior, el nombre entre paréntesis utiliza la notación de puntos para indicar el nombre del campo en las representaciones JSON de los resultados y en la API de Amazon Macie.

Mayor que (gt)

Es mayor que (>) el valor especificado para el campo. Puede usar el operador mayor que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen más de 90 casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola Amazon Macie, introduzca 91 en el cuadro Desde, no introduzca ningún valor en el cuadro Hasta y a continuación, seleccione Aplicar. Las comparaciones numéricas y basadas en el tiempo están incluidas en la consola.

Si utiliza la API de Amazon Macie para definir un intervalo de tiempo que utilice este operador, tendrá que especificar los valores de fecha y hora como marcas de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

Mayor o igual que (gte)

Es mayor o igual que (>=) el valor especificado para el campo. Puede utilizar el operador mayor o igual que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen 90 o más casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola Amazon Macie, introduzca 90 en el cuadro Desde, no introduzca ningún valor en el cuadro Hasta y a continuación, seleccione Aplicar.

Si utiliza la API de Amazon Macie para definir un intervalo de tiempo que utilice este operador, tendrá que especificar los valores de fecha y hora como marcas de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

Menor que (lt)

Es menor que (<) el valor especificado para el campo. Puede usar el operador menor que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen menos de 90 casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola Amazon Macie, introduzca 89 en el cuadro Hasta, no introduzca ningún valor en el cuadro Desde y a continuación, seleccione Aplicar. Las comparaciones numéricas y basadas en el tiempo están incluidas en la consola.

Si utiliza la API de Amazon Macie para definir un intervalo de tiempo que utilice este operador, tendrá que especificar los valores de fecha y hora como marcas de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

Menor o igual que (lte)

Es menor o igual que (<=) el valor especificado para el campo. Puede utilizar el operador menor o igual que con valores numéricos y de fecha y hora.

Por ejemplo, para incluir solo los resultados que notifiquen 90 o menos casos de datos confidenciales en un objeto de S3, añada una condición que utilice el campo Recuento total de datos confidenciales y este operador, y especifique 90 como valor para el campo. Para hacerlo en la consola Amazon Macie, introduzca 90 en el cuadro Hasta, no introduzca ningún valor en el cuadro Desde y a continuación, seleccione Aplicar.

Si utiliza la API de Amazon Macie para definir un intervalo de tiempo que utilice este operador, tendrá que especificar los valores de fecha y hora como marcas de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.

No igual a (neq)

No coincide (≠) con ningún valor especificado para el campo. Puede usar el operador no igual a con los siguientes tipos de valores: matriz de texto (cadenas), booleano, fecha/hora, número y texto (cadena).

Para muchos campos, puede usar este operador y especificar hasta 50 valores para el campo. Si lo hace, Macie utiliza el operador lógico OR para unir los valores. Esto significa que un resultado coincide con los criterios si no tiene ninguno de los valores especificados para el campo.

Por ejemplo:

  • Para excluir los resultados que notifiquen casos de información financiera, información personal o información tanto financiera como personal, añada una condición que utilice el campo Categoría de datos confidenciales y este operador, y especifique Información financiera e Información personal como valores del campo.

  • Para excluir los resultados que notifiquen casos de números de tarjetas de crédito, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER como valor del campo.

  • Para excluir los resultados que indiquen casos de números de tarjetas de crédito, direcciones postales o tanto números de tarjetas de crédito como direcciones postales, añada una condición al campo Tipo de detección de datos confidenciales, utilice este operador y especifique CREDIT_CARD_NUMBER y ADDRESScomo valores del campo.

Si usa la API de Amazon Macie para definir una condición que utilice este operador con un valor de fecha y hora, especifique el valor como una marca de tiempo de Unix en milisegundos, por ejemplo, 1604616572653 para las 22:49:32 UTC del 5 de noviembre de 2020.