筛选和分组结果(控制台) - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

筛选和分组结果(控制台)

当您显示结果的列表时,结果页面,集成页面,或见解页面中,总是根据记录状态和工作流程状态筛选列表。这是用于见解或集成的筛选器的补充。

记录状态指示结果处于活动状态还是存档状态。查找结果可由结果提供商存档。如果删除了关联的资源,Amazon Security Hub 还会自动存档控件的查找结果。默认情况下,结果列表仅显示活动结果。

工作流程状态指示对结果进行调查的状态。工作流程状态只能由 Security Hub 客户或代表客户操作的系统更新。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。控制的默认结果列表还包括 RESOLVED 结果。

如果你启用了查找聚合,那么在结果见解页面中,您可以按区域筛选调查结果。

有关使用控件的结果列表的信息,请参阅筛选、排序和下载控件查找列表.

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选器值。

在筛选结果列表时,Security Hub 将 AND 逻辑应用于筛选条件集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 作为产品名称的筛选器,以及AwsS3Bucket作为资源类型的过滤器,那么匹配的查找结果必须符合这两个标准。

但是,Security Hub 将 OR 逻辑应用于使用相同属性但值不同的筛选条件。例如,您将 GuardDuty 和 Amazon Inspector 添加为商品名称的筛选器值。在这种情况下,如果它是 GuardDuty 还是 Amazon Inspector 员生成的,则搜索结果匹配。

向结果列表添加筛选器

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 要显示查找结果列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择。结果.

    • 在 Security Hub 导航窗格中,选择。见解. 选择见解。然后在结果列表中,选择一个洞察结果。

    • 在 Security Hub 导航窗格中,选择。集成. 选择查看发现用于集成。

  3. 选择添加筛选器

  4. 在菜单中,在筛选条件中,选择一个过滤器。

    请注意,当你过滤公司名称要么产品名称,Security Hub 使用顶级CompanyNameProductName字段之间没有不同。API 使用中的值ProductFields.

  5. 选择筛选器匹配类型。

    对于字符串过滤器,您可以从以下比较选项中进行选择:

    • — 查找与筛选器值完全匹配的值。

    • 从开始— 查找以筛选器值开头的值。

    • 不是— 查找与筛选器值不匹配的值。

    • 不是从开始— 查找不以筛选器值开头的值。

    对于数值过滤器,您可以选择是否提供单个数字 (简便) 或一系列数字 (Range)。

    对于日期或时间筛选器,您可以选择是否提供从当前日期时间开始的时间长度 (滚动窗口) 或日期范围 (固定范围)。

    添加多个筛选器具有以下交互:

    • 从开始过滤器由 OR 加入。如果值包含任何筛选器值,则匹配该值。例如,如果指定严重性标签至关重要严重性标签为高,结果包括严重性和高严重性的调查结果。

    • 不是不是从开始过滤器由 AND 加入。仅当值不包含任何这些过滤器值时才匹配。例如,如果指定严重性标签不低严重性标签不是中,结果不包括严重程度低或中等严重性的调查结果。

    如果您有在字段上过滤,你不能有不是或者不是从开始在同一个字段上进行筛选。

  6. 指定筛选器值。

    请注意,对于字符串筛选器,筛选器值区分大小写。

    例如,对于来自 Security Hub 的结果,产品名称是 Security Hub。如果您将等于操作员才能查看 Security Hub 的调查结果,您必须输入Security Hub作为筛选器值。如果输入 security hub,则不会显示任何结果。

    同样,如果你使用前缀操作员,然后输入Sec,将显示 Security Hub 的查找结果。如果你输入sec,不会显示 Security Hub 查找结果。

  7. 选择 Apply(应用)。

对结果进行分组

除了更改筛选器外,您还可以根据选定属性的值对结果进行分组。

对结果进行分组时,结果列表将替换为匹配结果中选定属性的值列表。对于每个值,列表显示与其他筛选条件匹配的结果数。

例如,如果您按 Amazon 账户 ID 对结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配结果列表。

将结果分组到结果列表中

  1. 在查找结果列表中,选择添加筛选器

  2. 在菜单中的 Grouping (分组) 下,选择 Group by (分组依据)

  3. 在列表中,选择要用于分组的属性。

  4. 选择 Apply(应用)。

更改过滤器值或分组属性

对于现有筛选器,您可以更改筛选器值。您还可以更改分组属性。

例如,您可以更改 Record state (记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选器或分组属性

  1. 在筛选查找结果列表中,选择筛选器或分组属性。

  2. 适用于Group by (分组依据),选择新属性,然后选择Apply.

  3. 对于筛选器,请选择新值,然后选择Apply.

删除筛选器或分组属性

要删除筛选器或分组属性,请选择x图标。

列表会自动更新以反映更改。删除分组属性时,列表将从字段值列表更改回结果列表。