Liste der verwalteten Erkenntnisse in Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Liste der verwalteten Erkenntnisse in Security Hub

AWS Security Hub bietet mehrere verwaltete Einblicke.

Sie können von Security Hub verwaltete Einblicke nicht bearbeiten oder löschen. Sie können die Insight-Ergebnisse und -Resultate einsehen und Maßnahmen ergreifen. Sie können auch einen verwalteten Insight als Grundlage für einen neuen benutzerdefinierten Insight verwenden.

Wie bei allen Insights gibt ein verwalteter Insight nur Ergebnisse zurück, wenn Sie Produktintegrationen oder Sicherheitsstandards aktiviert haben, die zu passenden Ergebnissen führen können.

Bei Erkenntnissen, die nach Ressourcen-IDs gruppiert sind, enthalten die Ergebnisse die Identifikatoren aller Ressourcen in den entsprechenden Ergebnissen. Dazu gehören Ressourcen, deren Typ sich von dem in den Filterkriterien angegebenen Ressourcentyp unterscheidet. Insight 2 in der folgenden Liste identifiziert beispielsweise Ergebnisse, die mit Amazon S3 S3-Buckets verknüpft sind. Wenn ein übereinstimmendes Ergebnis sowohl eine S3-Bucket-Ressource als auch eine IAM-Zugriffsschlüsselressource enthält, umfassen die Insight-Ergebnisse beide Ressourcen.

Security Hub bietet derzeit die folgenden verwalteten Einblicke:

1. AWS Ressourcen mit den meisten Ergebnissen

ARN: arn:aws:securityhub:::insight/securityhub/default/1

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

2. S3-Buckets mit öffentlichen Lese- oder Schreibberechtigungen

ARN: arn:aws:securityhub:::insight/securityhub/default/10

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Effects/Data Exposure

  • Ressourcentyp ist AwsS3Bucket

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

3. AMIs die die meisten Erkenntnisse generieren

ARN: arn:aws:securityhub:::insight/securityhub/default/3

Gruppiert nach: EC2 Instanz-Image-ID

Filter finden:

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

4. EC2 Fälle, die an bekannten Taktiken, Techniken und Verfahren beteiligt sind (TTPs)

ARN: arn:aws:securityhub:::insight/securityhub/default/14

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit TTPs

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

5. AWS Principals mit verdächtiger Zugriffsschlüsselaktivität

ARN: arn:aws:securityhub:::insight/securityhub/default/9

Gruppiert nach: Prinzipalname des IAM-Zugriffsschlüssels

Filter finden:

  • Ressourcentyp ist AwsIamAccessKey

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

6. AWS Ressourcen und Instanzen, die die Sicherheitsstandards/Best Practices nicht erfüllen

ARN: arn:aws:securityhub:::insight/securityhub/default/6

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ ist Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

7. AWS Ressourcen im Zusammenhang mit potenzieller Datenexfiltration

ARN: arn:aws:securityhub:::insight/securityhub/default/7

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Effekte/Datenexfiltration/

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

8. AWS Ressourcen, die mit unberechtigtem Ressourcenverbrauch verbunden sind

ARN: arn:aws:securityhub:::insight/securityhub/default/8

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Effects/Resource Consumption

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

9. S3-Buckets, die Sicherheitsstandards oder Best Practices nicht erfüllen

ARN: arn:aws:securityhub:::insight/securityhub/default/11

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Ressourcentyp ist AwsS3Bucket

  • Typ ist Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

10. S3-Buckets mit sensiblen Daten

ARN: arn:aws:securityhub:::insight/securityhub/default/12

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Ressourcentyp ist AwsS3Bucket

  • Typ beginnt mit Sensitive Data Identifications/

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

11. Anmeldeinformationen, die möglicherweise in falsche Hände geraten sind

ARN: arn:aws:securityhub:::insight/securityhub/default/13

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Sensitive Data Identifications/Passwords/

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

12. EC2 Instanzen, bei denen Sicherheitspatches für wichtige Sicherheitslücken fehlen

ARN: arn:aws:securityhub:::insight/securityhub/default/16

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Software and Configuration Checks/Vulnerabilities/CVE

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

13. EC2 Fälle mit allgemein ungewöhnlichem Verhalten

ARN: arn:aws:securityhub:::insight/securityhub/default/17

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Unusual Behaviors

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

14. EC2 Instanzen, deren Ports über das Internet zugänglich sind

ARN: arn:aws:securityhub:::insight/securityhub/default/18

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

15. EC2 Instanzen, die die Sicherheitsstandards/Best Practices nicht erfüllen

ARN: arn:aws:securityhub:::insight/securityhub/default/19

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit einer der folgenden Möglichkeiten:

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/AWS Security Best Practices

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

16. EC2 Instanzen, die für das Internet offen sind

ARN: arn:aws:securityhub:::insight/securityhub/default/21

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

17. EC2 Fälle im Zusammenhang mit der Aufklärung von Gegnern

ARN: arn:aws:securityhub:::insight/securityhub/default/22

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Der Typ beginnt mit TTPs /Discovery/Recon

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

18. AWS Ressourcen, die mit Malware in Verbindung stehen

ARN: arn:aws:securityhub:::insight/securityhub/default/23

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit einer der folgenden Möglichkeiten:

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

19. AWS Ressourcen im Zusammenhang mit Kryptowährungsproblemen

ARN: arn:aws:securityhub:::insight/securityhub/default/24

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit einer der folgenden Möglichkeiten:

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

20. AWS Ressourcen mit unautorisierten Zugriffsversuchen

ARN: arn:aws:securityhub:::insight/securityhub/default/25

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Typ beginnt mit einer der folgenden Möglichkeiten:

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

21. Bedrohungsinformationsindikatoren mit den meisten Treffern in der letzten Woche

ARN: arn:aws:securityhub:::insight/securityhub/default/26

Filter finden:

  • Erstellt innerhalb der letzten 7 Tage

22. Top-Konten nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/27

Gruppiert nach: AWS-Konto ID

Filter finden:

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

23. Top-Produkte nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/28

Gruppiert nach: Produktname

Filter finden:

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

24. Schweregrad nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/29

Gruppiert nach: Bezeichnung Schweregrad

Filter finden:

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

25. Top S3-Buckets nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/30

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Ressourcentyp ist AwsS3Bucket

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

26. Häufigste EC2 Fälle nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/31

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

27. AMIs Nach Anzahl der Ergebnisse am höchsten

ARN: arn:aws:securityhub:::insight/securityhub/default/32

Gruppiert nach: Image-ID der EC2 Instanz

Filter finden:

  • Ressourcentyp ist AwsEc2Instance

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

28. Top-IAM-Benutzer nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/33

Gruppiert nach: IAM-Zugriffsschlüssel-ID

Filter finden:

  • Ressourcentyp ist AwsIamAccessKey

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

29. Top-Ressourcen nach Anzahl fehlgeschlagener CIS-Prüfungen

ARN: arn:aws:securityhub:::insight/securityhub/default/34

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Generator-ID beginnt mit arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule

  • Aktualisiert am letzten Tag

  • Compliance-Status ist FAILED

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

30. Top-Integrationen nach Anzahl der Ergebnisse

ARN: arn:aws:securityhub:::insight/securityhub/default/35

Gruppiert nach: Produkt ARN

Filter finden:

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

31. Ressourcen mit den am meisten fehlgeschlagenen Sicherheitsprüfungen

ARN: arn:aws:securityhub:::insight/securityhub/default/36

Gruppiert nach: Ressourcen-ID

Filter finden:

  • Aktualisiert am letzten Tag

  • Compliance-Status ist FAILED

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

32. IAM-Benutzer mit verdächtigen Aktivitäten

ARN: arn:aws:securityhub:::insight/securityhub/default/37

Gruppiert nach: IAM-Benutzer

Filter finden:

  • Ressourcentyp ist AwsIamUser

  • Datensatzstatus ist ACTIVE

  • Workflow-Status ist NEW oder NOTIFIED

33. Ressourcen mit den meisten AWS Health Ergebnissen

ARN: arn:aws:securityhub:::insight/securityhub/default/38

Gruppiert nach: Ressourcen-ID

Filter finden:

  • ProductNameist gleich Health

34. Ressourcen mit den meisten AWS Config Ergebnissen

ARN: arn:aws:securityhub:::insight/securityhub/default/39

Gruppiert nach: Ressourcen-ID

Filter finden:

  • ProductNameist gleich Config

35. Anwendungen mit den meisten Ergebnissen

ARN: arn:aws:securityhub:::insight/securityhub/default/40

Gruppiert nach: ResourceApplicationArn

Filter finden:

  • RecordStateist gleich ACTIVE

  • Workflow.Statusist gleich oder NEW NOTIFIED