Como criar e aplicar filtros às descobertas - Amazon Macie
Como filtrar descobertas no consoleComo filtrar descobertas de forma programática

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar e aplicar filtros às descobertas

Para identificar e focar nas descobertas que têm características específicas, você pode filtrar as descobertas no console do Amazon Macie e nas consultas que envia programaticamente usando a API do Amazon Macie. Ao criar um filtro, você usa atributos específicos das descobertas para definir critérios para incluir ou excluir descobertas de uma exibição ou dos resultados da consulta. Atributo de descoberta é um campo que armazena dados específicos para uma descoberta, como gravidade, tipo ou nome do bucket do S3 ao qual a descoberta se aplica.

No Macie, um filtro consiste em uma ou mais condições. Cada condição, também chamada de critério, consiste em três partes:

  • Um campo baseado em atributos, como Gravidade ou Tipo de descoberta.

  • Um operador, como igual ou não igual.

  • Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.

A forma como você define e aplica as condições do filtro depende do uso do console do Amazon Macie ou da API do Amazon Macie.

Como filtrar descobertas no console do Amazon Macie

Se você usa o console do Amazon Macie para filtrar as descobertas, o Macie oferece opções para ajudá-lo a escolher campos, operadores e valores para condições individuais. Você acessa essas opções usando as configurações de filtro nas páginas Descobertas, conforme mostrado na imagem a seguir.

Filtre as configurações acima da tabela na página Descobertas.

Ao usar o menu Status da descoberta, você pode especificar se deseja incluir descobertas que foram suprimidas (arquivadas automaticamente) por uma regra de supressão. Usando a caixa Critérios de filtro, você pode inserir as condições do filtro.

Quando você coloca o seu cursor na caixa Critérios de filtro, o Macie exibe uma lista de campos que você pode usar em condições do filtro. Os campos são organizados por categoria lógica. Por exemplo, a categoria Campos comuns inclui campos que se aplicam a qualquer tipo de descoberta, e a categoria Campos de classificação inclui campos que se aplicam somente a descobertas de dados confidenciais. Os campos são classificados em ordem alfabética dentro de cada categoria.

Para adicionar uma condição, comece escolhendo um campo na lista. Para encontrar um campo, navegue pela lista completa ou insira parte do nome do campo para restringir a lista de campos.

Dependendo do campo que você escolher, O Macie exibirá diferentes opções. As opções refletem o tipo e a natureza do campo escolhido. Por exemplo, se você escolher o campo Severidade, o Macie exibirá uma lista de valores para escolher: Baixa, Média e Alta. Se você escolher o campo Nome do bucket do S3, o Macie exibirá uma caixa de texto na qual você poderá inserir um nome do bucket. Seja qual for o campo escolhido, o Macie o guiará pelas etapas para adicionar uma condição que inclua as configurações necessárias para o campo.

Depois de adicionar uma condição, o Macie aplica os critérios para a condição e adiciona a condição a um token de filtro na caixa Critérios de filtro, conforme mostrado na imagem a seguir.

A caixa de Critérios de filtro, acima da tabela na página Descobertas, com um token de filtro para uma condição.

Neste exemplo, a condição é configurada para incluir todas as descobertas de severidade média e alta e para excluir todas as descobertas de baixa severidade. Ele retorna descobertas em que o valor do campo Severidade é igual a Médio ou Alto.

dica

Para muitos campos, você pode alterar o operador de uma condição de igual para não igual escolhendo o ícone de igual ( A solid, dark gray circle ) no token de filtro para a condição. Se você fizer isso, o Macie alterará o operador para não igual e exibirá o ícone diferente ( An empty, dark gray circle with a backslash ) no token. Para alternar novamente para o operador igual, selecione o ícone de não é igual.

À medida que você adiciona mais condições, o Macie aplica seus critérios e os adiciona aos tokens na caixa Critérios de filtro. Você pode consultar a caixa a qualquer momento para determinar quais critérios você aplicou. Para remover uma condição, selecione o ícone de remoção da condição ( A circle with an X in it ) no token da condição.

Para filtrar descobertas usando o console

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, selecione Descobertas.

  3. (Opcional) Para primeiro analisar e revisar as descobertas por um grupo lógico predefinido, selecione Por bucket, Por tipo ou Por trabalho no painel de navegação (em Descobertas). Em seguida, selecione um item na tabela. No painel de detalhes, selecione o link do campo a analisar.

  4. (Opcional) Para exibir descobertas que foram suprimidas por uma regra de supressão, altere a configuração de Status do filtro. Selecione Arquivado para exibir somente descobertas suprimidas ou selecione Tudo para exibir descobertas suprimidas e não suprimidas. Para ocultar as descobertas suprimidas, selecione Atual.

  5. Para adicionar uma condição de filtro:

    1. Coloque o cursor na caixa Critérios de filtro e selecione o campo a ser usado para a condição. Para obter mais informações sobre os campos que você pode usar, consulte Campos para filtrar descobertas.

    2. Insira o tipo de valor apropriado para o campo. Para obter informações detalhadas sobre os diferentes tipos de valores, consulte Especificando valores para campos.

      Matriz de texto (string)

      Para esse tipo de valor, o Macie geralmente fornece uma lista de valores para você escolher. Se for esse o caso, selecione cada valor que você deseja usar na condição.

      Se o Macie não fornecer uma lista de valores, insira um valor completo e válido para o campo. Para especificar valores adicionais para o campo, selecione Aplicar e, em seguida, adicione outra condição para cada valor adicional.

      Observe que valores diferenciam entre maiúsculas e minúsculas. Além disso, você não pode usar valores parciais ou caracteres curinga nos valores. Por exemplo, para filtrar as descobertas de um bucket do S3 chamado my-S3-bucket, insira como valor para o campo my-S3-bucketnome do bucket do S3. Se você inserir qualquer outro valor, como my-s3-bucket ou my-S3, o Macie não retornará as descobertas para o bucket.

      Booleano

      Para esse tipo de valor, o Macie fornece uma lista de valores para você escolher. Selecione o valor que deseja usar na condição.

      Data/hora (intervalos de tempo)

      Para esse tipo de valor, use as caixas De e Para para definir um intervalo de tempo inclusivo:

      • Para definir um intervalo de tempo fixo, use as caixas De e Para para especificar a primeira data e hora e a última data e hora no intervalo, respectivamente.

      • Para definir um intervalo de tempo relativo que começa em uma determinada data e hora e termina na hora atual, insira a data e a hora de início nas caixas De e exclua qualquer texto nas caixas Para.

      • Para definir um intervalo de tempo relativo que termina em uma determinada data e hora, insira a data e a hora de término nas caixas Para e exclua qualquer texto nas caixas De.

      Observe que os valores de tempo usam a notação de 24 horas. Se você usar o seletor de datas para escolher datas, poderá refinar os valores inserindo texto diretamente nas caixas De e Para.

      Número (e intervalos numéricos)

      Para esse tipo de valor, use as caixas De e Para para inserir um ou mais números inteiros que definam um intervalo numérico inclusivo, fixo ou relativo.

      Valores de texto (string)

      Para esse tipo de valor, insira um valor completo e válido para o campo.

      Observe que valores diferenciam entre maiúsculas e minúsculas. Além disso, você não pode usar valores parciais ou caracteres curinga nos valores. Por exemplo, para filtrar as descobertas de um bucket do S3 chamado my-S3-bucket, insira como valor para o campo my-S3-bucketnome do bucket do S3. Se você inserir qualquer outro valor, como my-s3-bucket ou my-S3, o Macie não retornará as descobertas para o bucket.

    3. Ao terminar de adicionar valores para o campo, selecione Aplicar. O Macie aplica seus critérios de filtro e adiciona a condição a um token de filtro na caixa Critérios de filtro.

  6. Repita essa etapa 5 para cada condição que deseja adicionar.

  7. Para remover uma condição, selecione o ícone de remoção da condição ( A circle with an X in it ) no token de filtro da condição.

  8. Para alterar uma condição, remova a condição escolhendo o ícone de remoção da condição ( A circle with an X in it ) no token de filtro da condição. Em seguida, repita a etapa 5 para adicionar uma condição com as configurações corretas.

Se quiser usar esse conjunto de condições de novo posteriormente, você pode salvar o conjunto como uma regra de filtro. Para fazer isso, selecione Salvar regra na caixa Critérios de filtro. Então, informe um nome para a regra e, como opção, uma descrição. Ao concluir, selecione Salvar.

Como filtrar descobertas de forma programática com a API do Amazon Macie

Para filtrar as descobertas de forma programática, especifique os critérios de filtro nas consultas que você envia usando a operação ListFindings ou GetFindingStatistics da API Amazon do Macie. A operação ListFindings retorna uma matriz de IDs de descoberta, uma ID para cada descoberta que corresponda aos critérios do filtro. A operação GetFindingStatistics retorna dados estatísticos agregados sobre todas as descobertas que correspondem aos critérios do filtro, agrupados por um campo que você especifica em sua solicitação.

Observe que as operações ListFindings e GetFindingStatistics são diferentes das operações que você usa para suprimir descobertas. Ao contrário das operações de supressão, que também especificam critérios de filtro, as operações ListFindings e GetFindingStatistics consultam apenas os dados das descobertas. Eles não realizam qualquer ação nas descobertas que correspondam aos critérios de filtro. Para suprimir descobertas, use a operação CreateFindingsFilter do API da Amazon Macie.

Para especificar critérios de filtro em uma consulta, inclua um mapa das condições do filtro em sua solicitação. Para cada condição, você deve especificar um campo, um operador e um ou mais valores para o campo. O tipo e o número de valores dependem do campo e do operador que você escolher. Para obter informações sobre os campos, operadores e tipos de valores que você pode usar em uma condição, consulteCampos para filtrar descobertas, Usando operadores em condições e Especificando valores para campos.

Os exemplos a seguir mostram como especificar critérios de filtro nas consultas enviadas usando o AWS Command Line Interface(AWS CLI). Você também pode fazer isso usando uma versão atual de outra AWS ferramenta de linha de comando ou de um AWS SDK, ou enviando solicitações HTTPS diretamente para o Macie. Para obter mais informações sobre AWS ferramentas e SDKs, consulte Ferramentas para aproveitar AWS.

Os exemplos usam o comando list-findings. Se um exemplo for executado com sucesso, o Macie retornará uma matriz findingIds. A matriz lista o identificador exclusivo de cada descoberta que corresponde aos critérios de filtro, conforme mostrado no exemplo a seguir.

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

Se nenhuma descoberta corresponder aos critérios do filtro, o Macie retornará uma matriz findingIds vazia.

{
    "findingIds": []
}

Exemplo 1: filtro de descobertas baseado em severidade

Este exemplo usa o comando list-findings para recuperar IDs de descoberta para todas as suas descobertas atuais de alta e média severidade no Região da AWS atual.

Para Linux, macOS ou Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

Para o Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

Onde:

  • severity.description especifica o nome JSON do campo Severidade.

  • eq especifica o operador igual.

  • Alto e Médio são uma matriz de valores enumerados para o campo Severidade.

Exemplo 2: Descobertas de filtro baseadas categoria de dados confidenciais

Este exemplo usa o comando list-findings para recuperar IDs de descobertas de todas as suas descobertas de dados confidenciais que estão na região atual e relatar ocorrências de informações financeiras (e nenhuma outra categoria de dados confidenciais) em objetos do S3.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

Para o Microsoft Windows, usando o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

Onde:

  • classificationDetails.result.sensitiveData.detections.type especifica o nome JSON do campo de Categoria de dados confidenciais.

  • EqExactMatch especifica o operador de correspondência exata igual.

  • FINANCIAL_INFORMATION é um valor enumerado para o campo Categoria de dados confidenciais.

Exemplo 3: Filtrar descobertas com base em um intervalo de tempo fixo

Este exemplo usa o comando list-findings para recuperar IDs de descobertas de todas as suas descobertas que estão na região atual e foram criadas entre 07 horas UTC de 5 de outubro de 2020 e 07 horas UTC de 5 de novembro de 2020 (inclusive).

Para Linux, macOS ou Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

Para o Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

Onde:

  • createdAt especifica o nome JSON do campo Criado em.

  • gte especifica o operador maior ou igual a .

  • 1601881200000 é a primeira data e hora (como um timestamp Unix em milissegundos) no intervalo de tempo.

  • lte especifica o operador menor ou igual a .

  • 1604559600000 é a última data e hora (como um timestamp Unix em milissegundos) no intervalo de tempo.

Exemplo 4: filtrar descobertas com base no status de supressão

Este exemplo usa o comando list-findings para recuperar IDs de descobertas de todas as suas descobertas que estão na região atual e foram suprimidas (arquivadas automaticamente) por uma regra de supressão.

Para Linux, macOS ou Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

Para o Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

Onde:

  • archived especifica o nome JSON do campo Arquivado.

  • eq especifica o operador igual.

  • true é um valor booleano para o campo Arquivado.

Exemplo 5: filtrar descobertas com base em vários campos e tipos de valores

Este exemplo usa o comando list-findings para recuperar IDs de descoberta de todas as descobertas de dados confidenciais que estão na região atual e que correspondem aos seguintes critérios: foram criadas entre 07 horas UTC de 5 de outubro de 2020 e 07 horas UTC de 5 de novembro de 2020 (exclusivamente); relatar ocorrências de dados financeiros e nenhuma outra categoria de dados confidenciais em objetos do S3; e não foram suprimidas (arquivadas automaticamente) por uma regra de supressão.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

Para o Microsoft Windows, usando o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

Onde:

  • createdAt especifica o nome JSON para o campo Created at, e:

    • gt especifica o operador maior ou igual a .

    • 1601881200000 é a primeira data e hora (como um timestamp Unix em milissegundos) no intervalo de tempo.

    • lt especifica o operador menor ou igual a .

    • 1604559600000 é a última data e hora (como um timestamp Unix em milissegundos) no intervalo de tempo.

  • classificationDetails.result.sensitiveData.detections.type especifica o nome JSON do campo de Categoria de dados confidenciais, e:

    • EqExactMatch especifica o operador de correspondência exata igual.

    • FINANCIAL_INFORMATION é um valor enumerado para o campo.

  • archived especifica o nome JSON do campo Arquivado, e:

    • eq especifica o operador igual.

    • false é um valor booleano para o campo.