Filtragem de descobertas no CSPM do Security Hub - AWSSecurity Hub
Filtros padrão nas listas de descobertasInstruções para a adição de filtros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Filtragem de descobertas no CSPM do Security Hub

AWSO Security Hub CSPM gera suas próprias descobertas a partir de verificações de segurança e recebe descobertas de produtos integrados. É possível exibir uma lista de descobertas nas páginas Descobertas, Integrações e Insights do console do CSPM do Security Hub. É possível adicionar filtros para restringir uma lista de descobertas para que a lista seja relevante para sua organização ou caso de uso.

Para obter informações sobre a filtragem de descobertas para um controle de segurança específico, consulte Filtrar e classificar descobertas de controles. As informações nesta página se aplicam às páginas Descobertas Insights e Integrações.

Filtros padrão nas listas de descobertas

Por padrão, as listas de descobertas no console do CSPM do Security Hub são filtradas com base nos campos RecordState e Workflow.Status do Formato de descoberta de segurança da AWS (ASFF). Isso é além dos filtros para um insight ou uma integração específica.

O estado do registro indica se uma descoberta está ativa ou arquivada. Por padrão, uma lista de descobertas mostra apenas descobertas ativas. Um provedor de descobertas pode arquivar uma descoberta se ela não estiver mais ativa ou não for mais importante. O CSPM do Security Hub também arquiva automaticamente as descobertas de controles se o recurso associado for excluído.

O status do fluxo de trabalho indica o status da investigação de uma descoberta. Por padrão, uma lista de descobertas mostra somente as descobertas cujo fluxo de trabalho tem o status NEW ou NOTIFIED. É possível atualizar o status do fluxo de trabalho de uma descoberta.

Instruções para a adição de filtros

É possível filtrar uma lista de descobertas por até dez atributos. Para cada atributo, você pode fornecer até 20 valores de filtro.

Ao filtrar a lista de descobertas, o CSPM do Security Hub aplica a lógica AND ao conjunto de filtros. Uma descoberta só será correspondente se corresponder a todos os filtros fornecidos. Por exemplo, se você adicionar GuardDuty como filtro para o nome do produto e AwsS3Bucket como filtro para o tipo de recurso, o Security Hub CSPM exibirá descobertas que correspondem a esses dois critérios.

O CSPM do Security Hub aplica a lógica OR a filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se você adicionar ambos GuardDuty e o Amazon Inspector como valores de filtro para o nome do produto, o Security Hub CSPM exibirá descobertas que foram geradas por um ou pelo Amazon GuardDuty Inspector.

Para adicionar filtros a uma lista de descobertas (console)

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

  2. Para exibir uma lista das descobertas, siga um dos procedimentos a seguir no painel de navegação:

    • Escolha Descobertas.

    • Escolha Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

    • Escolha Integrations (Integrações). Escolha Ver descobertas para obter uma integração.

  3. Na caixa Adicionar filtros, selecione um ou mais campos pelos quais filtrar.

    Quando você filtra por nome da empresa ou nome do produto, o console usa o nível superior CompanyName e os ProductName campos do Formato de descoberta de AWS segurança (ASFF). A API usa os valores que estão aninhados sob ProductFields.

  4. Selecione o tipo de correspondência do filtro.

    Para um filtro de strings, é possível escolher as opções a seguir:

    • é: encontre um valor que corresponda exatamente ao valor do filtro.

    • começa com: encontre um valor que comece com o valor do filtro.

    • não é: encontre um valor que não corresponda ao valor do filtro.

    • não começa com: encontre um valor que não comece com o valor do filtro.

    Para o campo Tags de recursos, é possível filtrar com base em chaves ou valores específicos.

    Para um filtro numérico, é possível escolher se será fornecido um único número (Simples) ou um intervalo de números (Intervalo).

    Para um filtro de data e hora, é possível escolher se será fornecido um período a partir da data atual (Janela de rolagem) ou de um intervalo de datas específico (Intervalo fixo).

    Adicionar vários filtros tem as seguintes interações:

    • Filtros é e começa com unidos por OR. Um valor corresponde se ele contiver algum dos valores do filtro. Por exemplo, se você especificar que o Rótulo de gravidade é CRÍTICO e o Rótulo de gravidade é ALTO, os resultados incluirão as descobertas de gravidade crítica e alta.

    • Os filtros não é e não começa com são unidos por E. Um valor corresponde apenas se não contiver algum dos valores do filtro. Por exemplo, se você especificar Rótulo de gravidade não é BAIXO e o Rótulo de gravidade não é MÉDIO, os resultados não incluirão descobertas de gravidade baixa ou média.

    Se você tiver um filtro é em um campo, você não pode ter um filtro não é ou não começa com no mesmo campo.

  5. Especifique o valor do filtro. Em filtros de strings, o valor do filtro diferencia letras maiúsculas de minúsculas.

  6. Escolha Aplicar.

    Para um filtro existente, é possível alterar o tipo de correspondência ou o valor do filtro. Em uma lista filtrada de descobertas, escolha o filtro. Na caixa Editar filtro, escolha o novo tipo de correspondência ou valor e depois escolha Aplicar.

    Para remover um filtro, escolha o ícone x. A lista é atualizada automaticamente para refletir a alteração.