为 Macie 搜索结果创建和应用过滤器 - Amazon Macie
使用控制台筛选结果以编程方式筛选调查发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Macie 搜索结果创建和应用过滤器

要识别并重点关注具有特定特征的调查结果,您可以在 Amazon Macie 控制台和使用 Amazon Macie 以编程方式提交的查询中筛选结果。API创建筛选条件时,您可使用指定的调查发现属性,定义在视图或查询结果中包含或排除调查发现的标准。查找结果属性是存储查找结果的特定数据的字段,例如严重性、类型或查找结果适用的资源名称。

Macie 中的筛选条件包含一个或多个条件。每个条件,也称为标准,由三个部分组成:

  • 基于属性的字段,例如严重性调查发现类型

  • 一个运算符,例如等于不等于

  • 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如何定义和应用筛选条件取决于您使用的是亚马逊 Macie 主机还是亚马逊 Macie。API

使用亚马逊 Macie 控制台筛选结果

如果您使用 Amazon Macie 控制台筛选调查发现,Macie 会提供一些选项来帮助您为各个条件选择字段、运算符和值。您可以使用 调查发现页面上的筛选条件设置访问这些选项,如下图中所示。

“查找结果” 页面、“查找结果” 状态菜单和 “筛选条件” 框上的筛选器设置。

通过使用调查发现状态菜单,您可以指定是否包括被屏蔽规则屏蔽(自动存档)的调查发现。通过使用筛选标准框,您可以输入筛选条件。

当您将光标置于筛选标准框中时,Macie 会显示可在筛选条件中使用的字段列表。这些字段按逻辑类别组织。例如,常用字段类别包括适用于任何类型的调查发现的字段,而分类字段类别包括仅适用于敏感数据调查发现的字段。这些字段在每个类别中按字母顺序排序。

要添加条件,请先从列表中选择一个字段。要查找字段,请浏览完整列表,或输入部分字段名称以缩小字段列表范围。

根据您选择的字段,Macie 显示不同的选项。这些选项反映了您选择的字段的类型和性质。例如,如果您选择严重性字段,Macie 会显示一个值列表供您选择:。如果您选择 S3 存储桶名称字段,Macie 会显示一个文本框,您可以在其中输入存储桶名称。无论您选择哪个字段,Macie 都会指导您完成添加包含该字段所需设置的条件的步骤。

添加条件后,Macie 会应用该条件的标准并将该条件添加到筛选标准框中的筛选条件令牌,如下图所示。

“筛选条件” 框,其中包含用于指定严重性字段值的条件的标记。

在此示例中,条件配置为包括所有中严重性和高严重性调查发现,并排除所有低严重性调查发现。它会返回严重性字段的值等于的调查发现。

提示

对于许多字段,您可以通过在条件的筛选条件令牌中选择等号图标 ( The equals icon, which is a solid gray circle. ) 来将条件的运算符从等于更改为不等于。如果您这样做,Macie 会将运算符更改为不等于,并在令牌中显示不等于图标 ( The not equals icon, which is an empty gray circle that has a backslash in it. )。要再次切换到等于运算符,请选择不等于图标。

当您添加更多条件时,Macie 会应用其标准并将其添加到筛选标准框中的令牌中。您可以随时参考方框来确定您应用了哪些标准。要删除条件,请在条件的令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. )。

使用控制台筛选结果

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. (可选)要首先根据预定义的逻辑组进行透视和查看调查发现,请在导航窗格(在调查发现下)中选择按存储桶按类型按作业。然后在表格中选择一个项目。在详细信息面板中,为字段选择要转置的链接。

  4. (可选)要显示被屏蔽规则屏蔽的调查发现,请更改筛选状态设置。选择已存档 以仅显示屏蔽的调查发现,或选择全部以同时显示屏蔽和未屏蔽的调查发现。要隐藏屏蔽的调查发现,请选择当前

  5. 要添加筛选条件,请执行以下操作:

    1. 将光标置于筛选标准框中,然后选择要用于条件的字段。有关您可以使用的字段的信息,请参阅 用于筛选 Macie 搜索结果的字段

    2. 输入字段的相应类型的值。有关不同类型值的详细信息,请参阅 为字段指定值

      文本数组(字符串)

      对于这种类型的值,Macie 通常会提供一个值列表供您选择。如果是这种情况,请选择要在条件中使用的每个值。

      如果 Macie 未提供值列表,请为该字段输入一个完整、有效的值。要为该字段指定其他值,请选择应用,然后为每个附加值添加另一个条件。

      注意,值区分大小写。此外,不能在值中使用部分值或通配符。例如,要筛选名为 my-s3-Bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

      布尔值

      对于这种类型的值,Macie 提供了一个值列表供您选择。选择要在条件中使用的值。

      日期/时间(时间范围)

      对于这种类型的值,使用框定义一个包含性时间范围:

      • 要定义固定的时间范围,请使用框分别指定该范围内的第一个日期和时间以及最后一个日期和时间。

      • 要定义从特定日期和时间开始并在当前时间结束的相对时间范围,请在框中输入开始日期和时间,然后删除框中的任何文本。

      • 要定义在特定日期和时间结束的相对时间范围,请在框中输入结束日期和时间,然后删除框中的任何文本。

      请注意,时间值使用 24 小时表示法。如果您使用日期选择器选择日期,则可以通过直接在框中输入文本来细化值。

      数字(数值范围)

      对于这种类型的值,使用框输入一个或多个整数,这些整数定义了包含、固定或相对数值范围。

      文本(字符串)值

      对于此类值,请为该字段输入一个完整、有效的值。

      注意,值区分大小写。此外,不能在值中使用部分值或通配符。例如,要筛选名为 my-s3-Bucket 的 S3 存储桶的调查发现,请在 S3 存储桶名称字段中输入 my-S3-bucket 作为值。如果您输入任何其他值,例如 my-s3-bucketmy-S3,Macie 将不会返回存储桶的调查发现。

    3. 为该字段添加完值后,选择应用。Macie 应用筛选标准并将该条件添加到筛选标准框中的筛选条件令牌中。

  6. 对于要添加的每个附加条件,请重复步骤 5。

  7. 要删除条件,请在条件的筛选条件令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. )。

  8. 要更改条件,请在条件的筛选条件令牌中选择移除条件图标 ( The remove filter condition icon, which is a circle that has an X in it. ) 来移除该条件。然后重复步骤 5,添加设置正确的条件。

提示

如果您想随后再次使用这组条件,可以将该条件集另存为筛选规则。为此,请在筛选标准框中选择保存规则。输入规则的名称和描述(可选)。完成后,选择保存

使用 Amazon Macie 以编程方式筛选结果 API

要以编程方式筛选结果,请在使用 Ama API zon Macie 的ListFindingsGetFindingStatistics操作提交的查询中指定筛选条件。该ListFindings操作返回一个查找结果数组IDs,每个符合筛选条件的查找结果对应一个 ID。GetFindingStatistics 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据,这些数据按您在请求中指定的字段分组。

请注意,ListFindingsGetFindingStatistics 操作与用于屏蔽调查发现的操作不同。与还指定筛选标准的屏蔽操作不同,ListFindingsGetFindingStatistics 操作仅查询调查发现数据。它们不会对符合筛选条件的调查发现执行任何操作。要隐藏搜索结果,请使用亚马逊 Mac API ie 的CreateFindingsFilter操作。

要在查询中指定筛选标准,请在请求中加入筛选条件地图。为每个条件指定一个字段、一个运算符以及该字段的一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅用于筛选 Macie 搜索结果的字段在条件中使用运算符为字段指定值

以下示例向您展示了如何在使用 AWS Command Line Interface (AWS CLI) 提交的查询中指定筛选标准。您也可以使用其他 AWS 命令行工具的当前版本或直接向 Macie 发送HTTPS请求来执行此操作。 AWS SDK有关 AWS 工具和的信息SDKs,请参阅构建工具 AWS

这些示例使用 list-findings 命令。如果示例成功运行,Macie 将返回一个 findingIds 数组。该数组列出了符合筛选标准的每个调查发现的唯一标识符,如以下示例所示。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

如果没有符合筛选条件的调查发现,Macie 将返回空findingIds数组。

{
    "findingIds": []
}

示例 1:基于严重性筛选调查发现

此示例使用 list- findings 命令检索IDs当前所有高严重性和中等严重性发现的结果。 AWS 区域

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

其中:

  • severity.description 指定 “严重性” 字段的JSON名称。

  • eq 指定等于运算符。

  • High 以及 Medium 是 “严重性” 字段的枚举值数组。

示例 2:基于敏感数据类别筛选调查发现

此示例使用 list- findings 命令检索当前区域中所有敏感数据发现的结果,并报告 S3 对象中出现的财务信息(不包括其他类别的敏感数据)。IDs

对于 Linux、macOS 或 Unix,使用反斜杠 (\) 行继续符来提高可读性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

对于 Microsoft Windows,使用脱字符 (^) 行继续符来提高可读性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

其中:

  • classificationDetails.result.sensitiveData.category 指定敏感数据类别字段的JSON名称。

  • eqExactMatch 指定等于精确匹配运算符。

  • FINANCIAL_INFORMATION 是 “敏感数据类别” 字段的枚举值。

示例 3:根据固定时间范围筛选调查发现

此示例使用 list- findings 命令检索位于当前区域且在 2020 年 10 月 5 日 07:00 到 2020 年 UTC 11 UTC 月 5 日 07:00(含)之间创建的所有发现结果。IDs

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

其中:

  • createdAt 指定创建时间字段的JSON名称。

  • gte 指定大于或等于运算符。

  • 1601881200000 是时间范围内的第一个日期和时间(以 Unix 时间戳为单位,以毫秒为单位)。

  • lte 指定小于或等于运算符。

  • 1604559600000 是时间范围内的最后一个日期和时间(以 Unix 时间戳为单位,以毫秒为单位)。

示例 4:根据屏蔽状态筛选调查发现

此示例使用 list- findings 命令检索当前区域中且被抑制规则隐藏(自动存档)的所有发现结果。IDs

对于 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

对于 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

其中:

  • archived 指定 “已存档” 字段的JSON名称。

  • eq 指定等于运算符。

  • true 是 “已存档” 字段的布尔值。

示例 5:根据多个字段和值类型筛选调查发现

此示例使用 list- findings 命令检索当前区域中所有符合以下条件的敏感数据查找IDs结果:创建于 2020 年 UTC 10 月 5 日 07:00 至 2020 年 UTC 11 月 5 日 07:00 之间(独家);报告 S3 对象中出现的财务数据但没有其他类别的敏感数据;未被禁止规则隐藏(自动存档)。

对于 Linux、macOS 或 Unix,使用反斜杠 (\) 行继续符来提高可读性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

对于 Microsoft Windows,使用脱字符 (^) 行继续符来提高可读性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

其中:

  • createdAt 指定创建时间字段的JSON名称,以及:

    • gt 指定大于或等于运算符。

    • 1601881200000 是时间范围内的第一个日期和时间(以 Unix 时间戳为单位,以毫秒为单位)。

    • lt 指定小于或等于运算符。

    • 1604559600000 是时间范围内的最后一个日期和时间(以 Unix 时间戳为单位,以毫秒为单位)。

  • classificationDetails.result.sensitiveData.category 指定敏感数据类别字段的JSON名称,以及:

    • eqExactMatch 指定等于精确匹配运算符。

    • FINANCIAL_INFORMATION 是该字段的枚举值。

  • archived 指定 “已存档” 字段的JSON名称,以及:

    • eq 指定等于运算符。

    • false 是该字段的布尔值。