Filtrer et regrouper les résultats (console) - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Filtrer et regrouper les résultats (console)

Lorsque vous affichez une liste de résultats depuis la page Conclusions, la page Intégrations ou la page Insights, la liste est toujours filtrée en fonction de l'état de l'enregistrement et du statut du flux de travail. Cela s'ajoute aux filtres pour un aperçu ou une intégration.

L'état de l'enregistrement indique si le résultat est actif ou archivé. Une recherche peut être archivée par le fournisseur de recherche. AWS Security Hub archive également automatiquement les résultats pour les contrôles si la ressource associée est supprimée. Par défaut, une liste de résultats affiche uniquement les résultats actifs.

L’état du flux de travail indique le statut de l'enquête dans le résultat. L'état du flux de travail ne peut être mis à jour que par le client Security Hub ou par un système fonctionnant pour le compte du client. Par défaut, une liste de résultats affiche uniquement ceux dont l’état du flux de travail est NEW ou NOTIFIED. La liste des résultats par défaut d'un contrôle inclut également les résultats RESOLVED.

Si vous avez activé l'agrégation des résultats, vous pouvez filtrer les résultats par région sur les pages Résultats et Perspectives.

Pour plus d'informations sur l'utilisation de la liste de recherche d'un contrôle, consultezFiltrer, trier et télécharger les résultats des contrôles.

Ajout de filtres

Pour modifier la portée de la liste, vous pouvez y ajouter des filtres.

Vous pouvez filtrer en fonction d'un maximum de 10 attributs. Pour chaque attribut, vous pouvez fournir jusqu'à 20 valeurs de filtre.

Lors du filtrage de la liste de recherche, Security Hub applique la logique AND à l'ensemble de filtres. En d'autres termes, un résultat ne coïncide que s'il correspond à tous les filtres fournis. Par exemple, si vous l'ajoutez GuardDuty en tant que filtre pour le nom du produit et AwsS3Bucket en tant que filtre pour le type de ressource, les résultats correspondants doivent correspondre à ces deux critères.

Security Hub applique toutefois la logique OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, vous ajoutez les deux GuardDuty et Amazon Inspector comme valeurs de filtre pour le nom du produit. Dans ce cas, un résultat correspond s'il a été généré par Amazon Inspector GuardDuty ou par Amazon Inspector.

Pour ajouter un filtre à la liste de résultats
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

  3. Choisissez la case Ajouter des filtres.

  4. Dans le menu, sous Filtres, choisissez un filtre.

    Notez que lorsque vous filtrez par nom de société ou par nom de produit, Security Hub utilise le niveau supérieur CompanyName et ProductName les champs. L'API utilise les valeurs figurant dansProductFields.

  5. Choisissez le type de correspondance de filtre.

    Pour un filtre de chaîne, vous pouvez choisir l'une des options de comparaison suivantes :

    • is — Trouvez une valeur qui correspond exactement à la valeur du filtre.

    • commence par — Trouvez une valeur commençant par la valeur du filtre.

    • n'est pas — Trouvez une valeur qui ne correspond pas à la valeur du filtre.

    • ne commence pas par — Trouvez une valeur qui ne commence pas par la valeur du filtre.

    Pour un filtre numérique, vous pouvez choisir de fournir un nombre unique (Simple) ou une plage de nombres (Range).

    Pour un filtre de date ou d'heure, vous pouvez choisir de fournir une durée à partir de la date et de l'heure actuelles (fenêtre mobile) ou d'une plage de dates spécifique (plage fixe).

    L'ajout de plusieurs filtres entraîne les interactions suivantes :

    • est et commence par : les filtres sont joints par OR. Une valeur correspond si elle contient l'une des valeurs du filtre. Par exemple, si vous spécifiez que l'étiquette de gravité est CRITIQUE et que l'étiquette de gravité est ÉLEVÉE, les résultats incluent à la fois des résultats critiques et des résultats de gravité élevée.

    • n'est pas et ne commence pas par : les filtres sont joints par AND. Une valeur correspond uniquement si elle ne contient aucune de ces valeurs de filtre. Par exemple, si vous spécifiez que l'étiquette de gravité n'est pas FAIBLE et que l'étiquette de gravité n'est pas MOYENNE, les résultats n'incluent pas les résultats de gravité faible ou moyenne.

    Si vous avez un filtre « est » sur un champ, vous ne pouvez pas avoir de filtre « n'est pas » ou « ne commence pas par un filtre » sur le même champ.

  6. Spécifiez la valeur du filtre.

    Notez que pour les filtres de chaîne, la valeur du filtre distingue les majuscules et minuscules.

    Par exemple, pour les résultats de Security Hub, le nom du produit est Security Hub. Si vous utilisez l'opérateur EQUALS pour consulter les résultats de Security Hub, vous devez saisir Security Hub la valeur du filtre. Si vous saisissez security hub, aucun résultat n'est affiché.

    De même, si vous utilisez l'opérateur PREFIX et que vous entrezSec, les résultats du Security Hub s'affichent. Si vous entrezsec, aucun résultat du Security Hub n'est affiché.

  7. Choisissez Appliquer.

Regroupement des résultats

Outre la modification des filtres, vous pouvez regrouper les résultats en fonction des valeurs d'un attribut sélectionné.

Lorsque vous regroupez les résultats, la liste des résultats est remplacée par une liste de valeurs pour l'attribut sélectionné dans les résultats correspondants. Pour chaque valeur, la liste affiche le nombre de résultats correspondant aux autres critères de filtre.

Par exemple, si vous regroupez les résultats par Compte AWS identifiant, vous verrez une liste d'identifiants de compte, avec le nombre de résultats correspondants pour chaque compte.

Notez que Security Hub ne peut afficher que 100 valeurs. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières s'affichent.

Lorsque vous choisissez une valeur d'attribut, la liste des résultats correspondants pour cette valeur s'affiche.

Pour regrouper les résultats dans une liste de résultats
  1. Dans la liste de recherche, sélectionnez la case Ajouter des filtres.

  2. Dans le menu, sous Grouping (Regroupement), choisissez Group by (Regrouper par).

  3. Dans la liste, choisissez l'attribut à utiliser pour le regroupement.

  4. Choisissez Appliquer.

Modification d'une valeur de filtre ou d'un attribut de regroupement

Vous pouvez modifier la valeur du filtre pour un filtre existant. Vous pouvez également modifier l'attribut de regroupement.

Par exemple, vous pouvez modifier le filtre Record state (État de l'enregistrement) pour rechercher les résultats ARCHIVED plutôt que ceux ACTIVE.

Pour modifier un attribut de filtre ou de regroupement
  1. Dans une liste de recherche filtrée, choisissez l'attribut de filtre ou de regroupement.

  2. Pour Regrouper par, choisissez le nouvel attribut, puis sélectionnez Appliquer.

  3. Pour un filtre, choisissez la nouvelle valeur, puis cliquez sur Appliquer.

Supprimer un filtre ou un attribut de regroupement

Pour supprimer un filtre ou un attribut de regroupement, cliquez sur l'icône X.

La liste est mise à jour automatiquement pour refléter le changement. Lorsque vous supprimez l'attribut de regroupement, la liste des valeurs des champs redevient une liste de résultats.