本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立篩選條件並將其套用至 Macie 調查結果
若要識別並專注於具有特定特性的問題清單,您可以在 Amazon Macie 主控台和使用 Amazon Macie API 以程式設計方式提交的查詢中篩選問題清單。建立篩選條件時,您可以使用問題清單的特定屬性來定義從檢視或查詢結果中包含或排除問題清單的條件。*問題清單屬性*是存放問題清單特定資料的欄位,例如問題清單適用的嚴重性、類型或資源名稱。
在 Macie 中,篩選條件包含一或多個條件。每個條件也稱為*條件*,由三個部分組成:
+ 屬性型欄位,例如**嚴重性**或**調查結果類型**。
+ 運算子,例如*等於*或不*等於*。
+ 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。
如何定義和套用篩選條件取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API。
**Topics**
+ [使用主控台篩選問題清單](#findings-filter-procedure-console)
+ [以程式設計方式篩選問題清單](#findings-filter-procedure-api)
## 使用 Amazon Macie 主控台篩選問題清單
如果您使用 Amazon Macie 主控台篩選問題清單,Macie 會提供選項,協助您選擇個別條件的欄位、運算子和值。您可以使用**問題清單頁面上的**篩選條件設定來存取這些選項,如下圖所示。
![\[問題清單頁面上的篩選條件設定、問題清單狀態選單和篩選條件條件方塊。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-filter-bar-empty.png)
透過使用**問題清單狀態**選單,您可以指定是否包含由禁止[規則](findings-suppression.md)隱藏 (自動封存) 的問題清單。透過使用**篩選條件**方塊,您可以輸入篩選條件。
當您將游標放在**篩選條件**方塊中時,Macie 會顯示可在篩選條件中使用的欄位清單。這些欄位會依邏輯類別組織。例如,**通用欄位**類別包含適用於任何類型的調查結果的欄位,而**分類欄位**類別包含僅適用於敏感資料調查結果的欄位。這些欄位會在每個類別內依字母順序排序。
若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位的名稱以縮小欄位清單範圍。
根據您選擇的欄位,Macie 會顯示不同的選項。這些選項反映您選擇的欄位類型和性質。例如,如果您選擇**嚴重性**欄位,Macie 會顯示可供選擇的值清單:**低**、**中**和**高**。如果您選擇 **S3 儲存貯體名稱**欄位,Macie 會顯示文字方塊,您可以在其中輸入儲存貯體名稱。無論您選擇哪個欄位,Macie 都會引導您完成新增條件的步驟,其中包含欄位的必要設定。
新增條件後,Macie 會套用條件的條件,並將條件新增至篩選條件條件方塊中的**篩選條件**字符,如下圖所示。
![\[篩選條件方塊,其中包含指定嚴重性欄位值的條件字符。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-filter-bar-severity.png)
在此範例中,條件設定為包含所有中嚴重性和高嚴重性調查結果,並排除所有低嚴重性調查結果。它會傳回**嚴重性**欄位值*等於***中**或**高**的問題清單。
**提示**
對於許多欄位,您可以在條件的篩選條件字符中選擇等於圖示 (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-operator-equals.png)),將條件的運算子從*等於*變更為*不*等於。如果您這樣做,Macie 會將運算子變更為*不等於*,並在字符中顯示不等於圖示 (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-operator-not-equals.png))。若要再次切換到*等於*運算子,請選擇不等於圖示。
當您新增更多條件時,Macie 會套用其條件,並將其新增至**篩選條件**方塊中的字符。您可以隨時參考方塊,以判斷您已套用哪些條件。若要移除條件,請在條件的字符中選擇移除條件圖示 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-filter-remove.png))。
**使用主控台篩選問題清單**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. (選用) 若要先依預先定義的邏輯群組篩選和檢閱問題清單,請在導覽窗格中選擇**依儲存貯**體、**依類型**或**依任務** (**在問題清單**下)。然後在資料表中選擇項目。在詳細資訊面板中,選擇要樞紐分析的欄位連結。
1. (選用) 若要顯示隱藏[規則](findings-suppression.md)所隱藏的問題清單,請變更**篩選狀態**設定。選擇**封存**以僅顯示隱藏的問題清單,或選擇**全部**以顯示隱藏和未隱藏的問題清單。若要隱藏隱藏的問題清單,請選擇**目前**。
1. 若要新增篩選條件:
1. 將游標放在**篩選條件**方塊中,然後選擇要用於條件的欄位。如需您可以使用之欄位的相關資訊,請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)。
1. 為 欄位輸入適當的值類型。如需不同類型值的詳細資訊,請參閱 [指定欄位的值](findings-filter-basics.md#findings-filter-basics-value-types)。
**文字陣列 (字串)**
對於這種類型的值,Macie 通常會提供可供選擇的值清單。如果是這種情況,請選取您要在 條件中使用的每個值。
如果 Macie 未提供值清單,請為 欄位輸入完整且有效的值。若要指定 欄位的其他值,請選擇**套用**,然後為每個額外的值新增另一個條件。
請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單,請輸入 **my-S3-bucket**作為 **S3 儲存貯體名稱**欄位的值。 *my-S3-bucket* 如果您輸入任何其他值,例如 **my-s3-bucket**或 **my-S3**,Macie 不會傳回儲存貯體的問題清單。
**:布林值**
對於此類型的值,Macie 會提供可供選擇的值清單。選取您要在 條件中使用的值。
**日期/時間 (時間範圍)**
對於此類型的值,請使用**起始**和**結束**方塊來定義包含的時間範圍:
+ 若要定義固定的時間範圍,請使用**開始**和**結束**方塊,分別指定範圍內的第一個日期和時間,以及最後一個日期和時間。
+ 若要定義從特定日期和時間開始,並在目前時間結束的相對時間範圍,請在**起始**方塊中輸入開始日期和時間,然後在**結束**方塊中刪除任何文字。
+ 若要定義結束於特定日期和時間的相對時間範圍,請在**結束**方塊中輸入結束日期和時間,然後在**開始**方塊中刪除任何文字。
請注意,時間值使用 24 小時表示法。如果您使用日期選擇器來選擇日期,則可以直接在**從**和**到**方塊中輸入文字來精簡值。
**數字 (數值範圍)**
對於此類型的值,請使用**從**和**到**方塊輸入一或多個整數,以定義包含、固定或相對數值範圍。
**文字 (字串) 值**
針對此類型的值,輸入 欄位的完整有效值。
請注意,值區分大小寫。此外,您無法在值中使用部分值或萬用字元。例如,若要篩選名為 my-S3-bucket 之 S3 儲存貯體的問題清單,請輸入 **my-S3-bucket**作為 **S3 儲存貯體名稱**欄位的值。 *my-S3-bucket* 如果您輸入任何其他值,例如 **my-s3-bucket**或 **my-S3**,Macie 不會傳回儲存貯體的問題清單。
1. 當您完成欄位的新增值時,請選擇**套用**。Macie 會套用篩選條件,並將條件新增至篩選條件方塊中的**篩選條件**字符。
1. 針對您要新增的每個額外條件重複步驟 5。
1. 若要移除條件,請在條件的篩選條件字符中選擇移除條件圖示 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-filter-remove.png))。
1. 若要變更條件,請在條件的篩選條件字符中選擇移除條件圖示 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-filter-remove.png)) 來移除條件。然後重複步驟 5 以使用正確的設定新增條件。
**提示**
如果您想要後續再次使用此條件集,您可以將此集儲存為篩選條件規則。若要這樣做,請在**篩選條件**方塊中選擇**儲存規則**。然後輸入名稱,並選擇性輸入規則的描述。完成後,請選擇**儲存**。
## 使用 Amazon Macie API 以程式設計方式篩選問題清單
若要以程式設計方式篩選問題清單,請在您使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 或 Amazon Macie API 的 [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html) 操作提交的查詢中指定篩選條件。**ListFindings** 操作會傳回問題清單 IDs陣列,每個符合篩選條件的問題清單各一個 ID。**GetFindingStatistics** 操作會傳回與篩選條件相符之所有調查結果的彙總統計資料,依您在請求中指定的欄位分組。
請注意, **ListFindings**和 **GetFindingStatistics**操作與您用來[隱藏問題清單](findings-suppression.md)的操作不同。與同時指定篩選條件的抑制操作不同, **ListFindings**和 **GetFindingStatistics**操作只會查詢問題清單資料。它們不會對符合篩選條件的問題清單執行任何動作。若要隱藏問題清單,請使用 Amazon Macie API 的 [CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html) 操作。
若要在查詢中指定篩選條件,請在請求中包含篩選條件的映射。針對每個條件,指定 欄位、 運算子,以及 欄位的一或多個值。值的類型和數量取決於您選擇的欄位和運算子。如需您可以在條件中使用的欄位、運算子和值類型的相關資訊,請參閱 [用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)、 [在 條件中使用運算子](findings-filter-basics.md#findings-filter-basics-operators)和 [指定欄位的值](findings-filter-basics.md#findings-filter-basics-value-types)。
下列範例示範如何在使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 提交的查詢中指定篩選條件。您也可以使用目前版本的另一個 AWS 命令列工具或 AWS SDK,或將 HTTPS 請求直接傳送至 Macie,來執行此操作。如需 AWS 工具和 SDKs 的相關資訊,請參閱[要建置的工具 AWS](https://aws.amazon.com/developer/tools/)。
**Topics**
+ [根據嚴重性篩選問題清單](#findings-filter-procedure-api-ex1)
+ [根據敏感資料類別篩選問題清單](#findings-filter-procedure-api-ex2)
+ [根據固定時間範圍篩選問題清單](#findings-filter-procedure-api-ex3)
+ [根據抑制狀態篩選問題清單](#findings-filter-procedure-api-ex4)
+ [根據多個欄位和值類型篩選問題清單](#findings-filter-procedure-api-ex5)
這些範例使用 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。如果範例成功執行,Macie 會傳回`findingIds`陣列。陣列會列出每個符合篩選條件之調查結果的唯一識別符,如下列範例所示。
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
如果沒有符合篩選條件的問題清單,Macie 會傳回空`findingIds`陣列。
```
{
"findingIds": []
}
```
### 範例 1:根據嚴重性篩選問題清單
此範例會擷取目前 中所有高嚴重性和中嚴重性調查結果的調查結果 IDs AWS 區域。
針對 Linux、macOS 或 Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'
```
對於 Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}
```
其中:
+ *severity.description* 指定**嚴重性**欄位的 JSON 名稱。
+ *microSDHC* 指定*等於*運算子。
+ *High* 和 *Medium* 是**嚴重性**欄位的列舉值陣列。
### 範例 2:根據敏感資料類別篩選問題清單
此範例會擷取目前區域中所有敏感資料調查結果的調查結果 IDs,並報告 S3 物件中發生的財務資訊 (且沒有其他類別的敏感資料)。
對於 Linux、macOS 或 Unix,請使用反斜線 (\$1) 換行字元來改善可讀性:
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'
```
對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性:
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}
```
其中:
+ *classificationDetails.result.sensitiveData.category* 會指定**敏感資料類別**欄位的 JSON 名稱。
+ *eqExactMatch* 會指定*等於完全相符*運算子。
+ *FINANCIAL\$1INFORMATION* 是**敏感資料類別**欄位的列舉值。
### 範例 3:根據固定時間範圍篩選問題清單
此範例會擷取目前區域中所有調查結果的調查結果 IDs,並在 2020 年 10 月 5 日 UTC 07:00 和 2020 年 11 月 5 日 UTC 07:00 (包含 ) 之間建立。
針對 Linux、macOS 或 Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'
```
對於 Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}
```
其中:
+ *createdAt* 指定**在 欄位建立**的 JSON 名稱。
+ *gte* 指定*大於或等於*運算子的 。
+ *1601881200000* 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。
+ *lte* 指定*小於或等於*運算子的 。
+ *1604559600000* 是時間範圍中的最後一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。
### 範例 4:根據禁止狀態篩選問題清單
此範例會擷取目前區域中所有問題清單的問題清單 IDs,並由禁止規則隱藏 (自動封存)。
針對 Linux、macOS 或 Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'
```
對於 Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}
```
其中:
+ *封存*會指定**封存**欄位的 JSON 名稱。
+ *常式*指定*等於*運算子。
+ *true* 是**封存**欄位的布林值。
### 範例 5:根據多個欄位和值類型篩選問題清單
此範例會擷取目前 區域中所有敏感資料調查結果的調查結果 IDs,並符合下列條件: 是在 2020 年 10 月 5 日 UTC 07:00 和 2020 年 11 月 5 日 UTC 07:00 (僅限) 之間建立的;報告 S3 物件中財務資料的出現和沒有其他類別的敏感資料;且不受禁止規則抑制 (自動封存)。
對於 Linux、macOS 或 Unix,請使用反斜線 (\$1) 換行字元來改善可讀性:
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'
```
對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性:
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}
```
其中:
+ *createdAt* 指定**在 欄位建立**的 JSON 名稱,以及:
+ *gt* 指定*大於或等於*運算子。
+ *1601881200000* 是時間範圍中的第一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。
+ *lt* 指定*小於或等於*運算子的 。
+ *1604559600000* 是時間範圍中的最後一個日期和時間 (以毫秒為單位的 Unix 時間戳記)。
+ *classificationDetails.result.sensitiveData.category* 指定**敏感資料類別**欄位的 JSON 名稱,以及:
+ *eqExactMatch* 會指定*等於完全相符*運算子。
+ *FINANCIAL\$1INFORMATION* 是 欄位的列舉值。
+ *封存*會指定**封存**欄位的 JSON 名稱,以及:
+ *microSDHC* 指定*等於*運算子。
+ *false* 是 欄位的布林值。