Conocimientos administrados - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conocimientos administrados

AWS Security Hub proporciona varios hallazgos administrados.

Los hallazgos administrados por Security Hub no se pueden modificar ni eliminar. Puede ver y tomar medidas sobre los resultados y hallazgos de conocimientos. También puede utilizar conocimientos administrados como base para una nuevo conocimiento personalizado.

Al igual que con todos los conocimientos, un conocimiento administrado solo devuelve resultados si ha habilitado integraciones de productos o estándares de seguridad que pueden producir hallazgos coincidentes.

En el caso de los hallazgos agrupados en base al identificador de recursos, los resultados incluyen los identificadores de todos los recursos en los elementos que coinciden con los parámetros. Aquí se incluyen los recursos que poseen un tipo diferente al tipo de recurso que se indica en los criterios del filtro. Por ejemplo, el hallazgo 2 identifica los resultados asociados a los buckets de Amazon S3. Si un resultado contiene un recurso de bucket de S3 y un recurso clave de acceso de IAM, los resultados de la información incluyen ambos recursos.

Security Hub ofrece la siguiente información administrada:

1. Recursos de AWS con la mayoría de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/1

Agrupados por: identificador de recursos

Filtros de resultados:

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

2. Buckets de S3 con permisos de lectura o escritura públicos

ARN: arn:aws:securityhub:::insight/securityhub/default/10

Agrupados por: identificador de recursos

Filtros de resultados:

  • El tipo comienza con Effects/Data Exposure

  • El tipo de recurso es AwsS3Bucket

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

3. AMI que está generando la mayor cantidad de resultados

ARN: arn:aws:securityhub:::insight/securityhub/default/3

Agrupados por: ID de imagen de instancia EC2

Filtros de resultados:

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

4. Instancias EC2 implicadas en Tácticas, técnicas y procedimientos (TTP) conocidos

ARN: arn:aws:securityhub:::insight/securityhub/default/14

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con TTPs

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

5. Entidades principales de AWS con actividad sospechosa en las claves de acceso

ARN: arn:aws:securityhub:::insight/securityhub/default/9

Agrupados por: nombre de entidad principal de la clave de acceso de IAM

Filtros de resultados:

  • El tipo de recurso es AwsIamAccessKey

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

6. Instancias de recursos de AWS que no cumplen las prácticas recomendadas/ estándares de seguridad

ARN: arn:aws:securityhub:::insight/securityhub/default/6

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo es Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

7. Recursos de AWS asociados con posibles filtraciones de datos

ARN: arn:aws:securityhub:::insight/securityhub/default/7

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Effects/Data Exfiltration/

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

8. Recursos de AWS asociados a un consumo de recursos no autorizado

ARN: arn:aws:securityhub:::insight/securityhub/default/8

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Effects/Resource Consumption

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

9. Buckets de S3 que no cumplen los estándares o las prácticas recomendadas de seguridad

ARN: arn:aws:securityhub:::insight/securityhub/default/11

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo de recurso es AwsS3Bucket

  • El tipo es Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

10. Buckets de S3 con información confidencial

ARN: arn:aws:securityhub:::insight/securityhub/default/12

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo de recurso es AwsS3Bucket

  • El tipo comienza con Sensitive Data Identifications/

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

11. Credenciales que podrían haberse filtrado

ARN: arn:aws:securityhub:::insight/securityhub/default/13

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Sensitive Data Identifications/Passwords/

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

12. Instancias EC2 a las que les faltan parches de seguridad para importantes vulnerabilidades

ARN: arn:aws:securityhub:::insight/securityhub/default/16

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Software and Configuration Checks/Vulnerabilities/CVE

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

13. Instancias EC2 con comportamiento inusual en general

ARN: arn:aws:securityhub:::insight/securityhub/default/17

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Unusual Behaviors

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

14. Instancias EC2 que tienen puertos accesibles desde Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/18

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

15. Instancias EC2 que no cumplen los estándares o las prácticas recomendadas de seguridad

ARN: arn:aws:securityhub:::insight/securityhub/default/19

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con una de las siguientes opciones:

    • Software and Configuration Checks/Industry and Regulatory Standards/

    • Software and Configuration Checks/AWS Security Best Practices

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

16. Instancias EC2 que están abiertas a Internet

ARN: arn:aws:securityhub:::insight/securityhub/default/21

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con Software and Configuration Checks/AWS Security Best Practices/Network Reachability

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

17. Instancias EC2 asociadas con reconocimiento de adversarios

ARN: arn:aws:securityhub:::insight/securityhub/default/22

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con TTPS/Discovery/Recon

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

18. Recursos de AWS que están asociados con malware

ARN: arn:aws:securityhub:::insight/securityhub/default/23

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con una de las siguientes opciones:

    • Effects/Data Exfiltration/Trojan

    • TTPs/Initial Access/Trojan

    • TTPs/Command and Control/Backdoor

    • TTPs/Command and Control/Trojan

    • Software and Configuration Checks/Backdoor

    • Unusual Behaviors/VM/Backdoor

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

19. Recursos de AWS asociados con problemas de criptomonedas

ARN: arn:aws:securityhub:::insight/securityhub/default/24

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con una de las siguientes opciones:

    • Effects/Resource Consumption/Cryptocurrency

    • TTPs/Command and Control/CryptoCurrency

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

20. Recursos de AWS con intentos de acceso no autorizado

ARN: arn:aws:securityhub:::insight/securityhub/default/25

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo comienza con una de las siguientes opciones:

    • TTPs/Command and Control/UnauthorizedAccess

    • TTPs/Initial Access/UnauthorizedAccess

    • Effects/Data Exfiltration/UnauthorizedAccess

    • Unusual Behaviors/User/UnauthorizedAccess

    • Effects/Resource Consumption/UnauthorizedAccess

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

21. Indicadores de información de amenazas con la mayoría de coincidencias durante la semana pasada

ARN: arn:aws:securityhub:::insight/securityhub/default/26

Filtros de resultados:

  • Creado en los últimos 7 días

22. Principales cuentas por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/27

Agrupados por: Cuenta de AWS ID

Filtros de resultados:

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

23. Principales productos por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/28

Agrupados por: Nombre del producto

Filtros de resultados:

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

24. Gravedad por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/29

Agrupados por: etiqueta de gravedad

Filtros de resultados:

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

25. Principales buckets de S3 por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/30

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo de recurso es AwsS3Bucket

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

26. Principales instancias EC2 por número de resultados

ARN: arn:aws:securityhub:::insight/securityhub/default/31

Agrupados por: ID de recurso

Filtros de resultados:

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

27. Principales AMI por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/32

Agrupados por: ID de imagen de instancia EC2

Filtros de resultados:

  • El tipo de recurso es AwsEc2Instance

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

28. Principales usuarios de IAM por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/33

Agrupados por: ID de clave de acceso de IAM

Filtros de resultados:

  • El tipo de recurso es AwsIamAccessKey

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

29. Principales recursos por número de comprobaciones CIS no superadas

ARN: arn:aws:securityhub:::insight/securityhub/default/34

Agrupados por: ID de recurso

Filtros de resultados:

  • El ID del generador comienza con arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule

  • Actualizado en el último día

  • El estado de conformidad es FAILED

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

30. Principales integraciones por número de hallazgos

ARN: arn:aws:securityhub:::insight/securityhub/default/35

Agrupados por: ARN del producto

Filtros de resultados:

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

31. Recursos con las comprobaciones de seguridad que más fallan

ARN: arn:aws:securityhub:::insight/securityhub/default/36

Agrupados por: ID de recurso

Filtros de resultados:

  • Actualizado en el último día

  • El estado de conformidad es FAILED

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

32. Usuarios de IAM con actividad sospechosa

ARN: arn:aws:securityhub:::insight/securityhub/default/37

Agrupados por: usuario de IAM

Filtros de resultados:

  • El tipo de recurso es AwsIamUser

  • El estado de registro es ACTIVE

  • El estado de flujo de trabajo es NEW o NOTIFIED

33. Recursos de AWS Health con la mayor cantidad de resultados

ARN: arn:aws:securityhub:::insight/securityhub/default/38

Agrupados por: ID de recurso

Filtros de resultados:

  • ProductName igual a Health

34. Recursos de AWS Config con la mayor cantidad de resultados

ARN: arn:aws:securityhub:::insight/securityhub/default/39

Agrupados por: ID de recurso

Filtros de resultados:

  • ProductName igual a Config

35. Aplicaciones con la mayor cantidad de resultados

ARN: arn:aws:securityhub:::insight/securityhub/default/40

Agrupado por: ResourceApplicationArn

Filtros de resultados:

  • RecordState igual a ACTIVE

  • Workflow.Status es igual a NEW o NOTIFIED