調査結果のフィルタリングの基礎 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

調査結果のフィルタリングの基礎

フィルターを作成する場合は、次の特徴とガイドラインに留意してください。また、[] (すべて) のフィルターされた調査結果は、過去の 90 日間と現在のAWS リージョン。Amazon Macie は、調査結果をそれぞれので90日間だけ保存しますAWS リージョン。

フィルターで複数の条件を使用する

フィルターには、1 つ以上の条件を含めることができます。各条件は、[criterion] (基準) とも呼ばれ、3 つの部分で構成されています。

  • 属性ベースのフィールド ([Severity] (重要度) や [Finding type] (調査結果タイプ) など)。使用できるフィールドのリストについては、「調査結果をフィルタリングするためのフィールド」を参照してください。

  • 演算子 ([equals][not equals] など)。使用できる演算子のリストについては、「条件での演算子の使用」を参照してください。

  • 1 つまたは複数の値。値のタイプと数は、選択するフィールドと演算子によって異なります。

フィルターに複数の条件が含まれている場合、Macie は AND ロジックを使用して条件を結合し、フィルター基準を評価します。これは、調査結果は、一致した場合にのみ、フィルター基準に一致した場合にのみ、フィルター基準を満たすことを意味しますすべてフィルタの条件。

たとえば、重要度の高い調査結果のみを含めるように条件を追加し、機密データの調査結果のみを含めるように別の条件を追加した場合、Macie は高い重要度の機密データの調査結果をすべて返します。つまり、Macie は、すべてのポリシーの調査結果と、中程度の重要度および低い重要度の機密データの調査結果をすべて除外します。

フィルターでは、フィールドを 1 回だけ使用できます。ただし、多くのフィールドに複数の値を指定することができます。

たとえば、高い重要度の調査結果のみを含めるように条件で [Severity] (重要度) フィールドを使用する場合は、中程度の重要度または低い重要度の調査結果を含めるように別の条件で [Severity] (重要度) フィールドを使用することはできません。代わりに、既存の条件に複数の値を指定するか、既存の条件に別の演算子を使用します。たとえば、中程度の重要度と高い重要度の調査結果をすべて含めるには、[Severity] (重要度) [equals] [Medium, High] (ミディアム、高) 条件を追加するか、[Severity] (重要度) [not equals] [Low] (低) 条件を追加します。

フィールドの値を指定する

フィールドの値を指定する場合、値はフィールドの基盤となるデータタイプに準拠する必要があります。フィールドに応じて、次のいずれかのタイプの値を指定できます。

[Array of text (strings)] (テキスト (文字列) の配列)

フィールドのテキスト (文字列) 値のリストを指定します。各文字列は、フィールドの定義済み値または既存の値と相関します。たとえば、[High] (高)向けの重要度フィールド、SensitiveData:SenSenancial向けの検出結果タイプフィールド、またはの S3 バケットの名前S3 バケット名フィールド。

配列を使用する場合は、次の点に注意してください。

  • 値は大文字と小文字が区別されます。

  • 部分的な値を指定したり、値にワイルドカード文字を使用したりすることはできません。フィールドに完全で有効な値を指定する必要があります。

たとえば、[my-S3-bucket] という名前の S3 バケットの調査結果をフィルタリングするには、S3 bucket name (S3 バケット名) フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

各フィールドの有効な値のリストについては、「調査結果をフィルタリングするためのフィールド」を参照してください。

配列には、最大 50 個までの値を指定できます。値の指定方法は、「1 つのフィールドに複数の値を指定する」で説明されているように、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

[Boolean] (ブール値)

フィールドの 2 つの相互に排他的な値のうちの 1 つを指定します。

Amazon Macie コンソールを使用してこのタイプの値を指定する場合、コンソールには選択可能な値のリストが表示されます。Amazon Macie API を使用する場合は、値で true または false を指定します。

[Date/Time (and time ranges)] (日付/時刻 (および時間範囲))

フィールドで絶対的な日付と時刻を指定します。このタイプの値を指定する場合は、日付と時刻の両方を指定する必要があります。

Amazon Macie コンソールでは、日付と時刻の値はお客様のローカルタイムゾーンにあり、24 時間表記を使用します。その他のすべてのコンテキストでは、これらの値は協定世界時 (UTC) 形式および拡張 ISO 8601 形式になります。たとえば、2:31:13 PM UTC September 1, 2020 では、2020-09-01T14:31:13Z

フィールドに日付/時刻値が保存されている場合、フィールドを使用して固定時間範囲または相対時間範囲を定義できます。たとえば、2 つの特定の日時の間に作成された調査結果のみ、または特定の日時の前後に作成された調査結果のみを含めることができます。時間範囲の定義方法は、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

  • コンソールで、日付ピッカーを使用するか、テキストを [From] および [To] ボックスに直接入力します。

  • API を使用して、範囲内の最初の日付と時刻を指定する条件を追加して固定時間範囲を定義し、範囲内の最後の日付と時刻を指定する別の条件を追加します。これを行うと、Macie は AND ロジックを使用して条件を結合します。相対時間範囲を定義するには、範囲内の最初または最後の日付と時刻を指定する条件を 1 つ追加します。値を Unix のタイムスタンプとしてミリ秒単位で指定します。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653

コンソールでは、時間範囲は包括的です。API を使用すると、選択した演算子に応じて、時間範囲を包括的または排他的にすることができます。)

[Number (and numeric ranges)] (数値 (および数値範囲)

フィールドで長い整数を指定します。

フィールドに数値が保存されている場合、フィールドを使用して固定または相対数値範囲を定義できます。たとえば、S3 オブジェクトでは、50~90 回の機密データの出現をレポートする結果のみを含めることができます。数値範囲の定義方法は、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

  • コンソールで、[From] および [To] ボックスを使用して、範囲内の最小および最大の数値をそれぞれ入力します。

  • API を使用して、範囲内の最小の数値を指定する条件を追加して固定数値範囲を定義し、範囲内の最大の数値を指定する別の条件を追加します。これを行うと、Macie は AND ロジックを使用して条件を結合します。相対数値範囲を定義するには、範囲内の最小または最大の数値を指定する条件を 1 つ追加します。

コンソールでは、数値範囲は包括的です。API を使用すると、選択した演算子に応じて、数値範囲を包括的または排他的にすることができます。

[Text (string)] (テキスト (文字列))。

フィールドの単一のテキスト (文字列) 値を指定します。各文字列は、フィールドの事前定義された値または既存の値と相関します。たとえば、[Severity] (重要度)フィールドでは {High] (高)、[S3 bucket name] (S3 バケット名) フィールドでは S3 バケットの名前、または [Job ID] (ジョブ ID) フィールドでは機密データ検出ジョブの一意の識別子です。

単一のテキスト文字列を指定する場合は、次の点に注意してください。

  • 値は大文字と小文字が区別されます。

  • 部分的な値を使用したり、値にワイルドカード文字を使用したりすることはできません。フィールドに完全で有効な値を指定する必要があります。

たとえば、[my-S3-bucket] という名前の S3 バケットの調査結果をフィルタリングするには、S3 bucket name (S3 バケット名) フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

各フィールドの有効な値のリストについては、「調査結果をフィルタリングするためのフィールド」を参照してください。

1 つのフィールドに複数の値を指定する

特定のフィールドと演算子では、フィールドに複数の値を指定できます。これを行うと、Macie は OR ロジックを使用して値を結合し、フィルター基準条件を評価します。これは、調査結果は、次の条件に一致した場合に基準に一致した場合に基準に一致することを意味します任意の[] フィールドの値のの

たとえば、結果を含めるための条件を追加すると、検出結果タイプフィールドEqualsSensitiveData:SenSenancial、 SensitiveData:Sen/Personalの場合、Macie は、財務データのみを含む S3 オブジェクト、および個人情報のみを含む S3 オブジェクトの機密データ結果を返します。つまり、Macie はすべてのポリシーの調査結果を除外します。Macie は、他のタイプの機密データまたは複数のタイプの機密データを含むオブジェクトに関するすべての機密データの調査結果を除外します。

例外は、eqExactMatchoperator. この演算子では、Macie は AND ロジックを使用して値を結合し、フィルター基準を評価します。これは、結果が次の条件を満たしている場合にのみ条件に一致することを意味しますすべて[] フィールドの値のみ[] フィールドのこれらの値 この演算子の詳細については、「条件での演算子の使用」を参照してください。

フィールドに複数の値を指定する方法は、Amazon Macie API と Amazon Macie コンソールのどちらを使用するかによって異なります。API では、値をリスト化する配列を使用します。

コンソールでは通常、リストから値を選択します。ただし、一部のフィールドでは、値ごとに異なる条件を追加する必要があります。たとえば、Macie が特定のカスタムデータ識別子を使用して検出したデータの調査結果を含めるには、以下を行います。

  1. フィルタバーにカーソルを置き、[Custom data identifier detection name] (カスタムデータ識別子の検出名) フィールドに、カスタムデータ識別子の名前を入力し、次に [Apply] (適用) を選択します。

  2. フィルターで指定する追加のカスタムデータ ID ごとに、上記のステップを繰り返します。

これを行う必要があるフィールドのリストについては、「調査結果をフィルタリングするためのフィールドを参照してください。

条件での演算子の使用

個別の条件で、次のタイプの演算子を使用できます。

[Equals (eq)] (等しい (式))

フィールドで指定された値に一致します (=)。次のタイプの値を持つ [equals] 演算子を使用できます: テキスト (文字列) の配列、ブール値、日付/時刻、数値、テキスト (文字列)。

多くのフィールドでは、この演算子を使用して、フィールドの値を最大 50 個まで指定できます。これを行うと、Macie は OR ロジックを使用して値を結合します。これは、調査結果は、次の条件に一致した場合に基準に一致した場合に基準に一致することを意味します任意のフィールドに指定された値の

例:

  • 財務情報、個人情報、または財務情報と個人情報両方の出現をレポートする調査結果を含めるには、[Sensitive data category] (機密データのカテゴリ) フィールドとこの演算子を使用する条件を追加し、[Financial information] (財務情報) と [Personal information] (個人情報) をフィールドの値として指定します。

  • クレジットカード番号、郵送先住所、またはクレジットカード番号と郵送先住所両方の出現をレポートする調査結果を含めるには、[Sensitive data detection type] (機密データの検出タイプ) フィールドの条件を追加し、この演算子を使用し、[CREDIT_CARD_NUMBER][ADDRESS] をフィールドの値として指定します。

Amazon Macie API を使用して日付/時刻値でこの演算子を使用する条件を定義する場合は、その値を Unix タイムスタンプとしてミリ秒単位で指定します。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653

[Equals exact] (eqExactMatch)

フィールドに指定されたすべての値に排他的に一致します。フィールドの選択セットを持つ [equals exact match] (完全一致と等しい) 演算子を使用できます。

この演算子を使用してフィールドに複数の値を指定すると、Macie は AND ロジックを使用して値を結合します。これは、結果が次の条件を満たしている場合にのみ条件に一致することを意味しますすべて[] フィールドに指定された値のみ[] フィールドのこれらの値 フィールドには、最大 50 個までの値を指定できます。

例:

  • クレジットカード番号の出現をレポートし、他のタイプの機密データをレポートしない調査結果を含めるには、[Sensitive data detection type] (機密データの検出タイプ) フィールドの条件を追加し、この演算子を使用し、[CREDIT_CARD_NUMBER] のみをフィールドの値として指定します。

  • クレジットカード番号と郵送先住所両方の出現をレポートする (他のタイプの機密データをレポートしない) 調査結果を含めるには、[Sensitive data detection type] (機密データの検出タイプ) フィールドの条件を追加し、この演算子を使用し、[CREDIT_CARD_NUMBER] と [ADDRESS] をフィールドの値として指定します。

Macie は AND ロジックを使用してフィールドの値を結合するため、同じフィールドの他の演算子と組み合わせてこの演算子を使用することはできません。つまり、1 つの条件でフィールドの [equals exact match] (完全一致と等しい) 演算子を使用する場合、同じフィールドを使用する他のすべての条件でそれを使用する必要があります。

他の演算子と同様に、フィルター内の複数の条件で [equals exact match] (完全一致と等しい) 演算子を使用できます。これを行うと、Macie は AND ロジックを使用して条件を結合し、フィルターを評価します。これは、調査結果は、[] (すべて) のフィルター内の場合にのみ、フィルター基準に一致すべてによって指定される値すべてフィルタの条件。

たとえば、特定の時間後に作成された結果を含めるようにし、クレジットカード番号の出現をレポートし、他のタイプの機密データをレポートしない場合は、以下を行います。

  1. [Created at] (作成日時) フィールドを使用し、[greater than] (~より大きい) 演算子を使用し、フィルターの開始日時を指定する条件を追加します。

  2. 機密データの検出タイプフィールドを使用し、[equals exact match] (完全一致と等しい) 演算子を使用し、[CREDIT_CARD_NUMBER] をフィールドの唯一の値として指定する別の条件を追加します。

次のフィールドを持つ [equals exact match] (完全一致と等しい) 演算子を使用できます。

  • カスタムデータ識別子の検出 ARN (customDataIdentifiers.detections.arn)

  • カスタムデータ識別子の検出名 (customDataIdentifiers.detections.name)

  • S3 バケットタグキー (resourcesAffected.s3Bucket.tags.key)

  • S3 バケットタグ値 (resourcesAffected.s3Bucket.tags.value)

  • S3 オブジェクトタグキー (resourcesAffected.s3Object.tags.key)

  • S3 オブジェクトタグ値 (resourcesAffected.s3Object.tags.value)

  • 機密データの検出タイプ (sensitiveData.detections.type)

  • 機密データのカテゴリ (sensitiveData.category)

前のリストでは、括弧内の名前は、調査結果と Amazon Macie API の JSON 表現内のフィールドの名前を示すために、ドット表記を使用しています。

[Greater than (gt)] (~より大きい (gt))

フィールドに指定された値より大きい (>)。数値と日付/時刻の値を持つ [greater than] (~より大きい) 演算子を使用できます。

たとえば、S3 オブジェクトで 90 件を超える機密データの出現をレポートする調査結果のみを含めるには、[Sensitive data total count] (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、[From] ボックスに 91 と入力し、[To] ボックスには値を入力せず、次に [Apply] (適用) を選択します。コンソールでは、数値と時間ベースの比較は包括的です。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020では、1604616572653

[Greater than or equal to (gte)] (~以上 (gte))

この値は、フィールドで指定した値以上 (>=) にする必要があります。数値と日付/時刻の値を持つ [greater than or equal to] (~以上) 演算子を使用できます。

たとえば、S3 オブジェクトで 90 件以上の機密データの出現をレポートする調査結果のみを含めるには、[Sensitive data total count] (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、[From] ボックスに 90 と入力し、[To] ボックスには値を入力せず、次に [Apply] (適用) を選択します。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020では、1604616572653

[Less than (lt)] (~より小さい (lt))

フィールドに指定された値より小さい (<)。数値と日付/時刻の値を持つ [Less than (lt)] (~より小さい (lt)) 演算子を使用できます。

たとえば、S3 オブジェクトで 90 件未満の機密データの出現をレポートする調査結果のみを含めるには、[Sensitive data total count] (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、[To] ボックスに 89 と入力し、[From] ボックスには値を入力せず、次に [Apply] (適用) を選択します。コンソールでは、数値と時間ベースの比較は包括的です。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020では、1604616572653

[Less than or equal to (lte)] (~以下 (lte))

この値は、フィールドで指定した値以下 (<=) にする必要があります。数値と日付/時刻の値を持つ [less than or equal to] (~以下) 演算子を使用できます。

たとえば、S3 オブジェクトで 90 件以下の機密データの出現をレポートする調査結果のみを含めるには、[Sensitive data total count] (機密データの合計カウント) フィールドとこの演算子を使用する条件を追加し、フィールドの値として 90 を指定します。Amazon Macie コンソールでこれを行うには、[To] ボックスに 90 と入力し、[From] ボックスには値を入力せず、次に [Apply] (適用) を選択します。

Amazon Macie API を使用してこの演算子を使用する時間範囲を定義する場合は、日付/時刻の値を Unix タイムスタンプとしてミリ秒単位で指定する必要があります。たとえば、22:49:32 UTC November 5, 2020では、1604616572653

[Not equals (neq)] (等しくない (neq))

フィールドで指定された値に一致しません (≠)。次のタイプの値を持つ [not equals] 演算子を使用できます: テキスト (文字列) の配列、ブール値、日付/時刻、数値、テキスト (文字列)。

多くのフィールドでは、この演算子を使用して、フィールドの値を最大 50 個まで指定できます。これを行うと、Macie は OR ロジックを使用して値を結合します。これは、調査結果は、[] (すべて) を持たない場合に、基準を満たすことを意味します任意のフィールドに指定された値の

例:

  • 財務情報、個人情報、または財務情報と個人情報両方の出現をレポートする調査結果を除外するには、[Sensitive data category] (機密データのカテゴリ) フィールドとこの演算子を使用する条件を追加し、[Financial information] (財務情報) と [Personal information] (個人情報) をフィールドの値として指定します。

  • クレジットカード番号の出現をレポートする調査結果を除外するには、[Sensitive data detection type] (機密データの検出タイプ) フィールドの条件を追加し、この演算子を使用し、[CREDIT_CARD_NUMBER] をフィールドの値として指定します。

  • クレジットカード番号、郵送先住所、またはクレジットカード番号と郵送先住所両方の出現をレポートする調査結果を除外するには、[Sensitive data detection type] (機密データの検出タイプ) フィールドの条件を追加し、この演算子を使用し、[CREDIT_CARD_NUMBER][ADDRESS] をフィールドの値として指定します。

Amazon Macie API を使用して日付/時刻値でこの演算子を使用する条件を定義する場合は、その値を Unix タイムスタンプとしてミリ秒単位で指定します。たとえば、22:49:32 UTC November 5, 2020 では、1604616572653