Crear y aplicar filtros a los resultados

Para identificar y centrarse en los resultados que tienen características específicas, puede filtrar los resultados en la consola de Amazon Macie y en las consultas que envíe mediante programación mediante la API de Amazon Macie. Al crear un filtro, se utilizan atributos específicos de los resultados para definir criterios que permitan incluir o excluir resultados de una vista o de los resultados de una consulta. Un atributo de resultado es un campo que almacena datos específicos de un resultado, como el tipo de resultado, la gravedad o el nombre del bucket de S3 afectado.

En Macie, un filtro consta de una o más condiciones. Cada condición, también denominada criterio, consta de tres partes:

• Un campo basado en atributos, como la Gravedad o el Tipo de resultado.

• Un operador, como igual o no igual.

• Uno o varios valores. El tipo y el número de valores dependen del campo y el operador que elija.

La forma en que defina y aplique las condiciones de filtrado depende de si utiliza la consola de Amazon Macie o la API de Amazon Macie.

Filtrar resultados en la consola de Amazon Macie

Si utiliza la consola de Amazon Macie para filtrar los resultados, Macie ofrece opciones que le ayudan a elegir campos, operadores y valores para condiciones individuales. Para acceder a estas opciones, utilice los ajustes de filtrado de las páginas de Resultados, como se muestra en la siguiente imagen.

Mediante el menú Estado de los resultados, puede especificar si desea incluir los resultados que fueron suprimidos (archivados automáticamente) por una regla de supresión. Mediante el cuadro Criterios de filtrado, puede introducir las condiciones del filtrado.

Al colocar el cursor en el cuadro Criterios de filtrado, Macie muestra una lista de campos que puede utilizar en las condiciones de filtrado. Los campos están organizados por categorías lógicas. Por ejemplo, la categoría Campos comunes incluye los campos que se aplican a cualquier tipo de resultado y la categoría Classification fields (Campos de clasificación) incluye los campos que se aplican solo a los resultados de datos confidenciales. Los campos se ordenan alfabéticamente dentro de cada categoría.

Para añadir una condición, comience por elegir un campo de la lista. Para buscar un campo, navegue por la lista completa o introduzca parte del nombre del campo para reducir la lista de campos.

Dependiendo del campo que elija, Macie muestra diferentes opciones. Las opciones reflejan el tipo y la naturaleza del campo que elija. Por ejemplo, si selecciona el campo Gravedad, Macie mostrará una lista de valores entre los que elegir: Bajo, Medio y Alto. Si selecciona el campo Nombre del bucket S3, Macie mostrará un cuadro de texto en el que podrá introducir el nombre del bucket. Sea cual sea el campo que elija, Macie le guiará por los pasos necesarios para añadir una condición que incluya los ajustes necesarios para el campo.

Tras añadir una condición, Macie aplica los criterios de la condición y la añade a un token de filtro en el cuadro Criterios del filtro, como se muestra en la imagen siguiente.

En este ejemplo, la condición está configurada para incluir todos los resultados de gravedad media y alta, y excluir todos los resultados de gravedad baja. Devuelve los resultados en los que el valor del campo Gravedad es es igual a Medio o Alto.

sugerencia

En muchos campos, puede cambiar el operador de una condición de es igual a a no es igual a seleccionando el icono de igualdad ( ) en el token de filtrado de la condición. Si lo hace, Macie cambia el operador a no es igual a y muestra el icono de no es igual a ( ) en el token. Para volver a cambiar al operador es igual a, seleccione el icono no es igual a.

A medida que añada más condiciones, Macie aplicará sus criterios y los añadirá a los símbolos del cuadro Criterios del filtro. Puede consultar el cuadro en cualquier momento para determinar qué criterios has aplicado. Para eliminar una condición, seleccione el icono de eliminación de la condición ( ) en el token para la condición.

Para filtrar resultados usando la consola

1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

2. En el panel de navegación, seleccione Findings (Hallazgos).

3. (Opcional) Para repasar primero los resultados por un grupo lógico predefinido y revisarlos, seleccione Por bucket, Por tipo o Por trabajo en el panel de navegación (en Resultados). A continuación, seleccione un elemento en la tabla. En el panel de detalles, elija el enlace para el campo en el que se va a dinamizar.

4. (Opcional) Para mostrar los resultados que fueron suprimidos por una regla de supresión, cambie la configuración del Estado de filtrado. Seleccione Archivado para mostrar solo los resultados suprimidos o seleccione Todos para mostrar los resultados suprimidos y no suprimidos. Para ocultar los resultados suprimidos, seleccione Actual.

5. Para añadir una condición de filtrado:

   1. Coloque el cursor en el cuadro Criterios de filtrado y, a continuación, elija el campo que desee utilizar para la condición. Para obtener más información sobre los campos que puede utilizar, consulte Campos para filtrar los resultados.

   2. Introduzca el tipo de valor adecuado para el campo. Para obtener información sobre los distintos tipos de valores, consulte Especificar valores para los campos.

      Matriz de texto (cadenas)

      Para este tipo de valores, Macie suele proporcionar una lista de valores entre los que elegir. Si este es el caso, seleccione cada valor que desee usar en la condición.

      Si Macie no proporciona una lista de valores, introduzca un valor completo y válido para el campo. Para especificar valores adicionales para el campo, elija Aplicar y, a continuación, añada otra condición para cada valor adicional.

      Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, no puede utilizar valores parciales ni caracteres comodín en los valores. Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca my-S3-bucket como el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, como my-s3-bucket o my-S3, Macie no devolverá los resultados del bucket.

      Booleano

      Para este tipo de valores, Macie proporciona una lista de valores entre los que elegir. Seleccione el valor que desea utilizar en la condición.

      Fecha/hora (intervalos de tiempo)

      Para este tipo de valor, utilice los cuadros Desde y Hasta para definir un intervalo de tiempo inclusivo:

      • Para definir un intervalo de tiempo fijo, utilice los cuadros Desde y Hasta para especificar la primera fecha y hora y la última fecha y hora del intervalo, respectivamente.

      • Para definir un intervalo de tiempo relativo que comience en una fecha y hora determinadas y termine en la hora actual, introduzca la fecha y la hora de inicio en los cuadros Desde y elimine el texto de los cuadros Hasta.

      • Para definir un intervalo de tiempo relativo que termine en una fecha y hora determinadas, introduzca la fecha y la hora de término en los cuadros Hasta y elimine el texto de los cuadros Desde.

      Tenga en cuenta que los valores de hora utilizan la notación de 24 horas. Si utiliza el selector de fechas para elegir fechas, puede refinar los valores introduciendo el texto directamente en los cuadros Desde y Hasta.

      Número (rangos numéricos)

      Para este tipo de valor, utilice los cuadros Desde y Hasta para introducir uno o más números enteros que definan un rango numérico inclusivo, fijo o relativo.

      Valores de texto (cadena)

      Para este tipo de valor, introduzca un valor completo y válido para el campo.

      Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, no puede utilizar valores parciales ni caracteres comodín en los valores. Por ejemplo, para filtrar los resultados de un bucket de S3 denominado my-S3-bucket, introduzca my-S3-bucket como el valor del campo nombre del bucket de S3. Si introduce cualquier otro valor, como my-s3-bucket o my-S3, Macie no devolverá los resultados del bucket.

   3. Cuando termine de añadir valores al campo, elija Aplicar. Macie aplica los criterios de filtro y añade la condición a un token de filtro en el cuadro de Criterios de filtro.

6. Repita el paso 5 para cada condición adicional que desee agregar.

7. Para eliminar una condición, pulse el icono de eliminación de la condición ( ) en el token de filtrado para la condición.

8. Para cambiar una condición, elimine la condición pulsando el icono de eliminación de la condición ( ) en el token de filtrado para la condición. A continuación, repita el paso 5 para añadir una condición con la configuración correcta.

Si desea volver a utilizar este conjunto de condiciones posteriormente, puede guardar el conjunto como una regla de filtrado. Para ello, seleccione Guardar regla en el cuadro Criterios del filtro. Ingrese un nombre y, opcionalmente, una descripción para la regla. Cuando termine, elija Save (Guardar).

Filtrar los resultados mediante programación con la API Amazon Macie

Para filtrar resultados mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la operación ListFindings o GetFindingStatistics de la API de Amazon Macie. La operación ListFindings devuelve una matriz de identificadores de resultados, un identificador por cada resultado que coincida con los criterios de filtrado. La operación GetFindingStatistics devuelve datos estadísticos agregados sobre todos los resultados que coinciden con los criterios de filtro, agrupados por un campo que especifique en la solicitud.

Tenga en cuenta que las operaciones ListFindings y GetFindingStatistics son diferentes de las operaciones que se utilizan para suprimir los resultados. A diferencia de las operaciones de supresión, que también especifican los criterios de filtrado, las operaciones ListFindings y GetFindingStatistics solo consultan los datos de los resultados. No llevan a cabo ninguna acción sobre los resultados que coinciden con los criterios de filtro. Para suprimir los resultados, utilice la operación CreateFindingsFilter de la API de Amazon Macie.

Para especificar los criterios de filtrado en una consulta, incluya una asignación de las condiciones del filtrado en la solicitud. Para cada condición debe especificar un campo, un operador y uno o varios valores para el campo. El tipo y el número de valores dependen del campo y el operador que elija. Para obtener información sobre los campos, los operadores y los tipos de valores que puede usar en una condición, consulte Campos para filtrar los resultados, Uso de operadores en condiciones y Especificar valores para los campos.

En los siguientes ejemplos, se muestra cómo especificar los criterios de filtrado en las consultas que se envían mediante AWS Command Line Interface(AWS CLI). También puede realizar esto utilizando una versión actual de otra herramienta de línea de comandos AWS o un SDK AWS, o enviando solicitudes HTTPS directamente a Macie. Para obtener más información sobre las herramientas y los SDK de AWS, consulte Herramientas para crear en .AWS

Ejemplos

• Filtrado de los resultados en función de la gravedad
• Filtrado de los resultados en función de la categoría de datos confidenciales
• Filtrado de los resultados en función de un intervalo de tiempo fijo
• Filtrado de los resultados en función del estado de supresión
• Filtrado de los resultados en función de varios campos y tipos de valores

Los ejemplos utilizan el comando list-findings. Si un ejemplo se ejecuta correctamente, Macie devuelve una matriz findingIds. La matriz indica el identificador único de cada resultado que coincide con los criterios de filtro, como se muestra en el siguiente ejemplo.

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

Si ningún resultado coincide con los criterios del filtro, Macie devuelve una matriz findingIds vacía.

{
    "findingIds": []
}

Ejemplo 1: filtrado de los resultados en función de la gravedad

En este ejemplo, se utiliza el comando list-findings para recuperar los identificadores de búsqueda de todos los resultados de gravedad alta y media del presente Región de AWS.

Para Linux, macOS o Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Para Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

Donde:

• severity.description especifica el nombre JSON del campo Gravedad.

• eq especifica el operador es igual a.

• Alto y Medio son una matriz de valores enumerados para el campo Gravedad.

Ejemplo 2: filtrado de los resultados en función de la categoría de datos confidenciales

En este ejemplo, se utiliza el comando list-findings para recuperar los identificadores de resultados de todos los resultados de datos confidenciales encontrados en la región actual y para informar sobre la aparición de información financiera (y no de otras categorías de datos confidenciales) en los objetos de S3.

Para Linux, macOS o Unix, utilice el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Para Microsoft Windows, utilice el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

Donde:

• ClassificationDetails.result.SensitiveData.category especifica el nombre en JSON del campo Categoría de datos confidenciales.

• eqExactMatch especifica el operador es igual a coincidencia exacta.

• FINANCIAL_INFORMATION es un valor enumerado para el campo Categoría de datos confidenciales.

Ejemplo 3: Filtrado de los resultados en función de un intervalo de tiempo fijo

En este ejemplo, se utiliza el comando list-findings para recuperar los identificadores de resultados de todos los resultados que se encuentren en la región actual y que se hayan creado entre las 07:00 UTC del 5 de octubre de 2020 y las 07:00 UTC del 5 de noviembre de 2020 (ambos inclusive).

Para Linux, macOS o Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Para Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

Donde:

• CreatedAt especifica el nombre JSON del campo Creado en.

• gte especifica el operador es mayor o igual a.

• 1601881200000 es la primera fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.

• gte especifica el operador es menor o igual a.

• 1604559600000 es la última fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.

Ejemplo 4: Filtrado de los resultados en función del estado de supresión

En este ejemplo, se utiliza el comando list-findings para recuperar los identificadores de resultados de todos los resultados que se encuentran en la región actual y que fueron suprimidos (archivados automáticamente) por una regla de supresión.

Para Linux, macOS o Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Para Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

Donde:

• archived especifica el nombre JSON del campo Archivado.

• eq especifica el operador es igual a.

• true es un valor booleano para el campo Archivado.

Ejemplo 5: Filtrado de los resultados en función de varios campos y tipos de valores

En este ejemplo, se utiliza el comando list-findings para recuperar los identificadores de resultados de todos los resultados de datos confidenciales que se encuentren en la región actual y que cumplan los siguientes criterios: se crearon entre las 07:00 UTC del 5 de octubre de 2020 y las 07:00 UTC del 5 de noviembre de 2020 (exclusivamente); notifican la aparición de datos financieros y ninguna otra categoría de datos confidenciales en objetos de S3; y no se suprimieron (archivaron automáticamente) mediante una regla de supresión.

Para Linux, macOS o Unix, utilice el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Para Microsoft Windows, utilice el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

Donde:

• createdAt especifica el nombre JSON del campo Creado en, y:

  • gt especifica el operador es mayor o igual a.

  • 1601881200000 es la primera fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.

  • lt especifica el operador es menor o igual a.

  • 1604559600000 es la última fecha y hora (como marca de tiempo de Unix en milisegundos) del intervalo de tiempo.

• ClassificationDetails.result.sensitiveData.category especifica el nombre en JSON del campo Categoría de datos confidenciales, y

  • eqExactMatch especifica el operador es igual a coincidencia exacta.

  • FINANCIAL_INFORMATION es un valor enumerado para el campo.

• archivado especifica el nombre JSON del campo Archivado, y:

  • eq especifica el operador es igual a.

  • false es un valor booleano para el campo.