在 Amazon Macie 中使用樣本發現 - Amazon Macie
建立範例結果檢閱範例結果抑制範例發現項目

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Macie 中使用樣本發現

若要探索並了解 Amazon Macie 可產生的不同類型發現項目,您可以建立範例發現項目。範例發現項目會使用範例資料和預留位置值來示範每種發現項目類型可能包含的資訊類型。

例如,政策:IAMUSER/S3 BucketPublic 範例尋找項目包含虛擬亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體的詳細資料。發現項目的詳細資料包括有關實行者和動作的範例資料,這些動作會變更值區的存取控制清單 (ACL),並讓值區可公開存取。同樣地,: S3 物件/多個SensitiveData範例尋找項目包含有關虛構 Microsoft Excel 活頁簿的詳細資料。發現項目的詳細資料包括有關工作簿中敏感資料類型和位置的範例資料。

除了熟悉不同發現項目類型可能包含的資訊之外,您還可以使用發現項目範例來測試與其他應用程式、服務和系統的整合。根據您帳戶的抑制規則,Macie 可以將樣本發現 EventBridge 作為事件發佈到 Amazon。透過使用範例發現項目中的範例資料,您可以開發和測試自動化解決方案,以監視和處理這些事件。根據您帳戶的發佈設定,Macie 也可以將範例結果發佈到AWS Security Hub。這表示您也可以使用範例發現項目來開發和測試解決方案,以監視和處理 Security Hub 中的 Macie 發現項目。如需將發現項目發佈至這些服務的相關資訊,請參閱 監控和處理問題清單

建立範例結果

您可以使用亞馬遜 Macie 主控台或亞馬 Amazon Macie API 建立範例發現項目。如果您使用主控台,Macie 會自動為 Macie 支援的每種類型發現項目產生一個範例尋找項目。如果您使用 API,則可以為每個類型建立範例,也可以只為您指定的特定類型建立範例。

Console

請依照下列步驟使用 Amazon Macie 主控台建立範例發現項目。

建立範例發現項目

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇設定

  3. 範例發現項目下,選擇產生範例發現項目

API

若要以程式設計方式建立範例發現項目,請使用 Amazon Macie API 的CreateSampleFindings作業。當您提交請求時,您可以選擇性地使用findingTypes參數來指定要建立的特定型態範例發現項目。若要自動建立所有類型的範例,請勿在要求中包含此參數。

若要使用 AWS Command Line Interface(AWS CLI) 建立範例發現項目,請執行create-sample-findings命令。若要自動建立所有發現項目類型的範例,請勿包含finding-types參數。若只要建立特定發現項目類型的範例,請加入此參數,並指定要建立的範例發現項目類型。例如:

C:\> aws macie2 create-sample-findings --finding-types "SensitiveData:S3Object/Multiple" "Policy:IAMUser/S3BucketPublic"

其中:S3Object/Multiple SensitiveData是一種要創建的敏感數據查找和策略:IAMUser/S3 是一種要創建的策略發現類型。BucketPublic

如果命令運行成功,Macie 返回一個空的響應。

檢閱範例結果

為了協助您識別您所建立的範例發現項目,Macie 會將每個範例發現項目的 [範例] 欄位的值設定為 True。此外,受影響的 S3 儲存貯體的名稱對於所有發現的範例都是相同的:macie-sample-finding-bucket。如果您使用 Amazon Macie 主控台上的「發現項目」頁面來檢閱範例發現項目,Macie 也會在每個範例發現項目的「尋找項目類型」欄位中顯示 [SAMPLE] 前置詞。

Console

請依照下列步驟使用 Amazon Macie 主控台檢閱發現項目範例。

若要檢閱樣本發現

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇調查結果

  3. 在「發現的項目」頁面上,執行下列任一項作業:

    • 在「發現項目類型」欄中,找出類型以 [SAMPLE] 開頭的發現項目,如下圖所示。

      「發現項目」頁面上的發現項目範例表格。每個範例尋找項目的尋找項目類型都有 [SAMPLE] 字首。

    • 使用表格上方的「篩選條件」方塊,篩選表格以僅顯示發現項目的範例。若要執行此操作,請將游標放在方塊中。在顯示的欄位清單中,選擇 [範例]。然後選擇「」,然後選擇「套用」。這會將下列篩選條件新增至表格中:

      具有使用「範例」欄位的篩選條件的「篩選條件」方塊。

  4. 若要檢閱特定範例發現項目的詳細資料,請選擇發現項目。詳細資料面板會顯示發現項目的資訊。

您也可以將一或多個範例發現項目的詳細資訊下載並儲存為 JSON 檔案。若要這樣做,請選取您要下載並儲存的每個範例發現項目的核取方塊。然後在 發現項目」頁面頂端的「動作」功能表中選擇「匯出 (JSON)」。在出現的視窗中,選擇 [下載]。如需發現項目可包含之 JSON 欄位的詳細說明,請參閱 Amazon Macie API 參考中的發現項目

API

若要以程式設計方式檢閱範例發現項目,請先使用 Amazon Macie API 的ListFindings作業來擷取您建立的每個範例發現項目的唯一識別碼 (findingId)。然後使用GetFindings作業擷取這些發現項目的詳細資訊。

當您提交ListFindings請求時,您可以指定篩選條件,以便僅在結果中包含發現項目的範例。要做到這一點,添加一個過濾條件,其中的sample字段的值是true。如果您使用的是AWS CLI,請執行清單發現項目命令,並使用finding-criteria參數來指定篩選條件。例如:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"sample\":{\"eq\":[\"true\"]}}}

如果您的請求成功,Macie 返回一個數組findingIds。陣列會列出目前帳戶中每個範例發現項目的唯一識別碼AWS 區域。

若要接著擷取範例發現項目的詳細資訊,請在GetFindings要求中指定這些唯一識別碼,或在執行 get- find 命令時指定這些唯一識別碼。AWS CLI

抑制範例發現項目

與其他發現一樣,Macie 將樣本發現存儲 90 天。完成檢閱和試驗範例之後,您可以選擇性地建立隱藏規則來封存它們。如果您這麼做,範例發現項目會依預設停止顯示在主控台上,且其狀態會變更為已封存

若要使用 Amazon Macie 主控台存檔範例發現項目,請設定規則以在「範例」欄位的值為 True 時存檔發現項目。若要使用 Amazon Macie API 存檔範例發現項目,請設定規則以將發現項目存檔在sample欄位值所在的位true置。