托管见解 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管见解

AWS Security Hub 提供了多个托管见解。

您无法编辑或删除 Security Hub 托管见解。您可以查看见解结果和调查结果并采取措施。您还可以将托管见解用作新的自定义见解的基础

与所有见解一样,仅在启用了产品集成或安全标准来生成匹配的结果时,托管见解才返回结果。

在当前版本中,Security Hub 提供了以下托管见解:

见解名称

分组依据

结果筛选条件

1. 具有最多结果的 AWS 资源

资源标识符

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

2.具有公共写入或读取权限的 S3 存储桶

资源标识符

类型以 Effects/Data Exposure 开头

资源类型为 AwsS3Bucket

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

3.AMIs that are generating the most findings (生成最多结果的 AMI)

EC2 instance image ID

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

4.涉及已知战术、技术和过程 (TTP) 的 EC2 实例

资源 ID

类型以 TTPs 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

5. 活动最可疑的 AWS 用户

IAM access key user name

资源类型为 AwsIamAccessKey

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

6. 不符合安全标准/最佳实践的 AWS 资源实例

资源 ID

类型为 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

7. 与潜在数据泄露相关的 AWS 资源

资源 ID

类型以 Effects/Data Exfiltration/ 开头

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

8. 与未经授权的资源使用相关的 AWS 资源

资源 ID

类型以 Effects/Resource Consumption 开头

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

9.S3 buckets that don't meet security standards / best practice (不符合安全标准/最佳实践的 S3 存储桶)

资源 ID

资源类型为 AwsS3Bucket

类型为 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

10.具有敏感数据的 S3 存储桶

资源 ID

资源类型为 AwsS3Bucket

类型以 Sensitive Data Identifications/ 开头

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

11.Credentials that may have leaked (可能泄露的凭证)

资源 ID

类型以 Sensitive Data Identifications/Passwords/ 开头

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

12.缺少重要漏洞安全补丁的 EC2 实例

资源 ID

类型以 Software and Configuration Checks/Vulnerabilities/CVE 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

13.具有一般异常行为的 EC2 实例

资源 ID

类型以 Unusual Behaviors 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

14.EC2 instances that have ports accessible from the Internet (具有可从 Internet 访问的端口的 EC2 实例)

资源 ID

类型以 Software and Configuration Checks/AWS Security Best Practices/Network Reachability 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

15.EC2 instances that don't meet security standards / best practices (不符合安全标准/最佳实践的 EC2 实例)

资源 ID

类型以下列某个项开头:

  • Software and Configuration Checks/Industry and Regulatory Standards/

  • Software and Configuration Checks/AWS Security Best Practices

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

16.EC2 instances that are open to the Internet (对 Internet 开放的 EC2 实例)

资源 ID

类型以 Software and Configuration Checks/AWS Security Best Practices/Network Reachability 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

17.与攻击者侦测相关的 EC2 实例

资源 ID

类型以 TTPs/Discovery/Recon 开头

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

18. 与恶意软件相关的 AWS 资源

资源 ID

类型以下列某个项开头:

  • Effects/Data Exfiltration/Trojan

  • TTPs/Initial Access/Trojan

  • TTPs/Command and Control/Backdoor

  • TTPs/Command and Control/Trojan

  • Software and Configuration Checks/Backdoor

  • Unusual Behaviors/VM/Backdoor

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

19. 与加密货币问题相关的 AWS 资源

资源 ID

类型以下列某个项开头:

  • Effects/Resource Consumption/Cryptocurrency

  • TTPs/Command and Control/CryptoCurrency

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

20. 具有未经授权的访问尝试的 AWS 资源

资源 ID

类型以下列某个项开头:

  • TTPs/Command and Control/UnauthorizedAccess

  • TTPs/Initial Access/UnauthorizedAccess

  • Effects/Data Exfiltration/UnauthorizedAccess

  • Unusual Behaviors/User/UnauthorizedAccess

  • Effects/Resource Consumption/UnauthorizedAccess

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

21.Threat Intel indicators with the most hits in the last week (上周命中次数最多的威胁情报指标)

已在过去 7 天内创建

22.Top accounts by counts of findings (按结果数排列的顶级账户)

AWS 账户 ID

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

23.Top products by counts of findings (按结果数排列的顶级产品)

产品 ARN

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

24.Severity by counts of findings (按结果数排列的严重性)

Severity label

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

25.Top S3 buckets by counts of findings (按结果数排列的顶级 S3 存储桶)

资源 ID

资源类型为 AwsS3Bucket

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

26.Top EC2 instances by counts of findings (按结果数排列的顶级 EC2 实例)

资源 ID

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

27.Top AMIs by counts of findings (按结果数排列的顶级 AMI)

EC2 instance image ID

资源类型为 AwsEc2Instance

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

28.Top IAM users by counts of findings(按结果数排列的顶级 IAM 用户)

IAM access key user name

资源类型为 AwsIamAccessKey

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

29.Top resources by counts of failed CIS checks (按失败 CIS 检查数排列的顶级资源)

资源 ID

生成器 ID 以 arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule 开头

已在最后一天更新

合规性状态为 FAILED

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

30.Top integrations by counts of findings (按结果数排列的顶级集成)

产品 ARN

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED

31.安全检查失败最多的资源

资源 ID

已在最后一天更新

合规性状态为 FAILED

记录状态为 ACTIVE

工作流程状态为 NEWNOTIFIED