소견 필터링 및 그룹화(콘솔) - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

소견 필터링 및 그룹화(콘솔)

에서 소견 목록을 표시할 때 소견 페이지, 통합 페이지 또는 통찰력 페이지의 경우, 목록은 항상 레코드 상태 및 워크플로 상태를 기준으로 필터링됩니다. 이는 통찰력 또는 통합을 위한 필터에 추가됩니다.

레코드 상태는 결과가 활성 상태인지 보관 상태인지 여부를 나타냅니다. 결과는 결과 공급자가 보관할 수 있습니다. 연결된 리소스가 삭제되면 AWS Security Hub도 컨트롤에 대한 결과를 자동으로 보관합니다. 기본적으로 결과 목록에는 활성 결과만 표시됩니다.

워크플로 상태는 결과에 대한 조사 상태를 나타냅니다. 워크플로 상태는 Security Hub 고객 또는 고객을 대신하여 운영되는 시스템. 기본적으로 결과 목록에는 다음과 같은 워크플로 상태의 소견만 표시됩니다. NEW 또는 NOTIFIED. 컨트롤의 기본 결과 목록에는 다음도 포함됩니다. RESOLVED 소견.

정도관리물질의 결과 목록 작업에 대한 자세한 내용은 을 참조하십시오. 제어 결과 목록 필터링, 정렬 및 다운로드.

필터 추가

목록 범위를 변경하려면 필터를 추가할 수 있습니다.

최대 10개의 애트리뷰트로 필터링할 수 있습니다. 각 애트리뷰트에 대해 최대 20개의 필터 값을 제공할 수 있습니다.

결과 목록을 필터링할 때는 Security Hub에서 필터 집합에 AND 논리를 적용합니다. 즉, 결과는 제공된 모든 필터와 일치해야 합니다. 예를 들어 필터가 “제품 이름이 GuardDuty임” 및 “리소스 유형이 AwsS3Bucket임“인 경우 일치하는 결과는 이 두 기준과 일치해야 합니다.

그러나 Security Hub에서는 속성은 동일하지만 다른 값을 사용하는 필터에 OR 로직을 적용합니다. 예를 들어 필터가 "제품 이름"이라고 가정합니다. GuardDuty" 및 "제품명: Amazon Inspector." 이 경우, 다음 중 하나에 의해 생성된 경우 결과가 일치합니다. GuardDuty 또는 Amazon Inspector.

결과 목록에 필터를 추가하려면

  1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

  2. 소견 목록을 표시하려면 다음 중 하나를 수행합니다.

    • 에서 Security Hub 탐색 창에서 소견.

    • 에서 Security Hub 탐색 창에서 통찰력. 통찰력을 선택합니다. 그런 다음 결과 목록에서 통찰력 결과를 선택합니다.

    • Security Hub 탐색 창에서 통합을 선택합니다. 선택 소견 보기 통합용.

  3. 다음을 선택하십시오. 필터 추가 상자.

  4. 메뉴에서 필터, 필터 를 선택합니다.

  5. 필터 일치 유형을 선택합니다.

    문자열 필터의 경우 다음 비교 옵션 중에서 선택할 수 있습니다.

    • 은(는) – 필터 값과 정확히 일치하는 값을 찾습니다.

    • 시작 – 필터 값으로 시작하는 값을 찾습니다.

    • 은(는) – 필터 값과 일치하지 않는 값을 찾습니다.

    • 로 시작하지 않습니다. – 필터 값 으로 시작하지 않는 값을 찾습니다.

    숫자 필터의 경우 단일 번호(단순함또는 숫자 범위(범위).

    날짜 또는 시간 필터의 경우 현재 날짜 시간(롤링 윈도우) 또는 날짜 범위(고정 범위).

    여러 필터를 추가하면 다음과 같은 상호 작용이 발생합니다.

    • 은(는)시작 필터는 OR 에 의해 조인됩니다. 필터 값이 포함된 경우 값이 일치합니다. 예를 들어, 심각도 레이블은 매우 중요합니다.심각도 레이블이 높음, 결과에는 중대하고 높은 중증도의 소견이 모두 포함된다.

    • 은(는)로 시작하지 않습니다. 필터는 AND 로 연결됩니다. 필터 값이 없는 경우에만 값이 일치합니다. 예를 들어, 심각도 레이블이 낮음이 아님심각도 레이블이 중간이 아닙니다., 결과는 낮은 또는 중간 중증도 소견을 포함하지 않는다.

    만약 귀하가 은(는) 필드에 대해 필터링을 수행하면 은(는) 또는 로 시작하지 않습니다. 같은 필드에서 필터링합니다.

  6. 필터 값을 지정합니다.

    문자열 필터의 경우 필터 값은 대소문자를 구분합니다.

    예를 들어 Security Hub의 결과는 제품 이름이 Security Hub입니다. Security Hub의 결과를 보기 위해 EQUALS 연산자를 사용하는 경우 Security Hub를 필터 값으로 입력해야 합니다. security hub를 입력하면 결과가 표시되지 않습니다.

    마찬가지로 PREFIX 연산자를 사용하고 Sec를 입력하면 Security Hub 결과가 표시됩니다. sec를 입력하면 Security Hub 결과가 표시되지 않습니다.

  7. 적용을 선택합니다.

결과 그룹화

필터를 변경하는 것 외에도 선택한 애트리뷰트의 값을 기반으로 소견을 그룹화할 수 있습니다.

소견을 그룹화하면 일치하는 소견에서 선택한 속성에 대한 값 목록으로 소견 목록이 대체됩니다. 각 값에 대해 목록에 다른 필터 기준과 일치하는 소견 수가 표시됩니다.

예를 들어 결과를 AWS 계정 ID별로 그룹화하면 각 계정에 일치하는 결과 수와 함께 계정 식별자 목록이 표시됩니다.

애트리뷰트 값을 선택하면 해당 값에 대한 일치하는 소견 목록이 표시됩니다.

결과 목록에서 결과를 그룹화하려면

  1. 소견 목록에서 필터 추가 상자.

  2. 메뉴의 Grouping(그룹화) 아래에서 Group by(그룹화 기준)를 선택합니다.

  3. 목록에서 그룹화에 사용할 애트리뷰트를 선택합니다.

  4. 적용을 선택합니다.

필터 값 또는 그룹화 애트리뷰트 변경

기존 필터의 경우 필터 값을 변경할 수 있습니다. 그룹화 특성도 변경할 수 있습니다.

예를 들어 ACTIVE 결과 대신 ARCHIVED 결과를 찾도록 Record state(레코드 상태) 필터를 변경할 수 있습니다.

필터 또는 그룹화 애트리뷰트를 편집하려면

  1. 필터링된 소견 목록에서 필터 또는 그룹화 애트리뷰트를 선택합니다.

  2. 대상 그룹화 기준새 애트리뷰트를 선택한 다음 적용.

  3. 필터의 경우 새 값을 선택한 다음 적용.

필터 또는 그룹화 애트리뷰트 삭제

필터 또는 그룹화 애트리뷰트를 삭제하려면 x 아이콘.

변경 사항을 반영하도록 목록이 자동으로 업데이트됩니다. 그룹화 속성을 제거하면 목록이 필드 값 목록에서 결과 목록으로 다시 변경됩니다.