本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。 # 筛选 Macie 调查发现的基础知识当您筛选调查发现时，请记住以下功能和指南。另请注意，筛选结果仅限于前 90 天和当前 AWS 区域。亚马逊 Macie 每次只会将您的发现存储 90 天。 AWS 区域 **Topics** + [在筛选条件中使用多个条件](#findings-filter-basics-multiple-criteria) + [为字段指定值](#findings-filter-basics-value-types) + [为字段指定多个值](#findings-filter-basics-multiple-values) + [在条件中使用运算符](#findings-filter-basics-operators) ## 在筛选条件中使用多个条件筛选条件可能包含一个或多个条件。每个条件，也称为*标准*，由三个部分组成： + 基于属性的字段，例如**严重性**或**调查发现类型**。有关可以使用的字段列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。 + 一个运算符，例如*等于*或*不等于*。有关可以使用的运算符列表，请参阅 [在条件中使用运算符](#findings-filter-basics-operators)。 + 一个或多个值。值的类型和数量取决于您选择的字段和运算符。如果一个筛选条件包含多个条件，Amazon Macie 会使用 AND 逻辑来连接条件并评测筛选标准。这意味着，只有当结果与筛选条件中的*所有*条件都匹配时，它才会匹配筛选条件。例如，如果您添加一个条件以仅包含高严重性调查发现，而添加另一个条件以仅包含敏感数据调查发现，则 Macie 将返回所有高严重性的敏感数据调查发现。换句话说，Macie 会排除所有策略调查发现以及所有中等严重性和低严重性的敏感数据调查发现。在筛选条件中只能使用一个字段一次。但是，您可以为多个字段指定多个值。例如，如果某个条件使用**严重性**字段仅包含高严重性调查发现，则不能在其他条件中使用**严重性**字段来包含中等严重性或低严重性调查发现。相反，可以为现有条件指定多个值，或者对现有条件使用不同的运算符。例如，要包括所有中等严重性和高严重性结果，请添加**严重性***等于**中、高*条件或添加**严重性***不等于**低*条件。 ## 为字段指定值为字段指定值时，该值必须符合该字段的基础数据类型。根据字段的不同，您可以指定以下值类型之一。 **文本数组（字符串）** 为字段指定文本（字符串）值列表。***每个字符串都与字段的预定义值或现有值相关联，例如，“**严重性**” 字段为 “*高*”，“查找结果**类型” 字段为:S3Object/FinancialSensitiveData，或 S3 存储桶名称字段**的 S3 存储桶名称。*** 如果您使用数组，请注意以下几点： + 值区分大小写。 + 您不能指定部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。有关每个字段的有效值的列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。您最多可以在一个数组中指定 50 个值。如何指定这些值取决于您使用的是 Amazon Macie 控制台还是 Amazon Macie API，如 [为字段指定多个值](#findings-filter-basics-multiple-values) 中所述。 **布尔值** 为字段指定两个互斥值中的一个。如果您使用 Amazon Macie 控制台来指定此类值，则控制台会提供一个值列表供您选择。如果您使用 Amazon Macie API，请为值指定 `true` 或 `false`。 **日期/时间（及时间范围）** 为字段指定绝对日期和时间。如果指定这种类型的值，则必须同时指定日期和时间。在 Amazon Macie 控制台上，日期和时间值以您的当地时区为单位，并使用 24 小时表示法。在所有其他情况下，这些值均采用协调世界时 (UTC) 和扩展的 ISO 8601 格式，例如 `2020-09-01T14:31:13Z` 为世界标准时间 2020 年 9 月 1 日下午 2:31:13。如果某个字段存储了一个 date/time 值，则可以使用该字段来定义固定或相对的时间范围。例如，您可以仅包括在两个特定日期和时间之间创建的调查发现，或者仅包含在特定日期和时间之前或之后创建的调查发现。如何定义时间范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API: + 在控制台上，使用日期选择器或直接在**从**和**到**框中输入文本。 + 在 API 上，通过添加一个用于指定该范围内的第一个日期和时间的条件来定义固定时间范围，然后添加另一个用于指定该范围内最后一个日期和时间的条件。如果这样做，Macie 会使用 AND 逻辑来加入条件。要定义相对时间范围，请添加一个条件来指定该范围内的第一个或最后一个日期和时间。将这些值指定为以毫秒为单位的 Unix 时间戳，例如，`1604616572653` 为世界标准时间 2020 年 11 月 5 日 22:49:32。在控制台上，时间范围包含在内。在 API 上，时间范围可以是包容性的，也可以是排他性的，具体取决于您选择的运算符。 **数字（和数值范围）** 为字段指定长整数。如果字段存储数值，则可以使用该字段定义固定或相对数值范围。例如，您只能包含那些在 S3 对象中报告 50-90 次出现的敏感数据的发现。如何定义数值范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API: + 在控制台上，使用**从**和**到**框分别输入该范围内的最小和最高数字。 + 使用API，通过添加一个指定范围内最低数字的条件来定义一个固定的数字范围，并添加另一个指定范围内最高数字的条件。如果这样做，Macie 会使用 AND 逻辑来加入条件。要定义相对数值范围，请添加一个条件来指定该范围内的最小或最高数字。在控制台上，数值范围包含在内。使用 API，数值范围可以是包容性的，也可以是排他性的，具体取决于您选择的运算符。 **文本（字符串）** 为字段指定单个文本（字符串）值。该字符串与字段的预定义值或现有值相关联，例如**严重性**字段为*高*，**S3 存储桶名称**字段为 S3 存储桶的名称，或**作业 ID**字段为敏感数据发现作业的唯一标识符。如果您指定一个文本字符串，请注意以下几点： + 值区分大小写。 + 您不能使用部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。有关每个字段的有效值的列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。 ## 为字段指定多个值使用某些字段和运算符，您可以为一个字段指定多个值。如果您这样做，Amazon Macie 会使用 OR 逻辑来连接值并评测筛选条件。这意味着，如果某项查找结果具有为该字段的*任何*值，则该结果与该条件相匹配。例如，如果您添加一个条件以包括**查找结果类型**字段的值等于:S3 的结果 *SensitiveData，*则 Object/Financial, SensitiveData:S3Object/Personal Macie 会返回仅包含财务信息的 S3 对象和仅包含个人信息的 S3 对象的敏感数据查找结果。换句话说，Macie 排除了所有策略调查发现。对于包含其他类型的敏感数据或多种类型的敏感数据的对象，Macie 还会排除所有敏感数据发现。使用 *eqExactMatch* 运算符的条件除外。对于这个运算符，Macie 使用 AND 逻辑连接值并评测筛选条件。这意味着，只有当查找结果包含该字段的*所有*值并且*仅*包含该字段的那些值时，它才符合标准。要详细了解此运算符，请参阅 [在条件中使用运算符](#findings-filter-basics-operators)。如何为一个字段指定多个值取决于您是使用 Amazon Macie API 还是 Amazon Macie 控制台。使用 API，您可以使用列出值的数组。在控制台上，您通常会从列表中选择值。但是，对于某些字段，您必须为每个值添加不同的条件。例如，要包括 Macie 使用某些自定义数据标识符检测到的数据的调查发现，请执行以下操作： 1. 将光标置于**筛选标准**框中，然后选择**自定义数据标识符名称**字段。输入自定义数据标识符的名称，然后选择**应用**。 1. 对要为筛选条件指定的每个其他自定义数据标识符重复上述步骤。有关需要执行此操作的字段列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。 ## 在条件中使用运算符您可以在各个条件中使用以下类型的运算符。 **等于号 (eq)** 匹配 (=) 为该字段指定的任何值。可以对以下类型的值使用*等号*运算符：文本数组（字符串）、布尔值、日期/时间、数字和文本（字符串）。对于许多字段，您可以使用此运算符为该字段指定多达 50 个值。如果这样做，Amazon Macie 将使用 OR 逻辑连接这些值。这意味着，如果某项查找结果具有为该字段指定的*任何*值，则该结果与该条件相匹配。例如： + 要包含报告财务信息、个人信息或财务和个人信息出现情况的结果，请添加使用**敏感数据类别**字段和此操作符的条件，并将*财务信息*和*个人信息*指定为该字段的值。 + 要包括报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定 *CREDIT\$1CARD\$1NUMBER* 和 *ADDRESS* 作为该字段的值。如果您使用 Amazon Macie API 定义使用此运算符和值的条件，请将该 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653` **等于完全匹配 (eqExactMatch)** 只匹配为该字段指定的所有值。您可以将*等于完全匹配*运算符与一组选定的字段一起使用。如果您使用此运算符并为一个字段指定多个值，Macie 会使用 AND 逻辑来连接这些值。这意味着，只有当查找结果包含为该字段指定的*所有*值并且*仅*包含该字段的那些值时，它才符合条件。您最多可以指定 50 个值。例如： + 要包括报告信用卡号出现次数而不报告其他类型敏感数据的结果，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的唯一值。 + 要包含报告出现信用卡号和邮寄地址(不包含其他类型的敏感数据)的结果，请为**敏感数据检测类型**字段添加一个条件，使用此操作符，并指定 *CREDIT\$1CARD\$1NUMBER* 和 *ADDRESS* 作为该字段的值。由于 Macie 使用 AND 逻辑来连接字段的值，因此对于同一字段，您不能将此运算符与任何其他运算符组合使用。换句话说，如果您在一个条件中对字段使用*等于完全匹配*运算符，则必须在使用相同字段的所有其他条件中使用该运算符。与其他运算符一样，可以在筛选条件中的多个条件使用*等于完全匹配*运算符。如果这样做，Macie 会使用 AND 逻辑来加入条件并评测筛选条件。这意味着查找结果只有在具有筛选条件中*所有*条件指定的*所有*值时才符合筛选条件。例如，要包括在一定时间后创建的调查发现，报告信用卡号的出现次数，并且不报告任何其他类型的敏感数据，请执行以下操作： 1. 添加一个条件，该条件使用**创建时间**字段，使用*大于*运算符，并指定筛选条件的开始日期和时间。 1. 添加另一个条件，该条件使用**敏感数据检测类型**字段，使用*等于完全匹配*运算符，并指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的唯一值。您可以对以下字段使用*等于完全匹配*运算符: + 自定义数据标识符 ID (`customDataIdentifiers.detections.arn`) + 自定义数据标识符名称 (`customDataIdentifiers.detections.name`) + S3 存储桶标签键 (`resourcesAffected.s3Bucket.tags.key`) + S3 存储桶标签值 (`resourcesAffected.s3Bucket.tags.value`) + S3 对象标签键 (`resourcesAffected.s3Object.tags.key`) + S3 对象标签值 (`resourcesAffected.s3Object.tags.value`) + 敏感数据检测类型 (`sensitiveData.detections.type`) + 敏感数据类别 (`sensitiveData.category`) 在前面的列表中，括号中的名称使用点符号来表示搜索结果和 Amazon Macie API 的 JSON 表示形式中的字段名称。 **大于 (gt)** 大于 (>) 为该字段指定的值。您可以将*大于*运算符与数字和日期/时间值一起使用。例如，要仅包括那些在 S3 对象中报告敏感数据出现次数超过 90 次的结果，请添加一个使用**敏感数据总计数**字段和此运算符的条件，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**从**框中输入 **91**，不要在**到**框中输入值，然后选择**应用**。控制台上包含数字和基于时间的比较。如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653` **大于或等于 (gte)** 大于或等于 (>=) 为该字段指定的值。可以将*大于或等于运算符与*数字和 date/time 值一起使用。例如，要仅包含那些报告 S3 对象中敏感数据出现 90 次或以上的结果，可以添加一个条件，使用**敏感数据总计数**字段和此操作符，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**从**框中输入 **90**，不要在**到**框中输入值，然后选择**应用**。如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653` **小于 (lt)** 小于 (<) 为该字段指定的值。您可以将*小于*运算符与数字和日期/时间值一起使用。例如，要只包含那些报告 S3 对象中敏感数据出现次数少于 90 次的结果，可以添加一个条件，使用**敏感数据总计数**字段和此操作符，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**到**框中输入 **89**，不要在**从**框中输入值，然后选择**应用**。控制台上包含数字和基于时间的比较。如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653` **小于或等于 (lte)** 小于或等于 (<=) 为该字段指定的值。您可以将*小于或等于运算符与*数字和 date/time 值一起使用。例如，要仅包括那些在 S3 对象中报告敏感数据出现次数少于或等于 90 次的结果，请添加一个使用**敏感数据总计数**字段和此运算符的条件，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**到**框中输入 **90**，不要在**从**框中输入值，然后选择**应用**。如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653` **不等于 (neq)** 不匹配 (≠) 为该字段指定的任何值。可以对以下类型的值使用*不等于*运算符：文本数组（字符串）、布尔值、日期/时间、数字和文本（字符串）。对于许多字段，您可以使用此运算符为该字段指定多达 50 个值。如果这样做，Macie 将使用 OR 逻辑连接这些值。这意味着，如果某项查找结果没有该字段的*任何*值，则该结果与该条件相匹配。例如： + 要排除报告财务信息、个人信息或财务和个人信息出现情况的调查发现，请添加一个使用**敏感数据类别**字段和此运算符的条件，并将*财务信息和*个人信息**指定为该字段的值。 + 要排除报告出现信用卡号的结果，请为**敏感数据检测类型**字段添加一个条件，使用此运算符，并指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的值。 + 要排除报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定*CREDIT\$1CARD\$1NUMBER*和*ADDRESS*作为该字段的值。如果您使用 Amazon Macie API 定义使用此运算符和值的条件，请将该 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`