本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
篩選和分組發現項目 (主控台)
當您從「發現項目」頁面、「整合」頁面或「見解」頁面顯示發現項目清單時,一律會根據記錄狀態和工作流程狀態篩選清單。這是用於洞察或集成的過濾器的補充。
記錄狀態指出問題清單處於作用中還是已存檔狀態。尋找項目提供者可以封存搜尋結果。 AWS Security Hub 如果刪除關聯的資源,也會自動封存控制項的發現項目。根據預設,問題清單只會顯示作用中的問題清單。
工作流程狀態指出問題清單的調查狀態。工作流程狀態只能由 Security Hub 客戶或代表客戶操作的系統更新。根據預設,問題清單只會顯示工作流程狀態為 NEW
或 NOTIFIED
的問題清單。預設控制項的問題清單也會包含 RESOLVED
問題清單。
如果您已啟用尋找彙總,則可以在「發現項目」和「見解」頁面上,依「區域」篩選發現項目。
如需使用控制項尋找清單的資訊,請參閱〈〉篩選、排序和下載控制項發現項目。
新增篩選條件
如要變更清單的範圍,您可以新增篩選條件。
您最多可以篩選 10 個屬性。對於每個屬性,您最多可以提供 20 個篩選值。
篩選尋找項目清單時,Security Hub 會將 AND 邏輯套用至篩選器集合。換句話說,只有當問題清單符合所有提供的篩選條件時,才會相符。例如,如果您新增 GuardDuty 為產品名稱的篩選器,並新增AwsS3Bucket
為資源類型的篩選器,則符合的發現項目必須符合這兩個條件。
不過,Security Hub 會將 OR 邏輯套用至使用相同屬性但不同值的篩選器。例如,您將兩者 GuardDuty 和 Amazon Inspector 器添加為產品名稱的過濾器值。在這種情況下,發現匹配,如果它是由 GuardDuty 或 Amazon Inspector 生成的。
將篩選條件新增到問題清單
請在以下位置開啟 AWS Security Hub 主控台。
https://console.aws.amazon.com/securityhub/ -
若要顯示發現項目清單,請執行下列任一項作業:
-
在 [安全中心] 瀏覽窗格中,選擇 [發現項目]
-
在 [資訊 Security Hub] 瀏覽窗格中,選擇 [見解] 選擇一個洞察力。然後在結果清單上,選擇深入解析結果。
-
在 [安全性中心] 功能窗格中,選擇 [整合]。選擇「查看整合的發現項目」。
-
-
選擇「新增篩選器」方塊。
-
在功能表中的「篩選器」下,選擇一個篩選器。
請注意,當您依 [公司名稱] 或 [產品名稱] 篩選時,Security Hub 會使用頂層
CompanyName
和ProductName
欄位。API 會使用中的值ProductFields
。 -
選擇篩選條件比對類型。
對於字串篩選器,您可以從下列比較選項中選擇:
-
is — 尋找與篩選器值完全相符的值。
-
開頭為 — 尋找以篩選值開頭的值。
-
is not — 尋找與篩選值不相符的值。
-
不開頭為 — 尋找不以篩選值開頭的值。
對於數字篩選,您可以選擇是提供單一數字 (簡單) 還是數字範圍 (範圍)。
對於日期或時間篩選器,您可以選擇是從目前的日期和時間 (滾動視窗) 或特定日期範圍 (固定範圍) 提供時間長度。
新增多個篩選器具有下列互動:
-
is 並以篩選器開頭由 OR 連接。如果值包含任何篩選值,則相符。例如,如果您指定「嚴重性」標籤為「嚴重」,而「嚴重性」標籤為「高」,則結果會同時包含嚴重性和高嚴重性發現項
-
不是也不是以篩選器開頭,由 AND 加入。只有當值不包含任何這些篩選值時,才符合該值。例如,如果您指定「嚴重性」標籤不是「低」且「嚴重性」標籤不是「中」,則結果不會包含低或中嚴重性發現項目。
如果您在欄位上有篩選器,則不能在同一欄位上使用 is not 或不以篩選器開頭。
-
-
指定篩選條件值。
請注意,對於字串篩選器,篩選值是區分大小寫的。
例如,對於來自 Security Hub 的發現項目,產品名稱為「Security Hub」。如果您使用 EQUALS 運算子查看來自 Security Hub 的發現項目,您必須輸入
Security Hub
作為篩選器值。如果您輸入security hub
,則不會顯示任何問題清單。同樣地,如果您使用 PREFIX 運算子,並輸入
Sec
,則會顯示 Security Hub 發現項目。如果您輸入sec
,則不會顯示「Security Hub」發現項目。 -
選擇套用。
分組問題清單
除了變更篩選器之外,您還可以根據所選屬性的值來分組發現項目。
當您將發現項目分組時,發現項目清單會取代為相符發現項目中所選屬性的值清單。對於每個值,清單會顯示符合其他篩選準則的發現項目數目。
例如,如果您依 AWS 帳戶 ID 將發現項目分組,您會看到帳戶識別碼清單,以及每個帳戶的相符發現項目數目。
請注意,Security Hub 只能顯示 100 個值。如果群組值超過 100,您只會看到前 100 個。
當您選擇屬性值時,會顯示該值的相符發現項目清單。
在問題清單中分組問題清單
-
在尋找項目清單中,選擇 [新增篩選器] 方塊。
-
在選單中,選擇位於 Grouping (分組) 下方的 Group by (分組依據)。
-
在清單中,選擇要用於分組的屬性。
-
選擇套用。
變更篩選器值或群組屬性
針對現有篩選條件,您可以變更篩選條件值。您也可以變更群組屬性。
例如,您可以變更 Record state (記錄狀態) 篩選條件,尋找 ARCHIVED
問題清單,而非 ACTIVE
問題清單。
編輯篩選條件或群組屬性的步驟
-
在篩選的發現項目清單上,選擇篩選或群組屬性。
-
在「分組依據」中,選擇新屬性,然後選擇「套用」。
-
對於篩選器,請選擇新值,然後選擇「套用」。
刪除篩選器或群組屬性
若要刪除篩選或群組屬性,請選擇 x 圖示。
清單會自動更新以反映變更。當您移除分組屬性時,清單會從欄位值清單變回發現項目清單。