本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Security Hub CSPM 中的托管见解 托管见解 Amazon Security Hub CSPM 提供了多种托管见解。 您无法编辑或删除 Security Hub CSPM 托管见解。您可以[查看见解结果和调查发现并采取措施](securityhub-insights-view-take-action.md)。您还可以[将托管见解用作新的自定义见解的基础](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)。 与所有见解一样,仅在启用了产品集成或安全标准来生成匹配的调查发现时,托管见解才返回结果。 对于按资源标识符分组的见解,结果包括匹配调查发现中所有资源的标识符。这包括与筛选条件中的资源类型不同的资源。例如,以下列表中的见解 2 识别与 Amazon S3 存储桶关联的调查发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则见解结果会包括这两种资源。 Security Hub CSPM 目前提供了以下托管见解: **1。 Amazon 发现最多的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/1` **分组依据:**资源标识符 **调查发现筛选条件:** + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **2. 具有公共写入或读取权限的 S3 存储桶** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/10` **分组依据:**资源标识符 **调查发现筛选条件:** + 类型以 `Effects/Data Exposure` 开头 + 资源类型为 `AwsS3Bucket` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **3。 AMIs 得出的发现最多** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/3` **分组依据:** EC2 实例镜像 ID **调查发现筛选条件:** + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **4。 EC2 已知战术、技术和程序中涉及的实例 (TTPs)** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/14` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `TTPs` 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **5。 Amazon 访问密钥活动可疑的校长** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/9` **分组依据:**IAM 访问密钥主体名称 **调查发现筛选条件:** + 资源类型为 `AwsIamAccessKey` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **6。 Amazon 不符合安全标准/最佳实践的资源实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/6` **分组依据:**资源 ID **调查发现筛选条件:** + 类型为 `Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **7。 Amazon 与潜在数据泄露相关的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/7` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 Effects/Data Exfiltration/ 开头 + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **8。 Amazon 与未经授权的资源消耗相关的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/8` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Effects/Resource Consumption` 开头 + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **9. 不符合安全标准/最佳实践的 S3 存储桶** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/11` **分组依据:**资源 ID **调查发现筛选条件:** + 资源类型为 `AwsS3Bucket` + 类型为 `Software and Configuration Checks/Industry and Regulatory Standards/Amazon Security Best Practices` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **10. 具有敏感数据的 S3 存储桶** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/12` **分组依据:**资源 ID **调查发现筛选条件:** + 资源类型为 `AwsS3Bucket` + 类型以 `Sensitive Data Identifications/` 开头 + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **11. 可能泄露的凭证** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/13` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Sensitive Data Identifications/Passwords/` 开头 + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **12。 EC2 缺少针对重要漏洞的安全补丁的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/16` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Software and Configuration Checks/Vulnerabilities/CVE` 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **13。 EC2 具有一般异常行为的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/17` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Unusual Behaviors` 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **14。 EC2 具有可从互联网访问端口的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/18` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Software and Configuration Checks/Amazon Security Best Practices/Network Reachability` 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **15。 EC2 不符合安全标准/最佳实践的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/19` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以下列某个项开头: + `Software and Configuration Checks/Industry and Regulatory Standards/` + `Software and Configuration Checks/Amazon Security Best Practices` + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **16。 EC2 向互联网开放的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/21` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 `Software and Configuration Checks/Amazon Security Best Practices/Network Reachability` 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **17。 EC2 与对手侦察相关的实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/22` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以 /Discovery TTPs /Recon 开头 + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **18。 Amazon 与恶意软件关联的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/23` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以下列某个项开头: + `Effects/Data Exfiltration/Trojan` + `TTPs/Initial Access/Trojan` + `TTPs/Command and Control/Backdoor` + `TTPs/Command and Control/Trojan` + `Software and Configuration Checks/Backdoor` + `Unusual Behaviors/VM/Backdoor` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **19。 Amazon 与加密货币问题相关的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/24` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以下列某个项开头: + `Effects/Resource Consumption/Cryptocurrency` + `TTPs/Command and Control/CryptoCurrency` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **20。 Amazon 尝试未经授权访问的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/25` **分组依据:**资源 ID **调查发现筛选条件:** + 类型以下列某个项开头: + `TTPs/Command and Control/UnauthorizedAccess` + `TTPs/Initial Access/UnauthorizedAccess` + `Effects/Data Exfiltration/UnauthorizedAccess` + `Unusual Behaviors/User/UnauthorizedAccess` + `Effects/Resource Consumption/UnauthorizedAccess` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **21. 上周命中次数最多的威胁情报指标** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/26` **调查发现筛选条件:** + 已在过去 7 天内创建 **22. 按调查发现数排列的顶级账户** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/27` **分组依据:** Amazon Web Services 账户 ID **调查发现筛选条件:** + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **23. 按调查发现数排列的顶级产品** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/28` **分组依据:**产品名称 **调查发现筛选条件:** + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **24. 按调查发现数排列的严重性** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/29` **分组依据:**严重性标签 **调查发现筛选条件:** + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **25. 按调查发现数排列的顶级 S3 存储桶** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/30` **分组依据:**资源 ID **调查发现筛选条件:** + 资源类型为 `AwsS3Bucket` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **26. 按发现次数排列的热门 EC2 实例** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/31` **分组依据:**资源 ID **调查发现筛选条件:** + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **27. AMIs 按发现次数排在首位** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/32` **分组依据:** EC2 实例镜像 ID **调查发现筛选条件:** + 资源类型为 `AwsEc2Instance` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **28. 按调查发现数排列的顶级 IAM 用户** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/33` **分组依据:**IAM 访问密钥 ID **调查发现筛选条件:** + 资源类型为 `AwsIamAccessKey` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **29. 按失败 CIS 检查数排列的顶级资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/34` **分组依据:**资源 ID **调查发现筛选条件:** + 生成器 ID 以 `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule` 开头 + 已在最后一天更新 + 合规性状态为 `FAILED` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **30. 按调查发现数排列的顶级集成** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/35` **分组依据:**产品 ARN **调查发现筛选条件:** + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **31. 安全检查失败最多的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/36` **分组依据:**资源 ID **调查发现筛选条件:** + 已在最后一天更新 + 合规性状态为 `FAILED` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **32。有可疑活动的 IAM 用户** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/37` **分组依据:**IAM 用户 **调查发现筛选条件:** + 资源类型为 `AwsIamUser` + 记录状态为 `ACTIVE` + 工作流状态为 `NEW` 或 `NOTIFIED` **33。 Amazon Health 发现最多的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/38` **分组依据:**资源 ID **调查发现筛选条件:** + `ProductName` 等于 `Health` **34。 Amazon Config 发现最多的资源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/39` **分组依据:**资源 ID **调查发现筛选条件:** + `ProductName` 等于 `Config` **35。调查发现最多的应用程序** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/40` **分组依据:** ResourceApplicationArn **调查发现筛选条件:** + `RecordState` 等于 `ACTIVE` + `Workflow.Status` 等于 `NEW` 或 `NOTIFIED`