Filtrer et regrouper les résultats dans Security Hub - AWS Security Hub
Ajouter ou modifier des filtresRegroupement des résultatsSupprimer un filtre ou un attribut de regroupement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Filtrer et regrouper les résultats dans Security Hub

Lorsque vous affichez une liste de résultats sur la page Résultats, la page Intégrations ou la page Insights de la console Security Hub, la liste est préfiltrée en fonction de l'état de l'enregistrement et du statut du flux de travail. Cela s'ajoute aux filtres pour un aperçu ou une intégration.

L'état de l'enregistrement indique si une découverte est active ou archivée. Par défaut, une liste de recherche affiche uniquement les résultats actifs. Le fournisseur de recherche peut archiver les résultats. AWS Security Hub archive également automatiquement les résultats des contrôles si la ressource associée est supprimée.

L'état du flux de travail indique l'état d'une enquête sur un résultat. Par défaut, une liste de résultats affiche uniquement ceux dont l’état du flux de travail est NEW ou NOTIFIED. Vous pouvez mettre à jour le statut du flux de travail d'une constatation.

Si vous avez activé l'agrégation de recherche et que vous êtes connecté à la région d'agrégation, vous pouvez filtrer les résultats par région sur les pages Résultats et Perspectives.

Pour plus d'informations sur l'utilisation des résultats des contrôles, consultezRésultats des contrôles de filtrage et de tri. Les informations de cette page s'appliquent aux listes de recherche sur les pages Résultats, Insights et Integrations.

Ajouter ou modifier des filtres

Pour modifier la portée de la liste, vous pouvez y ajouter des filtres.

Vous pouvez filtrer en fonction d'un maximum de 10 attributs. Pour chaque attribut, vous pouvez fournir jusqu'à 20 valeurs de filtre.

Lors du filtrage de la liste de recherche, Security Hub applique une AND logique à l'ensemble de filtres. En d'autres termes, un résultat ne coïncide que s'il correspond à tous les filtres fournis. Par exemple, si vous l'ajoutez GuardDuty en tant que filtre pour le nom du produit et AwsS3Bucket en tant que filtre pour le type de ressource, les résultats correspondants doivent correspondre à ces deux critères.

Security Hub applique toutefois la logique OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, vous ajoutez les deux GuardDuty et Amazon Inspector comme valeurs de filtre pour le nom du produit. Dans ce cas, un résultat correspond s'il a été généré par Amazon Inspector GuardDuty ou par Amazon Inspector.

Pour ajouter un filtre à la liste de recherche (console)

  1. Ouvrez le fichier AWS Security Hub console à https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

  3. Dans la zone Ajouter des filtres, pour Filtres, choisissez un filtre.

    Lorsque vous filtrez par nom de société ou par nom de produit, la console utilise le niveau supérieur CompanyName et ProductName les champs. APIUtilise les valeurs figurant dansProductFields.

  4. Choisissez le type de correspondance de filtre.

    Pour un filtre de chaîne, vous pouvez choisir l'une des options de comparaison suivantes :

    • is — Trouvez une valeur qui correspond exactement à la valeur du filtre.

    • commence par — Trouvez une valeur commençant par la valeur du filtre.

    • n'est pas — Trouvez une valeur qui ne correspond pas à la valeur du filtre.

    • ne commence pas par — Trouvez une valeur qui ne commence pas par la valeur du filtre.

    Pour un filtre numérique, vous pouvez choisir de fournir un nombre unique (Simple) ou une plage de nombres (Range).

    Pour un filtre de date ou d'heure, vous pouvez choisir de fournir une durée à partir de la date et de l'heure actuelles (fenêtre mobile) ou d'une plage de dates spécifique (plage fixe).

    L'ajout de plusieurs filtres entraîne les interactions suivantes :

    • est et commence par : les filtres sont joints par OR. Une valeur correspond si elle contient l'une des valeurs du filtre. Par exemple, si vous spécifiez que l'étiquette de gravité est CRITICAL et que l'étiquette de gravité est HIGH, les résultats incluent à la fois des résultats critiques et des résultats de gravité élevée.

    • n'est pas et ne commence pas par des filtres joints parAND. Une valeur correspond uniquement si elle ne contient aucune de ces valeurs de filtre. Par exemple, si vous spécifiez que l'étiquette de gravité n'est pas LOW et que l'étiquette de gravité ne l'est pasMEDIUM, les résultats n'incluent pas les résultats de gravité faible ou moyenne.

    Si vous avez un filtre « est » sur un champ, vous ne pouvez pas avoir de filtre « n'est pas » ou « ne commence pas par » sur le même champ.

  5. Spécifiez la valeur du filtre.

    Pour les filtres de chaîne, la valeur du filtre distingue les majuscules et minuscules.

    Par exemple, pour les résultats de Security Hub, le nom du produit est Security Hub. Si vous utilisez l'EQUALSopérateur pour consulter les résultats de Security Hub, vous devez saisir Security Hub la valeur du filtre. Si vous saisissez security hub, aucun résultat n'est affiché.

    De même, si vous utilisez l'PREFIXopérateur et que vous entrezSec, les résultats du Security Hub s'affichent. Si vous entrezsec, aucun résultat du Security Hub n'est affiché.

  6. Choisissez Appliquer.

Vous pouvez modifier la valeur du filtre pour un filtre existant. Dans une liste de recherche filtrée, choisissez le filtre. Dans la zone Modifier le filtre, choisissez la nouvelle valeur, puis choisissez Appliquer.

Regroupement des résultats

Outre la modification des filtres, vous pouvez regrouper les résultats en fonction des valeurs d'un attribut sélectionné.

Lorsque vous regroupez les résultats, la liste des résultats est remplacée par une liste de valeurs pour l'attribut sélectionné dans les résultats correspondants. Pour chaque valeur, la liste affiche le nombre de résultats correspondant aux autres critères de filtre.

Par exemple, si vous regroupez les résultats par Compte AWS ID, vous voyez une liste d'identifiants de compte, avec le nombre de résultats correspondants pour chaque compte.

Notez que Security Hub ne peut afficher que 100 valeurs. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières s'affichent.

Lorsque vous choisissez une valeur d'attribut, la liste des résultats correspondants pour cette valeur s'affiche.

Pour regrouper les résultats dans une liste de résultats (console)

  1. Ouvrez le fichier AWS Security Hub console à https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

  3. Dans le menu déroulant Regrouper par, choisissez l'attribut à utiliser pour le regroupement.

Supprimer un filtre ou un attribut de regroupement

Pour supprimer un filtre ou un attribut de regroupement, cliquez sur l'icône X.

La liste est mise à jour automatiquement pour refléter le changement. Lorsque vous supprimez l'attribut de regroupement, la liste passe de la liste des valeurs des champs à une liste de résultats.