Richtlinien für die Abbildung von Ergebnissen in dieAWSSecurity Finding Format (ASFF) - AWS Security Hub
Identifizieren von InformationenTitle und DescriptionTypen findenZeitstempelSeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFieldsComplianceFelder, die eingeschränkt sind

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für die Abbildung von Ergebnissen in dieAWSSecurity Finding Format (ASFF)

Beachten Sie die folgenden Richtlinien, um Ihre Ergebnisse dem ASFF zuzuordnen. Ausführliche Beschreibungen jedes ASFF-Feldes und -Objekts finden Sie unterAWSSecurity Finding Format (ASFF)imAWS Security Hub-Benutzerhandbuchaus.

Identifizieren von Informationen

SchemaVersion ist immer 2018-10-08.

ProductArnist der ARNAWS Security Hubweist dir zu.

Idist der Wert, den Security Hub verwendet, um Ergebnisse zu indizieren. Die Erkennungskennung muss eindeutig sein, um sicherzustellen, dass andere Ergebnisse nicht überschrieben werden. Um eine Suche zu aktualisieren, übermitteln Sie die Suche erneut mit demselben Bezeichner.

GeneratorIdkann das gleiche sein wieIdoder kann sich auf eine diskrete Logikeinheit beziehen, z. B.GuardDutyDetektor-ID,AWS ConfigRekorder-ID oder IAM Access Analyzer-ID.

Title und Description

Titlesollte einige Informationen über die betroffene Ressource enthalten.TitleDies ist auf 256 Zeichen beschränkt, einschließlich Leerzeichen.

Fügen Sie längere detaillierte Informationen hinzuDescriptionaus.DescriptionDies ist auf 1024 Zeichen beschränkt, einschließlich Leerzeichen. Sie können erwägen, Beschreibungen zu Kürzen hinzuzufügen. Ein Beispiel:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

Typen finden

Sie geben Ihre Informationen über den Suchtyp inFindingProviderFields.Typesaus.

Typessollte mit der übereinstimmenTaxonomie der ASFFaus.

Bei Bedarf können Sie einen benutzerdefinierten Klassifikator (den dritten Namespace) angeben.

Zeitstempel

Das ASFF-Format enthält ein paar verschiedene Zeitstempel.

CreatedAt und UpdatedAt

Sie müssen einreichenCreatedAtundUpdatedAtjedes Mal wenn Sie anrufenBatchImportFindingsfür jeden Befund.

Die Werte müssen mit dem ISO8601-Format in Python 3.8 übereinstimmen.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAt und LastObservedAt

FirstObservedAtundLastObservedAtmuss übereinstimmen, wenn Ihr System den Befund beobachtet hat. Wenn Sie diese Informationen nicht aufzeichnen, müssen Sie diese Zeitstempel nicht einreichen.

Die Werte entsprechen dem ISO8601-Format in Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

Sie geben Informationen zum Schweregrad imFindingProviderFields.Severity-Objekt, das die folgenden Felder enthält.

Original

Der Schweregrad Ihres Systems.Originalkann eine beliebige Zeichenfolge sein, um das von Ihnen verwendete System aufzunehmen.

Label

Der erforderliche Security Hub Hub-Indikator für den Schweregrad der Ermittlung. Die zulässigen Werte lauten wie folgt.

  • INFORMATIONAL- Es wurde kein Problem gefunden.

  • LOW— Das Problem erfordert keine eigenen Maßnahmen.

  • MEDIUM— Das Problem muss angegangen werden, aber nicht dringend.

  • HIGH— Das Problem muss vorrangig behandelt werden.

  • CRITICAL— Das Problem muss sofort behoben werden, um weitere Schäden zu vermeiden.

Ergebnisse, die konform sind, sollten immer habenLabelStellen Sie aufINFORMATIONALaus. Beispiele fürINFORMATIONALErgebnisse sind Ergebnisse aus Sicherheitsüberprüfungen, die bestanden haben undAWS Firewall ManagerErgebnisse, die behoben werden.

Kunden sortieren die Ergebnisse oft nach ihrem Schweregrad, um ihren Sicherheitsoperationsteams eine Aufgabenliste zu geben. Seien Sie konservativ, wenn Sie den Schweregrad der SucheHIGHoderCRITICALaus.

Ihre Integrationsdokumentation muss Ihre Mapping-Begründung enthalten.

Remediation

Remediationhat zwei Elemente. Diese Elemente werden auf der Security Hub Hub-Konsole kombiniert.

Remediation.Recommendation.TextDie Datei befindet sich imAbhilfeAbschnitt der Erkennungsdetails. Es ist mit dem Wert von verknüpftRemediation.Recommendation.Urlaus.

Derzeit zeigen nur Erkenntnisse aus Security Hub Hub-Standards, IAM Access Analyzer und Firewall Manager Hyperlinks zur Dokumentation zur Behebung des Findens an.

SourceUrl

Verwenden Sie nurSourceUrlwenn Sie Ihrer Konsole eine vertiefte URL für diese spezifische Befund bereitstellen können. Andernfalls lassen Sie es aus dem Mapping aus.

Security Hub unterstützt keine Hyperlinks aus diesem Feld, ist jedoch auf der Security Hub Hub-Konsole verfügbar.

Malware, Network, Process, ThreatIntelIndicators

Verwenden Sie gegebenenfallsMalware,Network,Process, oderThreatIntelIndicatorsaus. Jedes dieser Objekte wird in der Security Hub Hub-Konsole verfügbar gemacht. Verwenden Sie diese Objekte im Kontext des Ergebnisses, das Sie senden.

Wenn Sie beispielsweise Malware erkennen, die eine ausgehende Verbindung zu einem bekannten Befehls- und Steuerknoten herstellt, geben Sie die Details für die EC2-Instanz inResource.Details.AwsEc2Instanceaus. Geben Sie das relevanteMalware,Network, undThreatIntelIndicator-Objekte für diese EC2-Instance.

Malware

Malwareist eine Liste, die bis zu fünf Arrays von Malware-Informationen akzeptiert. Machen Sie die Malware-Einträge für die Ressource und den Befund relevant.

Jeder Eintrag enthält die folgenden Felder.

Name

Der Name der Malware. Der Wert besteht aus einer Zeichenfolge mit bis zu 64 Zeichen.

Namesollte aus einer geprüften Bedrohungsinformationen oder Forscherquelle stammen.

Path

Der Pfad zur Malware. Der Wert besteht aus einer Zeichenfolge mit bis zu 512 Zeichen.Pathsollte ein Linux- oder Windows-Systemdateipfad sein, außer in den folgenden Fällen.

  • Wenn Sie Objekte in einem S3-Bucket oder einer EFS-Freigabe mit YARA-Regeln scannen, dannPathist der S3://oder HTTPS-Objektpfad.

  • Wenn Sie Dateien in einem Git-Repository scannen, dannPathist die Git-URL oder der Klonpfad.

State

Der Status der Malware. Die zulässigen Werte lautenOBSERVED| REMOVAL_FAILED|REMOVEDaus.

Stellen Sie im Titel und in der Beschreibung der Suche sicher, dass Sie Kontext für das bereitstellen, was mit der Malware passiert ist.

Zum Beispiel, wennMalware.StateistREMOVED, dann sollten der Suchtitel und die Beschreibung widerspiegeln, dass Ihr Produkt die Malware entfernt hat, die sich auf dem Pfad befindet.

WennMalware.StateistOBSERVED, dann sollten der Suchtitel und die Beschreibung widerspiegeln, dass Ihr Produkt auf diese Malware gestoßen ist, die sich auf dem Pfad befindet.

Type

Gibt die Art der Malware an. Die zulässigen Werte lautenADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORMaus.

Wenn Sie einen zusätzlichen Wert für benötigenType, wenden Sie sich an das Security Hub Hub-Team.

Network

Networkist ein einzelnes Objekt. Sie können nicht mehrere netzwerkbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.

Ziel- und Quellinformationen

Ziel und Quelle sind TCP- oder VPC Flow Logs oder WAF-Protokolle einfach zuzuordnen. Sie sind schwieriger zu verwenden, wenn Sie Netzwerkinformationen für eine Feststellung über einen Angriff beschreiben.

In der Regel ist die Quelle der Ort, woher der Angriff stammt, aber er könnte andere Quellen haben, wie unten aufgeführt. Sie sollten die Quelle in Ihrer Dokumentation erläutern und sie auch im Suchtitel und in der Beschreibung beschreiben.

  • Für einen DDoS-Angriff auf eine EC2-Instance ist die Quelle der Angreifer, obwohl ein echter DDoS-Angriff Millionen von Hosts verwenden kann. Das Ziel ist die öffentliche IPv4-Adresse der EC2-Instance.Directionist IN.

  • Bei Malware, die beobachtet wird, die von einer EC2-Instanz zu einem bekannten Befehls- und Steuerknoten kommuniziert, ist die Quelle die IPV4-Adresse der EC2-Instanz. Das Ziel ist der Befehl- und Steuerknoten.DirectionistOUTaus. Sie würden auch zur Verfügung stellenMalwareundThreatIntelIndicatorsaus.

Protocol

Protocolwird immer einem registrierten Namen der Internet Assigned Numbers Authority (IANA) zugeordnet, es sei denn, Sie können ein bestimmtes Protokoll angeben. Sie sollten dies immer verwenden und die Portinformationen angeben.

Protocolist unabhängig von den Quell- und Zielinformationen. Stellen Sie es nur bereit, wenn es sinnvoll ist, dies zu tun.

Direction

Directionist immer relativ zumAWSNetzwerkgrenzen.

  • INbedeutet, dass es eintrittAWS(VPC, Dienst).

  • OUTbedeutet, dass es dieAWSNetzwerkgrenzen.

Process

Processist ein einzelnes Objekt. Sie können nicht mehrere prozessbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.

Name

Namesollte dem Namen der ausführbaren Datei entsprechen. Er akzeptiert bis zu 64 Zeichen.

Path

PathIst der Dateisystempfad zur ausführbaren Datei für den Prozess. Es akzeptiert bis zu 512 Zeichen.

Pid, ParentPid

PidundParentPidsollte mit der Linux-Prozesskennung (PID) oder der Windows-Ereignis-ID übereinstimmen. Um zu unterscheiden, verwenden Sie EC2 Amazon Machine Images (AMI), um die Informationen bereitzustellen. Kunden können wahrscheinlich zwischen Windows und Linux unterscheiden.

Zeitstempel (LaunchedAtundTerminatedAt)

Wenn Sie diese Informationen nicht zuverlässig abrufen können und sie auf die Millisekunde nicht korrekt sind, geben Sie sie nicht an.

Wenn ein Kunde für die forensische Untersuchung auf Zeitstempel angewiesen ist, ist es besser, keinen Zeitstempel zu haben, als den falschen Zeitstempel zu haben.

ThreatIntelIndicators

ThreatIntelIndicatorsAkzeptiert eine Reihe von bis zu fünf Bedrohungsinformationsobjekten.

Für jeden EintragTypesteht im Zusammenhang mit der spezifischen Bedrohung. Die zulässigen Werte lautenDOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URLaus.

Hier finden Sie einige Beispiele, wie Sie Bedrohungsinformationsindikatoren abbilden können:

  • Sie haben einen Prozess gefunden, von dem Sie wissen, dass er mit Cobalt Strike verbunden ist. Das hast du gelernt vonFireEyes -Blog.

    Setzen Sie Type auf PROCESS. Erstellen Sie auch einProcessObjekt für den Prozess.

  • Ihr E-Mail-Filter hat jemanden gefunden, der ein bekanntes Hash-Paket von einer bekannten bösartigen Domäne gesendet hat.

    Erstellen von zweiThreatIntelIndicator-Objekte. Ein Objekt ist für dieDOMAINaus. Die andere ist für dieHASH_SHA1aus.

  • Du hast Malware mit einer Yara-Regel gefunden (Loki, Fenrir, Awss3VirusScan,BinaryAlert) enthalten.

    Erstellen von zweiThreatIntelIndicator-Objekte. Eine davon ist für die Malware. Die andere ist für dieHASH_SHA1aus.

Resources

FürResourcesverwenden Sie nach Möglichkeit unsere bereitgestellten Ressourcentypen und Detailfelder. Security Hub fügt dem ASFF ständig neue Ressourcen hinzu. Um ein monatliches Protokoll der Änderungen an ASFF zu erhalten, wenden Sie sich anaus.

Wenn Sie die Informationen nicht in die Detailfelder für einen modellierten Ressourcentyp einfügen können, ordnen Sie die restlichen Details zuDetails.Otheraus.

Für eine Ressource, die nicht in ASFF modelliert ist, setzen SieTypezuOtheraus. Verwenden Sie für die detaillierten InformationenDetails.Otheraus.

Sie können auch dieOtherRessourcentyp für nicht-AWSErgebnisse.

ProductFields

Verwenden Sie nurProductFieldswenn Sie kein anderes kuratiertes Feld für verwenden könnenResourcesoder ein beschreibendes Objekt wieThreatIntelIndicators,Network, oderMalwareaus.

Wenn du es benutztProductFields, müssen Sie eine strikte Begründung für diese Entscheidung angeben.

Compliance

Verwenden Sie nurCompliancewenn Ihre Ergebnisse mit der Compliance zusammenhängen.

Security Hub verwendetCompliancefür die Ergebnisse, die es basierend auf Kontrollen generiert.

Firewall Manager verwendetCompliancefür seine Ergebnisse, weil sie konformitätsbezogen sind.

Felder, die eingeschränkt sind

Diese Felder sind für Kunden bestimmt, um ihre Untersuchung einer Feststellung im Auge zu behalten.

Ordnen Sie diesen Feldern oder Objekten nicht zu.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Ordnen Sie für diese Felder den Feldern zu, die sich imFindingProviderFields-Objekt. Ordnen Sie nicht den Feldern der obersten Ebene zu.

  • Confidence- Fügen Sie einen Konfidenzwert (0-99) nur ein, wenn Ihr Service über eine ähnliche Funktionalität verfügt oder wenn Sie zu 100% zu Ihrer Erkenntnis stehen.

  • Criticality— Der Kritikalitätswert (0-99) soll die Bedeutung der mit dem Befund verbundenen Ressource zum Ausdruck bringen.

  • RelatedFindings— Geben Sie verwandte Ergebnisse nur an, wenn Sie Ergebnisse im Zusammenhang mit derselben Ressource oder demselben Suchtyp verfolgen können. Um eine verwandte Befund zu identifizieren, müssen Sie sich auf die Erkennungskennung eines Ergebnisses beziehen, das sich bereits im Security Hub befindet.