Filtrando descobertas no Security Hub - AWS Security Hub
Filtros padrão nas listas de buscaInstruções para adicionar filtros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Filtrando descobertas no Security Hub

AWS Security Hub gera suas próprias descobertas a partir de verificações de segurança e recebe descobertas de produtos integrados. Você pode exibir uma lista de descobertas nas páginas Descobertas, Integrações e Insights do console do Security Hub. Você pode adicionar filtros para restringir uma lista de descobertas para que a lista seja relevante para sua organização ou caso de uso.

Para obter informações sobre a filtragem de descobertas para um controle de segurança específico, consulteFiltrar e classificar descobertas de controles. As informações nesta página se aplicam às páginas Descobertas, Insights e Integrações.

Filtros padrão nas listas de busca

Por padrão, as listas de localização no console do Security Hub são filtradas com base nos Workflow.Status campos RecordState e do Formato de descoberta de AWS segurança (ASFF). Isso é um acréscimo aos filtros para uma visão ou integração específica.

O estado do registro indica se uma descoberta está ativa ou arquivada. Por padrão, uma lista de descobertas mostra apenas descobertas ativas. Um provedor de descobertas pode arquivar uma descoberta se ela não estiver mais ativa ou não for mais importante. O Security Hub também arquiva automaticamente as descobertas de controles se o recurso associado for excluído.

O status do fluxo de trabalho indica o status da investigação de uma descoberta. Por padrão, uma lista de descobertas mostra somente as descobertas cujo fluxo de trabalho tem o status NEW ou NOTIFIED. Você pode atualizar o status do fluxo de trabalho de uma descoberta.

Instruções para adicionar filtros

Você pode filtrar uma lista de descobertas por até dez atributos. Para cada atributo, você pode fornecer até 20 valores de filtro.

Ao filtrar a lista de descobertas, o Security Hub aplica a AND lógica ao conjunto de filtros. Uma descoberta corresponde somente se corresponder a todos os filtros fornecidos. Por exemplo, se você adicionar GuardDuty como filtro para o nome do produto e AwsS3Bucket como filtro para o tipo de recurso, o Security Hub exibirá descobertas que correspondem a esses dois critérios.

O Security Hub aplica a OR lógica aos filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se você adicionar ambos GuardDuty e o Amazon Inspector como valores de filtro para o nome do produto, o Security Hub exibirá descobertas que foram geradas por um GuardDuty ou pelo Amazon Inspector.

Para adicionar filtros a uma lista de descobertas (console)

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Para exibir uma lista de descobertas, execute uma das seguintes ações no painel de navegação:

    • Escolha Descobertas.

    • Escolha Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

    • Escolha Integrations (Integrações). Escolha Ver descobertas para obter uma integração.

  3. Na caixa Adicionar filtros, selecione um ou mais campos pelos quais filtrar.

    Quando você filtra por nome da empresa ou nome do produto, o console usa o nível superior CompanyName e ProductName os campos do Formato de descoberta de AWS segurança (ASFF). O API usa os valores que estão aninhados emProductFields.

  4. Selecione o tipo de correspondência do filtro.

    Para um filtro de sequência de caracteres, você pode escolher entre as seguintes opções:

    • é: encontre um valor que corresponda exatamente ao valor do filtro.

    • começa com: encontre um valor que comece com o valor do filtro.

    • não é: encontre um valor que não corresponda ao valor do filtro.

    • não começa com: encontre um valor que não comece com o valor do filtro.

    Para o campo Tags de recursos, você pode filtrar com base em chaves ou valores específicos.

    Para um filtro numérico, é possível escolher se será fornecido um único número (Simples) ou um intervalo de números (Intervalo).

    Para um filtro de data e hora, é possível escolher se será fornecido um período a partir da data atual (Janela de rolagem) ou de um intervalo de datas específico (Intervalo fixo).

    Adicionar vários filtros tem as seguintes interações:

    • Filtros é e começa com unidos por OR. Um valor corresponde se ele contiver algum dos valores do filtro. Por exemplo, se você especificar o rótulo de gravidade é CRITICAL e o rótulo de gravidade é HIGH, os resultados incluirão descobertas críticas e de alta severidade.

    • não é e não começa com filtros unidos porAND. Um valor corresponde apenas se não contiver algum dos valores do filtro. Por exemplo, se você especificar que o rótulo de gravidade não é LOW e o rótulo de gravidade não é MEDIUM, os resultados não incluirão resultados de severidade baixa ou média.

    Se você tiver um filtro é em um campo, você não pode ter um filtro não é ou não começa com no mesmo campo.

  5. Especifique o valor do filtro. Em filtros de strings, o valor do filtro diferencia letras maiúsculas de minúsculas.

  6. Escolha Aplicar.

    Para um filtro existente, você pode alterar o tipo ou o valor de correspondência do filtro. Em uma lista filtrada de descobertas, escolha o filtro. Na caixa Editar filtro, escolha o novo tipo ou valor de correspondência e, em seguida, escolha Aplicar.

    Para remover um filtro, escolha o ícone x. A lista é atualizada automaticamente para refletir a alteração.