本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 抑制 Macie 调查发现
为了简化对调查发现的分析,您可以创建和使用抑制规则。*抑制规则*是一组基于属性的筛选标准,用于定义您希望 Amazon Macie 自动存档调查发现的情况。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。
例如,您可以决定允许 S3 存储桶包含邮寄地址,前提是这些存储桶不允许公开访问,并且它们会自动使用特定的 AWS KMS key加密新对象。在这种情况下,您可以创建一个抑制规则,为以下字段指定筛选标准:**敏感数据检测类型**、**S3 存储桶公共访问权限**和** S3 存储桶加密 KMS 密钥 ID**。该规则会抑制未来符合筛选标准的调查发现。
如果您使用抑制规则抑制调查发现,Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为*已存档*。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。Macie 会将调查发现存储 90 天。
此外,Macie 不会将隐蔽的调查结果 EventBridge 作为事件发布给亚马逊,也不会发布给 Amazon。 AWS Security Hub CSPM但是,Macie 会继续创建和存储与您抑制的敏感数据调查发现相关的[敏感数据发现结果](discovery-results-repository-s3.md)。这有助于确保您拥有敏感数据调查发现的不可变历史记录,用于您执行的数据隐私和保护审计或调查。
**注意**
如果您的账户属于集中管理多个 Macie 账户的组织,则抑制规则对您的账户的使用方式可能会有所不同。这取决于您想要抑制的调查发现的类别,以及您拥有的是 Macie 管理员账户还是成员账户:
**策略调查发现** - 只有 Macie 管理员才能抑制组织账户的政策调查发现。
如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您拥有成员账户,并且想要抑制账户的策略调查发现,请联系您的 Macie 管理员。
**敏感数据调查发现** – Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。
只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。
有关管理员和成员可以执行的任务的更多信息,请参阅[Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。
**Topics**
+ [创建抑制规则](findings-suppression-rule-create.md)
+ [查看抑制的调查发现](findings-suppression-view-findings.md)
+ [更改抑制规则](findings-suppression-rule-change.md)
+ [删除抑制规则](findings-suppression-rule-delete.md)
# 为 Macie 调查发现创建一条抑制规则
*抑制规则*是一组基于属性的筛选标准,用于定义您希望 Amazon Macie 自动存档调查发现的情况。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。创建抑制规则时,需要指定筛选标准、名称以及该规则的描述(可选)。然后,Macie 使用该规则的标准来确定自动存档哪些调查发现。使用抑制规则可以简化对调查发现的分析。
如果您使用抑制规则抑制调查发现,Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为*已存档*。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。(Macie 会将调查发现存储 90 天。) 这也意味着,Macie不会将调查结果 EventBridge 作为事件发布给亚马逊,也不会将结果发布给 AWS Security Hub CSPM亚马逊。
请注意,如果您的账户属于集中管理多个 Macie 账户的组织,则抑制规则可能会对您的账户产生不同的影响。这取决于您想要抑制的调查发现的类别,以及您拥有的是 Macie 管理员账户还是成员账户:
+ **策略调查发现** - 只有 Macie 管理员才能抑制组织账户的政策调查发现。
如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您拥有成员账户,并且想要抑制账户的策略调查发现,请联系您的 Macie 管理员一起抑制调查发现。
+ **敏感数据调查发现** – Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。
只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。
有关管理员和成员可以执行的任务的更多信息,请参阅[Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。
另请注意,抑制规则与筛选规则不同。*筛选规则* 是您创建并保存的一组筛选条件,用于在 Amazon Macie 控制台上查看调查发现时再次使用。尽管这两种类型的规则都存储和应用筛选条件,但筛选规则不会对符合规则标准的调查发现执行任何操作。相反,筛选规则只会决定应用规则后再控制台上显示的调查发现。有关更多信息,请参阅 [定义筛选规则](findings-filter-rule-procedures.md)。根据您的分析目标,您可能会决定最好创建筛选规则而不是抑制规则。
**要创建调查发现的抑制规则**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建抑制规则。在创建抑制规则之前,请务必注意,您无法恢复(取消存档)使用抑制规则抑制的调查发现。但是,您可以使用 Macie [查看被抑制的调查发现](findings-suppression-view-findings.md)。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台创建抑制规则。
**要创建抑制规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
**提示**
要使用现有的抑制或筛选规则作为起点,请从**已保存的规则**列表中选择该规则。
您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做,Macie 会自动创建并应用适当的筛选条件,这可能是创建规则的有用起点。据此,请在导航窗格选择**按存储桶**、**按类型**或 **按作业**(**调查发现**下)。然后在表格中选择一个项目。在详细信息面板中,为字段选择要转置的链接。
1. 在**筛选标准**框中,添加筛选条件,以指定您希望规则抑制的调查发现的属性。
![\[调查发现页面的筛选标准框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png)
要了解如何添加筛选条件,请参阅 [创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
1. 在添加完规则的筛选条件后,请选择**抑制调查发现**。
1. 在**抑制规则**下,输入规则的名称和描述(可选)。
1. 选择**保存**。
------
#### [ API ]
要以编程方式创建禁止规则,请使用 Amazon Macie API 的[CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作并为所需参数指定相应的值:
+ 对于 `action` 参数,请指定 `ARCHIVE` 以确保 Macie 抑制符合规则标准的调查发现。
+ 对于 `criterion` 参数,请指定定义规则筛选条件的条件映射。
在映射中,每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)、[在条件中使用运算符](findings-filter-basics.md#findings-filter-basics-operators) 和 [为字段指定值](findings-filter-basics.md#findings-filter-basics-value-types)。
要使用 AWS Command Line Interface (AWS CLI) 创建抑制规则,请运行[create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html)命令并为所需参数指定适当的值。以下示例创建了一个抑制规则,该规则返回当前发现的所有敏感数据, AWS 区域 并报告 S3 对象中出现的邮件地址(没有其他类型的敏感数据)。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}
```
其中:
+ *my\$1suppression\$1rule*是规则的自定义名称。
+ `criterion` 是该规则的筛选条件映射:
+ *classificationDetails.result.sensitiveData.detections.type*是**敏感数据检测类型**字段的 JSON 名称。
+ *eqExactMatch*指定*等于精确匹配*运算符。
+ *ADDRESS*是 “**敏感数据检测类型**” 字段的枚举值。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
```
其中 `arn` 是已创建的抑制规则的 Amazon 资源名称(ARN),`id` 也是该规则的唯一标识符。
有关筛选标准的其他示例,请参阅 [使用 Amazon Macie API 以编程方式筛选调查发现](findings-filter-procedure.md#findings-filter-procedure-api)。
------
# 查看 Macie 中抑制的调查发现
如果您使用抑制规则抑制调查发现,Amazon Macie 会继续针对后续出现的敏感数据以及符合该规则标准的潜在策略违规行为生成调查发现。但是,Macie 会自动将调查发现的状态更改为*已存档*。这意味着默认情况下,调查发现不会出现在 Amazon Macie 主机上,但它们会一直存在于 Macie 中,直到过期。(Macie 会将调查发现存储 90 天。) 这也意味着,Macie不会将调查结果 EventBridge 作为事件发布给亚马逊,也不会将结果发布给 AWS Security Hub CSPM亚马逊。
由于抑制的调查发现在 Macie 中最多可保留 90 天,因此您可以在过期前访问和查看这些调查发现。除了扩大调查发现的分析范围,这还能帮助您确定是否要调整抑制标准。要调整标准,[请更改账户的抑制规则](findings-suppression-rule-change.md)。
您可以通过更改筛选设置,在 Amazon Macie 控制台上查看抑制的调查发现。
**在控制台上查看抑制的调查发现**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。**调查结果**页面显示 Macie 在过去 90 天内为您的账户创建或更新的调查结果。 AWS 区域 默认情况下,这不包括被抑制规则隐藏的调查发现。
1. 要按预定义的逻辑组透视和查看调查发现,请在导航窗格(在**调查发现**下)中选择**按存储桶**、**按类型**或**按作业**。
1. 对于**调查发现状态**,请执行下面的一项操作:
+ 要仅显示抑制的调查发现,请选择**已存档**。
+ 要同时显示抑制和未抑制的调查发现,请选择**全部**。
+ 要再次隐藏抑制的调查发现,请选择**当前**。
您也可以使用 Amazon Macie API 访问抑制的调查发现。要检索隐藏的查找结果列表,请使用[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)操作。在您的请求中,包含一个指定 `archived` 字段 `true` 的筛选条件。有关如何使用 AWS Command Line Interface (AWS CLI) 执行此操作的示例,请参阅 [以编程方式筛选调查发现](findings-filter-procedure.md#findings-filter-procedure-api)。然后,要检索一个或多个隐藏的查找结果的详细信息,请使用[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)操作。在请求中,指定要检索的每个调查发现的唯一标识符。
**注意**
在查看调查发现时,请注意抑制规则对于作为组织一部分的账户可能会有不同的作用。这取决于调查发现的类别,以及您是否拥有 Macie 管理员或成员账户:
**策略调查发现** - 只有 Macie 管理员才能抑制组织账户的政策调查发现。
如果您拥有 Macie 管理员账户并创建了抑制规则,则除非您将该规则配置为排除特定账户,否则 Macie 会将该规则应用于组织中所有账户的策略调查发现。如果您拥有成员账户,并且想要抑制账户的策略调查发现,请联系您的 Macie 管理员一起抑制调查发现。
**敏感数据调查发现** – Macie 管理员和个人成员可以抑制其敏感数据发现作业产生的敏感数据调查发现。Macie 管理员还可以抑制 Macie 在为组织执行自动敏感数据发现时生成的调查发现。
只有创建敏感数据发现作业的账户才能抑制或以其他方式访问该作业产生的敏感数据调查发现。只有组织的 Macie 管理员账户才能抑制或以其他方式访问自动敏感数据发现为组织中的账户生成的调查发现。
有关管理员和成员可以执行的任务的更多信息,请参阅[Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。
# 为 Macie 调查发现更改一条抑制规则
创建抑制规则后,您可以更改该规则的设置。*抑制规则*是一组基于属性的筛选标准,用于定义您希望 Amazon Macie 自动存档调查发现的情况。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。每条规则都包含一组筛选条件、一个名称和描述(可选)。
如果您更改了抑制规则的标准,则以前被该规则抑制的调查发现将继续被抑制。调查结果仍处于*存档*状态,Macie不会将其发布到Amazon EventBridge 或 AWS Security Hub CSPM. Macie 仅对新的敏感数据调查发现、新的策略调查发现和现有策略调查发现后续情况适用新标准。
除了更改规则的标准或其他设置外,您还可以为规则分配标签。*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅[为 Macie 资源添加标签](tagging-resources.md)。
**要更改调查发现的抑制规则**
要为抑制规则分配标签或更改设置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台分配标签或更改抑制规则设置。
**要创建抑制规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
1. 在**已保存的规则**列表中,选择要更改或分配标签的抑制规则旁边的编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。
1. 执行以下任一操作:
+ 若要更改规则标准,请使用**筛选标准**框。在方框中,输入条件,以指定您希望规则抑制的调查发现的属性。要了解如何操作,请参阅[创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
+ 要更改规则的名称,请在**抑制规则**下的**名称**框中输入新名称。
+ 要更改规则的描述,请在**抑制规则**下的**描述**框中输入新的描述。
+ 若要为规则分配标签,请在**抑制规则**下选择**管理标签**。然后根据需要添加、查看并更改标签。一个规则可具有最多 50 个标签。
1. 完成更改后,选择 **Save (保存)**。
------
#### [ API ]
要以编程方式更改禁止规则,请使用 Amazon Macie API 的[UpdateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。提交请求时,请使用支持的参数为要更改的每个设置指定一个新值。
对于 `id` 参数,请为待更改规则指定唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的禁止和筛选规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。
要使用更改抑制规则 AWS CLI,请运行[update-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-findings-filter.html)命令并使用支持的参数为要更改的每个设置指定新值。例如,以下命令会更改现有抑制规则的名称。
```
C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only
```
其中:
+ *8a3c5608-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *mailing\$1addresses\$1only*是该规则的新名称。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
```
其中 `arn` 是已更改规则的 Amazon 资源名称(ARN),`id` 是该规则的唯一标识符。
同样,以下示例通过将 `action` 参数的值从 `NOOP` 更改为 `ARCHIVE`,将[筛选规则](findings-filter-rule-procedures.md)转换为抑制规则。
```
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE
```
其中:
+ *8a1c3508-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *ARCHIVE*是 Macie 对符合规则标准的发现执行的新操作——抑制调查结果。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
```
其中 `arn` 是已更改规则的 Amazon 资源名称(ARN),`id` 是该规则的唯一标识符。
------
# 为 Macie 调查发现删除一条抑制规则
您可以随时删除抑制规则。如果您删除抑制规则,Amazon Macie 将停止抑制符合该规则标准且未被其他规则抑制的新调查发现和后续出现的调查发现。但请注意,Macie 可能会继续抑制其目前正在处理且符合规则标准的调查发现。
删除抑制规则后,符合该规则标准的新出现和后续出现的调查发现的状态为*当前*(未*存档*)。这意味着它们默认显示在 Amazon Macie 控制台上。此外,Macie还会将它们 EventBridge 作为活动发布到亚马逊。根据您账户的[发布设置](findings-publish-frequency.md),Macie 还会将调查发现发布到 AWS Security Hub CSPM。
**若要删除调查发现的抑制规则**
您可以使用 Amazon Macie 主机或 Amazon Macie API 删除抑制规则。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台删除抑制规则。
**若要删除抑制规则**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
1. 在**已保存的规则**列表中,选择要删除的抑制规则旁边的编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。
1. 在**抑制规则**下,选择**删除**。
------
#### [ API ]
要以编程方式删除禁止规则,请使用 Amazon Macie API 的[DeleteFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。为 `id` 参数指定要删除的抑制规则的唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的禁止和筛选规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。
要使用删除抑制规则 AWS CLI,请运行[delete-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-findings-filter.html)命令。例如:
```
C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example
```
要删除*8a3c5608-aa2f-4940-b347-d1451example*的抑制规则的唯一标识符在哪里。
如果命令运行成功,Macie 将返回一个空 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4*xx* 或 500 响应,说明操作失败的原因。
------