建立篩選條件並將其套用至 Macie 調查結果 - Amazon Macie
使用主控台篩選問題清單以程式設計方式篩選問題清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立篩選條件並將其套用至 Macie 調查結果

若要識別並專注於具有特定特性的問題清單,您可以在 Amazon Macie 主控台和使用 Amazon Macie API 以程式設計方式提交的查詢中篩選問題清單。建立篩選條件時,您可以使用問題清單的特定屬性來定義從檢視或查詢結果中包含或排除問題清單的條件。問題清單屬性是存放問題清單特定資料的欄位,例如問題清單適用的嚴重性、類型或資源名稱。

在 Macie 中,篩選條件包含一或多個條件。每個條件也稱為條件,由三個部分組成:

  • 屬性型欄位,例如嚴重性調查結果類型

  • 運算子,例如等於或不等於

  • 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。

如何定義和套用篩選條件取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API。

使用 Amazon Macie 主控台篩選問題清單

如果您使用 Amazon Macie 主控台篩選問題清單,Macie 會提供選項,協助您選擇個別條件的欄位、運算子和值。您可以使用問題清單頁面上的篩選條件設定來存取這些選項,如下圖所示。

問題清單頁面上的篩選條件設定、問題清單狀態選單和篩選條件條件方塊。

透過使用問題清單狀態選單,您可以指定是否包含由禁止規則隱藏 (自動封存) 的問題清單。透過使用篩選條件方塊,您可以輸入篩選條件。

當您將游標放在篩選條件方塊中時,Macie 會顯示可在篩選條件中使用的欄位清單。這些欄位會依邏輯類別組織。例如,通用欄位類別包含適用於任何類型的調查結果的欄位,而分類欄位類別包含僅適用於敏感資料調查結果的欄位。這些欄位會在每個類別內依字母順序排序。

若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位的名稱以縮小欄位清單範圍。

根據您選擇的欄位,Macie 會顯示不同的選項。這些選項反映您選擇的欄位類型和性質。例如,如果您選擇嚴重性欄位,Macie 會顯示可供選擇的值清單:。如果您選擇 S3 儲存貯體名稱欄位,Macie 會顯示文字方塊,您可以在其中輸入儲存貯體名稱。無論您選擇哪個欄位,Macie 都會引導您完成新增條件的步驟,其中包含欄位的必要設定。

新增條件後,Macie 會套用條件的條件,並將條件新增至篩選條件條件方塊中的篩選條件字符,如下圖所示。

篩選條件方塊,其中包含指定嚴重性欄位值的條件字符。

在此範例中,條件設定為包含所有中嚴重性和高嚴重性調查結果,並排除所有低嚴重性調查結果。它會傳回嚴重性欄位值等於的問題清單。

提示

對於許多欄位,您可以在條件的篩選條件字符中選擇等於圖示 ( The equals icon, which is a solid gray circle. ),將條件的運算子從等於變更為等於。如果您這樣做,Macie 會將運算子變更為不等於,並在字符中顯示不等於圖示 ( The not equals icon, which is an empty gray circle that has a backslash in it. )。若要再次切換到等於運算子,請選擇不等於圖示。

當您新增更多條件時,Macie 會套用其條件,並將其新增至篩選條件方塊中的字符。您可以隨時參考方塊,以判斷您已套用哪些條件。若要移除條件,請在條件的字符中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. )。

使用主控台篩選問題清單

  1. 在 https://https://console.aws.amazon.com/macie/ 開啟 Amazon Macie 主控台。

  2. 在導覽窗格中,選擇調查結果

  3. (選用) 若要先依預先定義的邏輯群組篩選和檢閱問題清單,請在導覽窗格中選擇依儲存貯體、依類型依任務 (在問題清單下)。然後在資料表中選擇項目。在詳細資訊面板中,選擇要樞紐分析的欄位連結。

  4. (選用) 若要顯示隱藏規則所隱藏的問題清單,請變更篩選狀態設定。選擇封存以僅顯示隱藏的問題清單,或選擇全部以顯示隱藏和未隱藏的問題清單。若要隱藏隱藏的問題清單,請選擇目前

  5. 若要新增篩選條件:

    1. 將游標放在篩選條件方塊中,然後選擇要用於條件的欄位。如需您可以使用之欄位的相關資訊,請參閱 用於篩選 Macie 問題清單的欄位

    2. 為 欄位輸入適當的值類型。如需不同類型值的詳細資訊,請參閱 指定欄位的值

      文字陣列 (字串)

      對於這種類型的值,Macie 通常會提供可供選擇的值清單。如果是這種情況,請選取您要在 條件中使用的每個值。

      如果 Macie 未提供值清單,請為 欄位輸入完整且有效的值。若要指定 欄位的其他值,請選擇套用,然後為每個額外的值新增另一個條件。

      請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。 my-S3-bucket 如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 不會傳回儲存貯體的問題清單。

      :布林值

      對於此類型的值,Macie 會提供可供選擇的值清單。選取您要在 條件中使用的值。

      日期/時間 (時間範圍)

      對於此類型的值,請使用起始結束方塊來定義包含的時間範圍:

      • 若要定義固定的時間範圍,請使用開始結束方塊,分別指定範圍內的第一個日期和時間,以及最後一個日期和時間。

      • 若要定義從特定日期和時間開始,並在目前時間結束的相對時間範圍,請在起始方塊中輸入開始日期和時間,然後在結束方塊中刪除任何文字。

      • 若要定義結束於特定日期和時間的相對時間範圍,請在結束方塊中輸入結束日期和時間,然後在開始方塊中刪除任何文字。

      請注意,時間值使用 24 小時表示法。如果您使用日期選擇器來選擇日期,則可以直接在方塊中輸入文字來精簡值。

      數字 (數值範圍)

      對於此類型的值,請使用方塊輸入一或多個整數,以定義包含、固定或相對數值範圍。

      文字 (字串) 值

      針對此類型的值,輸入 欄位的完整有效值。

      請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單,請輸入 my-S3-bucket作為 S3 儲存貯體名稱欄位的值。 my-S3-bucket 如果您輸入任何其他值,例如 my-s3-bucketmy-S3,Macie 不會傳回儲存貯體的問題清單。

    3. 當您完成欄位的新增值時,請選擇套用。Macie 會套用篩選條件,並將條件新增至篩選條件方塊中的篩選條件字符。

  6. 針對您要新增的每個額外條件重複步驟 5。

  7. 若要移除條件,請在條件的篩選條件字符中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. )。

  8. 若要變更條件,請在條件的篩選條件字符中選擇移除條件圖示 ( The remove filter condition icon, which is a circle that has an X in it. ) 來移除條件。然後重複步驟 5 以使用正確的設定新增條件。

提示

如果您想要後續再次使用此條件集,您可以將此集儲存為篩選條件規則。若要這樣做,請在篩選條件方塊中選擇儲存規則。然後輸入名稱,並選擇性輸入規則的描述。完成後,請選擇儲存

使用 Amazon Macie API 以程式設計方式篩選問題清單

若要以程式設計方式篩選問題清單,請在您使用 ListFindings 或 Amazon Macie API 的 GetFindingStatistics 操作提交的查詢中指定篩選條件。ListFindings 操作會傳回問題清單 IDs陣列,每個符合篩選條件的問題清單各一個 ID。GetFindingStatistics 操作會傳回與篩選條件相符之所有調查結果的彙總統計資料,依您在請求中指定的欄位分組。

請注意, ListFindingsGetFindingStatistics操作與您用來隱藏問題清單的操作不同。與同時指定篩選條件的抑制操作不同, ListFindingsGetFindingStatistics操作只會查詢問題清單資料。它們不會對符合篩選條件的問題清單執行任何動作。若要隱藏問題清單,請使用 Amazon Macie API 的 CreateFindingsFilter 操作。

若要在查詢中指定篩選條件,請在請求中包含篩選條件的映射。針對每個條件,指定 欄位、 運算子,以及 欄位的一或多個值。值的類型和數量取決於您選擇的欄位和運算子。如需您可以在條件中使用的欄位、運算子和值類型的相關資訊,請參閱 用於篩選 Macie 問題清單的欄位在 條件中使用運算子指定欄位的值

下列範例示範如何在使用 AWS Command Line Interface (AWS CLI) 提交的查詢中指定篩選條件。您也可以使用目前版本的另一個 AWS 命令列工具或 AWS SDK,或將 HTTPS 請求直接傳送至 Macie,來執行此操作。如需 AWS 工具和 SDKs 的相關資訊,請參閱要建置的工具 AWS

這些範例使用 list-findings 命令。如果範例成功執行,Macie 會傳回findingIds陣列。陣列會列出每個符合篩選條件之調查結果的唯一識別符,如下列範例所示。

{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}

如果沒有符合篩選條件的問題清單,Macie 會傳回空findingIds陣列。

{
    "findingIds": []
}

範例 1:根據嚴重性篩選問題清單

此範例會擷取目前 中所有高嚴重性和中嚴重性調查結果的調查結果 IDs AWS 區域。

針對 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}

其中:

  • severity.description 指定嚴重性欄位的 JSON 名稱。

  • microSDHC 指定等於運算子。

  • HighMedium嚴重性欄位的列舉值陣列。

範例 2:根據敏感資料類別篩選問題清單

此範例會擷取目前區域中所有敏感資料調查結果的調查結果 IDs,並報告 S3 物件中發生的財務資訊 (且沒有其他類別的敏感資料)。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 換行字元來改善可讀性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'

對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}

其中:

  • classificationDetails.result.sensitiveData.category 會指定敏感資料類別欄位的 JSON 名稱。

  • eqExactMatch 會指定等於完全相符運算子。

  • FINANCIAL_INFORMATION敏感資料類別欄位的列舉值。

範例 3:根據固定時間範圍篩選問題清單

此範例會擷取目前區域中所有調查結果的調查結果 IDs,並在 2020 年 10 月 5 日 UTC 07:00 和 2020 年 11 月 5 日 UTC 07:00 (包含 ) 之間建立。

針對 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}

其中:

  • createdAt 指定在 欄位建立的 JSON 名稱。

  • gte 指定大於或等於運算子的 。

  • 1601881200000 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

  • lte 指定小於或等於運算子的 。

  • 1604559600000 是時間範圍中的最後一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

範例 4:根據禁止狀態篩選問題清單

此範例會擷取目前區域中所有問題清單的問題清單 IDs,並由禁止規則隱藏 (自動封存)。

針對 Linux、macOS 或 Unix:

$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'

對於 Microsoft Windows:

C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}

其中:

  • 封存會指定封存欄位的 JSON 名稱。

  • 常式指定等於運算子。

  • true封存欄位的布林值。

範例 5:根據多個欄位和值類型篩選問題清單

此範例會擷取目前 區域中所有敏感資料調查結果的調查結果 IDs,並符合下列條件: 是在 2020 年 10 月 5 日 UTC 07:00 和 2020 年 11 月 5 日 UTC 07:00 (僅限) 之間建立的;報告 S3 物件中財務資料的出現和沒有其他類別的敏感資料;且不受禁止規則抑制 (自動封存)。

對於 Linux、macOS 或 Unix,請使用反斜線 (\) 換行字元來改善可讀性:

$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'

對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性:

C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}

其中:

  • createdAt 指定在 欄位建立的 JSON 名稱,以及:

    • gt 指定大於或等於運算子。

    • 1601881200000 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

    • lt 指定小於或等於運算子的 。

    • 1604559600000 是時間範圍中的最後一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。

  • classificationDetails.result.sensitiveData.category 指定敏感資料類別欄位的 JSON 名稱,以及:

    • eqExactMatch 會指定等於完全相符運算子。

    • FINANCIAL_INFORMATION 是 欄位的列舉值。

  • 封存會指定封存欄位的 JSON 名稱,以及:

    • microSDHC 指定等於運算子。

    • false 是 欄位的布林值。