Ergebnisse in Security Hub filtern und gruppieren - AWS Security Hub
Filter hinzufügen oder bearbeitenGruppieren der ErgebnisseLöschen eines Filter- oder Gruppierungsattributs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ergebnisse in Security Hub filtern und gruppieren

Wenn Sie eine Ergebnisliste auf der Seite Ergebnisse, Integrationen oder Einblicke der Security Hub Hub-Konsole anzeigen, wird die Liste anhand des Datensatzstatus und des Workflow-Status vorgefiltert. Dies gilt zusätzlich zu den Filtern für einen Einblick oder eine Integration.

Der Datensatzstatus gibt an, ob ein Ergebnis aktiv oder archiviert ist. Standardmäßig werden in einer Ergebnisliste nur aktive Ergebnisse angezeigt. Ein Ergebnis kann vom Befundanbieter archiviert werden. AWS Security Hub archiviert auch automatisch Kontrollergebnisse, wenn die zugehörige Ressource gelöscht wird.

Der Workflow-Status gibt den Status einer Untersuchung eines Ergebnisses an. Standardmäßig werden in einer Ergebnisliste nur Ergebnisse mit dem Workflow-Status NEW oder NOTIFIED angezeigt. Sie können den Workflow-Status eines Ergebnisses aktualisieren.

Wenn Sie die Aggregation von Ergebnissen aktiviert haben und in der Aggregationsregion angemeldet sind, können Sie die Ergebnisse auf den Seiten Ergebnisse und Einblicke nach Regionen filtern.

Informationen zum Arbeiten mit Kontrollergebnissen finden Sie unter. Das Filtern und Sortieren von Kontrollergebnissen Die Informationen auf dieser Seite beziehen sich auf die Ergebnislisten auf den Seiten Ergebnisse, Einblicke und Integrationen.

Filter hinzufügen oder bearbeiten

Um den Bereich der Liste zu ändern, können Sie Filter hinzufügen.

Sie können nach bis zu 10 Attributen filtern. Für jedes Attribut können Sie bis zu 20 Filterwerte angeben.

Beim Filtern der Ergebnisliste wendet Security Hub AND Logik auf den Filtersatz an. Mit anderen Worten: Eine Suche stimmt nur dann überein, wenn sie mit allen bereitgestellten Filtern übereinstimmt. Wenn Sie beispielsweise einen Filter für den Produktnamen und AwsS3Bucket als Filter für den Ressourcentyp hinzufügen GuardDuty , müssen die übereinstimmenden Ergebnisse diesen beiden Kriterien entsprechen.

Security Hub wendet jedoch die OR-Logik auf Filter an, die dasselbe Attribut, aber unterschiedliche Werte verwenden. Sie fügen beispielsweise GuardDuty sowohl als auch Amazon Inspector als Filterwerte für den Produktnamen hinzu. In diesem Fall stimmt ein Ergebnis überein, wenn es entweder von Amazon Inspector GuardDuty oder von Amazon Inspector generiert wurde.

Um der Ergebnisliste einen Filter hinzuzufügen (Konsole)

  1. Öffnen Sie AWS Security Hub Konsole bei https://console.aws.amazon.com/securityhub/.

  2. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

  3. Wählen Sie im Feld Filter hinzufügen für Filter einen Filter aus.

    Wenn Sie nach Firmenname oder Produktname filtern, verwendet die Konsole die ProductName Felder CompanyName und auf oberster Ebene. Das API verwendet die Werte, die sich in ProductFields befinden.

  4. Wählen Sie den Filterübereinstimmungstyp aus.

    Für einen Zeichenkettenfilter können Sie aus den folgenden Vergleichsoptionen wählen:

    • ist — Findet einen Wert, der genau dem Filterwert entspricht.

    • beginnt mit — Findet einen Wert, der mit dem Filterwert beginnt.

    • ist nicht — Findet einen Wert, der nicht mit dem Filterwert übereinstimmt.

    • beginnt nicht mit — Findet einen Wert, der nicht mit dem Filterwert beginnt.

    Bei einem numerischen Filter können Sie wählen, ob Sie eine einzelne Zahl (Einfach) oder einen Zahlenbereich (Bereich) angeben möchten.

    Für einen Datums- oder Uhrzeitfilter können Sie wählen, ob Sie eine Zeitspanne vom aktuellen Datum und der aktuellen Uhrzeit (Rollendes Fenster) oder einen bestimmten Datumsbereich (fester Bereich) angeben möchten.

    Das Hinzufügen mehrerer Filter hat die folgenden Interaktionen:

    • ist und beginnt mit Filtern werden durch OR verknüpft. Ein Wert stimmt überein, wenn er einen der Filterwerte enthält. Wenn Sie beispielsweise die Bezeichnung Schweregrad ist CRITICAL und die Bezeichnung Schweregrad ist angebenHIGH, enthalten die Ergebnisse sowohl kritische Ergebnisse als auch Ergebnisse mit hohem Schweregrad.

    • ist nicht und beginnt nicht damit, dass Filter miteinander verknüpft werdenAND. Ein Wert stimmt nur überein, wenn er keinen dieser Filterwerte enthält. Wenn Sie beispielsweise die Bezeichnung Schweregrad nicht LOW und die Bezeichnung Schweregrad nicht angebenMEDIUM, enthalten die Ergebnisse keine Ergebnisse mit niedrigem oder mittlerem Schweregrad.

    Wenn Sie einen Is-Filter für ein Feld verwenden, können Sie den Filter Ist nicht oder A fängt nicht mit an für dasselbe Feld verwenden.

  5. Geben Sie den Filterwert an.

    Bei Zeichenkettenfiltern unterscheidet der Filterwert zwischen Groß- und Kleinschreibung.

    Für Ergebnisse aus Security Hub lautet der Produktname beispielsweise Security Hub. Wenn Sie den EQUALSOperator verwenden, um Ergebnisse von Security Hub anzuzeigen, müssen Sie Security Hub als Filterwert eingeben. Wenn Sie security hub eingeben, werden keine Ergebnisse angezeigt.

    Wenn Sie den PREFIXOperator verwenden und eingebenSec, werden die Security Hub Hub-Ergebnisse ebenfalls angezeigt. Wenn Sie eingebensec, werden keine Security Hub Hub-Ergebnisse angezeigt.

  6. Wählen Sie Apply (Anwenden) aus.

Bei einem vorhandenen Filter können Sie den Filterwert ändern. Wählen Sie in einer Liste mit gefilterten Ergebnissen den Filter aus. Wählen Sie im Feld Filter bearbeiten den neuen Wert aus, und klicken Sie dann auf Anwenden.

Gruppieren der Ergebnisse

Sie können nicht nur die Filter ändern, sondern auch die Ergebnisse auf der Grundlage der Werte eines ausgewählten Attributs gruppieren.

Wenn Sie die Ergebnisse gruppieren, wird die Ergebnisliste durch eine Werteliste für das ausgewählte Attribut in den entsprechenden Ergebnissen ersetzt. Für jeden Wert zeigt die Liste die Anzahl der Ergebnisse an, die den anderen Filterkriterien entsprechen.

Wenn Sie die Ergebnisse beispielsweise nach gruppieren AWS-Konto ID: Sie sehen eine Liste von Kontokennungen mit der Anzahl der übereinstimmenden Ergebnisse für jedes Konto.

Beachten Sie, dass Security Hub nur 100 Werte anzeigen kann. Wenn es mehr als 100 Gruppierungswerte gibt, werden nur die ersten 100 angezeigt.

Wenn Sie einen Attributwert auswählen, wird die Liste der passenden Ergebnisse für diesen Wert angezeigt.

Um die Ergebnisse in einer Ergebnisliste zu gruppieren (Konsole)

  1. Öffnen Sie AWS Security Hub Konsole bei https://console.aws.amazon.com/securityhub/.

  2. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

  3. Wählen Sie in der Dropdownliste Gruppieren nach das Attribut aus, das für die Gruppierung verwendet werden soll.

Löschen eines Filter- oder Gruppierungsattributs

Um ein Filter- oder Gruppierungsattribut zu löschen, wählen Sie das X-Symbol.

Die Liste wird automatisch aktualisiert, um die Änderung widerzuspiegeln. Wenn Sie das Gruppierungsattribut entfernen, ändert sich die Liste von der Liste der Feldwerte wieder in eine Ergebnisliste.