Filtrage et regroupement des résultats (console) - AWS Security Hub
Ajout de filtresRegroupement des résultatsModification d'une valeur de filtre ou d'un attribut de regroupementSupprimer un attribut de filtre ou de regroupement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Filtrage et regroupement des résultats (console)

Lorsque vous affichez la liste des résultats duConstatationspage, laIntégrationspage, ouPerspectivespage, la liste est toujours filtrée en fonction de l'état de l'enregistrement et du statut du flux de travail. Cela s'ajoute aux filtres pour un aperçu ou une intégration.

L'état de l'enregistrement indique si le résultat est actif ou archivé. Un résultat peut être archivé par le fournisseur de recherche. AWS Security Hub archive également automatiquement les résultats des contrôles si la ressource associée est supprimée. Par défaut, une liste de résultats affiche uniquement les résultats actifs.

L’état du flux de travail indique le statut de l'enquête dans le résultat. L'état du flux de travail ne peut être mis à jour que par le client Security Hub ou par un système qui fonctionne pour le compte du client. Par défaut, une liste de résultats affiche uniquement ceux dont l’état du flux de travail est NEW ou NOTIFIED. La liste des résultats par défaut d'un contrôle inclut également les résultats RESOLVED.

Si vous avez activé la recherche d'agrégation, alors surConstatationsetPerspectivespages, vous pouvez filtrer les résultats par région.

Pour plus d'informations sur l'utilisation de la liste de recherche d'un contrôle, voirFiltrage, tri et téléchargement des résultats des contrôles.

Ajout de filtres

Pour modifier la portée de la liste, vous pouvez y ajouter des filtres.

Vous pouvez filtrer en fonction de 10 attributs au maximum. Pour chaque attribut, vous pouvez fournir jusqu'à 20 valeurs de filtre.

Lors du filtrage de la liste de résultats, Security Hub applique la logique AND à l'ensemble de filtres. En d'autres termes, un résultat ne coïncide que s'il correspond à tous les filtres fournis. Par exemple, si vous ajoutezGuardDutycomme filtre pour le nom du produit, etAwsS3Bucketen tant que filtre pour le type de ressource, les résultats correspondants doivent correspondre à ces deux critères.

Cependant, Security Hub applique la logique OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, vous ajoutez les deuxGuardDutyet Amazon Inspector comme valeurs de filtre pour le nom du produit. Dans ce cas, une recherche correspond si elle a été générée par l'un desGuardDutyou Amazon Inspector.

Pour ajouter un filtre à la liste de résultats

  1. Ouvrez leAWS Security Hubconsole àhttps://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de résultats, effectuez l'une des opérations suivantes :

    • Dans le volet de navigation de Security Hub, choisissezConstatations.

    • Dans le volet de navigation de Security Hub, choisissezPerspectives. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'analyse.

    • Dans le volet de navigation de Security Hub, choisissezIntégrations. ChoisissezVoir les résultatspour une intégration.

  3. Choisissez leAjouter des filtresboîte.

  4. Dans le menu, sousFiltres, choisissez un filtre.

    Notez que lorsque vous filtrez parNom de l'entrepriseouNom du produit, Security Hub utilise le niveau supérieurCompanyNameetProductNamechamps. L'API utilise les valeurs qui se trouvent dansProductFields.

  5. Choisissez le type de correspondance de filtre.

    Pour un filtre de chaîne, vous pouvez choisir parmi les options de comparaison suivantes :

    • est— Trouvez une valeur qui correspond exactement à la valeur du filtre.

    • commence par— Trouve une valeur qui commence par la valeur du filtre.

    • n'est pas— Trouve une valeur qui ne correspond pas à la valeur du filtre.

    • ne commence pas par— Trouve une valeur qui ne commence pas par la valeur du filtre

    Pour un filtre numérique, vous pouvez choisir de fournir un seul numéro (Simple) ou une plage de nombres (Gamme).

    Pour un filtre de date ou d'heure, vous pouvez choisir de fournir une durée à partir de la date et de l'heure actuelles (Fenêtre roulante) ou une plage de dates spécifique (Portée fixe).

    L'ajout de plusieurs filtres entraîne les interactions suivantes :

    • estetcommence parles filtres sont joints par OR. Une valeur correspond si elle contient l'une des valeurs du filtre. Par exemple, si vous spécifiezL'étiquette de gravité est CRITIQUEetL'étiquette de gravité est ÉLEVÉE, les résultats incluent à la fois des résultats critiques et des résultats de gravité élevée.

    • n'est pasetne commence pas parles filtres sont joints par AND. Une valeur ne correspond que si elle ne contient aucune de ces valeurs de filtre. Par exemple, si vous spécifiezL'étiquette de gravité n'est pas FAIBLEetL'étiquette de gravité n'est pas MOYENNE, les résultats n'incluent pas les résultats de gravité faible ou moyenne.

    Si vous avez unestfiltre sur un champ, vous ne pouvez pas avoir den'est pasou unne commence pas parfiltre sur le même champ.

  6. Spécifiez la valeur du filtre.

    Notez que pour les filtres de chaîne, la valeur du filtre distingue les majuscules des minuscules.

    Par exemple, pour les résultats de Security Hub,Nom du produitest Security Hub. Si vous utilisezÉQUIVAUT Àopérateur pour voir les résultats de Security Hub, vous devez entrerSecurity Hubcomme valeur de filtre. Si vous saisissez security hub, aucun résultat n'est affiché.

    De même, si vous utilisez lePRÉFIXEopérateur, puis entrezSec, les résultats du Security Hub s'affichent. Si vous entrezsec, aucun résultat du Security Hub ne s'affiche.

  7. Choisissez Apply (Appliquer).

Regroupement des résultats

Outre la modification des filtres, vous pouvez regrouper les résultats en fonction des valeurs d'un attribut sélectionné.

Lorsque vous regroupez les résultats, la liste des résultats est remplacée par une liste de valeurs pour l'attribut sélectionné dans les résultats correspondants. Pour chaque valeur, la liste affiche le nombre de résultats correspondant aux autres critères de filtre.

Par exemple, si vous regroupez les résultats parCompte AWSID, vous voyez une liste d'identifiants de compte, avec le nombre de résultats correspondants pour chaque compte.

Notez que Security Hub ne peut afficher que 100 valeurs. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières sont affichées.

Lorsque vous choisissez une valeur d'attribut, la liste des résultats correspondants pour cette valeur s'affiche.

Pour regrouper les résultats dans une liste de résultats

  1. Dans la liste des résultats, choisissezAjouter des filtresboîte.

  2. Dans le menu, sous Grouping (Regroupement), choisissez Group by (Regrouper par).

  3. Dans la liste, choisissez l'attribut à utiliser pour le regroupement.

  4. Choisissez Apply (Appliquer).

Modification d'une valeur de filtre ou d'un attribut de regroupement

Vous pouvez modifier la valeur du filtre pour un filtre existant. Vous pouvez également modifier l'attribut de regroupement.

Par exemple, vous pouvez modifier le filtre Record state (État de l'enregistrement) pour rechercher les résultats ARCHIVED plutôt que ceux ACTIVE.

Pour modifier un attribut de filtre ou de regroupement

  1. Dans une liste de recherche filtrée, choisissez l'attribut de filtre ou de regroupement.

  2. PourRegrouper par, choisissez le nouvel attribut, puis choisissezAppliquer.

  3. Pour un filtre, choisissez la nouvelle valeur, puis choisissezAppliquer.

Supprimer un attribut de filtre ou de regroupement

Pour supprimer un attribut de filtre ou de regroupement, choisissezxicône.

La liste est automatiquement mise à jour pour refléter le changement. Lorsque vous supprimez l'attribut de regroupement, la liste passe de la liste des valeurs de champ à une liste de résultats.