Optionale Attribute der obersten Ebene - AWS Security Hub
AktionAwsAccountNameCompanyName-ComplianceWahrscheinlichkeitKritikalitätFindingProviderFieldsFirstObservedAtLastObservedAtSchadsoftwareNetzwerk (im Ruhestand)NetworkPathHinweisPatchSummaryProzessProcessedAtProductFieldsProductNameRecordStateRegionRelatedFindingsAbhilfeBeispielSourceUrlThreatIntelIndicatorsBedrohungenUserDefinedFieldsVerificationStateSchwachstellenWorkflowWorkflowState (Im Ruhestand)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Optionale Attribute der obersten Ebene

Diese Attribute der obersten Ebene sind im AWS Security Finding Format (ASFF) optional. Weitere Informationen zu diesen Attributen finden Sie AwsSecurityFindingin der AWS Security Hub API-Referenz.

Aktion

Das ActionObjekt enthält Details zu einer Aktion, die sich auf eine Ressource auswirkt oder die für eine Ressource ausgeführt wurde.

Beispiel

"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}

AwsAccountName

Der AWS-Konto Name, auf den sich das Ergebnis bezieht.

Beispiel

"AwsAccountName": "jane-doe-testaccount"

CompanyName

Der Name des Unternehmens für das Produkt, das zu dem Ergebnis geführt hat. Bei Ergebnissen, die auf Kontrollen beruhen, lautet das Unternehmen. AWS

Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindingsoder BatchUpdateFindingsaktualisieren. Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Verwenden von benutzerdefinierten Produktintegrationen, um Ergebnisse an AWS Security Hub zu senden.

Wenn Sie die Security Hub Hub-Konsole verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie dieses Attribut. Wenn Sie die Security Hub Hub-API verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie das aws/securityhub/CompanyName Attribut unterProductFields. Security Hub synchronisiert diese beiden Attribute nicht.

Beispiel

"CompanyName": "AWS"

-Compliance

Das ComplianceObjekt enthält Suchdetails zu einem Steuerelement. Dieses Attribut wird für Ergebnisse zurückgegeben, die von einem Security Hub-Steuerelement generiert wurden, und für Ergebnisse, die AWS Config an Security Hub gesendet werden.

Beispiel

"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}

Wahrscheinlichkeit

Die Wahrscheinlichkeit, dass ein Ergebnis das Verhalten oder das Problem, das identifiziert werden sollte, genau identifiziert.

Confidencesollte nur mit aktualisiert werden BatchUpdateFindings.

Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Confidence sollten Sie das Confidence Attribut unter verwendenFindingProviderFields. Siehe Verwenden von FindingProviderFields.

Confidencewird anhand einer Verhältnisskala auf einer Basis von 0—100 bewertet. 0 bedeutet 0 Prozent Konfidenz, und 100 bedeutet 100 Prozent Konfidenz. Beispielsweise hat eine Erkennung einer Datenexfiltration, die auf einer statistischen Abweichung des Netzwerkverkehrs basiert, eine geringe Zuverlässigkeit, da eine tatsächliche Exfiltration nicht verifiziert wurde.

Beispiel

"Confidence": 42

Kritikalität

Die Wichtigkeit, die den Ressourcen zugewiesen wird, die mit einem Ergebnis verknüpft sind.

Criticalitysollte nur durch Aufrufen der BatchUpdateFindingsAPI-Operation aktualisiert werden. Aktualisieren Sie dieses Objekt nicht mit BatchImportFindings.

Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Criticality sollten Sie das Criticality Attribut unter verwendenFindingProviderFields. Siehe Verwenden von FindingProviderFields.

Criticalitywird auf einer Basis von 0—100 bewertet, wobei eine Verhältnisskala verwendet wird, die nur ganze Zahlen unterstützt. Ein Wert von 0 bedeutet, dass die zugrunde liegenden Ressourcen keine Kritikalität haben, und der Wert 100 ist den wichtigsten Ressourcen vorbehalten.

Beachten Sie bei der Zuweisung für jede Ressource Folgendes: Criticality

  • Enthält die betroffene Ressource sensible Daten (z. B. einen S3-Bucket mit PII)?

  • Ermöglicht die betroffene Ressource einem Angreifer, seinen Zugriff zu vertiefen oder seine Fähigkeiten zur Ausführung zusätzlicher bösartiger Aktivitäten auszuweiten (z. B. ein kompromittiertes Systemadministratorkonto)?

  • Ist die Ressource ein geschäftskritisches Asset (z. B. ein wesentliches Unternehmenssystem, dessen Kompromittierung bedeutende Umsatzeinbußen verursachen könnte)?

Sie können die folgenden Richtlinien verwenden:

  • Eine Ressource, die geschäftskritische Systeme mit Strom versorgt oder hochsensible Daten enthält, kann im Bereich von 75 bis 100 bewertet werden.

  • Eine Ressource, die wichtige (aber nicht kritische Systeme) mit Strom versorgt oder mäßig wichtige Daten enthält, kann im Bereich 25—74 bewertet werden.

  • Eine Ressource, die unwichtige Systeme unterstützt oder unsensible Daten enthält, sollte im Bereich von 0—24 bewertet werden.

Beispiel

"Criticality": 99

FindingProviderFields

FindingProviderFieldsumfasst die folgenden Attribute:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Die obigen Felder sind unter dem FindingProviderFields Objekt verschachtelt, haben jedoch Entsprechungen mit demselben Namen wie ASFF-Felder der obersten Ebene. Wenn ein neuer Befund von einem Suchdienstleister an Security Hub gesendet wird, füllt Security Hub das FindingProviderFields Objekt automatisch auf, wenn es aufgrund der entsprechenden Felder der obersten Ebene leer ist.

Finding Provider können Updates FindingProviderFields mithilfe der BatchImportFindingsSecurity Hub Hub-API aktualisieren. Die Suche nach Anbietern kann dieses Objekt nicht mit aktualisieren BatchUpdateFindings.

Einzelheiten darüber, wie Security Hub Updates von BatchImportFindings zu FindingProviderFields und zu den entsprechenden Attributen der obersten Ebene verarbeitet, finden Sie unterVerwenden von FindingProviderFields.

Kunden können die Felder der obersten Ebene mithilfe des BatchUpdateFindings Vorgangs aktualisieren. Kunden können nicht aktualisierenFindingProviderFields.

Beispiel

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

FirstObservedAt

Gibt an, wann das potenzielle Sicherheitsproblem, das durch ein Ergebnis erkannt wurde, zum ersten Mal beobachtet wurde.

Dieser Zeitstempel gibt den Zeitpunkt an, zu dem das Ereignis oder die Sicherheitsanfälligkeit zum ersten Mal beobachtet wurde. Folglich kann er vom CreatedAt Zeitstempel abweichen, der den Zeitpunkt angibt, zu dem dieser Befunddatensatz erstellt wurde.

Dieser Zeitstempel sollte zwischen Aktualisierungen des Ergebnisdatensatzes unveränderlich sein, kann aber aktualisiert werden, wenn ein genauerer Zeitstempel bestimmt wird.

Beispiel

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

Gibt an, wann das potenzielle Sicherheitsproblem, das durch ein Ergebnis erkannt wurde, zuletzt vom Produkt mit Sicherheitsergebnissen festgestellt wurde.

Dieser Zeitstempel gibt den Zeitpunkt an, zu dem das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde. Folglich kann er vom UpdatedAt Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz zuletzt oder zuletzt aktualisiert wurde.

Sie können diesen Zeitstempel angeben, er ist jedoch bei der ersten Beobachtung nicht erforderlich. Wenn Sie dieses Feld bei der ersten Beobachtung angeben, sollte der Zeitstempel mit dem Zeitstempel identisch sein. FirstObservedAt Sie sollten dieses Feld immer wieder aktualisieren, sodass immer der Zeitstempel der letzten Beobachtung des Fundes angegeben wird.

Beispiel

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Schadsoftware

Das Objekt Malware stellt eine Liste der Malware zur Verfügung, die mit einem Fund zusammenhängt.

Beispiel

"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]

Netzwerk (im Ruhestand)

Das NetworkObjekt stellt netzwerkbezogene Informationen zu einem Befund bereit.

Dieses Objekt ist ausgemustert. Um diese Daten bereitzustellen, können Sie die Daten entweder einer Ressource in zuordnen Resources oder das Action Objekt verwenden.

Beispiel

"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}

NetworkPath

Das NetworkPathObjekt stellt Informationen über einen Netzwerkpfad bereit, der mit einem Befund zusammenhängt. Jeder Eintrag in NetworkPath steht für eine Komponente des Pfads.

Beispiel

"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]

Hinweis

Das NoteObjekt gibt eine benutzerdefinierte Notiz an, die Sie zu einem Ergebnis hinzufügen können.

Ein Ergebnisanbieter kann eine erste Notiz für ein Ergebnis bereitstellen, aber danach können keine Notizen hinzugefügt werden. Sie können eine Notiz nur mit BatchUpdateFindingsaktualisieren.

Beispiel

"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}

PatchSummary

Das PatchSummaryObjekt bietet eine Zusammenfassung des Patch-Konformitätsstatus einer Instanz anhand eines ausgewählten Konformitätsstandards.

Beispiel

"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}

Prozess

Das ProcessObjekt enthält prozessbezogene Details zu einem Ergebnis.

Beispiel:

"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}

ProcessedAt

Zeigt an, wann Security Hub ein Ergebnis erhalten hat und mit der Verarbeitung beginnt.

Dies unterscheidet sich von CreatedAt undUpdatedAt, bei denen es sich um erforderliche Zeitstempel handelt, die sich auf die Interaktion des Ermittlungsanbieters mit dem Sicherheitsproblem und dem Ergebnis beziehen. Der ProcessedAt Zeitstempel gibt an, wann Security Hub mit der Verarbeitung eines Ergebnisses beginnt. Ein Ergebnis wird nach Abschluss der Verarbeitung im Konto eines Benutzers angezeigt.

"ProcessedAt": "2023-03-23T13:22:13.933Z"

ProductFields

Ein Datentyp, bei dem Produkte mit Sicherheitsergebnissen zusätzliche lösungsspezifische Details enthalten können, die nicht Teil des definierten AWS Sicherheitsfindungsformats sind.

Für Ergebnisse, die durch Security Hub Hub-Kontrollen generiert wurden, ProductFields enthält dies Informationen über die Kontrolle. Siehe Generierung und Aktualisierung der Kontrollergebnisse.

Dieses Feld sollte keine redundanten Daten enthalten und darf keine Daten enthalten, die mit Feldern im AWS Security Finding Format in Konflikt stehen.

Das Präfix aws/ "" steht für einen reservierten Namespace, der nur für AWS Produkte und Dienstleistungen reserviert ist und darf nicht zusammen mit Ergebnissen aus Integrationen von Drittanbietern eingereicht werden.

Auch wenn dies nicht unbedingt erforderlich ist, sollten Produkte Feldnamen wir folgt formatieren: company-id/product-id/field-name. Dabei sollten die company-id und product-id den Angaben im ProductArn des Fundes entsprechen.

Die Felder, auf die verwiesen wird, Archival werden verwendet, wenn Security Hub ein vorhandenes Ergebnis archiviert. Security Hub archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie konsolidierte Kontrollergebnisse ein- oder ausschalten.

Dieses Feld kann auch Informationen über den Standard enthalten, der die Kontrolle beinhaltet, die zu dem Ergebnis geführt hat.

Beispiel

"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}

ProductName

Gibt den Namen des Produkts an, das den Befund generiert hat. Für Ergebnisse, die auf Kontrollen basieren, lautet der Produktname Security Hub.

Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindingsoder BatchUpdateFindingsaktualisieren. Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Verwenden von benutzerdefinierten Produktintegrationen, um Ergebnisse an AWS Security Hub zu senden.

Wenn Sie die Security Hub Hub-Konsole verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie dieses Attribut.

Wenn Sie die Security Hub Hub-API verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie das aws/securityhub/ProductName Attribut unterProductFields.

Security Hub synchronisiert diese beiden Attribute nicht.

RecordState

Stellt den Datensatzstatus eines Ergebnisses bereit.

Standardmäßig werden Funde als ACTIVE erachtet, wenn sie anfangs von einem Service generiert werden.

Der Status ARCHIVED gibt an, dass ein Fund nicht mehr sichtbar sein sollte. Archivierte Ergebnisse werden nicht sofort gelöscht. Sie können nach ihnen suchen, sie überprüfen und darüber Bericht erstatten. Security Hub archiviert automatisch kontrollbasierte Ergebnisse, wenn die zugehörige Ressource gelöscht wird, die Ressource nicht existiert oder die Kontrolle deaktiviert ist.

RecordStateist für die Suche nach Anbietern vorgesehen und kann nur von aktualisiert werden. BatchImportFindings Sie können es nicht aktualisieren mit BatchUpdateFindings.

Um den Status Ihrer Untersuchung zu einem Ergebnis nachzuverfolgen, verwenden Sie WorkflowstattRecordState.

Wenn sich der Datensatzstatus von ARCHIVED zu ACTIVE ändert und der Workflow-Status des Ergebnisses entweder NOTIFIED oder lautetRESOLVED, setzt Security Hub den Workflow-Status automatisch aufNEW.

Beispiel

"RecordState": "ACTIVE"

Region

Gibt das an, AWS-Region aus dem das Ergebnis generiert wurde.

Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindingsoder BatchUpdateFindingsaktualisieren.

Beispiel

"Region": "us-west-2"

RelatedFindings

Stellt eine Liste von Ergebnissen bereit, die sich auf das aktuelle Ergebnis beziehen.

RelatedFindingssollte nur mit der BatchUpdateFindingsAPI-Operation aktualisiert werden. Sie sollten dieses Objekt nicht mit aktualisieren BatchImportFindings.

Für BatchImportFindingsAnfragen sollte die Suche nach Anbietern das RelatedFindings Objekt unter verwenden FindingProviderFields.

Beschreibungen der RelatedFindings Attribute finden Sie RelatedFindingin der AWS Security Hub API-Referenz.

Beispiel

"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]

Abhilfe

Das Objekt Remediation enthält Informationen zu empfohlenen Behebungsschritten für das Problem.

Beispiel

"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}

Beispiel

Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt.

"Sample": true

SourceUrl

Das SourceUrl Objekt stellt eine URL bereit, die auf eine Seite verweist, die sich mit dem aktuellen Ergebnis im gefundenen Produkt befasst.

"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

Das ThreatIntelIndicatorObjekt stellt Bedrohungsinformationen bereit, die sich auf einen Befund beziehen.

Beispiel

"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]

Bedrohungen

Das ThreatsObjekt enthält Details zu der Bedrohung, die durch einen Befund erkannt wurde.

Beispiel

"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]

UserDefinedFields

Stellt eine Liste von Zeichenfolgenpaaren aus Name und Wert bereit, die dem Befund zugeordnet sind. Dies sind individuelle, benutzerdefinierte Felder, die einem Fund hinzugefügt werden. Diese Felder können anhand Ihrer spezifischen Konfiguration automatisch generiert werden.

Bei der Suche nach Anbietern sollte dieses Feld nicht für Daten verwendet werden, die das Produkt generiert. Stattdessen kann das ProductFields Feld bei der Suche nach Anbietern für Daten verwendet werden, die keinem Standardfeld im Format für AWS Sicherheitssuche zugeordnet sind.

Diese Felder können nur mit BatchUpdateFindings aktualisiert werden.

Beispiel

"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}

VerificationState

Stellt den Wahrheitsgehalt eines Ergebnisses sicher. Finds-Produkte können UNKNOWN für dieses Feld einen Wert von angeben. Ein Ergebnisprodukt sollte einen Wert für dieses Feld liefern, wenn das System des Ergebnisprodukts ein aussagekräftiges Analogon enthält. Dieses Feld wird in der Regel durch eine Benutzerentscheidung oder eine Aktion nach der Untersuchung eines Ergebnisses gefüllt.

Ein Ergebnisanbieter kann einen Anfangswert für dieses Attribut bereitstellen, es danach aber nicht aktualisieren. Sie können dieses Attribut nur aktualisieren, indem Sie BatchUpdateFindings.

"VerificationState": "Confirmed"

Schwachstellen

Das VulnerabilitiesObjekt enthält eine Liste von Sicherheitslücken, die mit einem Befund verknüpft sind.

Beispiel

"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]

Workflow

Das Workflow-Objekt bietet Informationen über den Status der Untersuchung zu einem Ergebnis.

Dieses Feld ist für Kunden zur Verwendung mit Tools zur Problembehebung, Orchestrierung und Ticketausstellung vorgesehen. Es ist nicht für die Suche nach Anbietern bestimmt.

Sie können das Feld nur mit aktualisieren. Workflow BatchUpdateFindings Kunden können ihn auch über die Konsole aktualisieren. Siehe Den Workflow-Status von Ergebnissen festlegen.

Beispiel

"Workflow": {
    "Status": "NEW"
}

WorkflowState (Im Ruhestand)

Dieses Objekt ist ausgemustert und wurde durch das Status Feld des Workflow Objekts ersetzt.

Dieses Feld gibt den Workflow-Status eines Ergebnisses an. Funde generierende Produkte können in diesem Feld den Wert NEW angeben. Ein Funde generierendes Produkte kann einen Wert in diesem Feld angeben, wenn es ein aussagekräftiges Analogon im System des Produkts gibt.

Beispiel

"WorkflowState": "NEW"