Standardfilter für Suchlisten Anweisungen zum Hinzufügen von Filtern

Ergebnisse im Security Hub filtern

AWS Security Hub generiert seine eigenen Ergebnisse aus Sicherheitskontrollen und erhält Ergebnisse aus integrierten Produkten. Sie können eine Liste der Ergebnisse auf den Seiten Ergebnisse, Integrationen und Einblicke der Security Hub Hub-Konsole anzeigen. Sie können Filter hinzufügen, um eine Ergebnisliste einzugrenzen, sodass die Liste für Ihre Organisation oder Ihren Anwendungsfall relevant ist.

Informationen zum Filtern von Ergebnissen für eine bestimmte Sicherheitskontrolle finden Sie unterDas Filtern und Sortieren von Kontrollergebnissen. Die Informationen auf dieser Seite gelten für die Seiten Ergebnisse, Einblicke und Integrationen.

Standardfilter für Suchlisten

Standardmäßig werden Suchlisten auf der Security Hub Hub-Konsole anhand der Workflow.Status Felder RecordState und des AWS Security Finding Formats (ASFF) gefiltert. Dies gilt zusätzlich zu den Filtern für einen bestimmten Einblick oder eine bestimmte Integration.

Der Datensatzstatus gibt an, ob ein Ergebnis aktiv oder archiviert ist. Standardmäßig werden in einer Ergebnisliste nur aktive Ergebnisse angezeigt. Ein Anbieter von Ergebnissen kann ein Ergebnis archivieren, wenn es nicht mehr aktiv oder wichtig ist. Security Hub archiviert Kontrollergebnisse auch automatisch, wenn die zugehörige Ressource gelöscht wird.

Der Workflow-Status gibt den Status einer Untersuchung eines Ergebnisses an. Standardmäßig werden in einer Ergebnisliste nur Ergebnisse mit dem Workflow-Status NEW oder NOTIFIED angezeigt. Sie können den Workflow-Status eines Ergebnisses aktualisieren.

Anweisungen zum Hinzufügen von Filtern

Sie können eine Ergebnisliste nach bis zu zehn Attributen filtern. Für jedes Attribut können Sie bis zu 20 Filterwerte angeben.

Beim Filtern der Ergebnisliste wendet Security Hub AND Logik auf den Filtersatz an. Ein Ergebnis stimmt nur dann überein, wenn es allen bereitgestellten Filtern entspricht. Wenn Sie beispielsweise GuardDuty als Filter für den Produktnamen und AwsS3Bucket als Filter für den Ressourcentyp hinzufügen, zeigt Security Hub Ergebnisse an, die diesen beiden Kriterien entsprechen.

Security Hub wendet OR Logik auf Filter an, die dasselbe Attribut, aber unterschiedliche Werte verwenden. Wenn Sie beispielsweise GuardDuty sowohl als auch Amazon Inspector als Filterwerte für den Produktnamen hinzufügen, zeigt Security Hub Ergebnisse an, die entweder von Amazon Inspector GuardDuty oder Amazon Inspector generiert wurden.

Um Filter zu einer Ergebnisliste hinzuzufügen (Konsole)

Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.
Um eine Ergebnisliste anzuzeigen, führen Sie im Navigationsbereich eine der folgenden Aktionen aus:
- Wählen Sie Ergebnisse aus.
- Wählen Sie Insights. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
- Wähle Sie Integrations (Integrationen) aus. Wählen Sie Ergebnisse anzeigen für eine Integration aus.
Wählen Sie im Feld Filter hinzufügen ein oder mehrere Felder aus, nach denen gefiltert werden soll.

Wenn Sie nach Firmenname oder Produktname filtern, verwendet die Konsole die ProductName Felder der obersten Ebene CompanyName und das AWS Security Finding Format (ASFF). Die API verwendet die Werte, die unter verschachtelt sind. ProductFields
Wählen Sie den Filterübereinstimmungstyp aus.

Für einen Zeichenkettenfilter können Sie aus den folgenden Optionen wählen:
- ist — Findet einen Wert, der genau dem Filterwert entspricht.
- beginnt mit — Findet einen Wert, der mit dem Filterwert beginnt.
- ist nicht — Findet einen Wert, der nicht mit dem Filterwert übereinstimmt.
- beginnt nicht mit — Findet einen Wert, der nicht mit dem Filterwert beginnt.
Für das Feld Ressourcen-Tags können Sie nach bestimmten Schlüsseln oder Werten filtern.

Für einen numerischen Filter können Sie wählen, ob Sie eine einzelne Zahl (Simple) oder einen Zahlenbereich (Range) angeben möchten.

Für einen Datums- oder Uhrzeitfilter können Sie wählen, ob Sie eine Zeitspanne vom aktuellen Datum und der aktuellen Uhrzeit (Rollendes Fenster) oder einen bestimmten Datumsbereich (fester Bereich) angeben möchten.

Das Hinzufügen mehrerer Filter hat die folgenden Interaktionen:
- ist und beginnt mit Filtern werden durch OR verknüpft. Ein Wert stimmt überein, wenn er einen der Filterwerte enthält. Wenn Sie beispielsweise die Bezeichnung Schweregrad auf KRITISCH und die Bezeichnung Schweregrad auf HOCH angeben, enthalten die Ergebnisse sowohl kritische als auch Ergebnisse mit hohem Schweregrad.
- ist nicht und beginnt auch nicht mit Filtern, die durch UND verknüpft werden. Ein Wert stimmt nur überein, wenn er keinen dieser Filterwerte enthält. Wenn Sie beispielsweise angeben, dass die Bezeichnung Schweregrad nicht NIEDRIG und die Bezeichnung Schweregrad nicht MITTEL ist, enthalten die Ergebnisse keine Ergebnisse mit niedrigem oder mittlerem Schweregrad.
Wenn Sie für ein Feld den Filter „Ist“ verwenden, können Sie für dasselbe Feld keinen Filter „Ist nicht“ oder „A beginnt nicht mit“ verwenden.
Geben Sie den Filterwert an. Bei Zeichenkettenfiltern unterscheidet der Filterwert zwischen Groß- und Kleinschreibung.
Wählen Sie Anwenden aus.

Für einen vorhandenen Filter können Sie den Übereinstimmungstyp oder den Wert des Filters ändern. Wählen Sie in einer gefilterten Ergebnisliste den Filter aus. Wählen Sie im Feld Filter bearbeiten den neuen Treffertyp oder Wert aus, und klicken Sie dann auf Anwenden.

Um einen Filter zu entfernen, wählen Sie das X-Symbol. Die Liste wird automatisch aktualisiert, um die Änderung widerzuspiegeln.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überprüfung der Funddetails und des Verlaufs

Gruppieren der Ergebnisse