本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為 Macie 調查結果建立抑制規則 *禁止規則*是一組屬性型篩選條件,定義您希望 Amazon Macie 自動封存問題清單的案例。當您已檢閱某類問題清單且不想再次收到通知時,隱藏規則很有用。當您建立禁止規則時,您可以指定篩選條件、名稱,以及選擇性的規則描述。然後,Macie 會使用規則的條件來決定要自動封存的問題清單。透過使用抑制規則,您可以簡化問題清單的分析。 如果您使用禁止規則隱藏問題清單,Macie 會繼續為後續出現的敏感資料和符合規則條件的潛在政策違規產生問題清單。不過,Macie 會自動將調查結果的狀態變更為*已封存*。這表示根據預設,問題清單不會出現在 Amazon Macie 主控台上,但會保留在 Macie 中,直到問題清單過期為止。(Macie 會將問題清單存放 90 天。) 這也表示 Macie 不會將調查結果發佈至 Amazon EventBridge 做為事件或目標 AWS Security Hub CSPM。 請注意,如果您的帳戶屬於集中管理多個 Macie 帳戶的組織,則禁止規則的運作方式可能不同。這取決於您要隱藏的問題清單類別,以及您是否擁有 Macie 管理員或成員帳戶: + **政策調查結果** – 只有 Macie 管理員可以隱藏組織帳戶的政策調查結果。 如果您有 Macie 管理員帳戶並建立禁止規則,除非您設定規則來排除特定帳戶,否則 Macie 會將規則套用至組織中所有帳戶的政策調查結果。如果您有成員帳戶,而且想要隱藏帳戶的政策問題清單,請與您的 Macie 管理員合作來隱藏問題清單。 + **敏感資料調查結果** – Macie 管理員和個別成員可以抑制敏感資料探索任務產生的敏感資料調查結果。Macie 管理員也可以隱藏 Macie 在為組織執行自動敏感資料探索時產生的調查結果。 只有建立敏感資料探索任務的帳戶可以隱藏或以其他方式存取任務產生的敏感資料調查結果。只有組織的 Macie 管理員帳戶可以隱藏或以其他方式存取自動化敏感資料探索為組織中帳戶產生的調查結果。 如需管理員和成員可執行之任務的詳細資訊,請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。 另請注意,禁止規則與篩選條件規則不同。*篩選條件規則*是您建立並儲存的一組篩選條件,供您在 Amazon Macie 主控台上檢閱問題清單時再次使用。雖然這兩種類型的規則都會儲存並套用篩選條件,但篩選條件規則不會對符合規則條件的調查結果執行任何動作。反之,篩選條件規則只會決定在您套用規則之後,哪些問題清單會出現在主控台上。如需詳細資訊,請參閱[定義篩選條件規則](findings-filter-rule-procedures.md)。根據您的分析目標,您可以判斷最好建立篩選條件規則,而不是禁止規則。 **為問題清單建立抑制規則** 您可以使用 Amazon Macie 主控台或 Amazon Macie API 建立禁止規則。建立禁止規則之前,請務必注意,您無法使用禁止規則還原 (取消封存) 禁止的調查結果。不過,您可以使用 Macie [檢閱隱藏的問題清單](findings-suppression-view-findings.md)。 ------ #### [ Console ] 請依照下列步驟,使用 Amazon Macie 主控台建立禁止規則。 **建立隱藏規則** 1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。 1. 在導覽窗格中,選擇**調查結果**。 **提示** 若要使用現有的禁止或篩選條件規則做為起點,請從**已儲存規則**清單中選擇規則。 您也可以先依預先定義的邏輯群組對問題清單進行樞紐分析和向下切入,以簡化規則的建立。如果您這樣做,Macie 會自動建立並套用適當的篩選條件,這會是建立規則的有用起點。若要這樣做,請在導覽窗格中選擇**依儲存貯**體、**依類型**或**依任務** (**在問題清單**下)。然後在資料表中選擇項目。在詳細資訊面板中,選擇要樞紐分析的欄位連結。 1. 在**篩選條件**方塊中,新增篩選條件,以指定您希望規則隱藏之問題清單的屬性。 ![\[問題清單頁面上的篩選條件方塊。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png) 若要了解如何新增篩選條件,請參閱 [建立篩選條件並將其套用至 Macie 調查結果](findings-filter-procedure.md)。 1. 完成規則的篩選條件新增後,請選擇**隱藏問題清單**。 1. 在**隱藏規則**下,輸入名稱,並選擇性輸入規則的描述。 1. 選擇**儲存**。 ------ #### [ API ] 若要以程式設計方式建立抑制規則,請使用 Amazon Macie API 的 [CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html) 操作,並指定所需參數的適當值: + 針對 `action` 參數,指定 `ARCHIVE` 以確保 Macie 抑制符合規則條件的問題清單。 + 針對 `criterion` 參數,指定定義規則篩選條件的條件映射。 在映射中,每個條件都應指定欄位、運算子和一個或多個欄位值。值的類型和數量取決於您選擇的欄位和運算子。如需您可以在條件中使用的欄位、運算子和值類型的相關資訊,請參閱:[用於篩選 Macie 問題清單的欄位](findings-filter-fields.md)、 [在 條件中使用運算子](findings-filter-basics.md#findings-filter-basics-operators)和 [指定欄位的值](findings-filter-basics.md#findings-filter-basics-value-types)。 若要使用 AWS Command Line Interface (AWS CLI) 建立抑制規則,請執行 [create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html) 命令,並指定所需參數的適當值。下列範例會建立抑制規則,傳回目前 中的所有敏感資料調查結果, AWS 區域 並報告 S3 物件中出現的郵寄地址 (以及沒有其他類型的敏感資料)。 此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。 ``` $ aws macie2 create-findings-filter \ --action ARCHIVE \ --name my_suppression_rule \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}' ``` 此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。 ``` C:\> aws macie2 create-findings-filter ^ --action ARCHIVE ^ --name my_suppression_rule ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}} ``` 其中: + *my\$1suppression\$1rule* 是規則的自訂名稱。 + `criterion` 是規則的篩選條件映射: + *classificationDetails.result.sensitiveData.detections.type* 是**敏感資料偵測類型**欄位的 JSON 名稱。 + *eqExactMatch* 會指定*等於完全相符*運算子。 + *ADDRESS* 是**敏感資料偵測類型**欄位的列舉值。 如果此命令成功執行,您會收到類似如下的輸出。 ``` { "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" } ``` 其中 `arn`是所建立抑制規則的 Amazon Resource Name (ARN), `id`是規則的唯一識別符。 如需篩選條件的其他範例,請參閱 [使用 Amazon Macie API 以程式設計方式篩選問題清單](findings-filter-procedure.md#findings-filter-procedure-api)。 ------