Security Hub CSPM 中的托管见解

AWS Security Hub CSPM 提供了多个托管见解。

您无法编辑或删除 Security Hub CSPM 托管见解。您可以查看见解结果和调查结果并采取措施。您还可以将托管见解用作新的自定义见解的基础。

与所有见解一样，仅在启用了产品集成或安全标准来生成匹配的结果时，托管见解才返回结果。

对于按资源标识符分组的见解，结果包括匹配调查发现中所有资源的标识符。这包括与筛选条件中的资源类型不同的资源。例如，以下列表中的洞察 2 识别与 Amazon S3 存储桶关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源，则洞察结果会包括这两种资源。

Security Hub CSPM 目前提供了以下托管见解：

1.AWS 具有最多结果的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/1

分组依据：资源标识符

调查发现筛选条件：

记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

2. 具有公共写入或读取权限的 S3 存储桶

ARN：arn:aws:securityhub:::insight/securityhub/default/10

分组依据：资源标识符

调查发现筛选条件：

类型以 Effects/Data Exposure 开头
资源类型为 AwsS3Bucket
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

3. AMIs that are generating the most findings (生成最多结果的 AMI)

ARN：arn:aws:securityhub:::insight/securityhub/default/3

分组依据：EC2 实例映像 ID

调查发现筛选条件：

资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

4. 涉及已知战术、技术和过程 (TTP) 的 EC2 实例

ARN：arn:aws:securityhub:::insight/securityhub/default/14

分组依据：资源 ID

调查发现筛选条件：

类型以 TTPs 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

5.访问密钥活动可疑的 AWS 主体

ARN：arn:aws:securityhub:::insight/securityhub/default/9

分组依据：IAM 访问密钥主体名称

调查发现筛选条件：

资源类型为 AwsIamAccessKey
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

6.AWS 不符合安全标准/最佳实践的资源实例

ARN：arn:aws:securityhub:::insight/securityhub/default/6

分组依据：资源 ID

调查发现筛选条件：

类型为 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

7.AWS 与潜在数据泄露相关的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/7

分组依据：资源 ID

调查发现筛选条件：

类型以 Effects/Data Exfiltration/ 开头
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

8.AWS 与未经授权的资源使用相关的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/8

分组依据：资源 ID

调查发现筛选条件：

类型以 Effects/Resource Consumption 开头
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

9. S3 buckets that don't meet security standards / best practice (不符合安全标准/最佳实践的 S3 存储桶)

ARN：arn:aws:securityhub:::insight/securityhub/default/11

分组依据：资源 ID

调查发现筛选条件：

资源类型为 AwsS3Bucket
类型为 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

10. 具有敏感数据的 S3 存储桶

ARN：arn:aws:securityhub:::insight/securityhub/default/12

分组依据：资源 ID

调查发现筛选条件：

资源类型为 AwsS3Bucket
类型以 Sensitive Data Identifications/ 开头
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

11. Credentials that may have leaked (可能泄露的凭证)

ARN：arn:aws:securityhub:::insight/securityhub/default/13

分组依据：资源 ID

调查发现筛选条件：

类型以 Sensitive Data Identifications/Passwords/ 开头
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

12. 缺少重要漏洞安全补丁的 EC2 实例

ARN：arn:aws:securityhub:::insight/securityhub/default/16

分组依据：资源 ID

调查发现筛选条件：

类型以 Software and Configuration Checks/Vulnerabilities/CVE 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

13. 具有一般异常行为的 EC2 实例

ARN：arn:aws:securityhub:::insight/securityhub/default/17

分组依据：资源 ID

调查发现筛选条件：

类型以 Unusual Behaviors 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

14. EC2 instances that have ports accessible from the Internet (具有可从 Internet 访问的端口的 EC2 实例)

ARN：arn:aws:securityhub:::insight/securityhub/default/18

分组依据：资源 ID

调查发现筛选条件：

类型以 Software and Configuration Checks/AWS Security Best Practices/Network Reachability 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

15. EC2 instances that don't meet security standards / best practices (不符合安全标准/最佳实践的 EC2 实例)

ARN：arn:aws:securityhub:::insight/securityhub/default/19

分组依据：资源 ID

调查发现筛选条件：

类型以下列某个项开头：
- Software and Configuration Checks/Industry and Regulatory Standards/
- Software and Configuration Checks/AWS Security Best Practices
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

16. EC2 instances that are open to the Internet (对 Internet 开放的 EC2 实例)

ARN：arn:aws:securityhub:::insight/securityhub/default/21

分组依据：资源 ID

调查发现筛选条件：

类型以 Software and Configuration Checks/AWS Security Best Practices/Network Reachability 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

17. 与攻击者侦测相关的 EC2 实例

ARN：arn:aws:securityhub:::insight/securityhub/default/22

分组依据：资源 ID

调查发现筛选条件：

类型以 TTPs/Discovery/Recon 开头
资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

18.AWS 与恶意软件相关的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/23

分组依据：资源 ID

调查发现筛选条件：

类型以下列某个项开头：
- Effects/Data Exfiltration/Trojan
- TTPs/Initial Access/Trojan
- TTPs/Command and Control/Backdoor
- TTPs/Command and Control/Trojan
- Software and Configuration Checks/Backdoor
- Unusual Behaviors/VM/Backdoor
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

19.AWS 与加密货币问题相关的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/24

分组依据：资源 ID

调查发现筛选条件：

类型以下列某个项开头：
- Effects/Resource Consumption/Cryptocurrency
- TTPs/Command and Control/CryptoCurrency
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

20.AWS 具有未经授权的访问尝试的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/25

分组依据：资源 ID

调查发现筛选条件：

类型以下列某个项开头：
- TTPs/Command and Control/UnauthorizedAccess
- TTPs/Initial Access/UnauthorizedAccess
- Effects/Data Exfiltration/UnauthorizedAccess
- Unusual Behaviors/User/UnauthorizedAccess
- Effects/Resource Consumption/UnauthorizedAccess
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

21. Threat Intel indicators with the most hits in the last week (上周命中次数最多的威胁情报指标)

ARN：arn:aws:securityhub:::insight/securityhub/default/26

调查发现筛选条件：

已在过去 7 天内创建

22. Top accounts by counts of findings (按结果数排列的顶级账户)

ARN：arn:aws:securityhub:::insight/securityhub/default/27

分组依据： AWS 账户 ID

调查发现筛选条件：

记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

23. Top products by counts of findings (按结果数排列的顶级产品)

ARN：arn:aws:securityhub:::insight/securityhub/default/28

分组依据：产品名称

调查发现筛选条件：

记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

24. Severity by counts of findings (按结果数排列的严重性)

ARN：arn:aws:securityhub:::insight/securityhub/default/29

分组依据：严重性标签

调查发现筛选条件：

记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

25. Top S3 buckets by counts of findings (按结果数排列的顶级 S3 存储桶)

ARN：arn:aws:securityhub:::insight/securityhub/default/30

分组依据：资源 ID

调查发现筛选条件：

资源类型为 AwsS3Bucket
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

26. Top EC2 instances by counts of findings (按结果数排列的顶级 EC2 实例)

ARN：arn:aws:securityhub:::insight/securityhub/default/31

分组依据：资源 ID

调查发现筛选条件：

资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

27. Top AMIs by counts of findings (按结果数排列的顶级 AMI)

ARN：arn:aws:securityhub:::insight/securityhub/default/32

分组依据：EC2 实例映像 ID

调查发现筛选条件：

资源类型为 AwsEc2Instance
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

28. Top IAM users by counts of findings(按结果数排列的顶级 IAM 用户)

ARN：arn:aws:securityhub:::insight/securityhub/default/33

分组依据：IAM 访问密钥 ID

调查发现筛选条件：

资源类型为 AwsIamAccessKey
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

29. Top resources by counts of failed CIS checks (按失败 CIS 检查数排列的顶级资源)

ARN：arn:aws:securityhub:::insight/securityhub/default/34

分组依据：资源 ID

调查发现筛选条件：

生成器 ID 以 arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule 开头
已在最后一天更新
合规性状态为 FAILED
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

30. Top integrations by counts of findings (按结果数排列的顶级集成)

ARN：arn:aws:securityhub:::insight/securityhub/default/35

分组依据：产品 ARN

调查发现筛选条件：

记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

31. 安全检查失败最多的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/36

分组依据：资源 ID

调查发现筛选条件：

已在最后一天更新
合规性状态为 FAILED
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

32. 有可疑活动的 IAM 用户

ARN：arn:aws:securityhub:::insight/securityhub/default/37

分组依据：IAM 用户

调查发现筛选条件：

资源类型为 AwsIamUser
记录状态为 ACTIVE
工作流程状态为 NEW 或 NOTIFIED

33. 具有最多 AWS Health 调查发现的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/38

分组依据：资源 ID

调查发现筛选条件：

ProductName 等于 Health

34. 具有最多 AWS Config 调查发现的资源

ARN：arn:aws:securityhub:::insight/securityhub/default/39

分组依据：资源 ID

调查发现筛选条件：

ProductName 等于 Config

35. 调查发现最多的应用程序

ARN：arn:aws:securityhub:::insight/securityhub/default/40

分组依据: ResourceApplicationArn

调查发现筛选条件：

RecordState 等于 ACTIVE
Workflow.Status 等于 NEW 或 NOTIFIED

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

查看见解并对其采取行动

自定义见解