Security Hub 中的托管洞察列表 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 中的托管洞察列表

Amazon Security Hub 提供了多个托管见解。

您无法编辑或删除 Security Hub 托管洞察。您可以查看见解结果和调查结果并采取措施。您还可以将托管见解用作新的自定义见解的基础

与所有见解一样,仅在启用了产品集成或安全标准来生成匹配的结果时,托管见解才返回结果。

对于按资源标识符分组的见解,结果包括匹配调查发现中所有资源的标识符。这包括与筛选条件中的资源类型不同的资源。例如,以下列表中的洞察 2 识别与 Amazon S3 存储桶关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果会包括这两种资源。

Security Hub 目前提供了以下托管洞察:

1. 具有最多结果的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/1

分组依据:资源标识符

调查发现筛选条件:

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

2. 具有公共写入或读取权限的 S3 存储桶

ARNarn:aws:securityhub:::insight/securityhub/default/10

分组依据:资源标识符

调查发现筛选条件:

  • 类型以 Effects/Data Exposure 开头

  • 资源类型为 AwsS3Bucket

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

3. AMIs that are generating the most findings (生成最多结果的 AMI)

ARNarn:aws:securityhub:::insight/securityhub/default/3

分组依据:EC2 实例映像 ID

调查发现筛选条件:

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

4. 涉及已知战术、技术和过程 (TTP) 的 EC2 实例

ARNarn:aws:securityhub:::insight/securityhub/default/14

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 TTPs 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

5.访问密钥活动可疑的 Amazon 主体

ARNarn:aws:securityhub:::insight/securityhub/default/9

分组依据:IAM 访问密钥主体名称

调查发现筛选条件:

  • 资源类型为 AwsIamAccessKey

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

6. 不符合安全标准/最佳实践的 Amazon 资源实例

ARNarn:aws:securityhub:::insight/securityhub/default/6

分组依据:资源 ID

调查发现筛选条件:

  • 类型为 Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

7. 与潜在数据泄露相关的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/7

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Effects/Data Exfiltration/ 开头

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

8. 与未经授权的资源使用相关的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/8

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Effects/Resource Consumption 开头

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

9. S3 buckets that don't meet security standards / best practice (不符合安全标准/最佳实践的 S3 存储桶)

ARNarn:aws:securityhub:::insight/securityhub/default/11

分组依据:资源 ID

调查发现筛选条件:

  • 资源类型为 AwsS3Bucket

  • 类型为 Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

10. 具有敏感数据的 S3 存储桶

ARNarn:aws:securityhub:::insight/securityhub/default/12

分组依据:资源 ID

调查发现筛选条件:

  • 资源类型为 AwsS3Bucket

  • 类型以 Sensitive Data Identifications/ 开头

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

11. Credentials that may have leaked (可能泄露的凭证)

ARNarn:aws:securityhub:::insight/securityhub/default/13

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Sensitive Data Identifications/Passwords/ 开头

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

12. 缺少重要漏洞安全补丁的 EC2 实例

ARNarn:aws:securityhub:::insight/securityhub/default/16

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Software and Configuration Checks/Vulnerabilities/CVE 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

13. 具有一般异常行为的 EC2 实例

ARNarn:aws:securityhub:::insight/securityhub/default/17

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Unusual Behaviors 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

14. EC2 instances that have ports accessible from the Internet (具有可从 Internet 访问的端口的 EC2 实例)

ARNarn:aws:securityhub:::insight/securityhub/default/18

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Software and Configuration Checks/Amazon Security Best Practices/Network Reachability 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

15. EC2 instances that don't meet security standards / best practices (不符合安全标准/最佳实践的 EC2 实例)

ARNarn:aws:securityhub:::insight/securityhub/default/19

分组依据:资源 ID

调查发现筛选条件:

  • 类型以下列某个项开头:

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/Amazon Security Best Practices

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

16. EC2 instances that are open to the Internet (对 Internet 开放的 EC2 实例)

ARNarn:aws:securityhub:::insight/securityhub/default/21

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 Software and Configuration Checks/Amazon Security Best Practices/Network Reachability 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

17. 与攻击者侦测相关的 EC2 实例

ARNarn:aws:securityhub:::insight/securityhub/default/22

分组依据:资源 ID

调查发现筛选条件:

  • 类型以 TTPs/Discovery/Recon 开头

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

18. 与恶意软件相关的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/23

分组依据:资源 ID

调查发现筛选条件:

  • 类型以下列某个项开头:

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

19. 与加密货币问题相关的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/24

分组依据:资源 ID

调查发现筛选条件:

  • 类型以下列某个项开头:

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

20. 具有未经授权的访问尝试的 Amazon 资源

ARNarn:aws:securityhub:::insight/securityhub/default/25

分组依据:资源 ID

调查发现筛选条件:

  • 类型以下列某个项开头:

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

21. Threat Intel indicators with the most hits in the last week (上周命中次数最多的威胁情报指标)

ARNarn:aws:securityhub:::insight/securityhub/default/26

调查发现筛选条件:

  • 已在过去 7 天内创建

22. Top accounts by counts of findings (按结果数排列的顶级账户)

ARNarn:aws:securityhub:::insight/securityhub/default/27

分组依据: Amazon Web Services 账户 ID

调查发现筛选条件:

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

23. Top products by counts of findings (按结果数排列的顶级产品)

ARNarn:aws:securityhub:::insight/securityhub/default/28

分组依据:产品名称

调查发现筛选条件:

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

24. Severity by counts of findings (按结果数排列的严重性)

ARNarn:aws:securityhub:::insight/securityhub/default/29

分组依据:严重性标签

调查发现筛选条件:

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

25. Top S3 buckets by counts of findings (按结果数排列的顶级 S3 存储桶)

ARNarn:aws:securityhub:::insight/securityhub/default/30

分组依据:资源 ID

调查发现筛选条件:

  • 资源类型为 AwsS3Bucket

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

26. Top EC2 instances by counts of findings (按结果数排列的顶级 EC2 实例)

ARNarn:aws:securityhub:::insight/securityhub/default/31

分组依据:资源 ID

调查发现筛选条件:

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

27. Top AMIs by counts of findings (按结果数排列的顶级 AMI)

ARNarn:aws:securityhub:::insight/securityhub/default/32

分组依据:EC2 实例映像 ID

调查发现筛选条件:

  • 资源类型为 AwsEc2Instance

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

28. Top IAM users by counts of findings(按结果数排列的顶级 IAM 用户)

ARNarn:aws:securityhub:::insight/securityhub/default/33

分组依据:IAM 访问密钥 ID

调查发现筛选条件:

  • 资源类型为 AwsIamAccessKey

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

29. Top resources by counts of failed CIS checks (按失败 CIS 检查数排列的顶级资源)

ARNarn:aws:securityhub:::insight/securityhub/default/34

分组依据:资源 ID

调查发现筛选条件:

  • 生成器 ID 以 arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule 开头

  • 已在最后一天更新

  • 合规性状态为 FAILED

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

30. Top integrations by counts of findings (按结果数排列的顶级集成)

ARNarn:aws:securityhub:::insight/securityhub/default/35

分组依据:产品 ARN

调查发现筛选条件:

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

31. 安全检查失败最多的资源

ARNarn:aws:securityhub:::insight/securityhub/default/36

分组依据:资源 ID

调查发现筛选条件:

  • 已在最后一天更新

  • 合规性状态为 FAILED

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

32. 有可疑活动的 IAM 用户

ARNarn:aws:securityhub:::insight/securityhub/default/37

分组依据:IAM 用户

调查发现筛选条件:

  • 资源类型为 AwsIamUser

  • 记录状态为 ACTIVE

  • 工作流程状态为 NEWNOTIFIED

33. 具有最多 Amazon Health 调查发现的资源

ARNarn:aws:securityhub:::insight/securityhub/default/38

分组依据:资源 ID

调查发现筛选条件:

  • ProductName 等于 Health

34. 具有最多 Amazon Config 调查发现的资源

ARNarn:aws:securityhub:::insight/securityhub/default/39

分组依据:资源 ID

调查发现筛选条件:

  • ProductName 等于 Config

35. 调查发现最多的应用程序

ARNarn:aws:securityhub:::insight/securityhub/default/40

分组依据: ResourceApplicationArn

调查发现筛选条件:

  • RecordState 等于 ACTIVE

  • Workflow.Status 等于 NEWNOTIFIED