篩選和分組發現項目 (主控台) - AWS Security Hub
新增篩選條件分組問題清單變更篩選器值或群組屬性刪除篩選器或群組屬性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

篩選和分組發現項目 (主控台)

當您從「現項目」頁面、「整合」頁面或「見解」頁面顯示發現項目清單時,一律會根據記錄狀態和工作流程狀態篩選清單。這是用於洞察或集成的過濾器的補充。

記錄狀態指出問題清單處於作用中還是已存檔狀態。尋找項目提供者可以封存搜尋結果。 AWS Security Hub 如果刪除關聯的資源,也會自動封存控制項的發現項目。根據預設,問題清單只會顯示作用中的問題清單。

工作流程狀態指出問題清單的調查狀態。工作流程狀態只能由 Security Hub 客戶或代表客戶操作的系統更新。根據預設,問題清單只會顯示工作流程狀態為 NEWNOTIFIED 的問題清單。預設控制項的問題清單也會包含 RESOLVED 問題清單。

如果您已啟用尋找彙總,則可以在「發現項目」和「見解」頁面上,依「區域」篩選發現項目。

如需使用控制項尋找清單的資訊,請參閱〈〉篩選、排序和下載控制項發現項目

新增篩選條件

如要變更清單的範圍,您可以新增篩選條件。

您最多可以篩選 10 個屬性。對於每個屬性,您最多可以提供 20 個篩選值。

篩選尋找項目清單時,Security Hub 會將 AND 邏輯套用至篩選器集合。換句話說,只有當問題清單符合所有提供的篩選條件時,才會相符。例如,如果您新增 GuardDuty 為產品名稱的篩選器,並新增AwsS3Bucket為資源類型的篩選器,則符合的發現項目必須符合這兩個條件。

不過,Security Hub 會將 OR 邏輯套用至使用相同屬性但不同值的篩選器。例如,您將兩者 GuardDuty 和 Amazon Inspector 器添加為產品名稱的過濾器值。在這種情況下,發現匹配,如果它是由 GuardDuty 或 Amazon Inspector 生成的。

將篩選條件新增到問題清單

  1. 請在以下位置開啟 AWS Security Hub 主控台。 https://console.aws.amazon.com/securityhub/

  2. 若要顯示發現項目清單,請執行下列任一項作業:

    • 在 [安全中心] 瀏覽窗格中,選擇 [發現項目]

    • 在 [資訊 Security Hub] 瀏覽窗格中,選擇 [見解] 選擇一個洞察力。然後在結果清單上,選擇深入解析結果。

    • 在 [安全性中心] 功能窗格中,選擇 [整合]。選擇「查看整合的發現項目」。

  3. 選擇「新增篩選器」方塊。

  4. 在功能表中的「篩選」下,選擇一個篩選器。

    請注意,當您依 [公司名稱] 或 [產品名稱] 篩選時,Security Hub 會使用頂層CompanyNameProductName欄位。API 會使用中的值ProductFields

  5. 選擇篩選條件比對類型。

    對於字串篩選器,您可以從下列比較選項中選擇:

    • is — 尋找與篩選器值完全相符的值。

    • 開頭為 — 尋找以篩選值開頭的值。

    • is not — 尋找與篩選值不相符的值。

    • 不開頭為 — 尋找不以篩選值開頭的值。

    對於數字篩選,您可以選擇是提供單一數字 (單) 還是數字範圍 (範圍)。

    對於日期或時間篩選器,您可以選擇是從目前的日期和時間 (滾動視窗) 或特定日期範圍 (固定範圍) 提供時間長度。

    新增多個篩選器具有下列互動:

    • is以篩選器開頭由 OR 連接。如果值包含任何篩選值,則相符。例如,如果您指定「嚴重性」標籤為「嚴重」,而「嚴重性」標籤為「高」,則結果會同時包含嚴重性和高嚴重性發現項

    • 不是也不是以篩選器開頭,由 AND 加入。只有當值不包含任何這些篩選值時,才符合該值。例如,如果您指定「嚴重性」標籤不是「低」且「嚴重性」標籤不是「中」,則結果不會包含低或中嚴重性發現項目。

    如果您在欄位上有篩選器,則不能在同一欄位上使用 is not 或不以篩選器開頭

  6. 指定篩選條件值。

    請注意,對於字串篩選器,篩選值是區分大小寫的。

    例如,對於來自 Security Hub 的發現項目,產品名稱為「Security Hub」。如果您使用 EQUALS 運算子查看來自 Security Hub 的發現項目,您必須輸入Security Hub作為篩選器值。如果您輸入 security hub,則不會顯示任何問題清單。

    同樣地,如果您使用 PREFIX 運算子,並輸入Sec,則會顯示 Security Hub 發現項目。如果您輸入sec,則不會顯示「Security Hub」發現項目。

  7. 選擇套用

分組問題清單

除了變更篩選器之外,您還可以根據所選屬性的值來分組發現項目。

當您將發現項目分組時,發現項目清單會取代為相符發現項目中所選屬性的值清單。對於每個值,清單會顯示符合其他篩選準則的發現項目數目。

例如,如果您依 AWS 帳戶 ID 將發現項目分組,您會看到帳戶識別碼清單,以及每個帳戶的相符發現項目數目。

請注意,Security Hub 只能顯示 100 個值。如果群組值超過 100,您只會看到前 100 個。

當您選擇屬性值時,會顯示該值的相符發現項目清單。

在問題清單中分組問題清單

  1. 在尋找項目清單中,選擇 [新增篩選器] 方塊。

  2. 在選單中,選擇位於 Grouping (分組) 下方的 Group by (分組依據)

  3. 在清單中,選擇要用於分組的屬性。

  4. 選擇套用

變更篩選器值或群組屬性

針對現有篩選條件,您可以變更篩選條件值。您也可以變更群組屬性。

例如,您可以變更 Record state (記錄狀態) 篩選條件,尋找 ARCHIVED 問題清單,而非 ACTIVE 問題清單。

編輯篩選條件或群組屬性的步驟

  1. 在篩選的發現項目清單上,選擇篩選或群組屬性。

  2. 在「分組依據」中,選擇新屬性,然後選擇「套用」。

  3. 對於篩選器,請選擇新值,然後選擇「套用」。

刪除篩選器或群組屬性

若要刪除篩選或群組屬性,請選擇 x 圖示。

清單會自動更新以反映變更。當您移除分組屬性時,清單會從欄位值清單變回發現項目清單。