Security Hub CSPM のマネージド型インサイト - AWS Security Hub

Security Hub CSPM のマネージド型インサイト

AWS Security Hub CSPM では、あらかじめ用意されたマネージド型インサイトを利用することができます。

Security Hub CSPM のマネージド型インサイトを編集または削除することはできません。インサイトの結果と検出結果を表示し、それらに対してアクションを実行できます。また、マネージド型インサイトを新しいカスタムインサイトのベースとして使用することができます。

すべてのインサイトと同様、マネージド型インサイトは、一致する結果をする製品統合またはセキュリティ標準が有効にされている場合にのみ、結果を返します。

リソース識別子でグループ化されたインサイトの場合、結果には、一致する結果のすべてのリソースの識別子が含まれます。これには、フィルター条件のリソースタイプとは異なるタイプのリソースが含まれます。例えば、次のリストのインサイト 2 では Amazon S3 バケットに関連付けられている結果が識別されます。一致する検出結果に S3 バケットリソースと IAM アクセスキーリソースの両方が含まれている場合、インサイト結果には両方のリソースが含まれます。

Security Hub CSPM には現在、次のマネージド型インサイトが用意されています。

1.AWS ほとんどの結果を含む リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/1

グループ化の基準: リソース識別子

結果フィルター:

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

2. パブリック書き込みまたは読み取り許可を含む S3 バケット

ARN: arn:aws:securityhub:::insight/securityhub/default/10

グループ化の基準: リソース識別子

結果フィルター:

  • タイプが Effects/Data Exposure で始まる

  • リソースタイプが AwsS3Bucket

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

3. 最も多くの結果を生成している AMI

ARN: arn:aws:securityhub:::insight/securityhub/default/3

グループ化の基準: EC2 インスタンスイメージ ID

結果フィルター:

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

4. 既知の戦略、手法、および手順 (TTP) に含まれる EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/14

グループ化の基準: リソース ID

結果フィルター:

  • タイプが TTPs で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

5.AWS 疑わしいアクセスキーアクティビティに関連する プリンシパル

ARN: arn:aws:securityhub:::insight/securityhub/default/9

グループ化の基準: IAM アクセスキーのプリンシパル名

結果フィルター:

  • リソースタイプが AwsIamAccessKey

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

6.AWS セキュリティ標準/ベストプラクティスを満たさない リソースインスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/6

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

7.AWS 潜在的なデータの不正引き出しに関連付けられている リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/7

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Effects/Data Exfiltration/ で始まる

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

8.AWS 不正なリソース消費に関連付けられている リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/8

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Effects/Resource Consumption で始まる

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

9. セキュリティ標準/ベストプラクティスを満たさない S3 バケット

ARN: arn:aws:securityhub:::insight/securityhub/default/11

グループ化の基準: リソース ID

結果フィルター:

  • リソースタイプが AwsS3Bucket

  • タイプが Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

10. 機密データを含む S3 バケット

ARN: arn:aws:securityhub:::insight/securityhub/default/12

グループ化の基準: リソース ID

結果フィルター:

  • リソースタイプが AwsS3Bucket

  • タイプが Sensitive Data Identifications/ で始まる

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

11. 漏洩した可能性がある認証情報

ARN: arn:aws:securityhub:::insight/securityhub/default/13

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Sensitive Data Identifications/Passwords/ で始まる

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

12. 重要な脆弱性のセキュリティパッチが欠落している EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/16

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Software and Configuration Checks/Vulnerabilities/CVE で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

13. 一般的な異常な動作に関連する EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/17

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Unusual Behaviors で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

14. インターネットからアクセス可能なポートを持つ EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/18

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Software and Configuration Checks/AWS Security Best Practices/Network Reachability で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

15. セキュリティ標準/ベストプラクティスを満たさない EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/19

グループ化の基準: リソース ID

結果フィルター:

  • タイプが次のいずれかで始まる。

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/AWS Security Best Practices

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

16. インターネットに開放されている EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/21

グループ化の基準: リソース ID

結果フィルター:

  • タイプが Software and Configuration Checks/AWS Security Best Practices/Network Reachability で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

17. 敵対的な偵察に関連付けられている EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/22

グループ化の基準: リソース ID

結果フィルター:

  • タイプが TTPs/Discovery/Recon で始まる

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

18.AWS マルウェアに関連付けられている リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/23

グループ化の基準: リソース ID

結果フィルター:

  • タイプが次のいずれかで始まる。

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

19.AWS 暗号通貨の問題に関連付けられている リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/24

グループ化の基準: リソース ID

結果フィルター:

  • タイプが次のいずれかで始まる。

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

20.AWS 不正なアクセス試行に関連付けられている リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/25

グループ化の基準: リソース ID

結果フィルター:

  • タイプが次のいずれかで始まる。

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

21. 先週ヒット数が最も多かった脅威インテリジェンス指標

ARN: arn:aws:securityhub:::insight/securityhub/default/26

結果フィルター:

  • 過去 7 日以内に作成

22. 結果数による上位アカウント

ARN: arn:aws:securityhub:::insight/securityhub/default/27

グループ化の基準: AWS アカウント ID

結果フィルター:

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

23. 結果数による上位製品

ARN: arn:aws:securityhub:::insight/securityhub/default/28

グループ化の基準: 製品名

結果フィルター:

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

24. 結果数による重要度

ARN: arn:aws:securityhub:::insight/securityhub/default/29

グループ化の基準: 重要度ラベル

結果フィルター:

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

25. 結果数による上位 S3 バケット

ARN: arn:aws:securityhub:::insight/securityhub/default/30

グループ化の基準: リソース ID

結果フィルター:

  • リソースタイプが AwsS3Bucket

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

26. 結果数による上位 EC2 インスタンス

ARN: arn:aws:securityhub:::insight/securityhub/default/31

グループ化の基準: リソース ID

結果フィルター:

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

27. 結果数による上位 AMI

ARN: arn:aws:securityhub:::insight/securityhub/default/32

グループ化の基準: EC2 インスタンスイメージ ID

結果フィルター:

  • リソースタイプが AwsEc2Instance

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

28. 結果数による上位 IAM ユーザー

ARN: arn:aws:securityhub:::insight/securityhub/default/33

グループ化の基準: IAM アクセスキー ID

結果フィルター:

  • リソースタイプが AwsIamAccessKey

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

29. 失敗した CIS チェック数による上位リソース

ARN: arn:aws:securityhub:::insight/securityhub/default/34

グループ化の基準: リソース ID

結果フィルター:

  • ジェネレーター ID が arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule で始まる

  • 最終日に更新

  • コンプライアンス状況が FAILED

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

30. 調査数による上位統合

ARN: arn:aws:securityhub:::insight/securityhub/default/35

グループ化の基準: 製品 ARN

結果フィルター:

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

31. セキュリティチェックの失敗が最も多いリソース

ARN: arn:aws:securityhub:::insight/securityhub/default/36

グループ化の基準: リソース ID

結果フィルター:

  • 最終日に更新

  • コンプライアンス状況が FAILED

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

32. 不審なアクティビティに関連する IAM ユーザー

ARN: arn:aws:securityhub:::insight/securityhub/default/37

グループ化の基準: IAM ユーザー

結果フィルター:

  • リソースタイプが AwsIamUser

  • レコードの状態が ACTIVE

  • ワークフローステータスが NEW または NOTIFIED

33. ほとんどの AWS Health 検出結果を含むリソース

ARN: arn:aws:securityhub:::insight/securityhub/default/38

グループ化の基準: リソース ID

結果フィルター:

  • ProductNameHealth

34. ほとんどの AWS Config 検出結果を含むリソース

ARN: arn:aws:securityhub:::insight/securityhub/default/39

グループ化の基準: リソース ID

結果フィルター:

  • ProductNameConfig

35. 最も検出結果の多いアプリケーション

ARN: arn:aws:securityhub:::insight/securityhub/default/40

グループ化の基準: ResourceApplicationArn

結果フィルター:

  • RecordStateACTIVE

  • Workflow.StatusNEW または NOTIFIED