本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 定义 Macie 调查发现的筛选规则
为了对调查发现进行一致的分析,您可以创建并应用筛选规则。*筛选规则* 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。例如,您可以创建一条筛选规则,用于分析所有报告特定类型敏感数据的高严重性敏感数据调查发现。您可以创建另一条筛选规则,用于分析存储未加密对象的 Amazon Simple Storage Service (Amazon S3) 存储桶的所有高严重性策略调查发现。
创建筛选条件时,您可使用指定的调查发现属性,定义在视图中包含或排除调查发现的标准。*调查发现属性*是一个存储调查发现的特定数据的字段,例如严重性、类型或调查发现所适用的 S3 存储桶的名称。您还可以指定规则的名称和描述(可选)。要分析符合规则标准的调查发现,请选择规则。Macie 应用规则标准,只显示符合标准的调查发现。Macie 还会显示条件,帮助您确定它的应用条件。
请注意,筛选规则与隐藏规则不同。*抑制规则*是您创建并保存的一组筛选条件,用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则标准的调查发现执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息,请参阅[抑制调查发现](findings-suppression.md)。
**Topics**
+ [创建筛选规则](findings-filter-rule-create.md)
+ [应用筛选规则](findings-filter-rule-apply.md)
+ [更改筛选规则](findings-filter-rule-change.md)
+ [删除筛选规则](findings-filter-rule-delete.md)
# 创建 Macie 调查发现的筛选规则
*筛选规则* 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。例如,您可以创建一条筛选规则,用于分析所有高严重性敏感数据调查发现,这些调查发现会报告特定 Amazon Simple Storage Service (Amazon S3) 存储桶中出现敏感数据的情况。然后,每次要识别和分析具有指定特征的调查发现时,都可以应用该筛选规则。
创建筛选规则时,需要指定筛选条件、名称以及规则描述(可选)。对于筛选条件,您可以使用调查发现的特定属性来指定是否从视图中包含或排除调查发现。*调查发现属性*是一个存储调查发现的特定数据的字段,例如严重性、类型或调查发现所适用的资源的名称。筛选条件包括一个或多个条件。每个条件,也称为*标准*,由三个部分组成:
+ 基于属性的字段,例如**严重性**或**调查发现类型**。
+ 一个运算符,例如*等于*或*不等于*。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。
创建并保存筛选规则后,您可以通过选择规则来应用其筛选条件。然后,Macie 使用这些条件来确定要显示哪些调查发现。Macie 还会显示条件,帮助您确定您的应用条件。
请注意,筛选规则与隐藏规则不同。*抑制规则*是您创建并保存的一组筛选条件,用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则标准的调查发现执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息,请参阅[抑制调查发现](findings-suppression.md)。
**要为调查发现创建筛选规则**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建筛选规则。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台创建筛选规则。
**若要创建筛选规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
**提示**
若要先使用现有筛选规则,请从**已保存规则**列表中选择此规则。
您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做,Macie 会自动创建并应用适当的筛选条件,这可能是创建规则的有用起点。据此,请在导航窗格选择**按存储桶**、**按类型**或 **按作业**(**调查发现**下)。然后在表格中选择一个项目。在详细信息面板中,为字段选择要转置的链接。
1. 在**筛选标准**框,添加定义规则筛选条件的条件。
![\[调查发现页面的筛选标准框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png)
要了解如何添加筛选条件,请参阅 [创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
1. 定义完规则筛选条件后,在**筛选标准**框内选择**保存规则**。
![\[调查发现页面的筛选标准框内的保存规则链接。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-save-rule.png)
1. 在 **筛选规则**下,输入规则的名称和描述(可选)。
1. 选择**保存**。
------
#### [ API ]
要以编程方式创建筛选规则,请使用 Amazon Macie API 的[CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作并为所需参数指定相应的值:
+ 对于 `action` 参数,指定 `NOOP` 以确保 Macie 不会隐藏(自动存档)符合规则标准的结果。
+ 对于 `criterion` 参数,请指定定义规则筛选条件的条件映射。
在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)、[在条件中使用运算符](findings-filter-basics.md#findings-filter-basics-operators) 和 [为字段指定值](findings-filter-basics.md#findings-filter-basics-value-types)。
要使用 AWS Command Line Interface (AWS CLI) 创建筛选规则,请运行[create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html)命令并为所需参数指定适当的值。以下示例创建了一个筛选规则,该规则可返回当前发现的所有敏感数据, AWS 区域 并报告 S3 对象中出现的个人信息(不包括其他类别的敏感数据)。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 create-findings-filter \
--action NOOP \
--name my_filter_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["PERSONAL_INFORMATION"]}}}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-findings-filter ^
--action NOOP ^
--name my_filter_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"PERSONAL_INFORMATION\"]}}}
```
其中:
+ *my\$1filter\$1rule*是规则的自定义名称。
+ `criterion` 是该规则的筛选条件映射:
+ *classificationDetails.result.sensitiveData.category*是 “**敏感数据类别**” 字段的 JSON 名称。
+ *eqExactMatch*指定*等于精确匹配*运算符。
+ *PERSONAL\$1INFORMATION*是 “**敏感数据类别**” 字段的枚举值。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```
`arn` 是所创建筛选规则的 Amazon 资源名称(ARN),`id`是此规则的唯一标识符。
有关筛选标准的其他示例,请参阅 [使用 Amazon Macie API 以编程方式筛选调查发现](findings-filter-procedure.md#findings-filter-procedure-api)。
------
# 对 Macie 的调查发现应用筛选规则
当您应用筛选规则时,Amazon Macie 会使用规则条件确定纳入工作台调查发现视图或从中移除的调查发现。Macie 还会显示条件,帮助您确定您的应用条件。
**提示**
尽管筛选规则专为与 Amazon Macie 控制台配合使用而设计,但您也可以使用规则的条件通过 Amazon Macie API 以编程方式查询调查发现数据。为此,请检索规则的筛选条件,然后将该条件添加到查询中。要检索标准,请使用[GetFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。然后,要确定符合条件的结果,请使用[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)操作并在查询中指定条件。有关在查询中指定筛选条件的信息,请参见 [创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
**要将筛选规则应用于调查发现**
按以下步骤,通过应用筛选规则在 Amazon Macie 控制台上筛选调查发现。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **发现结果**。
1. 在**已保存规则**列表中,选择要应用的规则。Macie 应用规则条件并在**筛选标准**框内显示此标准。
1. 若要细化条件,请使用**筛选标准**框添加或移除筛选条件。如果您这样操作,则您的更改不会影响规则设置。只有在您明确将更改另存为新规则时,Macie 才会保存这些更改。
1. 若要应用不同的筛选规则,请重复第 3 步。
应用筛选规则后,您可以从您的视图中快速移除所有筛选条件。为此,请在**筛选标准**框中选择 **X**。
# 更改 Macie 调查发现的筛选规则
创建筛选规则后,您可以细化其条件并更改规则的其他设置。*筛选规则* 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。每条规则都包含一组筛选条件、一个名称和描述(可选)。
除了更改规则的筛选条件或其他设置外,您还可以为规则分配标签。*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅[为 Macie 资源添加标签](tagging-resources.md)。
**要更改调查发现的筛选规则**
要为筛选规则分配标签或更改设置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台分配标签或更改筛选规则设置。
**要更改筛选规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
1. 在**已保存规则**列表中,在要更改或分配标签的筛选规则旁边选择编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。
1. 执行以下任一操作:
+ 若要更改规则筛选条件,请使用**筛选标准**框。在框中输入所需的标准条件。要了解如何操作,请参阅[创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
+ 若要更改规则的名称,请在**筛选规则**下的**名称**框内输入新名称。
+ 要更改规则的描述,请在**筛选规则**下的**描述**框内输入新的描述。
+ 若要为规则分配标签,请在**筛选规则**下选择**管理标签**。然后根据需要添加、查看并更改标签。一个规则可具有最多 50 个标签。
1. 完成更改后,选择 **Save (保存)**。
------
#### [ API ]
要以编程方式更改筛选规则,请使用 Amazon Macie API 的[UpdateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。提交请求时,请使用支持的参数为要更改的每个设置指定一个新值。
对于 `id` 参数,请为待更改规则指定唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。
要使用更改筛选规则 AWS CLI,请运行[update-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-findings-filter.html)命令并使用支持的参数为要更改的每个设置指定一个新值。例如,以下命令可更改现有筛选规则的名称。
```
C:\> aws macie2 update-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example --name personal_information_only
```
其中:
+ *9b2b4508-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *personal\$1information\$1only*是该规则的新名称。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```
其中 `arn` 是已更改规则的 Amazon 资源名称(ARN),`id` 是该规则的唯一标识符。
同样,以下示例通过将 `action` 参数值从 `ARCHIVE` 更改为 `NOOP`,以将[抑制规则](findings-suppression.md)转换为筛选规则。
```
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action NOOP
```
其中:
+ *8a1c3508-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *NOOP*是 Macie 对符合规则标准的发现执行的新操作——不执行任何操作(不要压制调查结果)。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
```
其中 `arn` 是已更改规则的 Amazon 资源名称(ARN),`id` 是该规则的唯一标识符。
------
# 删除 Macie 调查发现的筛选规则
如果您创建筛选规则,则可以随时将其删除。*筛选规则* 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。如果您删除筛选规则,您的更改不会影响符合该规则标准的调查发现。筛选规则只会决定应用规则后再控制台上显示的调查发现。
**要删除调查发现的筛选规则**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 删除筛选规则。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台删除筛选规则。
**要删除筛选规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
1. 在**已保存规则**列表中,在要删除的筛选规则旁边选择编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。
1. 在 **筛选规则**下,选择 **删除**。
------
#### [ API ]
要以编程方式删除筛选规则,请使用 Amazon Macie API 的[DeleteFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。对于 `id` 参数,请为待删除规则指定唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。
要使用删除筛选规则 AWS CLI,请运行[delete-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-findings-filter.html)命令。例如:
```
C:\> aws macie2 delete-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example
```
其中*9b2b4508-aa2f-4940-b347-d1451example*是要删除的筛选规则的唯一标识符。
如果命令运行成功,Macie 将返回一个空 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4*xx* 或 500 响应,说明操作失败的原因。
------