本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Security Hub CSPM 中的受管洞察 AWS Security Hub CSPM 提供數個受管洞察。 您無法編輯或刪除 Security Hub CSPM 受管洞察。您可以[檢視並對洞見結果和問題清單採取動作](securityhub-insights-view-take-action.md)。您也可以[使用受管洞見做為新自訂洞見的基礎](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed)。 如同所有洞見,如果您有啟用的產品整合或可產生相符問題清單的安全標準,則受管洞見只會傳回結果。 對於依資源識別符分組的洞見,結果會包含相符調查結果中所有資源的識別符。這包括與篩選條件中的資源類型具有不同類型的資源。例如,以下清單中的洞見 2 可識別與 Amazon S3 儲存貯體相關聯的調查結果。如果相符的調查結果同時包含 S3 儲存貯體資源和 IAM 存取金鑰資源,則洞見結果會同時包含這兩個資源。 Security Hub CSPM 目前提供下列受管洞察: **問題清單最多的 1. AWS resources** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/1` **分組依據:**資源識別符 **尋找篩選條件:** + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **2. 具有公有寫入或讀取許可的 S3 儲存貯體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/10` **分組依據:**資源識別符 **尋找篩選條件:** + 類型開頭為 `Effects/Data Exposure` + 資源類型為 `AwsS3Bucket` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **3. 產生最多問題清單的 AMI** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/3` **分組依據:**EC2 執行個體映像 ID **尋找篩選條件:** + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **4. 有關已知戰術、技術和程序 (TTP) 的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/14` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `TTPs` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **具有可疑存取金鑰活動的 5. AWS principals** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/9` **分組依據:**IAM 存取金鑰主體名稱 **尋找篩選條件:** + 資源類型為 `AwsIamAccessKey` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **6. AWS 資源不符合安全標準/最佳實務的執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/6` **分組依據:**資源 ID **尋找篩選條件:** + 類型為 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **7.與潛在資料外洩相關聯的 AWS 資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/7` **分組依據:**:資源 ID **尋找篩選條件:** + 類型開頭為 Effects/Data Exfiltration/ + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **8.與未經授權資源耗用 AWS 相關聯的資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/8` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Effects/Resource Consumption` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **9. 不符合安全標準/最佳實務的 S3 儲存貯體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/11` **分組依據:**資源 ID **尋找篩選條件:** + 資源類型為 `AwsS3Bucket` + 類型為 `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **10. 具有敏感資料的 S3 儲存貯體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/12` **分組依據:**資源 ID **尋找篩選條件:** + 資源類型為 `AwsS3Bucket` + 類型開頭為 `Sensitive Data Identifications/` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **11. 登入資料可能已洩漏** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/13` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Sensitive Data Identifications/Passwords/` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **12. 缺少重要漏洞安全性修補程式的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/16` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Software and Configuration Checks/Vulnerabilities/CVE` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **13. 具有一般異常行為的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/17` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Unusual Behaviors` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **14. 具有可從網際網路存取連接埠的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/18` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **15. 不符合安全標準或最佳實務的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/19` **分組依據:**資源 ID **尋找篩選條件:** + 類型以下列其中一個項目開頭: + `Software and Configuration Checks/Industry and Regulatory Standards/` + `Software and Configuration Checks/AWS Security Best Practices` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **16. 向網際網路開放的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/21` **分組依據:**資源 ID **尋找篩選條件:** + 類型開頭為 `Software and Configuration Checks/AWS Security Best Practices/Network Reachability` + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **17. 與對手偵察相關聯的 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/22` **分組依據:**資源 ID **尋找篩選條件:** + 類型以 TTPs/Discovery/Recon 開頭 + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **與惡意軟體相關聯的 18. AWS resources** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/23` **分組依據:**資源 ID **尋找篩選條件:** + 類型以下列其中一個項目開頭: + `Effects/Data Exfiltration/Trojan` + `TTPs/Initial Access/Trojan` + `TTPs/Command and Control/Backdoor` + `TTPs/Command and Control/Trojan` + `Software and Configuration Checks/Backdoor` + `Unusual Behaviors/VM/Backdoor` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **19. AWS 與加密貨幣問題相關聯的資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/24` **分組依據:**資源 ID **尋找篩選條件:** + 類型以下列其中一個項目開頭: + `Effects/Resource Consumption/Cryptocurrency` + `TTPs/Command and Control/CryptoCurrency` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **具有未經授權存取嘗試的 20. AWS resources** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/25` **分組依據:**資源 ID **尋找篩選條件:** + 類型以下列其中一個項目開頭: + `TTPs/Command and Control/UnauthorizedAccess` + `TTPs/Initial Access/UnauthorizedAccess` + `Effects/Data Exfiltration/UnauthorizedAccess` + `Unusual Behaviors/User/UnauthorizedAccess` + `Effects/Resource Consumption/UnauthorizedAccess` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **21. 過去一週最多命中的威脅 intel 指標** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/26` **尋找篩選條件:** + 最近 7 天內建立 **22. 按問題清單計數排列的熱門帳戶** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/27` **依:ID 分組** AWS 帳戶 **尋找篩選條件:** + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **23. 按問題清單計數排列的熱門產品** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/28` **分組依據:**產品名稱 **尋找篩選條件:** + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **24. 按問題清單計數排列的嚴重性** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/29` **分組依據:**嚴重性標籤 **尋找篩選條件:** + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **25. 按問題清單計數排列的熱門 S3 儲存貯體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/30` **分組依據:**資源 ID **尋找篩選條件:** + 資源類型為 `AwsS3Bucket` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **26. 按問題清單計數排列的熱門 EC2 執行個體** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/31` **分組依據:**資源 ID **尋找篩選條件:** + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **27. 按問題清單計數排列的熱門 AMI** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/32` **分組依據:**EC2 執行個體映像 ID **尋找篩選條件:** + 資源類型為 `AwsEc2Instance` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **28. 按問題清單計數排列的熱門 IAM 使用者** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/33` **分組依據:**IAM 存取金鑰 ID **尋找篩選條件:** + 資源類型為 `AwsIamAccessKey` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **29. 按失敗 CIS 檢查計數排列的熱門資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/34` **分組依據:**資源 ID **尋找篩選條件:** + 產生器 ID 開頭為 `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule` + 最後一天更新 + 合規狀態為 `FAILED` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **30. 按問題清單計數排列的熱門整合** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/35` **分組依據:**產品 ARN **尋找篩選條件:** + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **31. 安全檢查失敗次數最多的資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/36` **分組依據:**資源 ID **尋找篩選條件:** + 最後一天更新 + 合規狀態為 `FAILED` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **32. 具有可疑活動的 IAM 使用者** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/37` **分組依據:**IAM 使用者 **尋找篩選條件:** + 資源類型為 `AwsIamUser` + 記錄狀態為 `ACTIVE` + 工作流程狀態為 `NEW` 或 `NOTIFIED` **33. 問題 AWS Health 清單最多的資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/38` **分組依據:**資源 ID **尋找篩選條件:** + `ProductName` 等於 `Health` **34. 問題 AWS Config 清單最多的資源** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/39` **分組依據:**資源 ID **尋找篩選條件:** + `ProductName` 等於 `Config` **35. 問題清單最多的應用程式** **ARN**:`arn:aws:securityhub:::insight/securityhub/default/40` **分組依據:** ResourceApplicationArn **尋找篩選條件:** + `RecordState` 等於 `ACTIVE` + `Workflow.Status` 等於 `NEW`或 `NOTIFIED`