筛选和分组结果(控制台) - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

筛选和分组结果(控制台)

当您显示结果的列表结果页面上,集成页面或见解页面上,总是根据记录状态和工作流程状态筛选列表。这是用于见解或集成的筛选器的补充。

记录状态指示结果处于活动状态还是存档状态。查找结果可由结果提供商存档。如果删除了关联的资源,Amazon Security Hub 还会自动存档控件的查找结果。默认情况下,结果列表仅显示活动结果。

工作流程状态指示对结果进行调查的状态。工作流程状态只能由 Security Hub 客户或代表客户操作的系统更新。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。控制的默认结果列表还包括 RESOLVED 结果。

有关使用控件的结果列表的信息,请参阅筛选、排序和下载控件查找结果列表

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选器值。

筛选结果列表时,Security Hub 将 AND 逻辑应用于筛选器集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 作为产品名称的筛选器,并且AwsS3Bucket作为资源类型的筛选器,则匹配的查找结果必须与这两个条件匹配。

不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用 OR 逻辑。例如,您同时添加 GuardDuty 和 Amazon Inspector 器作为商品名称的筛选器值。在这种情况下,如果查找结果是由 GuardDuty 或 Amazon Inspector 生成的,则会匹配该调查结果。

向结果列表添加筛选器

  1. 打开Amazon Security Hub控制台位于https://console.aws.amazon.com/securityhub/

  2. 要显示结果列表,执行下列操作之一:

    • 在 Security Hub 导航窗格中,选择结果

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表中,选择一个洞察结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看调查结果进行集成。

  3. 选择添加筛选器

  4. 在菜单中的筛选条件下,选择一个过滤器。

  5. 选择筛选器匹配类型。

    对于字符串筛选器,您可以选择以下比较选项:

    • — 查找与筛选器值完全匹配的值。

    • Starts Hub— 查找以筛选器值开头的值。

    • 不是— 查找与筛选器值不匹配的值。

    • 不以— 查找不以过滤器值开头的值。

    对于数值筛选器,您可以选择是否提供单个数字(简便)或一个数字范围(Range)。

    对于日期或时间筛选器,您可以选择是提供从当前日期时间开始的时间长度(滚动窗口)或日期范围(固定范围)。

    添加多个筛选器具有以下交互:

    • Starts Hub过滤器通过 OR 加入。如果该值包含任何筛选器值,则该值将匹配。例如,如果指定严重性标签是严重性Severity label 为高,结果包括严重性和高严重性发现。

    • 不是不以过滤器通过 AND 加入。仅当值不包含任何过滤器值时才匹配。例如,如果指定严重性标签不低严重性标签不是 “中”,则结果不包括低严重性或中等严重性发现。

    如果您有过滤器,则不能有不是不以过滤器在同一字段上。

  6. 指定筛选器值。

    请注意,对于字符串筛选器,筛选器值区分大小写。

    例如,对于 Security Hub 的结果,产品名称是 Security Hub。如果您将EQUALS运算符以查看来自 Security Hub 的调查结果,则必须输入Security Hub作为筛选器值。如果输入 security hub,则不会显示任何结果。

    同样,如果您使用PREFIX运算符,然后输入Sec时,将显示 Security Hub 调查结果。如果您输入sec,则不会显示 Security Hub 调查结果。

  7. 选择 Apply

对结果进行分组

除了更改筛选器外,您还可以根据选定属性的值对结果进行分组。

对结果进行分组时,结果列表将替换为匹配结果中选定属性的值列表。对于每个值,列表显示与其他筛选条件匹配的结果数。

例如,如果您按 Amazon 账户 ID 对结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配结果列表。

将结果分组到结果列表中

  1. 在查找结果列表中,选择添加筛选器

  2. 在菜单中的 Grouping (分组) 下,选择 Group by (分组依据)

  3. 在列表中,选择要用于分组的属性。

  4. 选择 Apply

更改过滤器值或分组属性

对于现有筛选器,您可以更改筛选器值。您还可以更改分组属性。

例如,您可以更改 Record state (记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选器或分组属性

  1. 在筛选的查找结果列表中,选择筛选器或分组属性。

  2. 适用于Group by (分组依据),选择新属性,然后选择Apply

  3. 对于筛选器,选择新值,然后选择Apply

删除筛选器或分组属性

要删除筛选器或分组属性,请选择x图标。

列表会自动更新以反映更改。删除分组属性后,列表将从字段值列表更改回结果列表。