抑制 Amazon Macie 调查发现 - Amazon Macie
创建抑制规则查看抑制结果更改抑制规则删除抑制规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

抑制 Amazon Macie 调查发现

为了简化对调查发现的分析,您可以创建和使用抑制规则抑制规则是一组基于属性的筛选标准,用于定义您希望 Amazon Macie 自动存档调查发现的情况。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。

例如,您可以决定允许 S3 存储桶包含邮寄地址,前提是这些存储桶不允许公开访问,并且它们会自动使用特定的 AWS KMS key 加密新对象。在这种情况下,您可以创建一个抑制规则,为以下字段指定筛选标准:敏感数据检测类型S3 存储桶公共访问权限 S3 存储桶加密 KMS 密钥 ID。该规则会抑制未来符合筛选标准的调查发现。

如果您使用抑制规则抑制调查发现,Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为已存档。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。Macie 会将您的调查发现存储 90 天。

此外,Macie 不会将抑制的调查发现作为事件发布给 Amazon EventBridge 或 AWS Security Hub。但是,Macie 会继续创建和存储与您抑制的敏感数据调查发现相关的敏感数据发现结果。这有助于确保您拥有敏感数据调查发现的不可变历史记录,用于您执行的数据隐私和保护审计或调查。

注意

如果您的账户属于集中管理多个 Macie 账户的组织,则抑制规则对您的账户的使用方式可能会有所不同。这取决于您想要抑制的调查发现的类别,以及您拥有的是 Macie 管理员账户还是成员账户:

  • 策略调查发现 - 只有 Macie 管理员才能抑制组织账户的政策调查发现。

    如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您拥有 Macie 成员账户,并且想要抑制账户的策略调查发现,请联系您的 Macie 管理员。

  • 敏感数据调查发现‬ – Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。

    只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。

有关管理员和成员可以执行的任务的更多信息,请参阅了解 Amazon Macie 管理员和成员账户之间的关系

要创建和管理抑制规则,您可以使用 Amazon Macie 控制台或 Amazon Macie API。以下主题说明如何使用。对于 API,主题包括如何使用 AWS Command Line Interface(AWS CLI) 执行这些任务的示例。您也可以使用当前版本的其他 AWS 命令行工具或 AWS SDK,或者直接向 Macie 发送 HTTPS 请求。有关 AWS 工具和 SDK 的信息,请参阅在 AWS 上构建的工具

创建抑制规则

在创建抑制规则之前,请务必注意,您无法恢复(取消存档)使用抑制规则抑制的调查发现。但是,您可以在 Amazon Macie 控制台上查看抑制的调查发现,也可以使用 Amazon Macie API 访问抑制的调查发现。

创建抑制规则时,需要指定筛选标准、名称以及该规则的描述(可选)。您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建抑制规则。

Console

按照以下步骤,使用 Amazon Macie 控制台创建抑制规则。

创建禁止规则

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Findings (结果)

    提示

    要使用现有的抑制或筛选规则作为起点,请从已保存的规则列表中选择该规则。

    您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做,Macie 会自动创建并应用适当的筛选条件,这可能是创建规则的有用起点。据此,请在导航窗格选择按存储桶按类型按作业调查发现下),然后选择表内的项目。在详细信息面板中,为字段选择要转置的链接。

  3. 筛选标准框中,添加筛选条件,以指定您希望规则抑制的调查发现的属性。

    调查发现页面的筛选标准框。

    要了解如何添加筛选条件,请参阅创建筛选条件并将其应用于调查发现

  4. 在添加完规则的筛选条件后,请选择抑制调查发现

  5. 抑制规则下,输入规则的名称和描述(可选)。

  6. 选择 Save(保存)。

API

要以编程方式创建抑制规则,请使用 Amazon Macie API 的 CreateFindingsFilter 操作并为所需参数指定相应的值:

  • 对于 action 参数,请指定 ARCHIVE 以确保 Macie 抑制符合规则标准的调查发现。

  • 对于 criterion 参数,请指定定义规则筛选条件的条件映射。

    在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅用于筛选调查发现的字段在条件中使用运算符为字段指定值

要使用 AWS CLI 创建抑制规则,请运行 create-findings-filter 命令并为所需参数指定适当的值。以下示例创建了一个抑制规则,该规则返回当前 AWS 区域 中的所有敏感数据调查发现,并报告 S3 对象中出现的邮件地址(没有其他类型的敏感数据)。

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

其中:

  • my_suppression_rule 是该规则的自定义名称。

  • criterion 是该规则的筛选条件映射:

    • classificationDetails.result.sensitiveData.detections.type敏感数据检测类型字段的 JSON 名称。

    • eqExactMatch 指定等于精确匹配运算符。

    • 地址敏感数据检测类型字段的枚举值。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

其中 arn 是已创建的抑制规则的 Amazon 资源名称(ARN),id 也是该规则的唯一标识符。

有关筛选标准的其他示例,请参阅 使用 Amazon Macie API 以编程方式筛选调查发现

查看抑制结果

默认情况下,Macie 不会在 Amazon Macie 主机上显示抑制的调查发现。但是,您可以通过更改筛选条件设置在控制台上查看这些调查发现。

在控制台上查看抑制的调查发现

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Findings (结果)调查发现页面显示 Macie 于过去 90 天内在当前的 AWS 区域 为您的账户创建或更新的调查发现。默认情况下,这不包括被抑制规则隐藏的调查发现。

  3. 对于调查发现状态,请执行下面的一项操作:

    • 要仅显示抑制的调查发现,请选择已存档

    • 要同时显示抑制和未抑制的调查发现,请选择全部

    • 要再次隐藏抑制的调查发现,请选择当前

您也可以使用 Amazon Macie API 访问抑制的调查发现。要检索抑制的调查发现列表,请使用 ListFindings 操作并包括为 archived 字段指定 true 的筛选条件。有关如何使用 AWS CLI 执行此操作的示例,请参阅 以编程方式筛选调查发现。然后,要检索一个或多个抑制的调查发现的详细信息,请使用 GetFindings 操作并为要检索的每个调查发现指定唯一标识符。

更改抑制规则

您可以随时使用 Amazon Macie 主机或 Amazon Macie API 更改抑制规则的设置。您还可以为规则分配和管理标签。

标签是您定义并分配给某些类型的 AWS 资源的标记。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 为 Amazon Macie 资源添加标签

Console

按照以下步骤,使用 Amazon Macie 控制台对现有抑制规则的设置进行更改。

创建抑制规则

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Findings (结果)

  3. 已保存的规则列表中,选择要更改的抑制规则旁边的编辑图标 ( A box with a pencil )。

  4. 执行以下任一操作:

    • 要更改规则的标准,请使用筛选标准框输入条件,指定您希望规则抑制的调查发现的属性。要了解如何操作,请参阅创建筛选条件并将其应用于调查发现

    • 要更改规则的名称,请在抑制规则下的名称框中输入新名称。

    • 要更改规则的描述,请在抑制规则下的描述框中输入新的描述。

    • 要为规则分配、查看或编辑标签,请选择抑制规则下的管理标签。然后根据需要查看并更改标签。一个规则可具有最多 50 个标签。

  5. 完成更改后,选择 Save (保存)

API

要以编程方式更改抑制规则,请使用 Amazon Macie API 的 UpdateFindingsFilter 操作。提交请求时,请使用支持的参数为要更改的每个设置指定一个新值。

对于 id 参数,请为待更改规则指定唯一标识符。您可以使用 ListFindingsFilter 操作来检索账户的抑制和筛选规则列表,从而获取此标识符。如果您使用的是 AWS CLI,请运行 list-findings-filters 命令来检索此列表。

要使用 AWS CLI 更改抑制规则,请运行 update-findings-filter 命令并使用支持的参数为要更改的每个设置指定新值。例如,以下命令会更改现有抑制规则的名称。

C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only

其中:

  • 8a3c5608-aa2f-4940-b347-d1451example 是该规则的唯一标识符。

  • mailing_addresses_only 是该规则的新名称。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
    "id": "8a3c5608-aa2f-4940-b347-d1451example"
}

其中 arn 是已更改规则的 Amazon 资源名称(ARN),id 是该规则的唯一标识符。

同样,以下示例通过将 action 参数的值从 NOOP 更改为 ARCHIVE,将筛选规则转换为抑制规则。

C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE

其中:

  • 8a1c3508-aa2f-4940-b347-d1451example 是该规则的唯一标识符。

  • ARCHIVE 是 Macie 对符合规则标准的调查发现执行的新操作——抑制调查发现。

如果命令成功运行,则您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
    "id": "8a1c3508-aa2f-4940-b347-d1451example"
}

其中 arn 是已更改规则的 Amazon 资源名称(ARN),id 是该规则的唯一标识符。

删除抑制规则

您可以随时使用 Amazon Macie 主机或 Amazon Macie API 删除抑制规则。如果您删除抑制规则,Macie 将停止抑制符合该规则标准且未被其他规则抑制的新调查发现和后续出现的调查发现。但请注意,Macie 可能会继续抑制其目前正在处理且符合规则标准的调查发现。

删除抑制规则后,符合该规则标准的新出现和后续出现的调查发现的状态为当前(未存档)。这意味着它们默认显示在 Amazon Macie 主机上。此外,Macie 还会将这些调查发现作为事件发布到 Amazon EventBridge。根据您账户的发布设置,Macie 还会将调查发现发布到 AWS Security Hub。

Console

按照以下步骤使用 Amazon Macie 控制台删除抑制规则。

删除抑制规则

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Findings (结果)

  3. 已保存的规则列表中,选择要删除的抑制规则旁边的编辑图标 ( A box with a pencil )。

  4. 抑制规则下,选择删除

API

要以编程方式删除抑制规则,请使用 Amazon Macie API 的 DeleteFindingsFilter 操作。为 id 参数指定要删除的抑制规则的唯一标识符。您可以使用 ListFindingsFilter 操作来检索账户的抑制和筛选规则列表,从而获取此标识符。如果您使用的是 AWS CLI,请运行 list-findings-filters 命令来检索此列表。

要使用 AWS CLI 删除抑制规则,请运行 delete-findings-filter 命令。例如:

C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example

其中 8a3c5608-aa2f-4940-b347-d1451example 是要删除的抑制规则的唯一标识符。

如果命令运行成功,Macie 会返回一个空 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4xx 或 500 响应,说明操作失败的原因。