本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 證據搜尋工具的篩選和分組選項
<a name="evidence-finder-filters-and-groups"></a>



在此頁面上，您可以看到可用於證據搜尋工具的篩選條件和分組選項清單。

## 篩選器參考資料
<a name="filters"></a>

您可以使用下列篩選條件來尋找符合特定條件的證據，例如評估、控制或 AWS 服務。

**主題**
+ [必要篩選器](#required-filters)
+ [其他篩選條件（選擇性）](#additional-filters)
+ [結合篩選器](#combining-filters)

### 必要篩選器
<a name="required-filters"></a>

使用這些篩選條件，開始對評估中的證據進行高階概觀。


| 篩選器名稱 | Description | 備註 | 
| --- | --- | --- | 
|  **評估**  |  傳回特定評估的證據。  |  您只能依據一個評估進行篩選。  | 
|  **日期範圍**  |  傳回特定時段的證據。  |  或者，您可以使用*相對範圍*來定義相對於今天日期的範圍（例如，**Last 30 days**）。 或者，您可以使用*絕對範圍*來指定特定的日期範圍 (例如，**June 27th – July 4th**)。  | 
| 支援合規 | 傳回具有特定合規檢查評估的資源。 |  Audit Manager 會收集使用 AWS Config 和 Security Hub CSPM 作為資料來源類型的控制項的[合規檢查證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)。請記住，在收集證據時可能會評估多種資源。因此，單一合規檢查證據可以包含一或多個資源。您可以使用此篩選器來探索資源層級的合規狀態。 您可以選擇以下其中一個選項： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html)  | 

### 其他篩選條件（選擇性）
<a name="additional-filters"></a>

使用這些篩選條件來縮小搜尋查詢的範圍。例如，使用**服務**查看與 Amazon S3 相關的所有證據。使用**資源類型**將範圍縮小至 S3 儲存貯體。或者，使用**資源 ARN** 以特定 S3 儲存貯體為目標。

您可以使用下列一或多個條件建立其他篩選器。


| 條件名稱 | Description | 何時使用此條件 | 
| --- | --- | --- | 
| 帳戶 ID |  向下切入 AWS 帳戶。  | 使用此條件來尋找與特定 AWS 帳戶相關的證據。 | 
| 控制項 |  依控制項名稱進行深層探勘。  |  使用此條件來尋找與特定控制項相關的證據。  | 
| 控制項域 |  依控制項網域進行深層探勘。  |  當您準備稽核時，請使用此條件，將重點放在特定主題領域。如果您要查詢從標準架構建立的評估，則可以依控制項網域進行篩選。 控制網域的範例包括網路安全、身分和存取管理，以及資料保護。 在 Audit Manager 轉換到 Control Catalog 提供的新控制網域集之後，某些 AWS 控制網域可能會標記為**過時**。如需詳細資訊，請參閱[我看到控制網域標記為「已過時」。這代表什麼意思？](evidence-finder-issues.md#outdated-control-domains)。  | 
| Data source type (資料來源類型) |  依資料來源的類型進行深層探勘。  |  使用此條件可將結果限縮於特定資料來源。 將值設定為`Manual`，以尋找您手動上傳的證據。或者，您可以根據自動證據的來源（例如`AWS Config`、`CloudTrail`、`Security Hub CSPM` 或 `AWS API calls`）過濾自動證據。  | 
| 事件名稱 |  依事件名稱進行深層探勘。  |  使用此條件可將重點放在與證據相關的特定事件上。事件是 AWS 帳戶中活動的記錄。 例如，您可以搜尋 API 呼叫的名稱，例如用於設定權限的 IAM `AttachRolePolicy` 作業。或者也搜尋 CloudTrail 關鍵字，例如 CloudTrail 在使用者登入您帳戶時記錄的 `ConsoleLogin` 事件。  | 
| 資源 ARN |  按 Amazon Resource Name (ARN)進行深層探勘。  |  使用此條件來尋找與特定 AWS 資源相關的證據。  | 
| Resource Type (資源類型) |  依資源類型進行深層探勘。  | 使用此條件專注於正在評估的資源類型，例如 Amazon EC2 執行個體或 S3 儲存貯體。 | 
| 服務 |  依 AWS 服務 名稱向下切入。  | 使用此條件來尋找與特定 相關的證據 AWS 服務，例如 Amazon EC2、Amazon S3 或 AWS Config。 | 
| 服務目錄 |  依 AWS 服務 類別向下切入。  | 使用此條件以專注於 的特定類別 AWS 服務。範例包括安全性、身分識別與合規性、資料庫和存放區。 | 

### 結合篩選器
<a name="combining-filters"></a>



#### 條件行為
<a name="criteria-behavior"></a>

當您指定多個條件時，Audit Manager 會將 `AND` 運算子套用到您的選定內容。這表示所有條件都會分組為單一查詢，且結果必須符合所有組合的條件。

**範例**  
在下列篩選器設定中，證據搜尋工具會針對呼叫 **MySOC2Assessment** 的評估，傳回過去 7 天內不合規的資源。此外，結果與 IAM 政策和指定控制項有關。

![\[選取套用的篩選器，AND 運算子會反白顯示。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)


#### 條件值行為
<a name="criteria-value-behavior"></a>

當您指定多個條件值時，這些值會與 `OR` 運算子連結。證據搜尋工具會傳回符合任何這些條件值的結果。

**範例**  
在下列篩選條件設定中，證據搜尋工具會傳回來自 AWS CloudTrail AWS Config或 的搜尋結果 AWS Security Hub CSPM。

![\[顯示針對單一條件定義多個值的範例篩選器設定。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)


## 分組參考
<a name="groups"></a>

您可以將搜尋結果分組，以加快瀏覽速度。分組顯示搜尋結果的廣度，以及它們在特定維度中的分佈方式。

您可以使用以下任一分組的數值。


| 分組依據 | Description  | 
| --- | --- | 
| 帳戶 ID | 依 分組結果 AWS 帳戶。 | 
| 控制項 | 依控制項名稱分組結果。 | 
| Data source type (資料來源類型) | 依證據來源的資料來源類型分組結果。 | 
| 事件名稱 | 依事件名稱分組結果。 | 
| 資源 ARN | 依 Amazon Resource Name (ARN) 分組結果。 | 
| Resource Type (資源類型) | 依資源類型分組結果。 | 
| 服務 | 依 AWS 服務 名稱分組結果。 | 
| 服務目錄 | 依 AWS 服務 類別分組結果。 |