翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
結果のフィルタリングとグループ化 (コンソール)
[Findings] (結果) ページ、[Integrations] (統合) ページ、または[Insights] (インサイト) ページからの結果のリストを表示する場合、リストは常にレコードの状態とワークフローステータスに基づいてフィルターリングされます。これは、インサイトまたは統合のフィルターに加えて追加されるフィルターです。
レコードの状態は、その結果がアクティブかアーカイブされているかを示します。検索結果は結果提供者がアーカイブできます。 AWS Security Hub また、関連するリソースが削除されると、検索結果はコントロール用に自動的にアーカイブされます。デフォルトでは、結果リストにはアクティブな結果のみが表示されます。
ワークフローステータスは、結果に対する調査のステータスを示します。ワークフローステータスは、Security Hubのお客様、またはお客様に代わって運用しているシステムのみが更新できます。デフォルトでは、結果リストには、ワークフローステータスが NEW
または NOTIFIED
の結果のみが表示されます。コントロールの既定の結果リストには、RESOLVED
結果も含まれます。
結果の集約を有効にした場合は、[Findings] (結果) および [Insights] (インサイト) ページで、結果をリージョン別にフィルタリングできます。
コントロールの結果リストを使用する方法についての詳細は、「コントロールの検出結果リストのフィルタリング、ソート、ダウンロード」を参照してください。
フィルターを追加する
リストの範囲を変更するには、リストにフィルターを追加できます。
最大 10 個の属性でフィルタリングできます。各属性に対して、最大 20 個のフィルター値を提供できます。
結果リストをフィルタリングする場合、Security Hub は AND ロジックをフィルターセットに適用します。つまり、結果は、指定されたすべてのフィルターに一致する場合にのみ一致となります。たとえば、 GuardDuty AwsS3Bucket
製品名のフィルタとリソースタイプのフィルタとして追加する場合、一致する結果はこれらの条件の両方に一致する必要があります。
ただし、同じ属性に異なる値を使用するフィルターの場合、Security Hub は OR ロジックを適用します。たとえば、製品名のフィルタ値として、 GuardDuty と Amazon Inspector の両方を追加します。その場合、結果はその結果が Amazon Inspector GuardDuty のどちらかによって生成されたものと一致します。
結果リストにフィルターを追加するには
https://console.aws.amazon.com/securityhub/ AWS Security Hub
でコンソールを開きます。 -
結果リストを表示するには、以下のいずれかを実行します。
-
Security Hub ナビゲーションペインで、[Findings] (結果) を選択します。
-
Security Hub ナビゲーションペインで、[Insights] (インサイト) を選択します。インサイトを選択します。次に、検出結果リストで、インサイトの結果を選択します。
-
Security Hub ナビゲーションペインで、[Integrations] (統合) を選択します。統合の [See findings] (結果を表示) を選択します。
-
-
[Add filters] (フィルターの追加) ボックスを選択します。
-
メニュー内にある [Filters] (フィルター) で、フィルターを選択します。
[Company name] (会社名) または [Product name] (製品名) でフィルタリングすると、Security Hub はトップレベルの
CompanyName
およびProductName
フィールドを使用するので注意が必要です。API は、ProductFields
にある値を使用します。 -
フィルターの一致タイプを選択します。
文字列フィルターの場合、次の比較オプションの中から選択できます。
-
is - フィルター値と完全に一致する値を検索します。
-
starts with - フィルター値で始まる値を検索します。
-
is not - フィルター値と一致しない値を検索します。
-
does not start with - フィルター値で始まらない値を検索します。
数値フィルターの場合、単一の数値 ([Simple] (シンプル)) を指定するか、数値の範囲 ([Range] (範囲)) を指定するかを選択できます。
日時フィルターの場合、現在の日時からの時間の長さ ([Rolling window] (ローリングウィンドウ)) を指定するか、特定の日付範囲 ([Fixed range] (固定範囲)) を指定するかを選択できます。
複数のフィルターを追加した場合、以下のように相互作用します。
-
is および starts with フィルターは OR で結合されます。フィルター値のいずれかが含まれている場合に、値が一致となります。例えば、[Severity label is CRITICAL] (重要度ラベルは重大) および [Severity label is HIGH] (重要度ラベルは高)と指定している場合、結果には重要度が重大な結果と重要度の高い結果の両方が含まれます。
-
is not および does not start with フィルターは AND で結合されます。値は、これらのフィルター値を一切含まなかった場合にのみ一致となります。例えば、[Severity label is not LOW] (重要度ラベルが低ではない) および [Severity label is not MEDIUM] (重要度ラベルは中ではない) と指定した場合、結果に重要度が低または中の結果は含まれません。
フィールドに is フィルターを適用した場合、同じフィールドに is not または does not start with フィルターを使用することはできません。
-
-
フィルター値を指定します。
文字列フィルターの場合、フィルター値では大文字と小文字が区別されます。
例えば、Security Hub からの結果の場合、[Product name] (製品名) は Security Hub です。EQUALS 演算子を使用して Security Hub からの結果を表示する場合は、フィルター値として
Security Hub
を入力する必要があります。security hub
と入力すると、一致結果には何も表示されません。同様に、PREFIX 演算子を使用して
Sec
と入力すると、Security Hub の結果が表示されますが、sec
と入力すると、Security Hub の一致結果には何も表示されません。 -
[Apply] (適用) を選択します。
結果をグループ化する
フィルターを変更することに加えて、選択した属性の値に基づいて結果をグループ化することもできます。
結果をグループ化すると、結果のリストが、一致する結果内の選択した属性の値のリストに置き換えられます。各値に対して、他のフィルター条件に一致する結果の数がリストに表示されます。
たとえば、結果を AWS アカウント ID でグループ化すると、アカウント ID のリストと、各アカウントの一致する結果の数が表示されます。
なお、Security Hub で表示できる値の数は最大 100 個です。グループ化値の数が 100 を超える場合、最初の 100 個のみが表示されます。
属性値を選択すると、その値と一致した結果のリストが表示されます。
結果リスト内の結果をグループ化するには
-
結果リストで、[Add filters] (フィルターを追加する) ボックスを選択します。
-
メニュー内にある [Grouping] (グループ化) で、[Group by] (グループ化の条件) を選択します。
-
リストで、グループ化に使用する属性を選択します。
-
[Apply] (適用) を選択します。
フィルター値またはグループ化属性を変更する
既存のフィルターの場合、フィルター値を変更することができます。グループ化属性を変更することもできます。
例えば、[Record state] (レコードの状態) フィルターを変更して、ACTIVE
の結果ではなく ARCHIVED
の結果を検索することができます。
フィルターまたはグループ化属性を編集するには
-
フィルタリングされた結果リストで、フィルターまたはグループ化属性を選択します。
-
[Group by] (グループ化の条件) で新しい属性を選択し、[Apply] (適用) を選択します。
-
フィルターの場合は新しい値を選択し、[Apply] (適用) を選択します。
フィルターまたはグループ化属性を削除する
フィルターまたはグループ化属性を削除するには、x アイコンを選択します。
リストが自動的に更新され、変更が反映されます。グループ化属性を削除すると、リストがフィールド値のリストから結果のリストへと戻ります。