Filtrado y agrupación de resultados (consola) - AWS Security Hub
Adición de filtrosAgrupación de hallazgosCambio de un valor de filtro o de un atributo de agrupaciónEliminación de un filtro o atributo de agrupación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Filtrado y agrupación de resultados (consola)

Cuando se muestra una lista de los resultados de la página Resultados, la página Integraciones o la página Estadísticas, la lista siempre se filtra en función del estado del Registro y del flujo de trabajo. Estos filtros complementan a los filtros de información o integración.

El estado de registro indica si el hallazgo está activo o archivado. El proveedor de la búsqueda puede archivar un hallazgo. AWS Security Hub también archiva automáticamente las conclusiones para los controles si se elimina el recurso asociado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos activos.

El estado de flujo de trabajo indica el estado de investigación del hallazgo. El estado del flujo de trabajo solo puede ser actualizado por el cliente Security Hub o un sistema que funcione en su nombre. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos con estado de flujo de trabajo NEW o NOTIFIED. Las listas de hallazgos predeterminadas para los controles también incluyen hallazgos con estado RESOLVED.

Si ha activado la agregación de búsquedas, en las páginas Resultados e Información, puede filtrar los resultados por región.

Para obtener información sobre cómo trabajar con la lista de resultados de un control, consulte Filtrar, clasificar y descargar los resultados de los controles.

Adición de filtros

Para cambiar el alcance de la lista, le puede agregar filtros.

Puede filtrar por hasta 10 atributos. Para cada atributo, puede proporcionar hasta 20 valores de filtro.

Al filtrar la lista de resultados, Security Hub aplica la lógica AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si los agrega GuardDuty como filtro para el nombre del producto y AwsS3Bucket como filtro para el tipo de recurso, los resultados coincidentes deben cumplir ambos criterios.

Sin embargo, Security Hub aplica la lógica OR a los filtros que utilizan el mismo atributo pero valores distintos. Por ejemplo, añades Amazon Inspector GuardDuty y Amazon como valores de filtro para el nombre del producto. En ese caso, un hallazgo coincide si lo generó Amazon Inspector GuardDuty o si lo generó.

Para agregar un filtro a la lista de hallazgos

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación de Security Hub, elija Resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

  3. Seleccione la casilla Agregar filtros.

  4. En el menú, en Filtros, seleccione un filtro.

    Tenga en cuenta que cuando filtra por Nombre de empresa o Nombre de producto, Security Hub utiliza el nivel superior CompanyName y los campos ProductName. La API usa los valores incluidos en ProductFields.

  5. Elija el tipo de coincidencia de filtro.

    Para un filtro de cadena, puede elegir entre las siguientes opciones de comparación:

    • es: busca un valor que coincida exactamente con el valor del filtro.

    • empieza por: busca un valor que empiece por el valor del filtro.

    • no es: busca un valor que no coincida con el valor del filtro.

    • no empieza por: busca un valor que no empiece por el valor del filtro.

    Para un filtro numérico, puede elegir si desea proporcionar un solo número (Simple) o un rango de números (Range).

    Para un filtro de fecha y hora, puede elegir si desea proporcionar un período de tiempo a partir de la fecha y hora actuales (Rolling window) o de un intervalo de fechas específico (Fixed range).

    La adición de varios filtros tiene las siguientes interacciones:

    • Los filtros es y empieza por van unidos por O. Un valor coincide si contiene alguno de los valores del filtro. Por ejemplo, si especifica que la Etiqueta de gravedad es CRÍTICA y la Etiqueta de gravedad es ALTA, los resultados incluyen tanto los resultados de gravedad crítica como de gravedad alta.

    • Los filtros no es y no empieza por van unidos por AND. Un valor solo coincide si no contiene ninguno de esos valores de filtro. Por ejemplo, si especifica que la Etiqueta de gravedad no es BAJA y la Etiqueta de gravedad no es MEDIA, los resultados no incluyen los resultados de gravedad baja o media.

    Si tiene un filtro es en un campo, no puede tener un filtro no es o no empieza por en el mismo campo.

  6. Especifique el valor del filtro.

    Tenga en cuenta que, para los filtros de cadena, en el valor del filtro se distingue entre mayúsculas y minúsculas.

    Por ejemplo, para los resultados de Security Hub, el Nombre del producto es Security Hub. Si utiliza el operador EQUALS para ver los resultados de Security Hub, debe escribir Security Hub como valor de filtro. Si escribe security hub, no se mostrarán hallazgos.

    Del mismo modo, si utiliza el operador PREFIX y escribe Sec, se mostrarán los resultados de Security Hub. Si ingresa sec, no se muestran resultados de Security Hub.

  7. Seleccione Aplicar.

Agrupación de hallazgos

Además de cambiar los filtros, puede agrupar los resultados en función de los valores de un atributo seleccionado.

Al agrupar los resultados, la lista de resultados se reemplaza por una lista de valores para el atributo seleccionado en los resultados coincidentes. Para cada valor de campo, la lista muestra el número de resultados que coinciden con los otros criterios de filtrado.

Por ejemplo, si agrupa los resultados por Cuenta de AWS identificador, verá una lista de identificadores de cuenta con el número de resultados coincidentes de cada cuenta.

Tenga en cuenta que Security Hub solo puede mostrar 100 valores. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Al elegir un valor de campo, se muestra la lista de resultados coincidentes para ese valor de campo.

Para agrupar los hallazgos en una lista de hallazgos

  1. En la lista de resultados, seleccione la casilla Añadir filtros.

  2. En el menú, en Grouping (Agrupación), elija Group by (Agrupar por).

  3. En la lista, elija el atributo que desea utilizar para la agrupación.

  4. Seleccione Aplicar.

Cambio de un valor de filtro o de un atributo de agrupación

Puede cambiar el valor del filtro de un filtro existente. También puede cambiar el atributo de agrupación.

Por ejemplo, puede cambiar el filtro Record state (Estado de registro) para buscar los hallazgos ARCHIVED en lugar de los hallazgos ACTIVE.

Cómo editar un filtro o atributo de agrupación

  1. En una lista de resultados filtrada, elija el atributo de filtro o agrupación.

  2. En Agrupar por, elija el nuevo atributo y, a continuación, elija Aplicar.

  3. Para un filtro, elija el nuevo valor y, a continuación, Aplicar.

Eliminación de un filtro o atributo de agrupación

Para eliminar un filtro o atributo de agrupación, elija el icono x.

La lista se actualiza automáticamente para reflejar el cambio. Al quitar el atributo de agrupación, la lista cambia de la lista de valores de campo a una lista de resultados.