Filtraggio e raggruppamento dei risultati in Security Hub - AWS Security Hub
Aggiungere o modificare filtriRaggruppamento dei risultatiEliminazione di un filtro o di un attributo di raggruppamento

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Filtraggio e raggruppamento dei risultati in Security Hub

Quando si visualizza un elenco di risultati nella pagina Risultati, nella pagina Integrazioni o nella pagina Insights della console Security Hub, l'elenco viene prefiltrato in base allo stato del record e allo stato del flusso di lavoro. Questo si aggiunge ai filtri per un'analisi o un'integrazione.

Lo stato del record indica se un risultato è attivo o archiviato. Per impostazione predefinita, un elenco di risultati mostra solo i risultati attivi. Un risultato può essere archiviato dal fornitore dei risultati. AWS Security Hub inoltre, archivia automaticamente i risultati del controllo se la risorsa associata viene eliminata.

Lo stato del flusso di lavoro indica lo stato di un'indagine su un risultato. Per impostazione predefinita, un elenco di risultati mostra solo risultati con uno stato del flusso di lavoro NEW o NOTIFIED. È possibile aggiornare lo stato del flusso di lavoro di un risultato.

Se hai abilitato l'aggregazione dei risultati e hai effettuato l'accesso alla regione di aggregazione, puoi filtrare i risultati per regione nelle pagine Findings e Insights.

Per informazioni sull'utilizzo dei risultati del controllo, consulta. Filtraggio e ordinamento dei risultati del controllo Le informazioni contenute in questa pagina si riferiscono alla ricerca di elenchi nelle pagine Findings, Insights e Integrations.

Aggiungere o modificare filtri

Per modificare l'ambito dell'elenco, è possibile aggiungere i filtri.

Puoi filtrare in base a un massimo di 10 attributi. Per ogni attributo, puoi fornire fino a 20 valori di filtro.

Quando filtra l'elenco dei risultati, Security Hub applica la AND logica al set di filtri. In altre parole, un risultato corrisponde solo se corrisponde a tutti i filtri forniti. Ad esempio, se si aggiunge GuardDuty come filtro per il nome del prodotto e AwsS3Bucket come filtro per il tipo di risorsa, i risultati corrispondenti devono soddisfare entrambi questi criteri.

Tuttavia, Security Hub applica la logica OR ai filtri che utilizzano lo stesso attributo ma valori diversi. Ad esempio, aggiungi entrambi GuardDuty e Amazon Inspector come valori di filtro per il nome del prodotto. In tal caso, un risultato corrisponde se è stato generato da uno dei due GuardDuty o da Amazon Inspector.

Per aggiungere un filtro all'elenco dei risultati (console)

  1. Aprire il AWS Security Hub console presso https://console.aws.amazon.com/securityhub/.

  2. Per visualizzare un elenco di risultati, effettuate una delle seguenti operazioni:

    • Nel riquadro di navigazione di Security Hub, scegli Findings.

    • Nel riquadro di navigazione Security Hub, scegli Insights. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.

    • Nel riquadro di navigazione Security Hub, scegli Integrazioni. Scegli Vedi i risultati per un'integrazione.

  3. Nella casella Aggiungi filtri, per Filtri, scegli un filtro.

    Quando filtri in base al nome dell'azienda o al nome del prodotto, la console utilizza il livello CompanyName e ProductName i campi principali. APIUtilizza i valori presenti inProductFields.

  4. Scegliere il tipo di corrispondenza del filtro.

    Per un filtro a stringa, puoi scegliere tra le seguenti opzioni di confronto:

    • è: trova un valore che corrisponda esattamente al valore del filtro.

    • inizia con: trova un valore che inizi con il valore del filtro.

    • non è: trova un valore che non corrisponde al valore del filtro.

    • non inizia con: trova un valore che non inizia con il valore del filtro.

    Per un filtro numerico, puoi scegliere se fornire un numero singolo (Semplice) o un intervallo di numeri (Intervallo).

    Per un filtro di data o ora, puoi scegliere se fornire un intervallo di tempo compreso tra la data e l'ora correnti (finestra scorrevole) o un intervallo di date specifico (intervallo fisso).

    L'aggiunta di più filtri comporta le seguenti interazioni:

    • is e inizia con i filtri sono uniti da OR. Un valore corrisponde se contiene uno qualsiasi dei valori del filtro. Ad esempio, se si specifica che l'etichetta di gravità è CRITICAL e L'etichetta di gravità è HIGH, i risultati includono sia i risultati critici che quelli di severità elevata.

    • non è e non inizia con i filtri sono uniti daAND. Un valore corrisponde solo se non contiene nessuno di questi valori di filtro. Ad esempio, se si specifica che l'etichetta di gravità non è LOW e L'etichetta di gravità non lo è MEDIUM, i risultati non includono i risultati di gravità bassa o media.

    Se hai un filtro is su un campo, non puoi avere un filtro is o non inizia con un filtro sullo stesso campo.

  5. Specificare il valore del filtro.

    Per i filtri a stringa, il valore del filtro fa distinzione tra maiuscole e minuscole.

    Ad esempio, per i risultati di Security Hub, il nome del prodotto è Security Hub. Se si utilizza l'EQUALSoperatore per visualizzare i risultati di Security Hub, è necessario immettere Security Hub come valore del filtro. Se si immette security hub, non vengono visualizzati risultati.

    Allo stesso modo, se si utilizza l'PREFIXoperatore e si immetteSec, vengono visualizzati i risultati del Security Hub. Se si inseriscesec, non viene visualizzato alcun risultato del Security Hub.

  6. Scegli Applica.

Puoi modificare il valore di filtro per un filtro esistente. In un elenco di risultati filtrato, scegli il filtro. Nella casella Modifica filtro, scegli il nuovo valore, quindi scegli Applica.

Raggruppamento dei risultati

Oltre a modificare i filtri, puoi raggruppare i risultati in base ai valori di un attributo selezionato.

Quando si raggruppano i risultati, l'elenco dei risultati viene sostituito con un elenco di valori per l'attributo selezionato nei risultati corrispondenti. Per ogni valore, l'elenco mostra il numero di risultati che corrispondono agli altri criteri di filtro.

Ad esempio, se si raggruppano i risultati per Account AWS ID, viene visualizzato un elenco di identificatori di account, con il numero di risultati corrispondenti per ogni account.

Tieni presente che Security Hub può visualizzare solo 100 valori. Se sono presenti più di 100 valori di raggruppamento, vengono visualizzati solo i primi 100.

Quando si sceglie un valore di attributo, viene visualizzato l'elenco dei risultati corrispondenti per quel valore.

Per raggruppare i risultati in un elenco di risultati (console)

  1. Aprire il AWS Security Hub console presso https://console.aws.amazon.com/securityhub/.

  2. Per visualizzare un elenco di risultati, effettuate una delle seguenti operazioni:

    • Nel riquadro di navigazione di Security Hub, scegli Findings.

    • Nel riquadro di navigazione Security Hub, scegli Insights. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.

    • Nel riquadro di navigazione Security Hub, scegli Integrazioni. Scegli Vedi i risultati per un'integrazione.

  3. Nel menu a discesa Raggruppa per, scegli l'attributo da utilizzare per il raggruppamento.

Eliminazione di un filtro o di un attributo di raggruppamento

Per eliminare un attributo di filtro o di raggruppamento, scegliete l'icona x.

L'elenco viene aggiornato automaticamente in base alla modifica. Quando rimuovi l'attributo di raggruppamento, l'elenco passa dall'elenco dei valori dei campi a un elenco di risultati.