本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Hub CSPM 中筛选调查发现
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM 通过安全检查生成自己的调查结果，并从集成产品中接收调查结果。您可以在 Security Hub CSPM 控制台的**调查发现**、**集成**和**见解**页面上显示调查发现列表。您可以添加筛选条件来缩小调查发现列表的范围，使列表与您的组织或使用案例相关。

有关筛选特定安全控件的调查发现的信息，请参阅[对控件调查发现进行筛选和排序](control-finding-list.md)。本页上的信息适用于**调查发现**、**见解**和**集成**页面。

## 调查发现列表上的默认筛选条件
<a name="finding-list-default-filters"></a>

默认情况下，Security Hub CSPM 控制台上的调查发现列表是根据 AWS 安全调查发现格式（ASFF）的 `RecordState` 和 `Workflow.Status` 字段进行筛选的。这是特定见解或集成的筛选条件的补充。

记录状态指示调查发现处于活动状态还是存档状态。默认情况下，结果列表仅显示活动结果。如果调查发现不再处于活动状态或不再重要，则调查发现提供者可以将其归档。如果关联的资源被删除，Security Hub CSPM 还会自动归档控件调查发现。

工作流状态指示对调查发现进行的调查的状态。默认情况下，调查发现列表仅显示工作流状态为 `NEW` 或 `NOTIFIED` 的调查发现。您可以更新调查发现的工作流状态。

## 添加筛选条件的说明
<a name="finding-list-filters"></a>

您最多可以按十个属性筛选调查发现列表。对于每个属性，您最多可以提供 20 个筛选值。

筛选调查发现列表时，Security Hub CSPM 会将 `AND` 逻辑应用于筛选条件集。仅在调查发现符合所有提供的筛选条件时才被视为匹配的调查发现。例如，如果您添加GuardDuty 为**产品名称**的筛选器，并`AwsS3Bucket`添加为**资源类型的**筛选器，Security Hub CSPM 会显示符合这两个条件的搜索结果。

Security Hub CSPM 会对使用的属性相同但值不同的筛选条件应用 `OR` 逻辑。例如，如果您同时添加两者 GuardDuty 和 Amazon Inspector 作为**商品名称**的筛选值，Security Hub CSPM 会显示由任一方 GuardDuty 或亚马逊检查员生成的结果。

**向调查发现列表添加筛选条件（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 要显示调查发现列表，请从导航窗格执行以下操作之一：
   + 选择**调查发现**。
   + 选择 **Insights**。选择见解。然后在结果列表上，选择一个见解结果。
   + 选择**集成**。选择**查看集成的调查发现**。

1. 在**添加筛选条件**框中，选择一个或多个要筛选的字段。

   当您按**公司名称或**产品名称****筛选时，控制台将使用 AWS 安全调查结果格式 (ASFF) 的顶层`CompanyName`和`ProductName`字段。API 使用嵌套在 `ProductFields` 下的值。

1. 选择筛选器匹配类型。

   对于字符串筛选条件，您可以从以下选项中进行选择：
   + **是**——查找与筛选值完全匹配的值。
   + **以...开头**——查找以筛选值开头的值。
   + **不是**——查找与筛选值不匹配的值。
   + **不以...开头**——查找不以筛选值开头的值。

   对于**资源标签**字段，您可以基于特定键或值进行筛选。

   对于数值筛选条件，您可以选择是提供单个数字**简单**还是数值范围**范围**。

   对于日期或时间筛选条件，您可以选择是提供从当前日期时间开始的时间长度**滚动窗口**还是提供具体日期范围**固定范围**。

   添加多个筛选条件具有以下交互作用：
   + **是**和**以...开头**筛选条件由“或”连接。如果一个值包含任何筛选条件值，则该值匹配。例如，如果您将**“严重性”标签指定为“重大”**，**“严重性”标签为“高”**，则结果将包括重大和高严重性结果。
   + **不是**，**不以...开头**筛选条件由“和”连接的。仅当值不包含任何这些筛选条件值时才匹配。例如，如果您指定**“严重性”标签不为“低”**，**“严重性”标签不为“中”**，则结果不包括低或中等严重性调查发现。

   如果在某个字段上有**是**的筛选条件，则不能在同一个字段上使用**不是**或**不以……开头**的筛选条件。

1. 指定筛选器值。对于字符串筛选条件，筛选条件值区分大小写。

1. 选择**应用**。

   对于现有筛选条件，您可以更改筛选条件匹配类型或值。在筛选后的调查发现列表中，选择筛选条件。在**编辑筛选条件**框中，选择新的匹配类型或值，然后选择**应用**。

   要删除筛选条件，请选择 **x** 图标。列表会自动更新以反映更改。