筛选和分组结果(控制台) - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

筛选和分组结果(控制台)

当您列出调查发现页面、集成页面或见解页面中的调查发现列表时,列表将始终根据记录状态和工作流程状态进行筛选。这是用于见解或集成的筛选条件的补充。

记录状态指示结果处于活动状态还是存档状态。查找结果可以由查找提供者存档。 Amazon Security Hub 如果关联的资源被删除,还会自动存档查找结果以进行控制。默认情况下,结果列表仅显示活动结果。

工作流程状态指示对结果进行调查的状态。工作流程状态只能由 Security Hub 客户或代表客户操作的系统更新。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。控制的默认结果列表还包括 RESOLVED 结果。

如果您启用了调查发现聚合,则在调查发现见解页面上,您可以按区域筛选调查发现。

有关使用控件的调查发现列表的信息,请参阅 筛选、排序和下载控件调查发现

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选值。

筛选调查发现列表时,Security Hub 将 AND 逻辑应用于筛选条件集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 为产品名称的筛选器和资源类型的筛选器,则匹配的结果必须符合这两个条件。AwsS3Bucket

不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用 OR 逻辑。例如,您可以将两者 GuardDuty 和 Amazon Inspector 添加为商品名称的筛选值。在这种情况下,如果调查结果由任一用户 GuardDuty 或 Amazon Inspector 生成,则该结果与之匹配。

向结果列表添加筛选器
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择结果

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

  3. 选择添加筛选条件框。

  4. 在菜单中的筛选条件下,选择一个筛选条件。

    请注意,当您按公司名称产品名称进行筛选时,Security Hub 会使用顶级 CompanyNameProductName 字段。API 使用 ProductFields 中的值。

  5. 选择筛选器匹配类型。

    对于字符串筛选条件,您可以从以下比较选项中进行选择:

    • ——查找与筛选值完全匹配的值。

    • 以...开头——查找以筛选值开头的值。

    • 不是——查找与筛选值不匹配的值。

    • 不以...开头——查找不以筛选值开头的值。

    对于数值筛选条件,您可以选择是提供单个数字简单还是数值范围范围

    对于日期或时间筛选条件,您可以选择是提供从当前日期时间开始的时间长度滚动窗口还是提供具体日期范围固定范围

    添加多个筛选条件具有以下交互作用:

    • 以...开头筛选条件由“或”连接。如果一个值包含任何筛选条件值,则该值匹配。例如,如果您将“严重性”标签指定为“重大”“严重性”标签为“高”,则结果将包括重大和高严重性结果。

    • 不是不以...开头筛选条件由“和”连接的。仅当值不包含任何这些筛选条件值时才匹配。例如,如果您将“严重性”标签指定为“低”,“严重性”标签不为“中”,则结果不包括低或中等严重性结果。

    如果在某个字段上有的筛选条件,则不能在同一个字段上使用不是不以……开头的筛选条件。

  6. 指定筛选器值。

    请注意,对于字符串筛选器,筛选条件值区分大小写。

    例如,对于来自 Security Hub 的调查发现,产品名称为 Security Hub。如果使用 EQUALS 运算符查看来自 Security Hub 的调查发现,则必须输入 Security Hub 作为筛选条件值。如果输入 security hub,则不会显示任何结果。

    同样,如果您使用 PREFIX 运算符并输入 Sec,则会显示 Security Hub 结果。如果您输入 sec,则不会显示任何 Security Hub 结果。

  7. 选择 应用

对结果进行分组

除了变更筛选条件外,您还可以根据所选属性的值对结果进行分组。

对调查发现进行分组时,调查发现列表将替换为匹配调查发现中选定属性的值列表。对于每个值,列表显示与其他筛选条件匹配的调查发现数。

例如,如果您按 Amazon Web Services 账户 ID 对发现结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数量。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配调查发现列表。

将结果分组到结果列表中
  1. 在调查发现列表上,选择添加筛选条件框。

  2. 在菜单中的 Grouping(分组) 下,选择 Group by(分组依据)

  3. 在列表中,选择要用于分组的属性。

  4. 选择 应用

更改筛选条件值或分组属性

对于现有筛选器,您可以更改筛选器值。您还可以更改分组属性。

例如,您可以更改 Record state(记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选条件或分组属性
  1. 在筛选的调查发现列表中,选择筛选或分组属性。

  2. 对于分组依据,选择新属性,然后选择应用

  3. 对于筛选条件,选择新值,然后选择应用

删除筛选条件或分组属性

要删除筛选条件或分组属性,请选择 x 图标。

列表会自动更新以反映更改。删除分组属性时,列表将从字段值列表更改回调查发现列表。