本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 中的托管洞察列表
Amazon Security Hub 提供了多个托管见解。
您无法编辑或删除 Security Hub 托管洞察。您可以查看见解结果和调查结果并采取措施。您还可以将托管见解用作新的自定义见解的基础。
与所有见解一样,仅在启用了产品集成或安全标准来生成匹配的结果时,托管见解才返回结果。
对于按资源标识符分组的见解,结果包括匹配调查发现中所有资源的标识符。这包括与筛选条件中的资源类型不同的资源。例如,以下列表中的洞察 2 识别与 Amazon S3 存储桶关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果会包括这两种资源。
Security Hub 目前提供了以下托管洞察:
- 1. 具有最多结果的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/1
分组依据:资源标识符
调查发现筛选条件:
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 2. 具有公共写入或读取权限的 S3 存储桶
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/10
分组依据:资源标识符
调查发现筛选条件:
-
类型以
Effects/Data Exposure
开头 -
资源类型为
AwsS3Bucket
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 3. AMIs that are generating the most findings (生成最多结果的 AMI)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/3
分组依据:EC2 实例映像 ID
调查发现筛选条件:
-
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 4. 涉及已知战术、技术和过程 (TTP) 的 EC2 实例
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/14
分组依据:资源 ID
调查发现筛选条件:
-
类型以
TTPs
开头 -
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 5.访问密钥活动可疑的 Amazon 主体
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/9
分组依据:IAM 访问密钥主体名称
调查发现筛选条件:
-
资源类型为
AwsIamAccessKey
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 6. 不符合安全标准/最佳实践的 Amazon 资源实例
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/6
分组依据:资源 ID
调查发现筛选条件:
-
类型为
Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 7. 与潜在数据泄露相关的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/7
分组依据:资源 ID
调查发现筛选条件:
-
类型以 Effects/Data Exfiltration/ 开头
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 8. 与未经授权的资源使用相关的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/8
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Effects/Resource Consumption
开头 -
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 9. S3 buckets that don't meet security standards / best practice (不符合安全标准/最佳实践的 S3 存储桶)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/11
分组依据:资源 ID
调查发现筛选条件:
-
资源类型为
AwsS3Bucket
-
类型为
Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 10. 具有敏感数据的 S3 存储桶
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/12
分组依据:资源 ID
调查发现筛选条件:
-
资源类型为
AwsS3Bucket
-
类型以
Sensitive Data Identifications/
开头 -
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 11. Credentials that may have leaked (可能泄露的凭证)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/13
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Sensitive Data Identifications/Passwords/
开头 -
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 12. 缺少重要漏洞安全补丁的 EC2 实例
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/16
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Software and Configuration Checks/Vulnerabilities/CVE
开头 -
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 13. 具有一般异常行为的 EC2 实例
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/17
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Unusual Behaviors
开头 -
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 14. EC2 instances that have ports accessible from the Internet (具有可从 Internet 访问的端口的 EC2 实例)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/18
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Software and Configuration Checks/Amazon Security Best Practices/Network Reachability
开头 -
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 15. EC2 instances that don't meet security standards / best practices (不符合安全标准/最佳实践的 EC2 实例)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/19
分组依据:资源 ID
调查发现筛选条件:
-
类型以下列某个项开头:
-
Software and Configuration Checks/Industry and Regulatory Standards/
-
Software and Configuration Checks/Amazon Security Best Practices
-
-
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 16. EC2 instances that are open to the Internet (对 Internet 开放的 EC2 实例)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/21
分组依据:资源 ID
调查发现筛选条件:
-
类型以
Software and Configuration Checks/Amazon Security Best Practices/Network Reachability
开头 -
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 17. 与攻击者侦测相关的 EC2 实例
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/22
分组依据:资源 ID
调查发现筛选条件:
-
类型以 TTPs/Discovery/Recon 开头
-
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 18. 与恶意软件相关的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/23
分组依据:资源 ID
调查发现筛选条件:
-
类型以下列某个项开头:
-
Effects/Data Exfiltration/Trojan
-
TTPs/Initial Access/Trojan
-
TTPs/Command and Control/Backdoor
-
TTPs/Command and Control/Trojan
-
Software and Configuration Checks/Backdoor
-
Unusual Behaviors/VM/Backdoor
-
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 19. 与加密货币问题相关的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/24
分组依据:资源 ID
调查发现筛选条件:
-
类型以下列某个项开头:
-
Effects/Resource Consumption/Cryptocurrency
-
TTPs/Command and Control/CryptoCurrency
-
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 20. 具有未经授权的访问尝试的 Amazon 资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/25
分组依据:资源 ID
调查发现筛选条件:
-
类型以下列某个项开头:
-
TTPs/Command and Control/UnauthorizedAccess
-
TTPs/Initial Access/UnauthorizedAccess
-
Effects/Data Exfiltration/UnauthorizedAccess
-
Unusual Behaviors/User/UnauthorizedAccess
-
Effects/Resource Consumption/UnauthorizedAccess
-
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 21. Threat Intel indicators with the most hits in the last week (上周命中次数最多的威胁情报指标)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/26
调查发现筛选条件:
-
已在过去 7 天内创建
-
- 22. Top accounts by counts of findings (按结果数排列的顶级账户)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/27
分组依据: Amazon Web Services 账户 ID
调查发现筛选条件:
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 23. Top products by counts of findings (按结果数排列的顶级产品)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/28
分组依据:产品名称
调查发现筛选条件:
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 24. Severity by counts of findings (按结果数排列的严重性)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/29
分组依据:严重性标签
调查发现筛选条件:
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 25. Top S3 buckets by counts of findings (按结果数排列的顶级 S3 存储桶)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/30
分组依据:资源 ID
调查发现筛选条件:
-
资源类型为
AwsS3Bucket
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 26. Top EC2 instances by counts of findings (按结果数排列的顶级 EC2 实例)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/31
分组依据:资源 ID
调查发现筛选条件:
-
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 27. Top AMIs by counts of findings (按结果数排列的顶级 AMI)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/32
分组依据:EC2 实例映像 ID
调查发现筛选条件:
-
资源类型为
AwsEc2Instance
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 28. Top IAM users by counts of findings(按结果数排列的顶级 IAM 用户)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/33
分组依据:IAM 访问密钥 ID
调查发现筛选条件:
-
资源类型为
AwsIamAccessKey
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 29. Top resources by counts of failed CIS checks (按失败 CIS 检查数排列的顶级资源)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/34
分组依据:资源 ID
调查发现筛选条件:
-
生成器 ID 以
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule
开头 -
已在最后一天更新
-
合规性状态为
FAILED
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 30. Top integrations by counts of findings (按结果数排列的顶级集成)
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/35
分组依据:产品 ARN
调查发现筛选条件:
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 31. 安全检查失败最多的资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/36
分组依据:资源 ID
调查发现筛选条件:
-
已在最后一天更新
-
合规性状态为
FAILED
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 32. 有可疑活动的 IAM 用户
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/37
分组依据:IAM 用户
调查发现筛选条件:
-
资源类型为
AwsIamUser
-
记录状态为
ACTIVE
-
工作流程状态为
NEW
或NOTIFIED
-
- 33. 具有最多 Amazon Health 调查发现的资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/38
分组依据:资源 ID
调查发现筛选条件:
-
ProductName
等于Health
-
- 34. 具有最多 Amazon Config 调查发现的资源
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/39
分组依据:资源 ID
调查发现筛选条件:
-
ProductName
等于Config
-
- 35. 调查发现最多的应用程序
-
ARN:
arn:aws:securityhub:::insight/securityhub/default/40
分组依据: ResourceApplicationArn
调查发现筛选条件:
-
RecordState
等于ACTIVE
-
Workflow.Status
等于NEW
或NOTIFIED
-