本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 篩選 Macie 調查結果的基礎
<a name="findings-filter-basics"></a>

當您篩選問題清單時，請謹記下列功能和指導方針。另請注意，篩選結果僅限於前 90 天和目前的 AWS 區域。Amazon Macie 只會將問題清單存放 90 天 AWS 區域。

**Topics**
+ [在篩選條件中使用多個條件](#findings-filter-basics-multiple-criteria)
+ [指定欄位的值](#findings-filter-basics-value-types)
+ [指定欄位的多個值](#findings-filter-basics-multiple-values)
+ [在 條件中使用運算子](#findings-filter-basics-operators)

## 在篩選條件中使用多個條件
<a name="findings-filter-basics-multiple-criteria"></a>

篩選條件可以包含一或多個條件。每個條件也稱為*條件*，由三個部分組成：
+ 屬性型欄位，例如**嚴重性**或**調查結果類型**。如需您可以使用的欄位清單，請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)。
+ 運算子，例如*等於*或不*等於*。如需您可以使用的運算子清單，請參閱 [在 條件中使用運算子](#findings-filter-basics-operators)。
+ 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。

如果篩選條件包含多個條件，Amazon Macie 會使用 AND 邏輯來加入條件並評估篩選條件。這表示只有當問題清單符合篩選條件*中的所有*條件時，問題清單才會符合篩選條件。

例如，如果您新增條件只包含高嚴重性問題清單，並新增另一個條件只包含敏感資料問題清單，則 Macie 會傳回所有高嚴重性的敏感資料問題清單。換句話說，Macie 會排除所有政策調查結果，以及所有中嚴重性和低嚴重性敏感資料調查結果。

您只能在篩選條件中使用欄位一次。不過，您可以為許多欄位指定多個值。

例如，如果條件使用**嚴重性**欄位僅包含高嚴重性調查結果，則無法在另一個條件中使用**嚴重性**欄位來包含中嚴重性或低嚴重性調查結果。反之，請為現有條件指定多個值，或為現有條件使用不同的運算子。例如，若要包含所有中嚴重性和高嚴重性調查結果，請新增**嚴重性***等於**中、高*條件或新增**嚴重性***不等於**低*條件。

## 指定欄位的值
<a name="findings-filter-basics-value-types"></a>

當您指定欄位的值時，該值必須符合該欄位的基礎資料類型。視 欄位而定，您可以指定下列其中一種類型的值。

**文字陣列 （字串）**  
指定欄位的文字 （字串） 值清單。每個字串都與欄位的預先定義或現有值相關聯，例如**，嚴重性**欄位為*高*、**調查結果類型**欄位為 *SensitiveData：S3Object/Financial*，或 S3 儲存貯體名稱欄位的 **S3 儲存貯體名稱**。  
如果您使用 陣列，請注意下列事項：  
+ 值區分大小寫。
+ 您無法指定部分值或在值中使用萬用字元。您必須為 欄位指定完整且有效的值。
例如，若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單，請輸入 **my-S3-bucket**作為 **S3 儲存貯體名稱**欄位的值。 *my-S3-bucket* 如果您輸入任何其他值，例如 **my-s3-bucket**或 **my-S3**，Macie 不會傳回儲存貯體的問題清單。  
如需每個欄位的有效值清單，請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)。  
您可以在陣列中指定最多 50 個值。指定值的方式取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API，如 中所述[指定欄位的多個值](#findings-filter-basics-multiple-values)。

**：布林值**  
指定欄位的兩個互斥值之一。  
如果您使用 Amazon Macie 主控台來指定這種類型的值，主控台會提供可供選擇的值清單。如果您使用 Amazon Macie API，請`false`為 值指定 `true`或 。

**日期/時間 （和時間範圍）**  
指定欄位的絕對日期和時間。如果您指定此類型的值，則必須同時指定日期和時間。  
在 Amazon Macie 主控台上，日期和時間值位於您的本機時區，並使用 24 小時表示法。在所有其他內容中，這些值採用國際標準時間 (UTC) 和擴充 ISO 8601 格式，例如 `2020-09-01T14:31:13Z` 2020 年 9 月 1 日 UTC 下午 2：31：13。  
如果欄位存放日期/時間值，您可以使用 欄位來定義固定或相對的時間範圍。例如，您只能包含在兩個特定日期和時間之間建立的問題清單，或只包含在特定日期和時間之前或之後建立的問題清單。如何定義時間範圍取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API：  
+ 在主控台上，使用日期選擇器，或直接在**寄件**者和**收件人**方塊中輸入文字。
+ 使用 API，透過新增指定範圍內第一個日期和時間的條件來定義固定時間範圍，並新增另一個指定範圍內最後一個日期和時間的條件。如果您這樣做，Macie 會使用 AND 邏輯來加入條件。若要定義相對時間範圍，請新增一個條件，指定範圍內的第一個或最後一個日期和時間。以毫秒為單位將值指定為 Unix 時間戳記，例如 `1604616572653` 22：49：32 UTC 2020 年 11 月 5 日。
在 主控台上，時間範圍包含在內。使用 API，時間範圍可以是包含或獨佔的，取決於您選擇的運算子。

**數字 （和數值範圍）**  
指定欄位的長整數。  
如果欄位存放數值，您可以使用 欄位來定義固定或相對數值範圍。例如，您只能在 S3 物件中包含報告 50-90 個敏感資料出現的問題清單。如何定義數值範圍取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API：  
+ 在 主控台上，使用**起始**和**結束**方塊，分別輸入範圍內的最低和最高數字。
+ 使用 API，透過新增指定範圍中最低數字的條件來定義固定數字範圍，並新增另一個指定範圍中最高數字的條件。如果您這樣做，Macie 會使用 AND 邏輯來加入條件。若要定義相對數值範圍，請新增一個條件，指定範圍中最低或最高的數字。
在 主控台上，包含數值範圍。使用 API，數值範圍可以是包含或獨佔範圍，取決於您選擇的運算子。

**文字 （字串）**  
指定欄位的單一文字 （字串） 值。字串與欄位的預先定義或現有值相關聯，例如**，嚴重性**欄位為*高*、S3 儲存貯體名稱欄位的 **S3 儲存貯體名稱**，或**任務 ID** 欄位的敏感資料探索任務的唯一識別符。  
如果您指定單一文字字串，請注意下列事項：  
+ 值區分大小寫。
+ 您無法使用部分值或在值中使用萬用字元。您必須為 欄位指定完整且有效的值。
例如，若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單，請輸入 **my-S3-bucket**作為 **S3 儲存貯體名稱**欄位的值。 *my-S3-bucket* 如果您輸入任何其他值，例如 **my-s3-bucket**或 **my-S3**，Macie 不會傳回儲存貯體的問題清單。  
如需每個欄位的有效值清單，請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)。

## 指定欄位的多個值
<a name="findings-filter-basics-multiple-values"></a>

使用特定欄位和運算子，您可以為欄位指定多個值。如果您這樣做，Amazon Macie 會使用 OR 邏輯來聯結值並評估篩選條件。這表示如果問題清單具有 欄位*的任何*值，則符合條件。

例如，如果您新增條件來包含問題清單，其中**問題清單類型**欄位的值等於 *SensitiveData：S3Object/Financial、SensitiveData：S3Object/Personal*，Macie 會傳回僅包含財務資訊的 S3 物件的敏感資料問題清單，以及僅包含個人資訊的 S3 物件。換句話說，Macie 會排除所有政策調查結果。Macie 也會排除包含其他類型敏感資料或多種類型敏感資料的物件的所有敏感資料調查結果。

例外狀況是使用 *eqExactMatch* 運算子的條件。對於此運算子，Macie 使用 AND 邏輯來聯結值並評估篩選條件。這表示只有當問題清單具有 欄位*的所有*值，且*只有* 欄位的那些值時，問題清單才會符合條件。若要進一步了解此運算子，請參閱 [在 條件中使用運算子](#findings-filter-basics-operators)。

如何為欄位指定多個值取決於您使用的是 Amazon Macie API 或 Amazon Macie 主控台。透過 API，您可以使用列出值的陣列。

在 主控台上，您通常會從清單中選擇值。不過，對於某些欄位，您必須為每個值新增不同的條件。例如，若要包含 Macie 使用特定自訂資料識別符偵測到之資料的調查結果，請執行下列動作：

1. 將游標放在**篩選條件**方塊中，然後選擇**自訂資料識別符名稱**欄位。輸入自訂資料識別符的名稱，然後選擇**套用**。

1. 針對您要為篩選條件指定的每個其他自訂資料識別符，重複上述步驟。

如需您需要執行此操作的欄位清單，請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)。

## 在 條件中使用運算子
<a name="findings-filter-basics-operators"></a>

您可以在個別條件下使用下列類型的運算子。

**等於 (eq)**  
比對 (=) 為 欄位指定的任何值。您可以使用*等於*運算子搭配下列類型的值：文字陣列 （字串）、布林值、日期/時間、數字和文字 （字串）。  
對於許多欄位，您可以使用此運算子，並為欄位指定最多 50 個值。如果您這樣做，Amazon Macie 會使用 OR 邏輯來聯結值。這表示如果問題清單具有為 欄位指定的*任何*值，則符合條件。  
例如：  
+ 若要包含報告財務資訊、個人資訊或財務和個人資訊出現的問題清單，請新增使用**敏感資料類別**欄位和此運算子的條件，並將*財務資訊和**個人資訊*指定為欄位的值。
+ 若要包含報告出現的信用卡號碼、郵寄地址或信用卡號碼和郵寄地址的問題清單，請為**敏感資料偵測類型**欄位新增條件，使用此運算子，並指定 *CREDIT\$1CARD\$1NUMBER*和 *ADDRESS*作為欄位的值。
如果您使用 Amazon Macie API 定義使用此運算子搭配日期/時間值的條件，請以毫秒為單位將值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 22：49：32 UTC。

**等於完全相符 (eqExactMatch)**  
完全符合為 欄位指定的所有值。您可以使用*等於完全相符*運算子搭配一組選取的欄位。  
如果您使用此運算子並為欄位指定多個值，Macie 會使用 AND 邏輯來聯結這些值。這表示只有當問題清單具有為 欄位指定的*所有*值，且*只有*為 欄位指定的這些值時，問題清單才會符合條件。您可以為 欄位指定最多 50 個值。  
例如：  
+ 若要包含報告出現信用卡號碼且沒有其他類型敏感資料的調查結果，請為**敏感資料偵測類型**欄位新增條件，使用此運算子，並將 指定*CREDIT\$1CARD\$1NUMBER*為 欄位的唯一值。
+ 若要包含報告出現的信用卡號碼和郵寄地址 （且沒有其他類型的敏感資料） 的問題清單，請為**敏感資料偵測類型**欄位新增條件，使用此運算子，並指定 *CREDIT\$1CARD\$1NUMBER*和 *ADDRESS*作為欄位的值。
由於 Macie 使用 AND 邏輯來聯結欄位的值，因此您無法將此運算子與相同欄位的任何其他運算子結合使用。換句話說，如果您使用*等於完全相符*運算子，且 欄位在一個條件中，則必須在所有其他使用相同欄位的條件中使用它。  
如同其他運算子，您可以在篩選條件的多個條件中使用*等於完全相符*運算子。如果您這樣做，Macie 會使用 AND 邏輯來聯結條件並評估篩選條件。這表示只有當問題清單具有篩選條件中*所有*條件指定的*所有*值時，問題清單才會符合篩選條件。  
例如，若要包含在特定時間之後建立的問題清單、報告出現的信用卡號碼，以及不報告任何其他類型的敏感資料，請執行下列動作：  

1. 新增使用**建立於** 欄位的條件、使用*大於* 的運算子，並指定篩選條件的開始日期和時間。

1. 新增另一個使用**敏感資料偵測類型**欄位的條件，使用*等於完全相符*運算子，並指定 *CREDIT\$1CARD\$1NUMBER*作為欄位的唯一值。
您可以使用*等於完全相符*運算子搭配下列欄位：  
+ 自訂資料識別符 ID (`customDataIdentifiers.detections.arn`)
+ 自訂資料識別符名稱 (`customDataIdentifiers.detections.name`)
+ S3 儲存貯體標籤索引鍵 (`resourcesAffected.s3Bucket.tags.key`)
+ S3 儲存貯體標籤值 (`resourcesAffected.s3Bucket.tags.value`)
+ S3 物件標籤金鑰 (`resourcesAffected.s3Object.tags.key`)
+ S3 物件標籤值 (`resourcesAffected.s3Object.tags.value`)
+ 敏感資料偵測類型 (`sensitiveData.detections.type`)
+ 敏感資料類別 (`sensitiveData.category`)
在上述清單中，括號名稱使用點表示法，在問題清單的 JSON 表示法和 Amazon Macie API 中指出欄位的名稱。

**大於 (gt)**  
大於 (＞) 欄位指定的值。您可以使用*大於* 的運算子搭配數字和日期/時間值。  
例如，若要僅在 S3 物件中包含報告超過 90 個敏感資料出現的問題清單，請新增使用**敏感資料總計數**欄位和此運算子的條件，並將 90 指定為 欄位的值。若要在 Amazon Macie 主控台上執行此操作，**91**請在**寄件人**方塊中輸入 ，不要在**收件人**方塊中輸入值，然後選擇**套用**。主控台中包含數值和時間比較。  
如果您使用 Amazon Macie API 定義使用此運算子的時間範圍，則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 UTC 的 22：49：32。

**大於或等於 (gte)**  
大於或等於 (>=) 欄位指定的值。您可以使用*大於或等於*運算子的數字和日期/時間值。  
例如，若要僅在 S3 物件中包含報告 90 個或更多個敏感資料出現的問題清單，請新增使用**敏感資料總數**欄位和此運算子的條件，並指定 90 作為 欄位的值。若要在 Amazon Macie 主控台上執行此操作，**90**請在**寄件人**方塊中輸入 ，不要在**收件人**方塊中輸入值，然後選擇**套用**。  
如果您使用 Amazon Macie API 定義使用此運算子的時間範圍，則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 UTC 的 22：49：32。

**小於 (lt)**  
小於 (＜) 欄位指定的值。您可以使用*小於*運算子的數字和日期/時間值。  
例如，若要在 S3 物件中僅包含報告少於 90 個敏感資料出現的問題清單，請新增使用**敏感資料總數**欄位和此運算子的條件，並指定 90 作為 欄位的值。若要在 Amazon Macie 主控台上執行此操作，**89**請在**收件人**方塊中輸入 ，請勿在**寄件人**方塊中輸入值，然後選擇**套用**。主控台中包含數值和時間比較。  
如果您使用 Amazon Macie API 定義使用此運算子的時間範圍，則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 UTC 的 22：49：32。

**小於或等於 (lte)**  
小於或等於 (<=) 欄位指定的值。您可以使用*小於或等於*運算子的數字和日期/時間值。  
例如，若要僅包含 S3 物件中報告 90 個或更少敏感資料出現的問題清單，請新增使用**敏感資料總數**欄位和此運算子的條件，並將 90 指定為 欄位的值。若要在 Amazon Macie 主控台上執行此操作，**90**請在**收件人**方塊中輸入 ，請勿在**寄件人**方塊中輸入值，然後選擇**套用**。  
如果您使用 Amazon Macie API 定義使用此運算子的時間範圍，則必須以毫秒為單位將日期/時間值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 UTC 的 22：49：32。

**不等於 (neq)**  
不符合 (≠) 為 欄位指定的任何值。您可以使用*不等於*運算子搭配下列類型的值：文字陣列 （字串）、布林值、日期/時間、數字和文字 （字串）。  
對於許多欄位，您可以使用此運算子，並為欄位指定最多 50 個值。如果您這樣做，Macie 會使用 OR 邏輯來聯結值。這表示如果問題清單沒有為 欄位指定的*任何*值，則符合條件。  
例如：  
+ 若要排除報告財務資訊、個人資訊或財務和個人資訊出現的問題清單，請新增使用**敏感資料類別**欄位和此運算子的條件，並將*財務資訊和**個人資訊*指定為欄位的值。
+ 若要排除報告出現信用卡號碼的問題清單，請為**敏感資料偵測類型**欄位新增條件，使用此運算子，並指定 *CREDIT\$1CARD\$1NUMBER*作為欄位的值。
+ 若要排除報告出現信用卡號碼、郵寄地址或同時報告信用卡號碼和郵寄地址的問題清單，請為**敏感資料偵測類型**欄位新增條件，使用此運算子，並指定 *CREDIT\$1CARD\$1NUMBER*和 *ADDRESS*作為欄位的值。
如果您使用 Amazon Macie API 定義使用此運算子搭配日期/時間值的條件，請以毫秒為單位將值指定為 Unix 時間戳記，例如 `1604616572653` 2020 年 11 月 5 日 22：49：32 UTC。