조사 결과에 필터 생성 및 적용

특정 특성을 가진 조사 결과를 식별하고 집중하기 위해 Amazon Macie 콘솔과 Amazon Macie API를 사용하여 프로그래밍 방식으로 제출하는 쿼리에서 조사 결과를 필터링할 수 있습니다. 필터를 생성할 때는 특정 조사 결과 속성을 사용하여 보기 또는 쿼리 결과에서 조사 결과를 포함하거나 제외하는 기준을 정의합니다. 조사 결과 속성은 심각도, 유형 또는 조사 결과가 적용되는 S3 버킷의 이름과 같이 조사 결과에 대한 특정 데이터를 저장하는 필드입니다.

Macie에서 필터는 하나 이상의 조건으로 구성됩니다. 기준이라고도 하는 각 조건은 다음과 같은 세 부분으로 구성됩니다.

• 심각도또는 검색 유형과 같은 속성 기반 필드

• equals 또는 not equals와 같은 연산자.

• 하나 이상의 값. 값의 유형과 개수는 선택한 필드와 연산자에 따라 달라집니다.

필터 조건을 정의하고 적용하는 방법은 Amazon Macie 콘솔을 사용하는지 아니면 Amazon Macie API를 사용하는지에 따라 다릅니다.

Amazon Macie 콘솔에서 조사 결과 필터링

Amazon Macie 콘솔을 사용하여 조사 결과를 필터링하는 경우, Macie는 개별 조건에 대한 필드, 연산자, 값을 선택하는 데 도움이 되는 옵션을 제공합니다. 다음 이미지와 같이 조사 결과 페이지의 필터 설정을 사용하여 이러한 옵션에 액세스할 수 있습니다.

결과 상태 메뉴를 사용하여 안 보이게 하기 규칙에 의해 숨김 처리(자동 보관)된 검색 결과를 포함할지 여부를 지정할 수 있습니다. 필터 기준 상자를 사용하여 필터 조건을 입력할 수 있습니다.

필터 기준 상자에 커서를 놓으면, Macie는 필터 조건에서 사용할 수 있는 필드 목록을 표시합니다. 필드는 논리적 범주별로 구성되어 있습니다. 예를 들어, 일반 필드 범주에는 모든 유형의 조사 결과에 적용되는 필드가 포함되고, 분류 필드 범주에는 민감한 데이터 조사 결과에만 적용되는 필드가 포함됩니다. 필드는 각 범주 내에서 알파벳순으로 정렬됩니다.

조건을 추가하려면 먼저 목록에서 필드를 선택합니다. 필드를 찾으려면 전체 목록을 찾아보거나 필드 이름의 일부를 입력하여 필드 목록의 범위를 좁힙니다.

선택한 필드에 따라 Macie는 다른 옵션을 표시합니다. 옵션은 선택한 필드의 유형과 특성을 반영합니다. 예를 들어 심각도 필드를 선택하면, Macie는 낮음, 중간, 높음 중에서 선택할 수 있는 값 목록을 표시합니다. S3 버킷 이름 필드를 선택하면 Macie는 버킷 이름을 입력할 수 있는 텍스트 상자를 표시합니다. 어떤 필드를 선택하든 Macie는 필드에 필요한 설정이 포함된 조건을 추가하는 단계를 안내합니다.

조건을 추가하면, 다음 이미지와 같이 Macie는 조건에 대한 기준을 적용하고 필터 기준 상자의 필터 토큰에 조건을 추가합니다.

이 예시에서는 중간 심각도 및 높은 심각도 조사 결과를 모두 포함하고, 낮은 심각도 조사 결과는 모두 제외하도록 조건이 구성되어 있습니다. 심각도 필드의 값이 중간 또는 높음과 동일한 조사 결과를 반환합니다.

작은 정보

대부분의 필드에서 조건의 필터 토큰에서 등호 아이콘 ( ) 을 선택하여 조건의 연산자를 같음에서 같지 않음으로 변경할 수 있습니다. 이렇게 하면, Macie에서 연산자를 같지 않음으로 변경하고 토큰에 같지 않음 아이콘( )을 표시됩니다. 같음 연산자로 다시 전환하려면 같지 않음 아이콘을 선택합니다.

조건을 더 추가하면, Macie는 조건을 적용하고 필터 기준 상자의 토큰에 조건을 추가합니다. 언제든지 상자를 참조하여 어떤 기준을 적용했는지 확인할 수 있습니다. 조건을 제거하려면 조건에 대한 토큰에서 조건 제거 아이콘 ( ) 을 선택합니다.

콘솔을 사용하여 조사 결과를 필터링하려면

1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

2. 탐색 창에서 조사 결과를 선택합니다.

3. (선택 사항) 먼저 미리 정의된 논리 그룹을 기준으로 피벗하여 결과를 검토하려면 패널조사 결과 아래)에서 버킷별, 유형별 또는 작업별을 선택합니다. 그런 다음 표에서 항목을 선택합니다. 디테일 패널에서 피벗할 필드의 링크를 선택합니다.

4. (선택 사항) 안 보이게 하기 규칙으로 숨김 처리된 조사 결과를 표시하려면, 상태 필터링 설정을 변경합니다. 숨김 처리된 조사 결과만 표시하려면, 보관됨을 선택하고, 숨김 처리된 결과와 숨김 처리되지 않은 결과를 모두 표시하려면 모두를 선택합니다. 안 보이게 한 조사 결과를 다시 숨기려면 현재를 선택합니다.

5. 필터 조건을 추가하려면:

   1. 필터 기준 상자에 커서를 놓고, 조건에 사용할 필드를 선택합니다. 사용할 수 있는 필드에 대한 자세한 내용은 조사 결과 필터링 필드을 참조하십시오.

   2. 필드에 적절한 유형의 값을 입력합니다. 다양한 유형의 값에 대한 자세한 내용은 필드 값 지정을 참조하십시오.

      텍스트 배열(문자열)

      이 유형의 값에 대해 Macie는 선택할 수 있는 값 목록을 제공하는 경우가 많습니다. 이 경우 조건에 사용할 각 값을 선택합니다.

      Macie에서 값 목록을 제공하지 않는 경우, 필드에 완전하고 유효한 값을 입력합니다. 필드에 추가 값을 지정하려면 적용을 선택한 다음, 각 추가 값에 대해 다른 조건을 추가합니다.

      와 는 대소문자를 구분합니다. 또한 값에 부분 값이나 와일드카드 문자를 사용할 수 없습니다. 예를 들어, my-S3-bucket이라는 이름의 S3 버킷에 대한 조사 결과를 필터링하려면 S3 버킷 이름 필드에 값으로 my-S3-bucket를 입력합니다. my-s3-bucket 또는 my-S3와 같은 다른 값을 입력하면 Macie는 버킷에 대한 조사 결과를 반환하지 않습니다.

      부울

      이 유형의 값에 대해 Macie는 선택할 수 있는 값 목록을 제공합니다. 조건에 사용할 값을 선택합니다

      날짜/시간 (시간 범위)

      이 유형의 값의 경우, 시작 및 종료 상자를 사용하여 포함된 시간 범위를 정의합니다.

      • 고정된 시간 범위를 정의하려면, 시작 및 종료 상자를 사용하여 범위의 첫 번째 날짜 및 시간과 마지막 날짜 및 시간을 각각 지정합니다.

      • 특정 날짜와 시간에 시작하여 현재 시간에 끝나는 상대적인 시간 범위를 정의하려면, 시작 상자에 시작 날짜와 시간을 입력하고 종료 상자의 모든 텍스트를 삭제합니다.

      • 특정 날짜 및 시간에 종료되는 상대적 시간 범위를 정의하려면, 종료 상자에 종료 날짜 및 시간을 입력하고 시작 상자의 모든 텍스트를 삭제합니다.

      참고로 시간 값은 24시간 표기법을 사용합니다. 날짜 선택기를 사용하여 날짜를 선택하는 경우, 시작 및 종료 상자에 직접 텍스트를 입력하여 값을 조정할 수 있습니다.

      숫자(숫자 범위)

      이 유형의 값의 경우, 시작 및 종료 상자를 사용하여 포함, 고정 또는 상대 숫자 범위를 정의하는 정수를 하나 이상 입력합니다.

      텍스트(문자열) 값

      이 유형의 값에는 필드에 대해 완전하고 유효한 값을 입력합니다.

      와 는 대소문자를 구분합니다. 또한 값에 부분 값이나 와일드카드 문자를 사용할 수 없습니다. 예를 들어, my-S3-bucket이라는 이름의 S3 버킷에 대한 조사 결과를 필터링하려면 S3 버킷 이름 필드에 값으로 my-S3-bucket를 입력합니다. my-s3-bucket 또는 my-S3와 같은 다른 값을 입력하면 Macie는 버킷에 대한 조사 결과를 반환하지 않습니다.

   3. 필드에 값을 모두 추가했으면 적용을 선택합니다. Macie는 필터 기준을 적용하고 필터 기준 상자의 필터 토큰에 조건을 추가합니다.

6. 추가하려는 각 조건에 대해 5단계를 반복합니다

7. 조건을 제거하려면 조건에 대한 토큰에서 조건 제거 아이콘 ( ) 을 선택합니다.

8. 조건을 변경하려면 조건에 대한 필터 토큰에서 조건 제거 아이콘 ( ) 을 선택하여 조건을 제거합니다. 그런 다음 5단계를 반복하여 올바른 설정이 포함된 조건을 추가합니다.

이후에 이 조건 집합을 다시 사용하려면 해당 조건 집합을 필터 규칙으로 저장하면 됩니다. 이렇게 하려면 필터 기준 상자에서 규칙 저장을 선택합니다. 규칙의 이름을 입력하고, 선택적으로 설명을 입력합니다. 마쳤으면 저장을 선택합니다.

Amazon Macie API를 사용하여 프로그래밍 방식으로 조사 결과 필터링

프로그래밍 방식으로 조사 결과를 필터링하려면 Amazon Macie API의 ListFindings 또는 GetFindingStatistics 작업을 사용하여 제출하는 쿼리에 필터 기준을 지정합니다. 이 ListFindings작업은 필터 기준과 일치하는 각 조사 결과에 대해 하나의 ID씩 조사 결과 ID 배열을 반환합니다. 이 GetFindingStatistics 작업은 필터 기준과 일치하는 모든 조사 결과에 대한 집계된 통계 데이터를 요청에서 지정한 필드별로 그룹화하여 반환합니다.

ListFindings 및 GetFindingStatistics 연산은 조사 결과를 안 보이게 하는 데 사용하는 연산과 다릅니다. 필터 기준도 지정하는 안 보이게 하는 작업과 달리, ListFindings 및 GetFindingStatistics 작업은 조사 결과 데이터만 쿼리합니다. 필터 기준과 일치하는 조사 결과에 대해서는 어떠한 작업도 수행하지 않습니다. 조사 결과를 안 보이게 하려면, Amazon Macie API의 CreateFindingsFilter 작업을 사용하면 됩니다.

쿼리에서 필터 기준을 지정하려면 요청에 필터 조건 맵을 포함합니다. 각 조건에 대해 필드, 연산자, 하나 이상의 필드 값을 지정합니다. 값의 유형과 개수는 선택한 필드와 연산자에 따라 달라집니다. 조건에 사용할 수 있는 필드, 연산자 및 값 유형에 대한 자세한 내용은 조사 결과 필터링 필드, 조건에서·연산자 사용 및 필드 값 지정 을 참조하십시오.

다음 예제는 AWS Command Line Interface(AWS CLI)를 사용하여 제출하는 쿼리에 필터 기준을 지정하는 방법을 보여줍니다. 최신 버전의 다른 AWS 명령줄 도구 또는 AWS SDK를 사용하거나 Macie에 직접 HTTPS 요청을 보냄으로써 이 작업을 수행할 수도 있습니다. AWS도구와 SDK에 대한 자세한 내용은, AWS 기반의 도구를 참조하세요.

예시

• 심각도를 기준으로 조사 결과 필터링
• 민감한 데이터 범주를 기준으로 조사 결과 필터링
• 고정된 시간 범위를 기준으로 조사 결과 필터링
• 숨김 처리 상태를 기준으로 조사 결과 필터링
• 여러 필드 및 값 유형을 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용합니다. 예제가 성공적으로 실행되면 Macie는 findingIds 배열을 반환합니다. 배열에는 다음 예시와 같이 필터 기준과 일치하는 각 조사 결과의 고유 식별자가 표시됩니다.

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

필터 기준과 일치하는 조사 결과가 없는 경우 Macie는 빈 findingIds 배열을 반환합니다.

{
    "findingIds": []
}

예 1: 심각도를 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용하여 현재 AWS 리전에서 모든 높은 심각도 및 중간 심각도 검색 결과에 대한 조사 결과 ID를 검색합니다.

Linux, macOS 또는 Unix의 경우:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Microsoft Windows의 경우:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

위치:

• severity.description은 심각도 필드의 JSON 이름을 지정합니다.

• eq는 등호 연산자를 지정합니다,

• 높음 및 중간은 심각도 필드에 열거된 값의 배열입니다.

예 2: 민감한 데이터 범주를 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용하여 현재 리전에 있는 모든 민감한 데이터 조사 결과에 대한 조사 결과 ID를 검색하고 S3 객체에 있는 금융 정보(다른 민감한 데이터 범주는 제외)의 발생을 보고합니다.

Linux, macOS 또는 Unix의 경우, 가독성을 높이기 위해 백슬래시 (\) 줄 연속 문자를 사용합니다.

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Microsoft Windows의 경우 캐럿(^) 줄 연속 문자를 사용하여 가독성을 개선합니다.

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

위치:

• classificationDetails.result.sensitiveData.category는 민감한 데이터 범주 필드의 JSON 이름을 지정합니다.

• eqExactMatch는 동일 완전 일치 연산자를 지정합니다.

• FINANCIAL_INFORMATION은 민감한 데이터 범주 필드의 열거형 값입니다.

예 3: 고정된 시간 범위를 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용하여 현재 리전에 있고 2020년 10월 5일 07:00 UTC부터 2020년 11월 5일 07:00 UTC(포함) 사이에 생성된 모든 조사 결과에 대한 조사 결과 ID를 검색합니다.

Linux, macOS 또는 Unix의 경우:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Microsoft Windows의 경우:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

위치:

• createdAt은 생성 위치 필드의 JSON 이름을 지정합니다.

• gte는 크거나 같음 연산자를 지정합니다.

• 1601881200000은 시간 범위의 첫 번째 날짜 및 시간(밀리초 단위의 유닉스 타임스탬프)입니다.

• lte는 작거나 같음 연산자를 지정합니다.

• 1604559600000은 시간 범위의 마지막 날짜 및 시간(밀리초 단위의 유닉스 타임스탬프)입니다.

예 4: 숨김 처리 상태를 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용하여 현재 리전에 있고 안 보이게 하기 규칙에 의해 숨김 처리(자동 보관)된 모든 조사 결과에 대한 조사 결과 ID를 검색합니다.

Linux, macOS 또는 Unix의 경우:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Microsoft Windows의 경우:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

위치:

• 보관됨은 보관된 필드의 JSON 이름을 지정합니다.

• eq는 등호 연산자를 지정합니다,

• true는 보관된 필드의 부울 값입니다.

예 5: 여러 필드 및 값 유형을 기준으로 조사 결과 필터링

이 예시에서는 list-findings 명령을 사용하여 현재 리전에 있고 다음 기준과 일치하는 모든 민감한 데이터 조사 결과의 조사 결과 ID를 검색합니다: 2020년 10월 5일 07:00 UTC부터 2020년 11월 5일 07:00 UTC(제외) 사이에 생성, S3 객체에 있는 금융 데이터의 발생을 보고하고 그 외 다른 범주의 민감한 데이터는 제외, 안 보이게 하기 규칙에 의해 숨김 처리(자동 보관)되지 않음.

Linux, macOS 또는 Unix의 경우, 가독성을 높이기 위해 백슬래시 (\) 줄 연속 문자를 사용합니다.

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Microsoft Windows의 경우 캐럿(^) 줄 연속 문자를 사용하여 가독성을 개선합니다.

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

위치:

• createdAt은 생성 위치 필드의 JSON 이름을 지정합니다. 그리고:

  • gt는 크거나 같음 연산자를 지정합니다.

  • 1601881200000은 시간 범위의 첫 번째 날짜 및 시간(밀리초 단위의 유닉스 타임스탬프)입니다.

  • lt는 작거나 같음 연산자를 지정합니다.

  • 1604559600000은 시간 범위의 마지막 날짜 및 시간(밀리초 단위의 유닉스 타임스탬프)입니다.

• classificationDetails.result.sensitiveData.category는 민감한 데이터 범주 필드의 JSON 이름을 지정합니다. 그리고:

  • eqExactMatch는 동일 완전 일치 연산자를 지정합니다.

  • FINANCIAL_INFORMATION은 필드에 대한 열거형 값입니다.

• archived은 보관된 필드의 JSON 이름을 지정합니다. 그리고:

  • eq는 등호 연산자를 지정합니다,

  • false는 필드의 부울 값입니다.