建立並將篩選套用至發現項目 - Amazon Macie
在主控台上篩選發現項目以編程方式過濾

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立並將篩選套用至發現項目

若要識別並專注於具有特定特性的發現項目,您可以在 Amazon Macie 主控台上以及使用 Amazon Macie API 以程式設計方式提交的查詢中篩選發現結果。當您建立篩選器時,您可以使用發現項目的特定屬性來定義條件,以在檢視表或查詢結果中包含或排除發現項目。發現項目屬性是一個欄位,用於儲存發現項目的特定資料,例如嚴重性、類型或適用於發現項目的 S3 儲存貯體名稱。

在 Macie 中,過濾器由一個或多個條件組成。每個條件,也稱為準則,由三個部分組成:

  • 以屬性為基礎的欄位,例如「嚴重性」或「發現項目」類型。

  • 一個運算符,如等於不等於

  • 一個或多個值。值的類型和數目取決於您選擇的欄位和運算子。

定義和套用篩選條件的方式取決於您使用的是 Amazon Macie 主控台還是 Amazon Macie API。

在 Amazon Macie 控制台上篩選發現的結果

如果您使用 Amazon Macie 主控台篩選發現項目,Macie 會提供選項來協助您針對個別條件選擇欄位、運算子和值。您可以使用「發現項目」頁面上的篩選器設定來存取這些選項,如下圖所示。

「發現項目」頁面上表格上方的篩選設定。

您可以使用「搜尋結果」狀態功能表,指定是否要包含由抑制規則隱藏 (自動封存) 的發現項目。透過使用「篩選條件」方塊,您可以輸入篩選條件。

當您將游標置於 [篩選條件] 方塊中時,Macie 會顯示您可以在篩選條件中使用的欄位清單。這些欄位是依邏輯類別組織的。例如,「一般欄位」 類別包含適用於任何發現項目類型的欄位,而 「分類」欄位類別包含僅適用於敏感資料發現項目的欄位。欄位會在每個類別中按字母順序排序。

若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位名稱以縮小欄位清單。

根據您選擇的欄位,Macie 會顯示不同的選項。這些選項會反映您所選欄位的類型和性質。例如,如果您選擇「嚴重性」欄位,Macie 會顯示可供選擇的值清單:「」、「」和「」。如果您選擇 S3 儲存貯體名稱欄位,Macie 會顯示一個文字方塊,您可以在其中輸入儲存貯體名稱。無論您選擇哪個欄位,Macie 都會引導您完成以下步驟,以新增條件,其中包含欄位的必要設定。

新增條件之後,Macie 會套用條件的條件,並將條件新增至「篩選條件」方塊中的篩選器標記,如下圖所示。

「發現項目」頁面上表格上方的「篩選條件」方塊,其中包含條件的篩選器 Token。

在此範例中,條件設定為包含所有中等嚴重性和高嚴重性發現項目,並排除所有低嚴重性發現項目。它會傳回「嚴重性」欄位值等於」或「」的發現項目。

提示

對於許多欄位,您可以在條件的篩選器權杖中選擇等於圖示 ( A solid, dark gray circle ),將條件的運算子從 equals 變更為不等於。如果您這麼做,Macie 會將運算子變更為不等於,並在權杖中顯示不等於圖示 ( An empty, dark gray circle with a backslash )。若要再次切換至等於運算子,請選擇「不等於」圖示。

當您新增更多條件時,Macie 會套用其條件,並將其新增至「篩選條件」方塊中的記號。您可以隨時參考此方塊,以確定您已套用哪些條件。若要移除條件,請在條件的記號中選擇移除條件圖示 ( A circle with an X in it )。

若要使用主控台篩選發現項目

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇 Findings (問題清單)

  3. (選擇性) 若要先依預先定義的邏輯群組進行樞紐分析並複查發現項目,請在瀏覽窗格 (在「發項目」下) 中選擇「依值區」、「依類型」或「依工作」。然後選擇表格中的項目。在詳細資料面板中,選擇要旋轉之欄位的連結。

  4. (選擇性) 若要顯示抑制規則所抑制的發現項目,請變更篩選狀態設定。選擇「已存檔」以僅顯示隱藏的搜尋結果,或選擇「全部」以顯示隱藏與未隱藏的搜尋結果。若要隱藏隱藏的發現項目,請選擇目前

  5. 若要新增篩選條件:

    1. 將游標置於 [篩選條件] 方塊中,然後選擇要用於條件的欄位。如需有關可使用之欄位的資訊,請參閱篩選發現項目的欄位

    2. 為欄位輸入適當的值類型。如需不同類型值的詳細資訊,請參閱指定欄位的值

      文本數組(字符串)

      對於這種類型的值,Macie 通常會提供可供選擇的值清單。如果是這種情況,請選取您要在條件中使用的每個值。

      如果 Macie 未提供值清單,請為欄位輸入完整、有效的值。若要指定欄位的其他值,請選擇「套用」,然後為每個其他值新增其他條件。

      請注意,值是區分大小寫的。此外,您不能在值中使用部分值或萬用字元。例如,若要篩選名my-S3-bucketMy- S3 儲存貯體的發現項目,請輸入 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如my-s3-bucketmy-S3,Macie 將不會傳回值區的發現項目。

      :布林值

      對於這種類型的值,Macie 會提供可供選擇的值清單。選取您要在條件中使用的值。

      日期/時間(時間範圍)

      對於這種類型的值,請使用「」(From) 和「」(To) 方塊來定義包含的時間範圍:

      • 若要定義固定時間範圍,請使用「」(From) 和「」(To) 方塊,分別指定範圍中的第一個日期和時間,以及最後一個日期和時間。

      • 若要定義特定日期和時間開始並在目前時間結束的相對時間範圍,請在「從」(From) 方塊中輸入開始日期和時間,並刪除「」(To) 方塊中的任何文字。

      • 若要定義在特定日期和時間結束的相對時間範圍,請在 [收件者] 方塊中輸入結束日期和時間,並刪除 [] 方塊中的任何文字。

      請注意,時間值使用 24 小時標記法。如果您使用日期選擇器來選擇日期,您可以直接在「從」(From) 和「」(To) 方塊輸入文字來精簡值。

      數字 (數值範圍)

      對於此類型的值,請使用「」(From) 和「」(To) 方塊輸入一或多個整數,以定義包含、固定或相對數值範圍。

      文字 (字串) 值

      對於此類型的值,請為欄位輸入完整、有效的值。

      請注意,值是區分大小寫的。此外,您不能在值中使用部分值或萬用字元。例如,若要篩選名my-S3-bucketMy- S3 儲存貯體的發現項目,請輸入 S3 儲存貯體名稱欄位的值。如果您輸入任何其他值,例如my-s3-bucketmy-S3,Macie 將不會傳回值區的發現項目。

    3. 完成新增欄位值後,請選擇「套用」。Macie 會套用篩選條件,並將條件新增至 [篩選條件] 方塊中的篩選器權杖。

  6. 針對您要新增的每個其他條件重複步驟 5。

  7. 若要移除條件,請在條件的篩選器 Token 中選擇移除條件圖示 ( A circle with an X in it )。

  8. 若要變更條件,請在條件的篩選器 Token 中選擇移除條件圖示 ( A circle with an X in it ) 來移除條件。然後重複步驟 5 以新增具有正確設定的條件。

如果您隨後想要再次使用這組條件,您可以將該組儲存為篩選規則。若要這麼做,請在 [篩選條件] 方塊中選擇 [儲存規則]。然後輸入規則的名稱和描述 (選擇性)。完成後,請選擇 Save (儲存)

使用 Amazon Macie API 以程式設計方式篩選結果

若要以程式設計方式篩選發現項目,請在使用 Amazon Macie API ListFindingsGetFindingStatistics操作提交的查詢中指定篩選條件。此ListFindings作業會傳回尋找 ID 的陣列,每個符合篩選準則的發現項目都有一個 ID。此GetFindingStatistics作業會傳回符合篩選準則之所有發現項目的彙總統計資料,並依您在要求中指定的欄位分組。

請注意,ListFindingsGetFindingStatistics作業與您用來隱藏發現項目的作業不同。與隱藏作業 (也會指定篩選條件) 不同,ListFindingsGetFindingStatistics作業只會查詢發現項目資料。它們不會對符合篩選準則的發現項目執行任何動作。若要抑制發現項目,請使用 Amazon Macie API 的CreateFindingsFilter操作。

若要在查詢中指定篩選條件,請在請求中包含篩選條件對映。對於每個條件,請為欄位指定欄位、運算子以及一或多個值。值的類型和數目取決於您選擇的欄位和運算子。如需有關可在條件中使用之欄位、運算子和值類型的資訊,請參閱篩選發現項目的欄位在條件下使用運算子、和指定欄位的值

下列範例說明如何在使用 AWS Command Line Interface(AWS CLI) 提交的查詢中指定篩選條件。您也可以使用目前版本的其他AWS命令列工具或 AWS SDK,或直接將 HTTPS 要求傳送至 Macie 來執行此操作。如需AWS工具和 SDK 的相關資訊,請參閱要建置的工具。AWS

這些示例使用列表發現項目命令。如果範例成功執行,Macie 會傳回findingIds陣列。陣列會列出符合篩選準則之每個發現項目的唯一識別碼,如下列範例所示。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

如果沒有發現符合篩選條件,Macie 會傳回空findingIds陣列。

{
    "findingIds": []
}

範例 1:根據嚴重性篩選發現項目

此範例會使用清單發現項目命令,擷取目前所有高嚴重度和中等嚴重性發現項目的尋找項目 ID。AWS 區域

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

對於 Microsoft 視窗:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

其中:

  • 嚴重性。描述指定嚴重性欄位的 JSON 名稱。

  • eq 指定於運算符。

  • 」和「」是「嚴重性」欄位的列舉值陣列。

範例 2:根據敏感資料類別篩選發現項目

此範例使用 list find 命令擷取目前區域中所有敏感資料發現項目的尋找 ID,並報告 S3 物件中財務資訊 (以及沒有其他類別的敏感資料) 的發現情況。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 行接續字元來提高可讀性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

對於 Microsoft Windows,使用脫字符號(^)行繼續字符來提高可讀性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

其中:

  • 分類詳細資料。結果. 敏感性資料類別欄位指定 JSON 名稱。

  • eqExactMatch指定等於精確匹配運算符

  • 金融資訊敏感資料類別欄位的列舉值。

範例 3:根據固定時間範圍篩選發現項目

此範例會使用清單發現項目命令,擷取目前區域中所有發現項目的尋找 ID,這些項目是在 2020 年 10 月 5 日世界標準時間 07:00 和 2020 年 11 月 5 日世界標準時間 07:00 (包括在內) 之間建立的。

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

對於 Microsoft 視窗:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

其中:

  • createdAt 指定「建立於」欄位的 JSON 名稱。

  • gte 指定大於或等於運算符。

  • 1601881200000 是時間範圍內的第一個日期和時間(以毫秒為單位的 Unix 時間戳記)。

  • LTE 指定小於或等於運算符。

  • 1604559600000 是時間範圍內的最後一個日期和時間(以毫秒為單位的 Unix 時間戳記)。

範例 4:根據抑制狀態篩選搜尋結果

此範例使用清單發現項目命令,擷取目前「區域」中所有發現項目的尋找項目識別碼,並由抑制規則隱藏 (自動封存)。

若為 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

對於 Microsoft 視窗:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

其中:

  • 封存會指定封欄位的 JSON 名稱。

  • eq 指定於運算符。

  • true 是「已封存」欄位的布林值。

範例 5:根據多個欄位和值類型篩選發現項目

此範例使用清單搜尋結果命令來擷取目前區域中所有敏感資料發現項目的尋找 ID,且符合下列條件:建立於 2020 年 10 月 5 日 07:00 至 2020 年 11 月 5 日世界標準時間 07:00 (獨家);報告財務資料的發現次數,且 S3 物件中沒有其他類別的敏感資料;並且不會透過抑制規則來抑制 (自動封存)。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 行接續字元來提高可讀性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

對於 Microsoft Windows,使用脫字符號(^)行繼續字符來提高可讀性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

其中:

  • createdAt 會指定 [建立於] 欄位的 JSON 名稱,並且:

    • gt 指定大於或等於運算符。

    • 1601881200000 是時間範圍內的第一個日期和時間(以毫秒為單位的 Unix 時間戳記)。

    • lt 指定小於或等於運算符。

    • 1604559600000 是時間範圍內的最後一個日期和時間(以毫秒為單位的 Unix 時間戳記)。

  • 分類詳細資料。結果. 敏感性資料類別欄位會指定敏感資料類別欄位的 JSON 名稱,並且:

    • eqExactMatch指定等於精確匹配運算符

    • 金融資訊是欄位的列舉值。

  • 封存會指定封欄位的 JSON 名稱,以及:

    • eq 指定於運算符。

    • 是該字段的布爾值。