对结果进行筛选和分组(控制台) - Amazon Security Hub
添加筛选器对结果进行分组更改筛选值或分组属性删除筛选器或分组属性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对结果进行筛选和分组(控制台)

当您显示来自结果页面,集成页面,或Insights页面,列表总是根据记录状态和工作流状态进行筛选。这是对用于洞察或整合的过滤器的补充。

记录状态指示结果处于活动状态还是存档状态。查找结果可由结果提供商存档。如果删除了关联的资源,Amazon Security Hub 还会自动存档控件的查找结果。默认情况下,结果列表仅显示活动结果。

工作流程状态指示对结果进行调查的状态。工作流状态只能由 Security Hub 客户或代表客户运行的系统更新。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。控制的默认结果列表还包括 RESOLVED 结果。

如果您启用了查找聚合,则在结果Insights页面,您可以按地区筛选搜索结果。

有关使用控件的查找列表的信息,请参见筛选、排序和下载控制结果列表.

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选值。

筛选查找结果列表时,Security Hub 会将 AND 逻辑应用于筛选器集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果你添加 GuardDuty 作为产品名称的筛选条件,以及AwsS3Bucket作为资源类型的筛选条件,匹配结果必须匹配这两个标准。

但是,Security Hub 会将 OR 逻辑应用于使用相同属性但值不同的筛选器。例如,你将两者都加起来 GuardDuty 和Amazon Inspector 器作为产品名称的筛选值。在这种情况下,如果发现结果是由以下任一因素生成的,则匹配结果 GuardDuty 或Amazon Inspector。

向结果列表添加筛选器

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 要显示结果列表,请执行以下操作之一:

    • 在Security Hub 导航窗格中,选择结果.

    • 在Security Hub 导航窗格中,选择Insights. 选择洞察力。然后在结果列表中,选择一个洞察结果。

    • 在Security Hub 导航窗格中,选择集成. 选择查看结果用于集成。

  3. 选择添加筛选条件bject

  4. 在菜单中,在Filters,选择一个筛选器。

    请注意,当您按以下条件筛选时公司名要么产品名称,SecSecurity Hub Finding 使用顶级的CompanyNameProductName字段之间没有不同。API 使用中的值ProductFields.

  5. 选择筛选器匹配类型。

    对于字符串过滤器,您可以从以下比较选项中进行选择:

    • — 查找与筛选器值完全匹配的值。

    • Starts— 找到一个以过滤器值开头的值。

    • 不是— 查找与筛选器值不匹配的值。

    • 开头不是— 查找不是以筛选器值开头的值。

    对于数字筛选器,您可以选择是否提供单个数字 (简单条件) 或一系列数字 (范围)。

    对于日期或时间筛选器,您可以选择是否提供相对于当前日期和时间的时间长度(滚动窗口) 或特定的日期范围 (固定范围)。

    添加多个过滤器具有以下交互作用:

    • Starts过滤器由 OR 加入。如果一个值包含任何筛选器值,则该值匹配。例如,如果您指定严重性标签很关键严重性标签为 “高”,结果包括严重和高严重程度的发现。

    • 不是开头不是过滤器由 AND 连接。只有当一个值不包含任何这些筛选值时,该值才匹配。例如,如果您指定严重性标签不是 “低”严重程度标签不是 “中”,结果不包括低或中严重程度的发现。

    如果您将在字段上筛选,你不能有不是或者一个开头不是在同一个字段上筛选。

  6. 指定筛选器值。

    请注意,对于字符串过滤器,过滤器值区分大小写。

    例如,对于来自 Security Hub 的调查结果,产品名称是Security Hub。如果您将等于操作员要查看 Security Hub 的调查结果,必须输入Security Hub作为筛选值。如果输入 security hub,则不会显示任何结果。

    同样,如果你使用前缀操作员,然后输入Sec,将显示Security Hub 调查结果。如果你输入sec,则不显示任何Security Hub 发现结果。

  7. 选择 Apply(应用)。

对结果进行分组

除了更改筛选器外,您还可以根据选定属性的值对发现结果进行分组。

对发现结果进行分组时,发现结果列表将替换为匹配结果中选定属性的值列表。对于每个值,列表显示与其他筛选条件相匹配的发现数目。

例如,如果您按 Amazon 账户 ID 对结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配结果列表。

将结果分组到结果列表中

  1. 在查找结果列表中,选择添加筛选条件bject

  2. 在菜单中的 Grouping (分组) 下,选择 Group by (分组依据)

  3. 在列表中,选择用于分组的属性。

  4. 选择 Apply(应用)。

更改筛选值或分组属性

对于现有筛选器,您可以更改筛选器值。还可以更改分组属性。

例如,您可以更改 Record state (记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选器或分组属性

  1. 在筛选的查找结果列表上,选择筛选器或分组属性。

  2. 对于GROP,选择新属性,然后选择适用.

  3. 对于筛选器,请选择新值,然后选择适用.

删除筛选器或分组属性

要删除筛选器或分组属性,请选择x图标。

列表会自动更新以反映更改。移除分组属性后,列表将从字段值列表变回发现结果列表。