結果のフィルタリングとグループ化 (コンソール) - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

結果のフィルタリングとグループ化 (コンソール)

[] の検出結果のリストを表示すると結果[] ページで次の操作を行います。統合ページ、またはインサイトページでは、レコードの状態とワークフローステータスに基づいてリストが常にフィルターされます。これは、インサイトまたは統合のためのフィルターに加えられます。

レコードの状態は、その結果がアクティブかアーカイブされているかを示します。結果は、結果プロバイダーによってアーカイブすることができます。AWS Security Hub は、関連付けられたリソースが削除された場合に、コントロールの結果を自動的にアーカイブします。デフォルトでは、結果リストにはアクティブな結果のみが表示されます。

ワークフローステータスは、結果に対する調査のステータスを示します。ワークフローステータスは、Security Hub のお客様、またはお客様に代わって運用しているシステムによってのみ更新できます。デフォルトでは、結果リストには、ワークフローステータスが NEW または NOTIFIED である結果のみが表示されます。コントロールの既定の結果リストには、RESOLVED 結果も含まれます。

コントロールの検索結果リストの操作方法については、「」コントロール検索リストのフィルタリング、ソート、およびダウンロード

フィルターの追加

リストの範囲を変更するために、リストにフィルターを追加できます。

最大 10 個の属性でフィルタリングできます。各属性に対して、最大 20 個のフィルタ値を指定できます。

結果リストをフィルタリングする場合、Security Hub は AND ロジックをフィルタのセットに適用します。つまり、検出結果は、提供されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、GuardDuty を製品名のフィルターとして追加すると、AwsS3Bucketリソースタイプのフィルタとして、一致する結果が、これらの両方の基準に一致する必要があります。

ただし、Security Hub は、同じ属性で異なる値を使用するフィルターに OR ロジックを適用します。たとえば、GuardDuty と Amazon Inspector の両方を製品名のフィルター値として追加します。その場合、GuardDuty または Amazon Inspector のいずれかによって生成された検索条件は一致します。

結果リストにフィルターを追加するには

  1. を開くAWS Security Hubのコンソールhttps://console.aws.amazon.com/securityhub/

  2. 検索リストを表示するには、次のいずれかを実行します。

    • [Security Hub] ナビゲーションペインで、[] を選択します。結果

    • [Security Hub] ナビゲーションペインで、[] を選択します。インサイト。インサイトの選択。次に、結果リストで、インサイトの結果を選択します。

    • [Security Hub] ナビゲーションペインで、[] を選択します。統合。選択調査結果を見る統合のために。

  3. [フィルタ処理を追加するボックスに移動するとそのように表示されます。

  4. メニューの [] で、フィルタで、フィルタを選択します。

    でフィルタリングすると注意してください。会社名または製品名、Security Hub はトップレベルを使用するCompanyNameおよびProductNameフィールド。API は、にある値を使用します。ProductFields

  5. フィルターの一致タイプを選択します。

    文字列フィルタでは、次の比較オプションから選択できます。

    • — フィルタ値と完全に一致する値を検索します。

    • で始まります— フィルタ値で始まる値を検索します。

    • そうではない— フィルタ値と一致しない値を検索します。

    • で始まらない— フィルタ値で始まらない値を検索します。

    数値フィルタでは、単一の数値 (シンプル) または数値の範囲 (範囲).

    日付または時刻フィルタの場合、現在の日付時刻からの時間の長さを指定できます (ローリングウィンドウ) または日付範囲 (固定範囲).

    複数のフィルターを追加すると、次の相互作用があります。

    • およびで始まりますフィルタは OR で結合されます。フィルタ値のいずれかが含まれている場合は、値が一致します。たとえば、重大度ラベルは重大度ですおよび重大度ラベルは高では、結果には重症度の高い結果と重症度の高い所見の両方が含まれます。

    • そうではないおよびで始まらないフィルターは AND で結合されます。値は、これらのフィルタ値を含まない場合にのみ一致します。たとえば、重大度ラベルは低くありませんおよび重大度ラベルはミディアムではありませんの場合、結果に低重症度または中程度の重症度の所見は含まれません。

    [] をお持ちの場合フィールドに対してフィルタを適用すると、そうではないまたはで始まらない同じフィールドでフィルタリングします。

  6. フィルター値を指定します。

    文字列フィルターの場合、フィルター値では大文字と小文字が区別されます。

    たとえば、Security Hub の検出結果については、製品名Security Hub です。♪EQUALSオペレータSecurity Hub からの結果を表示するには、次のように入力する必要があります。Security Hubフィルタ値を指定します。security hub と入力すると、結果は表示されません。

    同様に、プレフィックス演算子を入力し、次のように入力します。Secでは、Security Hub 結果が表示されます。入力するとsecでは、Security Hub 結果は表示されません。

  7. [Apply] を選択します。

結果のグループ化

フィルターを変更することに加えて、選択した属性の値に基づいて結果をグループ化することもできます。

検出結果をグループ化すると、検出結果のリストは、一致する検出結果内の選択した属性の値のリストに置き換えられます。値ごとに、他のフィルター条件に一致する結果の数がリストに表示されます。

たとえば、AWS アカウント ID で結果をグループ化すると、アカウント ID のリストと、各アカウントの一致する結果の数が表示されます。

Security Hub では 100 の値しか表示できないことに注意してください。100 を超えるグループ化値がある場合は、最初の 100 だけが表示されます。

属性値を選択すると、その値の一致結果のリストが表示されます。

結果リスト内の結果をグループ化するには

  1. 検索リストで、フィルタ処理を追加するボックスに移動するとそのように表示されます。

  2. メニューの [グループ化] で、[Group by (グループ化の条件)] を選択します。

  3. リストで、グループ化に使用する属性を選択します。

  4. [Apply] を選択します。

フィルター値またはグループ化属性の変更

既存のフィルターの場合、フィルター値を変更できます。グループ化属性を変更することもできます。

たとえば、[レコードの状態] フィルターを変更して、ACTIVE の結果ではなく ARCHIVED の結果を検索することができます。

フィルターまたはグループ化属性を編集するには

  1. フィルタされた検索リストで、フィルタまたはグループ化属性を選択します。

  2. を使用する場合グループ化の条件で、新しい属性を選択し、適用

  3. フィルターの場合は、新しい値を選択し、適用

フィルターまたはグループ化属性の削除

フィルターまたはグループ化の属性を削除するには、xアイコン.

リストが自動的に更新され、変更が反映されます。グループ化属性を削除すると、リストはフィールド値のリストから結果のリストに変わります。