Insights gerenciados no CSPM do Security Hub - AWS Security Hub

Insights gerenciados no CSPM do Security Hub

O CSPM do AWS Security Hub fornece vários insights gerenciados.

Você não pode editar nem excluir insights gerenciados do CSPM do Security Hub. É possível visualizar e tomar medidas sobre os resultados e as descobertas do insight. Também é possível usar um insight gerenciado como base para um novo insight personalizado.

Assim como acontece com todos os insights, um insight gerenciado só retornará resultados se você tiver habilitado integrações de produtos ou padrões de segurança que possam produzir descobertas correspondentes.

Para insights agrupados por identificador de recurso, os resultados incluem os identificadores de todos os recursos nas descobertas correspondentes. Isso inclui recursos que têm um tipo diferente do tipo de recurso nos critérios de filtro. Por exemplo, o insight 2, na lista a seguir, identifica as descobertas associadas aos buckets do Amazon S3. Se uma descoberta correspondente contiver um recurso de bucket do S3 e a um recurso de chave de acesso do IAM, os resultados do insight incluirão ambos os recursos.

O CSPM do Security Hub oferece atualmente os seguintes insights gerenciados:

1.AWS Recursos da com a maioria das descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/1

Agrupado por: identificador de recurso

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

2. Os buckets do S3 com permissões de gravação ou leitura públicas

ARN: arn:aws:securityhub:::insight/securityhub/default/10

Agrupado por: identificador de recurso

Filtros de descoberta:

  • Tipo começa com Effects/Data Exposure

  • O tipo de recurso é AwsS3Bucket

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

3. AMIs que geram a maioria das descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/3

Agrupado por: ID da imagem da instância EC2

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

4. As instâncias do EC2 envolvidas em Táticas, Técnicas e Procedimentos (TTPs) conhecidas

ARN: arn:aws:securityhub:::insight/securityhub/default/14

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com TTPs

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

5. Entidades principais da AWS com atividade suspeita de chave de acesso

ARN: arn:aws:securityhub:::insight/securityhub/default/9

Agrupado por: nome da entidade principal da chave de acesso do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamAccessKey

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

6. Instâncias de recursos da AWS que não atendem aos padrões de segurança e às práticas recomendadas

ARN: arn:aws:securityhub:::insight/securityhub/default/6

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo é Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

7. Recursos da AWS associados a exfiltração de dados em potencial

ARN: arn:aws:securityhub:::insight/securityhub/default/7

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com Effects/Exfiltração de dados/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

8. Recursos da AWS associados ao consumo de recursos não autorizado

ARN: arn:aws:securityhub:::insight/securityhub/default/8

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Effects/Resource Consumption

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

9. Buckets do S3 que não atendem aos padrões de segurança e às práticas recomendadas

ARN: arn:aws:securityhub:::insight/securityhub/default/11

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • O tipo é Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

10. Os buckets do S3 com dados confidenciais

ARN: arn:aws:securityhub:::insight/securityhub/default/12

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • Tipo começa com Sensitive Data Identifications/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

11. Credenciais que podem ter vazado

ARN: arn:aws:securityhub:::insight/securityhub/default/13

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Sensitive Data Identifications/Passwords/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

12. As instâncias do EC2 que possuem patches de segurança ausentes para vulnerabilidades importantes

ARN: arn:aws:securityhub:::insight/securityhub/default/16

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/Vulnerabilities/CVE

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

13. As instâncias do EC2 com comportamento geral incomum

ARN: arn:aws:securityhub:::insight/securityhub/default/17

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Unusual Behaviors

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

14. Instâncias de EC2 com portas acessíveis pela Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/18

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

15. Instâncias de EC2 que não atendem aos padrões de segurança e às práticas recomendadas

ARN: arn:aws:securityhub:::insight/securityhub/default/19

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/AWS Security Best Practices

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

16. Instâncias de EC2 que estão abertas à Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/21

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

17. As instâncias do EC2 associadas ao reconhecimento de adversários

ARN: arn:aws:securityhub:::insight/securityhub/default/22

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com TTPs/Descoberta/Recon

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

18.AWS Recursos da associados a malware

ARN: arn:aws:securityhub:::insight/securityhub/default/23

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

19. Recursos da AWS associados a problemas de criptomoedas

ARN: arn:aws:securityhub:::insight/securityhub/default/24

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

20. Recursos da AWS com tentativas de acesso não autorizado

ARN: arn:aws:securityhub:::insight/securityhub/default/25

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

21. Indicadores de ameaça Intel com o maior número de acertos na última semana

ARN: arn:aws:securityhub:::insight/securityhub/default/26

Filtros de descoberta:

  • Criado nos últimos 7 dias

22. Principais contas por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/27

Agrupado por: ID da Conta da AWS

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

23. Principais produtos por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/28

Agrupado por: Nome do produto

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

24. Gravidade por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/29

Agrupado por: Rótulo de gravidade

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

25. Principais buckets do S3 por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/30

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

26. Principais instâncias de EC2 por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/31

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

27. Principais AMIs por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/32

Agrupado por: ID da imagem da instância EC2

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

28. Principais usuários do IAM por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/33

Agrupado por: ID da chave de acesso do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamAccessKey

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

29. Principais recursos por contagem de verificações de CIS com falha

ARN: arn:aws:securityhub:::insight/securityhub/default/34

Agrupado por: ID do recurso

Filtros de descoberta:

  • O ID do gerador começa com arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule

  • Atualizado no último dia

  • O status de conformidade é FAILED

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

30. Principais integrações por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/35

Agrupado por: ARN do produto

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

31. Recursos com as verificações de segurança com mais falhas

ARN: arn:aws:securityhub:::insight/securityhub/default/36

Agrupado por: ID do recurso

Filtros de descoberta:

  • Atualizado no último dia

  • O status de conformidade é FAILED

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

32. Usuários do IAM com atividades suspeitas

ARN: arn:aws:securityhub:::insight/securityhub/default/37

Agrupado por: Usuário do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamUser

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

33. Recursos com a maioria das descobertas do AWS Health

ARN: arn:aws:securityhub:::insight/securityhub/default/38

Agrupado por: ID do recurso

Filtros de descoberta:

  • ProductName igual a Health

34. Recursos com a maioria das descobertas do AWS Config

ARN: arn:aws:securityhub:::insight/securityhub/default/39

Agrupado por: ID do recurso

Filtros de descoberta:

  • ProductName igual a Config

35. Aplicações com mais descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/40

Agrupado por: ResourceApplicationArn

Filtros de descoberta:

  • RecordState igual a ACTIVE

  • Workflow.Status é igual a NEW ou NOTIFIED