Filtrado y agrupación de hallazgos (consola) - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Filtrado y agrupación de hallazgos (consola)

Al mostrar una lista de hallazgos deHallazgos, elIntegracioneso elInformación detallada, la lista siempre se filtra en función del estado de registro y el estado de flujo de trabajo. Estos filtros complementan a los filtros de información o integración.

El estado de registro indica si el hallazgo está activo o archivado. El proveedor de hallazgos puede archivar un hallazgo. AWS Security Hub también archiva automáticamente los hallazgos de los controles si se elimina el recurso asociado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos activos.

El estado de flujo de trabajo indica el estado de investigación del hallazgo. El estado del flujo de trabajo solo puede ser actualizado por el cliente de Security Hub o un sistema que funcione en su nombre. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos con estado de flujo de trabajo NEW o NOTIFIED. Las listas de hallazgos predeterminadas para los controles también incluyen hallazgos con estado RESOLVED.

Si activó la búsqueda de la agregación, en laHallazgosyInformación detallada, puede filtrar los resultados por región.

Para obtener información sobre cómo trabajar con la lista de hallazgos de un control, consulte.Filtrado, clasificación y descarga de la lista de búsqueda de controles.

Adición de filtros

Para cambiar el alcance de la lista, le puede agregar filtros.

Puede filtrar hasta por 10 atributos. Para cada atributo, puede proporcionar hasta 20 valores de filtro.

Al filtrar la lista de hallazgos, Security Hub aplica la lógica AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si agregas GuardDuty como filtro para el nombre del producto, yAwsS3Bucketcomo filtro para el tipo de recurso, los resultados coincidentes deben coincidir con ambos criterios.

Sin embargo, Security Hub aplica la lógica OR a los filtros que utilizan el mismo atributo pero valores distintos. Por ejemplo, puede añadir los dos GuardDuty y Amazon Inspector como valores de filtro para el nombre del producto. En ese caso, un hallazgo coincide si fue generado por GuardDuty o Amazon Inspector.

Para agregar un filtro a la lista de hallazgos

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de hallazgos, realice alguna de las siguientes operaciones:

    • En el panel de navegación Security Hub, en el panel deHallazgos.

    • En el panel de navegación Security Hub, en el panel deInformación detallada. Seleccione un insight A continuación, en la lista de resultados, seleccione un resultado de insight.

    • En el panel de navegación Security Hub, en el panel deIntegraciones. ElegirVer hallazgospara una integración.

  3. Elija el iconoAgregar filtros.

  4. En el menú, enFiltros, elija un filtro.

    Tenga en cuenta que cuando filtra porNombre de la empresaoNombre del producto, Security Hub utiliza el nivel superiorCompanyNameyProductName. La API usa los valores que están enProductFields.

  5. Elija el tipo de coincidencia de filtro.

    Para un filtro de cadenas, puede elegir entre las opciones siguientes:

    • es: busque un valor que coincida exactamente con el valor del filtro.

    • empieza por: busque un valor que comience por el valor del filtro.

    • no es: busque un valor que no coincida con el valor del filtro.

    • no empieza con: busque un valor que no comience por el valor del filtro.

    Para un filtro numérico, puede elegir si desea proporcionar un solo número (Sencillez) o un rango de números (Rango).

    Para un filtro de fecha u hora, puede elegir si desea proporcionar un período de tiempo a partir de la fecha y hora actuales (Ventana enrollable) o un intervalo de fechas determinado (Gama fija).

    La adición de varios filtros tiene las siguientes interacciones:

    • esyempieza porlos filtros están unidos por OR. Un valor coincide si contiene alguno de los valores de filtro. Por ejemplo, si especificaLa etiqueta de gravedad es CRÍTICAyLa etiqueta de gravedad es ALTA, los resultados incluyen hallazgos críticos y de alta gravedad.

    • no esyno empieza conlos filtros están unidos por AND. Un valor solo coincide si no contiene ninguno de esos valores de filtro. Por ejemplo, si especificaLa etiqueta de gravedad no es BAJAyLa etiqueta de gravedad no es MEDIA, los resultados no incluyen hallazgos de gravedad baja o media.

    Si tiene unesfiltro en un campo, no puede tener unno eso unno empieza confiltro en el mismo campo.

  6. Especifique el valor del filtro.

    Tenga en cuenta que, para los filtros de cadena, el valor del filtro distingue entre mayúsculas

    Por ejemplo, para los resultados de Security Hub,Nombre del productoes Security Hub. Si utiliza elEQUALSoperador para ver los resultados de Security Hub, debe introducirSecurity Hubcomo valor del filtro. Si escribe security hub, no se mostrarán hallazgos.

    Del mismo modo, si usa elPREFIJOoperador e introduzcaSec, se muestran los resultados de Security Hub. Si ingresassec, no se muestran los resultados de Security Hub.

  7. Seleccione Apply (Aplicar).

Agrupación de hallazgos

Además de cambiar los filtros, puede agrupar los hallazgos en función de los valores de un atributo seleccionado.

Al agrupar los hallazgos, la lista de hallazgos se reemplaza por una lista de valores para el atributo seleccionado en los hallazgos coincidentes. Para cada valor, la lista muestra el número de hallazgos que coinciden con los otros criterios de filtrado.

Por ejemplo, si agrupa los hallazgos por ID de cuenta de AWS, verá una lista de identificadores de cuenta con el número de hallazgos coincidentes de cada cuenta.

Tenga en cuenta que Security Hub solo puede mostrar 100 valores. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Al elegir un valor de atributo, se muestra la lista de hallazgos coincidentes para ese valor.

Para agrupar los hallazgos en una lista de hallazgos

  1. En la lista de búsqueda, seleccione la opciónAgregar filtros.

  2. En el menú, en Grouping (Agrupación), elija Group by (Agrupar por).

  3. En la lista, elija el atributo que desea utilizar para la agrupación.

  4. Seleccione Apply (Aplicar).

Cambio de un valor de filtro o de un atributo de

Puede cambiar el valor del filtro de un filtro existente. También puede cambiar el atributo de agrupación.

Por ejemplo, puede cambiar el filtro Record state (Estado de registro) para buscar los hallazgos ARCHIVED en lugar de los hallazgos ACTIVE.

Para editar un filtro o un atributo de agrupación

  1. En una lista de búsqueda filtrada, elija el atributo filter o group.

  2. ParaGroup by (Agrupar por), elija el nuevo atributo y, a continuación, elijaAplicar.

  3. Para un filtro, elija el nuevo valor y, a continuación,Aplicar.

Eliminación de un filtro o de un atributo de

Para eliminar un filtro o un atributo de agrupación, elijaxIcono .

La lista se actualiza automáticamente para reflejar el cambio. Al quitar el atributo de agrupación, la lista cambia de la lista de valores de campo a una lista de hallazgos.