对发现结果进行筛选和分组(控制台) - Amazon Security Hub
添加筛选器对结果进行分组更改筛选值或分组属性删除筛选器或分组属性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对发现结果进行筛选和分组(控制台)

当您显示调查结果页面、集成页面或 Ins igh ts 页面中的发现结果列表时,该列表将始终根据记录状态和工作流状态进行筛选。这是对用于洞察或整合的过滤器的补充。

记录状态指示结果处于活动状态还是存档状态。查找结果可由结果提供商存档。如果删除了关联的资源,Amazon Security Hub 还会自动存档控件的查找结果。默认情况下,结果列表仅显示活动结果。

工作流程状态指示对结果进行调查的状态。工作流状态只能由 Security Hub 客户或代表客户运行的系统更新。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。控制的默认结果列表还包括 RESOLVED 结果。

如果您启用了查找聚合,则在 “调查结果见解” 页面上,您可以按地区筛选发现。

有关使用控件的查找列表的信息,请参阅筛选、排序和下载控制结果列表

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选值。

筛选查找结果列表时,Security Hub 会将 AND 逻辑应用于筛选器集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 为产品名称的筛选条件和AwsS3Bucket资源类型的筛选条件,则匹配的查找结果必须匹配这两个标准。

但是,Security Hub 会将 OR 逻辑应用于使用相同属性但值不同的筛选器。例如,您将 GuardDuty 和 Amazon Inspector 添加为产品名称的筛选值。在这种情况下,如果发现结果是由 Amazon Inspector 生成的,则匹配结果。 GuardDuty

向结果列表添加筛选器

  1. 通过 https://console.aws.amazon.com/securityhub/ 打开Amazon Security Hub控制台。

  2. 要显示结果列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择查找结果

    • 在Security Hub 导航窗格中,选择 Insights。选择洞察力。然后在结果列表中,选择一个洞察结果。

    • 在 Security Hub 导航窗格中,选择集成。选择 “查看调查结果” 以进行集成。

  3. 选中 “添加筛选器” 框。

  4. 在菜单的 “筛选器” 下,选择一个过滤器。

    请注意,当您按公司名称或产品名称进行筛选时,Security Hub 使用顶级CompanyNameProductName字段。API 使用中的值ProductFields

  5. 选择筛选器匹配类型。

    对于字符串过滤器,可以从以下比较选项中进行选择:

    • — 查找与筛选器值完全匹配的值。

    • 开头为-找到一个以过滤器值开头的值。

    • 不是-查找与筛选器值不匹配的值。

    • 不以此开头-查找一个不是以过滤器值开头的值。

    对于数字筛选器,您可以选择是提供单个数字(简单)还是数字范围(范围)。

    对于日期或时间筛选器,您可以选择是提供自当前日期和时间(滚动窗口)起的时间长度,还是提供特定日期范围(固定范围)的时间长度。

    添加多个过滤器具有以下交互作用:

    • 开头的过滤器由 OR 连接。如果一个值包含任何筛选器值,则该值匹配。例如,如果您将严重性标签指定为 “严重”,“严重性” 标签为 “高”,则结果将包括 “严重” 和 “高” 两个严重性发现结果。

    • 不是且不以此开头的过滤器由 AND 连接。只有当一个值不包含任何这些筛选值时,该值才匹配。例如,如果您指定严重性标签不是 “低”,“严重性” 标签不是 “中”,则结果不包括严重性低或中等严重性结果。

    如果在某个字段上有 is 筛选器,则不能在同一个字段上使用 is not 或 a 不以开头的筛选器。

  6. 指定筛选器值。

    请注意,对于字符串过滤器,过滤器值区分大小写。

    例如,对于来自 Security Hub 的调查结果,产品名称为 Security Hub。如果您使用 EQU AL S 运算符来查看来自 Security Hub 的搜索结果,则必须输入Security Hub作为筛选器值。如果输入 security hub,则不会显示任何结果。

    同样,如果您使用 P REFIX 运算符并输入Sec,则会显示 Security Hub 查找结果。如果输入sec,则不会显示任何Security Hub 查找结果。

  7. 选择 Apply(应用)。

对结果进行分组

除了更改筛选器外,您还可以根据选定属性的值对发现结果进行分组。

对发现结果进行分组时,发现结果列表将替换为匹配结果中选定属性的值列表。对于每个值,列表显示与其他筛选条件相匹配的发现数目。

例如,如果您按 Amazon 账户 ID 对结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配结果列表。

将结果分组到结果列表中

  1. 在查找结果列表上,选中 “添加筛选器” 框。

  2. 在菜单中的 Grouping (分组) 下,选择 Group by (分组依据)

  3. 在列表中,选择用于分组的属性。

  4. 选择 Apply(应用)。

更改筛选值或分组属性

对于现有筛选器,您可以更改筛选器值。您也可以更改分组属性。

例如,您可以更改 Record state (记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选器或分组属性

  1. 在筛选的查找结果列表上,选择筛选器或分组属性。

  2. 对于 “分组依据”,选择新属性,然后选择 “应用”。

  3. 对于筛选器,选择新值,然后选择 Apply (应用)。

删除筛选器或分组属性

要删除筛选器或分组属性,请选择 x 图标。

列表会自动更新以反映更改。移除分组属性后,列表将从字段值列表变回发现结果列表。