在 Security Hub 中筛选搜索结果 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中筛选搜索结果

Amazon Security Hub 通过安全检查生成自己的调查结果,并从集成产品中接收调查结果。您可以在 Security Hub 控制台的 “发现”、“集成” 和 “见解” 页面上显示发现结果列表。您可以添加筛选条件来缩小查找结果列表的范围,使该列表与您的组织或用例相关。

有关筛选特定安全控制的发现结果的信息,请参阅对控件调查发现进行筛选和排序。此页面上的信息适用于调查结果见解集成页面。

查找结果列表上的默认筛选器

默认情况下,Security Hub 控制台上的查找结果列表会根据 Amazon 安全查找结果格式(ASFF)的RecordStateWorkflow.Status字段进行筛选。这是对特定见解或集成的过滤器的补充。

记录状态指示调查发现处于活动状态还是存档状态。默认情况下,结果列表仅显示活动结果。如果调查发现不再处于活动状态或不再重要,则调查发现提供者可以将其归档。如果关联的资源被删除,Security Hub 还会自动归档控件调查发现。

工作流状态指示对调查发现进行的调查的状态。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。您可以更新调查发现的工作流状态。

添加过滤器的说明

您最多可以按十个属性筛选查找结果列表。对于每个属性,您最多可以提供 20 个筛选值。

筛选查找结果列表时,Security Hub 会将AND逻辑应用于筛选器集。仅当搜索结果与所有提供的筛选条件匹配时,它才会匹配。例如,如果您添加为产品名称的筛选器,并GuardDuty AwsS3Bucket作为资源类型的筛选器添加,Security Hub 会显示符合这两个条件的搜索结果。

Security Hub 将OR逻辑应用于使用相同属性但值不同的过滤器。例如,如果您同时添加两者 GuardDuty 和 Amazon Inspector 作为商品名称的筛选值,Security Hub 会显示由其中一个 GuardDuty 或亚马逊检查器生成的搜索结果。

向查找结果列表添加筛选器(控制台)
  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 要显示调查结果列表,请从导航窗格中执行以下操作之一:

    • 选择 “调查结果”。

    • 选择 Insights。选择见解。然后,在结果列表上,选择一个洞察结果。

    • 选择集成。选择查看集成的调查发现

  3. 在 “添加筛选器” 框中,选择一个或多个要筛选的字段。

    当您按公司名称或产品名称进行筛选时,控制台将使用 Amazon 安全调查结果格式(ASFF)的顶层CompanyNameProductName字段。API使用嵌套在下的值ProductFields

  4. 选择筛选器匹配类型。

    对于字符串过滤器,您可以从以下选项中进行选择:

    • ——查找与筛选值完全匹配的值。

    • 以...开头——查找以筛选值开头的值。

    • 不是——查找与筛选值不匹配的值。

    • 不以...开头——查找不以筛选值开头的值。

    对于资源标签字段,您可以根据特定的键或值进行筛选。

    对于数值筛选条件,您可以选择是提供单个数字简单还是数值范围范围

    对于日期或时间筛选条件,您可以选择是提供从当前日期时间开始的时间长度滚动窗口还是提供具体日期范围固定范围

    添加多个筛选条件具有以下交互作用:

    • 以...开头筛选条件由“或”连接。如果一个值包含任何筛选条件值,则该值匹配。例如,如果您将 “严重性” 标签指定为 CRITICAL,“严重性” 标签为 HIGH,则结果将包括严重性和高严重性调查结果。

    • 不是也不是以过滤器作为开头的AND。仅当值不包含任何这些筛选条件值时才匹配。例如,如果您将 “严重性标签” 指定为 “不是”LOW,“严重性标签” 不是 MEDIUM,则结果将不包括低或中等严重性调查结果。

    如果在某个字段上有的筛选条件,则不能在同一个字段上使用不是不以……开头的筛选条件。

  5. 指定筛选器值。对于字符串筛选条件,筛选条件值区分大小写。

  6. 选择应用

    对于现有筛选器,您可以更改筛选器匹配类型或值。在筛选后的调查发现列表中,选择筛选条件。在 “编辑筛选器” 框中,选择新的匹配类型或值,然后选择 “应用”。

    要删除筛选条件,请选择 x 图标。列表会自动更新以反映更改。