Macie の検出結果へのフィルターの作成と適用 - Amazon Macie
コンソールを使用した結果のフィルタリング調査結果をプログラムでフィルタリングするには

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie の検出結果へのフィルターの作成と適用

特定の特性を持つ検出結果を特定して焦点を合わせるには、Amazon Macie コンソールと Amazon Macie を使用してプログラムで送信するクエリで検出結果をフィルタリングできますAPI。フィルターを作成するときは、調査結果の特定の属性を使用して、ビューまたはクエリ結果から結果を含めるか除外するための基準を定義できます。検出結果属性は、重要度、タイプ、検出結果が適用されるリソースの名前など、検出結果の特定のデータを保存するフィールドです。

Macie では、フィルターは 1 つ以上の条件で設定されます。各条件は、基準とも呼ばれ、3 つの部分で設定されています。

  • 属性ベースのフィールド (重要度調査結果タイプなど)。

  • 演算子 (と等しい等しくない など)。

  • 1 つまたは複数の値。値のタイプと数は、選択するフィールドと演算子によって異なります。

フィルター条件を定義して適用する方法は、Amazon Macie コンソールを使用するかAmazon Macie を使用するかによって異なりますAPI。

Amazon Macie コンソールを使用した検出結果のフィルタリング

Amazon Macie コンソールを使用して調査結果をフィルタリングする場合、Macie は個別の条件のフィールド、演算子、値を選択するのに役立つオプションを提供します。これらのオプションにアクセスするには、次の画像に示すように、調査結果ページのフィルターバーを使用します。

検出結果ページのフィルター設定、検出結果ステータスメニュー、フィルター条件ボックス。

[検出結果のステータス]メニューを使用して、抑制ルールによって抑制 (自動的にアーカイブ) された結果を含めるかどうかを指定できます。[フィルター条件]ボックスを使用すると、フィルター条件を入力できます。

フィルター条件ボックスにカーソルを置くと、Macie はフィルター条件で使用できるフィールドのリストを表示します。フィールドは論理カテゴリ別に整理されています。たとえば、一般的なフィールドカテゴリには、任意のタイプの調査結果に適用されるフィールドが含まれ、分類フィールドカテゴリには、機密データの調査結果にのみ適用されるフィールドが含まれます。フィールドは、各カテゴリ内でアルファベット順に並べ替えられます。

条件を追加するには、まずリストからフィールドを選択します。フィールドを見つけるには、完全なリストを参照するか、フィールド名の一部を入力してフィールドのリストを絞り込みます。

選択したフィールドに応じて、Macie は異なるオプションを表示します。オプションには、選択したフィールドのタイプと性質が反映されます。たとえば、重要度フィールドを選択した場合、Macie は選択する値のリストを表示します (、および)。S3 バケット名フィールドを選択した場合、Macie は、バケット名を入力できるテキストボックスを表示します。どのフィールドを選択しても、Macie はフィールドに必要な設定を含む条件を追加するステップを順を追ってガイドします。

条件を追加すると、次の図に示すように、Macie はその条件の基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。

重要度フィールドの値を指定する条件のトークンを含むフィルター条件ボックス。

この例では、中程度の重要度および高い重要度の調査結果をすべて含め、低い重要度の調査結果をすべて除外するように条件が設定されています。これは、重要度フィールドの値 と等しい または の場合に調査結果を返します。

ヒント

多くのフィールドでは、条件のフィルタートークンの等しいアイコン The equals icon, which is a solid gray circle. を選択して、条件の演算子を equalsと等しいから等しくないに変更できます。これを行うと、Macie は演算子を等しくないに変更し、トークンに 等しくない アイコン The not equals icon, which is an empty gray circle that has a backslash in it. を表示します。再度 と等しい 演算子に切り替えるには、等しくない アイコンを選択します。

条件を追加すると、Macie はその基準を適用し、それらをフィルター条件ボックスのトークンに追加します。フィルターボックスをいつでも参照して、適用した基準を確認できます。条件を削除するには、条件のトークンで 条件の削除アイコン The remove filter condition icon, which is a circle that has an X in it. を選択します。

コンソールを使用して結果をフィルタリングするには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで 調査結果を選択します。

  3. (オプション) 事前定義された論理グループで調査結果をピボットして確認するには、ナビゲーションペイン (調査結果の下) の バケット別タイプ別、または ジョブ別を選択し、次にテーブル内で項目を選択します。次に、テーブル内の項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。

  4. (オプション) 抑制ルールによって抑制された調査結果を表示するには、フィルターバーの 現在を選択します。次に アーカイブ済みを選択して、抑制された調査結果のみを表示するか、すべてを選択して、現在の調査結果と抑制された調査結果の両方を表示します。非表示になっている検出結果を非表示にするには、 [現在]を選択します。

  5. フィルタ条件を追加するには:

    1. フィルター条件ボックスにカーソルを置き、条件に使用するフィールドを選択します。使用可能なフィールドの詳細については、Macie の検出結果をフィルタリングするためのフィールドを参照してください。

    2. フィールドに適切なタイプの値を入力します。さまざまなタイプの値の詳細については、フィールドの値を指定するを参照してください。

      テキスト (文字列) の配列

      このタイプの値では、Macie は多くの場合、選択する値のリストを提供します。この場合、条件で使用するそれぞれの値を選択します。

      Macie が値のリストを提供しない場合は、フィールドに完全で有効な値を入力します。フィールドに追加の値を指定するには、適用を選択し、次に追加の値ごとに別の条件を追加します。

      値では、大文字と小文字が区別されることに注意してください。また、値には部分的な値やワイルドカード文字を使用することはできません。たとえば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

      ブール値

      このタイプの値について、Macie は選択する値のリストを提供します。条件で使用する値を選択します。

      日付/時刻 (時間範囲

      このタイプの値には、From および To ボックスを使用して、包括的な時間範囲を定義します。

      • 固定時間範囲を定義するには、From および To ボックスを使用して、範囲内の最初の日時と最後の日時をそれぞれ指定します。

      • 特定の日時に開始し、現在の時刻で終了する相対時間範囲を定義するには、開始日時を From ボックスに入力し、To ボックス内のテキストを削除します。

      • 特定の日時に終了する相対時間範囲を定義するには、終了日時を To ボックスに入力し、From ボックス内のテキストを削除します。

      時間値は 24 時間表記を使用することに注意してください。日付ピッカーを使用して日付を選択する場合は、テキストをFrom および To ボックスに直接入力して、値を絞り込むことができます。

      数値 (数値範囲

      このタイプの値では、From および To ボックスを使用して、包括的、固定、または相対の数値範囲を定義する 1 つ以上の整数を入力します。

      テキスト (文字列) 値

      このタイプの値では、フィールドに完全で有効な値を入力します。

      値では、大文字と小文字が区別されることに注意してください。また、値には部分的な値やワイルドカード文字を使用することはできません。たとえば、my-S3-bucket という名前の S3 バケットの調査結果をフィルタリングするには、S3 バケット名フィールドの値として my-S3-bucket と入力します。my-s3-bucketmy-S3 などの他の値を入力した場合、Macie はバケットの調査結果を返しません。

    3. フィールドの値の追加が終了したら、適用を選択します。Macie はフィルター基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。

  6. 追加する追加の条件ごとに、ステップ 5 を繰り返します。

  7. 条件を削除するには、条件のフィルタートークンで条件の削除アイコン The remove filter condition icon, which is a circle that has an X in it. を選択します。

  8. 条件を変更するには、条件のフィルタートークンで条件の削除アイコン The remove filter condition icon, which is a circle that has an X in it. を選択して、条件を削除します。次に、ステップ 5 を繰り返して、正しい設定を持つ条件を追加します。

ヒント

後でこの条件のセットを再度使用する場合は、セットをフィルタールールとして保存できます。これを行うには、フィルター条件ボックスのルールを保存するを選択します。次に、ルールの名前を入力し、オプションで説明を入力します。終了したら、保存 を選択します。

Amazon Macie によるプログラムによる検出結果のフィルタリング API

プログラムで結果をフィルタリングするには、Amazon Macie の ListFindingsまたは GetFindingStatisticsオペレーションを使用して送信するクエリでフィルター条件を指定しますAPI。ListFindings オペレーションは、検出結果 の配列を返します。これはIDs、フィルター条件に一致する検出結果ごとに 1 つの ID です。GetFindingStatistics オペレーションは、リクエストで指定したフィールド別にグループ化された、フィルター基準を満たすすべての調査結果に関する集計統計データを返します。

以下の点に注意してください。ListFindings および GetFindingStatistics オペレーションは、結果を抑制するために使用するオペレーションとは異なることに注意してください フィルター基準も指定する抑制オペレーションとは異なり、ListFindings および GetFindingStatistics オペレーションは、調査結果データのみをクエリします。それらは、フィルター基準と一致する検出結果に対するアクションは実行しません。検出結果を抑制するには、Amazon Macie の CreateFindingsFilterオペレーションを使用しますAPI。

クエリでフィルター基準を指定するには、リクエストにフィルター基準のマップを含めます。条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定します。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、Macie の検出結果をフィルタリングするためのフィールド条件での演算子の使用、およびフィールドの値を指定するを参照してください。

次の例は、AWS Command Line InterfaceAWS CLI を使用して送信するクエリでフィルター基準を指定する方法を示しています。これを行うには、別の AWS コマンドラインツールまたは AWS の最新バージョンを使用するかSDK、Macie に直接HTTPSリクエストを送信します。 AWS ツールと の詳細についてはSDKs、「 で構築するツール AWS」を参照してください。

この例では list-findings コマンドを使用します。例が正常に実行されると、Macie は findingIds 配列を返します。配列には、次の例に示すように、フィルター基準を満たす各調査結果の一意の識別子がリスト化されます。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

フィルター基準を満たす調査結果がない場合、Macie は空の findingIds 配列を返します。

{
    "findingIds": []
}

例 1: 重要度に基づいて調査結果をフィルタリングする

この例では、list-findings コマンドを使用して、現在の の重要度の高い検出結果と中程度の検出結果IDsをすべて取得します AWS リージョン。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

コードの説明は以下のとおりです。

  • severity.description は重要度フィールドJSONの名前を指定します。

  • eqequals 演算子を指定します。

  • High また、Medium は、重要度フィールドの列挙値の配列です。

例 2: 機密データのカテゴリに基づいて調査結果をフィルタリングする

この例では、list-findings コマンドを使用して、現在のリージョンにあるIDsすべての機密データの検出結果を取得し、S3 オブジェクト内の財務情報 (および他のカテゴリの機密データなし) の発生を報告します。

Linux、macOS、または Unix の場合、読みやすさを向上させるためにバックスラッシュ (\) の行連結文字を使用します。

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Microsoft Windows の場合、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

ここで、

  • classificationDetails.result.sensitiveData.category機密データカテゴリフィールドJSONの名前を指定します。

  • eqExactMatch、等号完全一致演算子を指定します。

  • FINANCIAL_INFORMATION は、機密データカテゴリフィールドの列挙値です。

例 3: 固定時間範囲に基づいて結果をフィルタリングする

この例では、list-findings コマンドを使用して、現在のリージョンにあり、2020 年 10 UTC月 5 日 07:00 から 2020 年 UTC11 月 5 日 07:00 の間に作成されたIDsすべての検出結果 ( を含む) の結果を取得します。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

コードの説明は以下のとおりです。

  • createdAt は、Created at フィールドJSONの名前を指定します。

  • gte は、演算子以上の を指定します。

  • 1601881200000 は、時間範囲内の最初の日時 (Unix タイムスタンプとしてミリ秒単位) です。

  • lte は演算子以下の を指定します。

  • 1604559600000 は、時間範囲内の最後の日時 (Unix タイムスタンプとしてミリ秒単位) です。

例 4: 抑制ステータスに基づいて調査結果をフィルタリングする

この例では、list-findings コマンドを使用して、現在のリージョンにあり、抑制ルールによって抑制 (自動アーカイブ) されたIDsすべての検出結果の結果を取得します。

Linux、macOS、Unix の場合:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Microsoft Windows の場合:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

コードの説明は以下のとおりです。

  • archivedアーカイブ済みフィールドJSONの名前を指定します。

  • eqequals 演算子を指定します。

  • true はアーカイブ済みフィールドのブール値です。

例 5: 複数のフィールドと値のタイプに基づいて調査結果をフィルタリングする

この例では、list-findings コマンドを使用して、現在のリージョンにあり、次の基準に一致するIDsすべての機密データの検出結果を取得します。2020 年 10 UTC月 5 日 07:00 から 2020 年 11 月 5 UTC日 07:00 の間に作成された (排他的)、S3 オブジェクトに財務データの発生と他のカテゴリの機密データは報告されなかった、抑制ルールによって抑制 (自動アーカイブ) されませんでした。

Linux、macOS、または Unix の場合、読みやすさを向上させるためにバックスラッシュ (\) の行連結文字を使用します。

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Microsoft Windows の場合、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

ここで、

  • createdAt は、Created at フィールドJSONの名前を指定します。

    • gt は、演算子以上の を指定します。

    • 1601881200000 は、時間範囲内の最初の日時 (Unix タイムスタンプとしてミリ秒単位) です。

    • lt は、演算子以下の を指定します。

    • 1604559600000 は、時間範囲内の最後の日時 (Unix タイムスタンプとしてミリ秒単位) です。

  • classificationDetails.result.sensitiveData.category機密データカテゴリフィールドJSONの名前を指定します。

    • eqExactMatch、等号完全一致演算子を指定します。

    • FINANCIAL_INFORMATION は、 フィールドの列挙値です。

  • archivedアーカイブされたフィールドJSONの名前を指定します。

    • eqequals 演算子を指定します。

    • false は、 フィールドのブール値です。