本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Macie 样本调查发现
<a name="findings-samples"></a>

要探索和了解 Amazon Macie 可以生成的不同[类型的调查发现](findings-types.md)，您可以创建样本调查发现。样本调查发现使用示例数据和占位符值来演示每种类型的调查发现可能包含的信息类型。

例如，P **olicy: IAMUser /S3 BucketPublic** 示例调查结果包含有关虚构的亚马逊简单存储服务 (Amazon S3) Simple Service 存储桶的详细信息。调查发现的详细信息包括有关操作者的示例数据和操作，这些操作更改了存储桶的访问控制列表（ACL），并使存储桶可公开访问。同样，: s3Object/Multip **SensitiveDatale 样本**调查结果包含有关虚构的 Microsoft Excel 工作簿的详细信息。调查发现的详细信息包括有关工作簿中敏感数据的类型和位置的示例数据。

除了熟悉不同类型的发现结果可能包含的信息外，您还可以使用样本调查发现来测试与其他应用程序、服务和系统的集成。根据您账户的[封禁规则](findings-suppression.md)，Macie 可以将调查结果样本 EventBridge 作为事件发布到亚马逊。这些事件中的示例数据可以帮助您开发和测试用于监控和处理发现结果的自动化解决方案 EventBridge。根据您账户的[发布设置](findings-publish-frequency.md)，Macie 还可以将样本调查发现发布到AWS Security Hub CSPM。这意味着，您还可以使用样本发现来开发和测试解决方案，以便使用 Security Hub CSPM 评估 Macie 调查结果。有关将调查发现发布到这些服务的信息，请参阅[监控和处理结果](findings-monitor.md)。

**Topics**
+ [生成样本调查发现](#findings-samples-create)
+ [查看样本调查发现](#findings-samples-review)
+ [抑制样本调查发现](#findings-samples-suppress)

## 生成样本调查发现
<a name="findings-samples-create"></a>

您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建样本调查发现。如果您使用控制台，Macie 会自动为 Macie 支持的每种调查发现生成一个样本调查发现。如果您使用 API，则可以为每种类型创建样本，也可以仅为指定的某些类型创建样本。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台创建样本调查发现。

**创建样本调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**设置**。

1. 在 **Sample findings** 下，选择 **Generate sample findings**。

------
#### [ API ]

要以编程方式创建样本调查结果，请使用 Amazon Macie API 的[CreateSampleFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-sample.html)操作。提交请求时，可以选择使用 `findingTypes` 参数仅指定要创建的某些类型的样本调查发现。要自动创建所有类型的样本，请不要在请求中包含此参数。

要使用AWS Command Line Interface(AWS CLI) 创建样本调查结果，请运行[create-sample-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-sample-findings.html)命令。要自动创建所有类型调查发现的样本，请不要包含 `finding-types` 参数。要仅创建某些类型调查发现的样本，请包含此参数并指定要创建的样本调查发现的类型。例如：

```
C:\> aws macie2 create-sample-findings --finding-types "SensitiveData:S3Object/Multiple" "Policy:IAMUser/S3BucketPublic"
```

W *SensitiveData:S3Object/Multiple* here 是要创建的敏感数据查找类型，*Policy:IAMUser/S3BucketPublic*也是要创建的策略查找结果类型。

如果该命令成功运行，Macie 将返回空响应。

------

如果您在 90 天内再次创建样本调查结果，Macie 会为您创建的每种类型的敏感数据查找结果生成一个新的调查结果。对于政策调查结果，Macie 会通过增加发生次数和更新有关后续事件发生时间的详细信息来更新每个现有的样本发现。

## 查看样本调查发现
<a name="findings-samples-review"></a>

为了帮助您识别样本调查发现，Amazon Macie 将每个样本调查发现的**样本**字段的值设置为*真*。此外，所有示例发现的受影响的 S3 存储桶的名称都相同：*macie-sample-finding-bucket*。如果您使用 Amazon Macie 控制台上的**调查发现**页面查看样本调查发现，Macie 还会在每个样本调查发现的 **调查发现类型**字段中显示**[样本]**前缀。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台查看样本调查发现。

**若要查看样本调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。

1. 在 **调查发现**页面上，执行以下任何操作：
   + 在**调查发现类型**列中，找到类型以**[样本]**开头的调查发现，如下图所示。  
![\[调查发现页面上的调查发现类型列。它列出了带有[样本]前缀的调查发现。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-samples-all.png)
   + 使用表格上方的 **筛选标准**框，筛选表格以仅显示样本调查发现。为此，请将光标放在框中。在出现的字段列表中，选择**样本**。然后选择**真**，再选择**应用**。

1. 要查看特定样本调查发现的详细信息，请选择该调查发现。详细信息面板会显示调查发现的信息。

您也可以下载一个或多个样本调查发现的详细信息并将其保存为 JSON 文件。为此，请选中要下载并保存的每个样本结果对应的复选框。然后在 **调查发现**页面顶部的 **操作**菜单上选择 **导出 (JSON)**。在出现的窗口中，选择 **下载**。有关调查发现可能包含的 JSON 字段的详细描述，请参阅 *Amazon Macie API 参考*中的[调查发现](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。

------
#### [ API ]

要以编程方式查看样本调查结果，请先使用 Amazon Macie API 的[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)操作来检索您创建的每个样本查找结果的唯一标识符 `findingId` ()。然后使用该[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)操作来检索这些发现的详细信息。

提交 **ListFindings** 请求时，您可以指定筛选标准，以便在结果中仅包含样本调查发现。为此，请添加一个筛选条件，其中 `sample` 字段的值为 `true`。如果您使用的是AWS CLI，请运行 [list-findin](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) gs 命令并使用`finding-criteria`参数指定筛选条件。例如：

```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"sample\":{\"eq\":[\"true\"]}}}
```

如果请求成功，Macie 将返回一个 `findingIds` 数组。该数组列出了当前AWS 区域中您的账户的每个样本调查发现的唯一标识符。

要随后检索样本查找结果的详细信息，请在**GetFindings**请求中指定这些唯一标识符，或者在运行 [get-findin AWS CLI gs](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-findings.html) 命令时指定这些唯一标识符。

------

## 抑制样本调查发现
<a name="findings-samples-suppress"></a>

与其他调查发现一样，Amazon Macie 会将样本调查发现存储 90 天。完成样本的查看和实验后，您可以选择通过[创建抑制规则](findings-suppression-rule-create.md)将其存档。如果执行此操作，则默认情况下，样本调查发现将停止显示在控制台上，其状态将更改为*已存档*。

要使用 Amazon Macie 控制台存档样本调查发现，请将规则配置为存档**样本**字段值为**真**的调查发现。要使用 Amazon Macie API 存档样本调查发现，请配置规则以存档 `sample` 字段的值为 `true` 的调查发现。