Insights gerenciados no Security Hub CSPM - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Insights gerenciados no Security Hub CSPM

AWS O Security Hub CSPM fornece vários insights gerenciados.

Você não pode editar nem excluir insights gerenciados pelo CSPM do Security Hub. É possível visualizar e tomar medidas sobre os resultados e as descobertas do insight. Você também pode usar um insight gerenciado como base para um novo insight personalizado.

Assim como acontece com todos os insights, um insight gerenciado só retornará resultados se você tiver habilitado integrações de produtos ou padrões de segurança que possam produzir descobertas correspondentes.

Para insights agrupados por identificador de recurso, os resultados incluem os identificadores de todos os recursos nas descobertas correspondentes. Isso inclui recursos que têm um tipo diferente do tipo de recurso nos critérios de filtro. Por exemplo, o insight 2, na lista a seguir, identifica as descobertas associadas aos buckets do Amazon S3. Se uma descoberta correspondente contiver um recurso de bucket do S3 e a um recurso de chave de acesso do IAM, os resultados do insight incluirão ambos os recursos.

Atualmente, o Security Hub CSPM oferece os seguintes insights gerenciados:

1. AWS recursos com o maior número de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/1

Agrupado por: identificador de recurso

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

2. Os buckets do S3 com permissões de gravação ou leitura públicas

ARN: arn:aws:securityhub:::insight/securityhub/default/10

Agrupado por: identificador de recurso

Filtros de descoberta:

  • Tipo começa com Effects/Data Exposure

  • O tipo de recurso é AwsS3Bucket

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

3. AMIs que estão gerando o maior número de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/3

Agrupado por: ID da imagem da EC2 instância

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

4. EC2 instâncias envolvidas em táticas, técnicas e procedimentos conhecidos (TTPs)

ARN: arn:aws:securityhub:::insight/securityhub/default/14

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com TTPs

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

5. AWS diretores com atividade suspeita de chave de acesso

ARN: arn:aws:securityhub:::insight/securityhub/default/9

Agrupado por: nome da entidade principal da chave de acesso do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamAccessKey

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

6. AWS instâncias de recursos que não atendem aos padrões de segurança/melhores práticas

ARN: arn:aws:securityhub:::insight/securityhub/default/6

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo é Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

7. AWS recursos associados à possível exfiltração de dados

ARN: arn:aws:securityhub:::insight/securityhub/default/7

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com Effects/Data Exfiltração/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

8. AWS recursos associados ao consumo não autorizado de recursos

ARN: arn:aws:securityhub:::insight/securityhub/default/8

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Effects/Resource Consumption

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

9. Buckets do S3 que não atendem aos padrões de segurança e às práticas recomendadas

ARN: arn:aws:securityhub:::insight/securityhub/default/11

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • O tipo é Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

10. Os buckets do S3 com dados confidenciais

ARN: arn:aws:securityhub:::insight/securityhub/default/12

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • Tipo começa com Sensitive Data Identifications/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

11. Credenciais que podem ter vazado

ARN: arn:aws:securityhub:::insight/securityhub/default/13

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Sensitive Data Identifications/Passwords/

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

12. EC2 instâncias que têm patches de segurança ausentes para vulnerabilidades importantes

ARN: arn:aws:securityhub:::insight/securityhub/default/16

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/Vulnerabilities/CVE

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

13. EC2 casos com comportamento geral incomum

ARN: arn:aws:securityhub:::insight/securityhub/default/17

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Unusual Behaviors

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

14. EC2 instâncias que têm portas acessíveis pela Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/18

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

15. EC2 instâncias que não atendem aos padrões de segurança/melhores práticas

ARN: arn:aws:securityhub:::insight/securityhub/default/19

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/AWS Security Best Practices

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

16. EC2 instâncias que estão abertas à Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/21

Agrupado por: ID do recurso

Filtros de descoberta:

  • Tipo começa com Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

17. EC2 instâncias associadas ao reconhecimento de adversários

ARN: arn:aws:securityhub:::insight/securityhub/default/22

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com TTPs /Discovery/Recon

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

18. AWS recursos associados a malware

ARN: arn:aws:securityhub:::insight/securityhub/default/23

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

19. AWS recursos associados a problemas de criptomoeda

ARN: arn:aws:securityhub:::insight/securityhub/default/24

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

20. AWS recursos com tentativas de acesso não autorizado

ARN: arn:aws:securityhub:::insight/securityhub/default/25

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo começa com um dos seguintes:

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

21. Indicadores de ameaça Intel com o maior número de acertos na última semana

ARN: arn:aws:securityhub:::insight/securityhub/default/26

Filtros de descoberta:

  • Criado nos últimos 7 dias

22. Principais contas por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/27

Agrupado por: ID Conta da AWS

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

23. Principais produtos por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/28

Agrupado por: Nome do produto

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

24. Gravidade por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/29

Agrupado por: Rótulo de gravidade

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

25. Principais buckets do S3 por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/30

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsS3Bucket

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

26. Principais EC2 instâncias por número de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/31

Agrupado por: ID do recurso

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

27. Top AMIs por número de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/32

Agrupado por: ID da imagem da EC2 instância

Filtros de descoberta:

  • O tipo de recurso é AwsEc2Instance

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

28. Principais usuários do IAM por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/33

Agrupado por: ID da chave de acesso do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamAccessKey

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

29. Principais recursos por contagem de verificações de CIS com falha

ARN: arn:aws:securityhub:::insight/securityhub/default/34

Agrupado por: ID do recurso

Filtros de descoberta:

  • O ID do gerador começa com arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule

  • Atualizado no último dia

  • O status de conformidade é FAILED

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

30. Principais integrações por contagem de descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/35

Agrupado por: ARN do produto

Filtros de descoberta:

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

31. Recursos com as verificações de segurança com mais falhas

ARN: arn:aws:securityhub:::insight/securityhub/default/36

Agrupado por: ID do recurso

Filtros de descoberta:

  • Atualizado no último dia

  • O status de conformidade é FAILED

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

32. Usuários do IAM com atividades suspeitas

ARN: arn:aws:securityhub:::insight/securityhub/default/37

Agrupado por: Usuário do IAM

Filtros de descoberta:

  • O tipo de recurso é AwsIamUser

  • O estado do registro é ACTIVE

  • O status do fluxo de trabalho é NEW ou NOTIFIED

33. Recursos com o maior número de AWS Health descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/38

Agrupado por: ID do recurso

Filtros de descoberta:

  • ProductName igual a Health

34. Recursos com o maior número de AWS Config descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/39

Agrupado por: ID do recurso

Filtros de descoberta:

  • ProductName igual a Config

35. Aplicações com mais descobertas

ARN: arn:aws:securityhub:::insight/securityhub/default/40

Agrupado por: ResourceApplicationArn

Filtros de descoberta:

  • RecordState igual a ACTIVE

  • Workflow.Status é igual a NEW ou NOTIFIED