フィルターの作成と Macie の検出結果への適用

特定の特性を持つ調査結果を特定し、それに焦点を絞るには、Amazon Macie コンソールで、および Amazon Macie API を使用してプログラムで送信するクエリで調査結果をフィルタリングできます。フィルターを作成するときは、調査結果の特定の属性を使用して、ビューまたはクエリ結果から結果を含めるか除外するための基準を定義できます。検出結果の属性は、検出結果が適用されるリソースの重要度、タイプ、名前などの特定のデータを保存するフィールドです。

Macie では、フィルターは 1 つ以上の条件で設定されます。各条件は、基準とも呼ばれ、3 つの部分で設定されています。

• 属性ベースのフィールド (重要度や 調査結果タイプなど)。

• 演算子 (と等しい や 等しくない など)。

• 1 つまたは複数の値。値のタイプと数は、選択するフィールドと演算子によって異なります。

フィルター条件の定義および適用方法は、Amazon Macie コンソールと Amazon Macie API のどちらを使用するかによって異なります。

Amazon Macie コンソールを使用して検出結果をフィルタリングする

Amazon Macie コンソールを使用して調査結果をフィルタリングする場合、Macie は個別の条件のフィールド、演算子、値を選択するのに役立つオプションを提供します。これらのオプションにアクセスするには、次の画像に示すように、調査結果ページのフィルターバーを使用します。

[検出結果のステータス]メニューを使用して、抑制ルールによって抑制 (自動的にアーカイブ) された結果を含めるかどうかを指定できます。[フィルター条件]ボックスを使用すると、フィルター条件を入力できます。

フィルター条件ボックスにカーソルを置くと、Macie はフィルター条件で使用できるフィールドのリストを表示します。フィールドは論理カテゴリ別に整理されています。たとえば、一般的なフィールドカテゴリには、任意のタイプの調査結果に適用されるフィールドが含まれ、分類フィールドカテゴリには、機密データの調査結果にのみ適用されるフィールドが含まれます。フィールドは、各カテゴリ内でアルファベット順に並べ替えられます。

条件を追加するには、まずリストからフィールドを選択します。フィールドを見つけるには、完全なリストを参照するか、フィールド名の一部を入力してフィールドのリストを絞り込みます。

選択したフィールドに応じて、Macie は異なるオプションを表示します。オプションには、選択したフィールドのタイプと性質が反映されます。たとえば、重要度フィールドを選択した場合、Macie は選択する値のリストを表示します (低、中、および高)。S3 バケット名フィールドを選択した場合、Macie は、バケット名を入力できるテキストボックスを表示します。どのフィールドを選択しても、Macie はフィールドに必要な設定を含む条件を追加するステップを順を追ってガイドします。

条件を追加すると、次の図に示すように、Macie はその条件の基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。

この例では、中程度の重要度および高い重要度の調査結果をすべて含め、低い重要度の調査結果をすべて除外するように条件が設定されています。これは、重要度フィールドの値 と等しい 中 または 高の場合に調査結果を返します。

ヒント

多くのフィールドでは、条件のフィルタートークンの等しいアイコン を選択して、条件の演算子を equalsと等しいから等しくないに変更できます。これを行うと、Macie は演算子を等しくないに変更し、トークンに 等しくない アイコン を表示します。再度 と等しい 演算子に切り替えるには、等しくない アイコンを選択します。

条件を追加すると、Macie はその基準を適用し、それらをフィルター条件ボックスのトークンに追加します。フィルターボックスをいつでも参照して、適用した基準を確認できます。条件を削除するには、条件のトークンで 条件の削除アイコン を選択します。

コンソールを使用して検出結果をフィルタリングするには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ナビゲーションペインで 結果 を選択します。

3. (オプション) 事前定義された論理グループで調査結果をピボットして確認するには、ナビゲーションペイン (調査結果の下) の バケット別、タイプ別、または ジョブ別を選択し、次にテーブル内で項目を選択します。次に、テーブル内の項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。

4. (オプション) 抑制ルールによって抑制された調査結果を表示するには、フィルターバーの 現在を選択します。次に アーカイブ済みを選択して、抑制された調査結果のみを表示するか、すべてを選択して、現在の調査結果と抑制された調査結果の両方を表示します。非表示になっている検出結果を非表示にするには、[現在] を選択します。

5. フィルタ条件を追加するには:

   1. フィルター条件ボックスにカーソルを置き、条件に使用するフィールドを選択します。使用可能なフィールドの詳細については、Macie 検出結果をフィルタリングするためのフィールドを参照してください。

   2. フィールドに適切なタイプの値を入力します。さまざまなタイプの値の詳細については、フィールドの値を指定するを参照してください。

      テキスト (文字列) の配列

      このタイプの値では、Macie は多くの場合、選択する値のリストを提供します。この場合、条件で使用するそれぞれの値を選択します。

      Macie が値のリストを提供しない場合は、フィールドに完全で有効な値を入力します。フィールドに追加の値を指定するには、適用を選択し、次に追加の値ごとに別の条件を追加します。

      値では、大文字と小文字が区別されることに注意してください。また、値には部分的な値やワイルドカード文字を使用することはできません。たとえば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名フィールドの値として my-S3-bucket と入力します。my-s3-bucket や my-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

      ブール値

      このタイプの値について、Macie は選択する値のリストを提供します。条件で使用する値を選択します。

      日付/時刻 (時間範囲

      このタイプの値には、From および To ボックスを使用して、包括的な時間範囲を定義します。

      • 固定時間範囲を定義するには、From および To ボックスを使用して、範囲内の最初の日時と最後の日時をそれぞれ指定します。

      • 特定の日時に開始し、現在の時刻で終了する相対時間範囲を定義するには、開始日時を From ボックスに入力し、To ボックス内のテキストを削除します。

      • 特定の日時に終了する相対時間範囲を定義するには、終了日時を To ボックスに入力し、From ボックス内のテキストを削除します。

      時間値は 24 時間表記を使用することに注意してください。日付ピッカーを使用して日付を選択する場合は、テキストをFrom および To ボックスに直接入力して、値を絞り込むことができます。

      数値 (数値範囲

      このタイプの値では、From および To ボックスを使用して、包括的、固定、または相対の数値範囲を定義する 1 つ以上の整数を入力します。

      テキスト (文字列) 値

      このタイプの値では、フィールドに完全で有効な値を入力します。

      値では、大文字と小文字が区別されることに注意してください。また、値には部分的な値やワイルドカード文字を使用することはできません。たとえば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名フィールドの値として my-S3-bucket と入力します。my-s3-bucket や my-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

   3. フィールドの値の追加が終了したら、適用を選択します。Macie はフィルター基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。

6. 追加する追加の条件ごとに、ステップ 5 を繰り返します。

7. 条件を削除するには、条件のフィルタートークンで条件の削除アイコン を選択します。

8. 条件を変更するには、条件のフィルタートークンで条件の削除アイコン を選択して、条件を削除します。次に、ステップ 5 を繰り返して、正しい設定を持つ条件を追加します。

ヒント

後でこの条件のセットを再度使用する場合は、セットをフィルタールールとして保存できます。これを行うには、フィルター条件ボックスのルールを保存するを選択します。次に、ルールの名前を入力し、オプションで説明を入力します。終了したら、保存を選択します。

Amazon Macie API を用いて調査結果をプログラムでフィルタリングする

調査結果をプログラムでフィルタリングするには、Amazon Macie APIの ListFindings または GetFindingStatistics オペレーションを使用して送信するクエリでフィルター基準を指定します。ListFindings オペレーションは、フィルター基準を満たす結果ごとの 1 つの ID である、検索条件 ID の配列を返します。GetFindingStatistics オペレーションは、リクエストで指定したフィールド別にグループ化された、フィルター基準を満たすすべての調査結果に関する集計統計データを返します。

以下の点に注意してください。ListFindings および GetFindingStatistics オペレーションは、結果を抑制するために使用するオペレーションとは異なることに注意してください フィルター基準も指定する抑制オペレーションとは異なり、ListFindings および GetFindingStatistics オペレーションは、調査結果データのみをクエリします。それらは、フィルター基準と一致する検出結果に対するアクションは実行しません。検出結果を非表示にするには、Amazon Macie APIの CreateFindingsFilter オペレーションを使用します。

クエリでフィルター基準を指定するには、リクエストにフィルター基準のマップを含めます。条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定します。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、Macie 検出結果をフィルタリングするためのフィールド、条件での演算子の使用、およびフィールドの値を指定するを参照してください。

次の例は、AWS Command Line InterfaceAWS CLI を使用して送信するクエリでフィルター基準を指定する方法を示しています。これを行うには、別の AWS コマンドラインツールまたは AWS SDK の最新バージョンを使用するか、HTTPS リクエストを Macie に直接送信します。 AWS ツールと SDKs「構築するツール AWS」を参照してください。

例

• 重要度に基づいて調査結果をフィルタリングする

• 機密データカテゴリに基づいて調査結果をフィルタリングする

• 固定時間範囲に基づいて結果をフィルタリングする

• 抑制ステータスに基づいて調査結果をフィルタリングする

• 複数のフィールドと値のタイプに基づいて調査結果をフィルタリングする

この例では list-findings コマンドを使用します。例が正常に実行されると、Macie は findingIds 配列を返します。配列には、次の例に示すように、フィルター基準を満たす各調査結果の一意の識別子がリスト化されます。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

フィルター基準を満たす調査結果がない場合、Macie は空の findingIds 配列を返します。

{
    "findingIds": []
}

例 1: 重要度に基づいて調査結果をフィルタリングする

この例では、現在の のすべての高重要度および中重要度の検出結果の検出結果 IDs を取得します AWS リージョン。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

ここで、

• severity.description は 重要度フィールドの JSON 名を指定します。

• eqは、等しい 演算子を指定します。

• 高および 中 は、重要度フィールドの列挙値の配列です。

例 2: 機密データのカテゴリに基づいて調査結果をフィルタリングする

この例では、現在のリージョンにあるすべての機密データの検出結果 IDs を取得し、S3 オブジェクト内の財務情報 (他のカテゴリの機密データなし) の出現を報告します。

Linux、macOS、または Unix の場合、読みやすさを向上させるためにバックスラッシュ (\) の行連結文字を使用します。

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Microsoft Windows の場合、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

ここで、

• classificationDetails.result.sensitiveData.category は、機密データのカテゴリフィールドの JSON 名を指定します。

• eqexactMatch は、完全一致と等しい演算子を指定します。

• FINANCIAL_INFORMATION は、機密データのカテゴリフィールドの列挙値です。

例 3: 固定時間範囲に基づいて結果をフィルタリングする

この例では、現在のリージョンにあり、2020 年 10 月 5 日 07:00 UTC から 2020 年 11 月 5 日 07:00 UTC の間に作成されたすべての結果 (両端を含む) の検出結果 IDs を取得します。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

コードの説明は以下のとおりです。

• createdAtは、Created at (作成日時) フィールドの JSON 名を指定します。

• gteは、greater than or equal to (～以上) 演算子を指定します。

• 1601881200000 は、時間範囲内の最初の日付と時刻です (ミリ秒単位での Unix のタイムスタンプとして)。

• lte は、～以下演算子を指定します。

• 1604559600000 は、時間範囲内の最後の日付と時刻です (ミリ秒単位での Unix のタイムスタンプとして)。

例 4: 抑制ステータスに基づいて調査結果をフィルタリングする

この例では、現在のリージョンにあり、抑制ルールによって抑制 (自動アーカイブ) されたすべての検出結果の検出結果 IDs を取得します。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

コードの説明は以下のとおりです。

• アーカイブ済み は、アーカイブ済みフィールドの JSON 名を指定します。

• eqは、と等しい 演算子を指定します。

• trueは、アーカイブ済みフィールドのブール値です。

例 5: 複数のフィールドと値のタイプに基づいて調査結果をフィルタリングする

この例では、現在のリージョンにあり、次の基準に一致するすべての機密データの検出結果 IDs を取得します。2020 年 10 月 5 日 07:00 UTC から 2020 年 11 月 5 日 07:00 UTC の間に作成された (排他的）。S3 オブジェクト内の財務データの発生を報告し、他のカテゴリの機密データは報告されなかった。抑制ルールによって抑制 (自動アーカイブ) されなかった。

Linux、macOS、または Unix の場合、読みやすさを向上させるためにバックスラッシュ (\) の行連結文字を使用します。

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Microsoft Windows の場合、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

ここで、

• createdAtは、作成日時フィールドの JSON 名を指定し、

  • gtは、～以上演算子を指定します。

  • 1601881200000 は、時間範囲内の最初の日付と時刻です (ミリ秒単位での Unix のタイムスタンプとして)。

  • lt は、～以下演算子を指定します。

  • 1604559600000 は、時間範囲内の最後の日付と時刻です (ミリ秒単位での Unix のタイムスタンプとして)。

• classificationDetails.result.sensitiveData.category は、Sensitive data category (機密データのカテゴリ) フィールドの JSON 名を指定し、

  • eqexactMatch は、完全一致と等しい演算子を指定します。

  • FINANCIAL_INFORMATION は、フィールドの列挙値です。

• archived は、アーカイブ済みフィールドの JSON 名を指定し、

  • eqは、等しい 演算子を指定します。

  • false は、フィールドのブール値です。