Directrices para mapear los hallazgos en elAWSFormato de los hallazgos de seguridad de (ASFF)

Utilice las siguientes directrices para asignar sus hallazgos al ASFF. Para obtener descripciones detalladas de cada campo y objeto ASFF, consulteAWSFormato de los hallazgos de seguridad de (ASFF)en laAWS Security HubGuía del usuario de.

Información identificativa

SchemaVersion es siempre 2018-10-08.

ProductArnes el ARN queAWS Security Hubte asigna.

Ides el valor que Security Hub utiliza para indexar los hallazgos. El identificador de hallazgo debe ser único para garantizar que no se sobrescriban otros hallazgos. Para actualizar una búsqueda, vuelva a enviar la búsqueda con el mismo identificador.

GeneratorIdpuede ser lo mismo queIdo puede hacer referencia a una unidad lógica discreta, como AmazonGuardDutyID de detector,AWS ConfigID de grabadora o ID de IAM Access Analyzer.

Title y Description

Titledebe contener información sobre el recurso afectado.Titleestá limitado a 256 caracteres, incluidos los espacios.

Añada información más detallada aDescription.Descriptionestá limitado a 1024 caracteres, incluidos los espacios. Puede considerar agregar truncamiento a las descripciones. A continuación se muestra un ejemplo:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

Tipos de búsqueda

Proporciona la información del tipo de búsqueda enFindingProviderFields.Types.

Typesdebe coincidir con elTipos de taxonomía para el ASFF.

Si es necesario, puede especificar un clasificador personalizado (el tercer espacio de nombres).

Marcas temporales

El formato ASFF incluye algunas marcas de hora diferentes.

CreatedAt y UpdatedAt

Debes enviarCreatedAtyUpdatedAtcada vez que llamasBatchImportFindingspara cada hallazgo.

Los valores deben coincidir con el formato ISO8601 de Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

FirstObservedAt y LastObservedAt

FirstObservedAtyLastObservedAtdebe coincidir cuando el sistema haya observado el hallazgo. Si no registra esta información, no necesita enviar estas marcas de hora.

Los valores coinciden con el formato ISO8601 de Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

Proporciona información de gravedad en elFindingProviderFields.Severityobjeto, que contiene los siguientes campos.

Original

El valor de gravedad de su sistema.Originalpuede ser cualquier cadena, para acomodar el sistema que utiliza.

Label

Indicador de Security Hub necesario de la gravedad de la búsqueda. Los valores permitidos son los siguientes.

• INFORMATIONAL— No se ha encontrado ningún problema.

• LOW— La cuestión no requiere acción por sí sola.

• MEDIUM— La cuestión debe abordarse pero no urgentemente.

• HIGH— La cuestión debe abordarse con carácter prioritario.

• CRITICAL— La cuestión debe solucionarse inmediatamente para evitar más daños.

Los hallazgos que cumplen los requisitos deben tener siempreLabelestablecer comoINFORMATIONAL. Ejemplos deINFORMATIONALlas conclusiones son conclusiones de los controles de seguridad aprobados yAWS Firewall Managerhallazgos que se solucionan.

Los clientes suelen ordenar los hallazgos por su gravedad para ofrecer a sus equipos de operaciones de seguridad una lista de tareas pendientes. Sea conservador al establecer la gravedad del hallazgo enHIGHoCRITICAL.

La documentación de integración debe incluir los fundamentos de la asignación.

Remediation

Remediationtiene dos elementos. Estos elementos se combinan en la consola de Security Hub.

Remediation.Recommendation.Textaparece en el directorioCorrecciónsección de los detalles de la búsqueda. Está hipervinculado al valor deRemediation.Recommendation.Url.

Actualmente, solo los resultados de los estándares de Security Hub, IAM Access Analyzer y Firewall Manager muestran hipervínculos a la documentación sobre cómo corregir la búsqueda.

SourceUrl

Utilizar soloSourceUrlsi puedes proporcionar una URL enlazada profunda a tu consola para ese hallazgo específico. De lo contrario, omítalo de la asignación.

Security Hub no admite hipervínculos de este campo, pero se expone en la consola de Security Hub.

Malware, Network, Process, ThreatIntelIndicators

Cuando proceda, utiliceMalware,Network,Process, o bienThreatIntelIndicators. Cada uno de estos objetos se expone en la consola de Security Hub. Utilice estos objetos en el contexto de la búsqueda que está enviando.

Por ejemplo, si detecta malware que realiza una conexión saliente a un nodo de comando y control conocido, proporcione los detalles de la instancia EC2 enResource.Details.AwsEc2Instance. Proporcionar la información pertinenteMalware,Network, yThreatIntelIndicatorobjetos de esa instancia EC2.

Malware

Malwarees una lista que acepta hasta cinco matrices de información de malware. Haga que las entradas de malware sean relevantes para el recurso y la búsqueda.

Cada entrada tiene los siguientes campos.

Name

El nombre del malware. El valor es una cadena de hasta 64 caracteres.

Namedebe proceder de una información sobre amenazas o de una fuente investigadora comprobada.

Path

La ruta al malware. El valor es una cadena de hasta 512 caracteres.Pathdebe ser una ruta de archivo del sistema Linux o Windows, excepto en los siguientes casos.

• Si escanea objetos en un bucket de S3 o en un recurso compartido de EFS con las reglas de YARA,Pathes la ruta de objeto S3://o HTTPS.

• Si escaneas archivos en un repositorio de Git, entoncesPathes la URL de Git o la ruta de clon.

State

El estado del malware. Los valores permitidos sonOBSERVED| REMOVAL_FAILED|REMOVED.

En el título y la descripción de búsqueda, asegúrese de proporcionar contexto para lo que ocurrió con el malware.

Por ejemplo, siMalware.StateesREMOVED, el título y la descripción de la búsqueda deben reflejar que el producto ha eliminado el malware que se encuentra en la ruta.

SiMalware.StateesOBSERVED, el título y la descripción de la búsqueda deben reflejar que el producto ha encontrado este malware ubicado en la ruta.

Type

Indica el tipo de malware. Los valores permitidos sonADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM.

Si necesitas un valor adicional paraType, póngase en contacto con el equipo de Security Hub.

Network

Networkes un solo objeto. No se pueden añadir varios detalles relacionados con la red. Cuando realice una asignación de los campos, utilice las siguientes directrices.

Información de destino y origen

El destino y el origen son fáciles de asignar registros de flujo TCP o VPC o registros WAF. Son más difíciles de usar cuando se describe la información de la red para un hallazgo sobre un ataque.

Normalmente, la fuente es de donde se originó el ataque, pero podría tener otras fuentes como se enumeran a continuación. Debe explicar el origen en la documentación y describirlo también en el título y la descripción de búsqueda.

• Para un ataque DDoS en una instancia EC2, el origen es el atacante, aunque un ataque DDoS real puede utilizar millones de hosts. El destino es la dirección IPv4 pública de la instancia EC2.Directionestá IN.

• En el caso de malware que se observa comunicándose desde una instancia EC2 a un nodo de comando y control conocido, el origen es la dirección IPV4 de la instancia EC2. El destino es el nodo de comando y control.DirectionesOUT. También proporcionaríaMalwareyThreatIntelIndicators.

Protocol

Protocolsiempre se asigna a un nombre registrado de la Autoridad de Números Asignados de Internet (IANA), a menos que pueda proporcionar un protocolo específico. Debe usarlo siempre y proporcionar la información del puerto.

Protocoles independiente de la información de origen y destino. Solo proporciónalo cuando tenga sentido hacerlo.

Direction

Directionsiempre es relativo a laAWSLímites de red.

• INsignifica que está entrandoAWS(VPC, servicio).

• OUTsignifica que está saliendo delAWSLímites de red.

Process

Processes un solo objeto. No se pueden añadir varios detalles relacionados con el proceso. Cuando realice una asignación de los campos, utilice las siguientes directrices.

Name

Namedebe coincidir con el nombre del ejecutable. Acepta como máximo 64 caracteres.

Path

Pathes la ruta del sistema de archivos al ejecutable del proceso. Acepta hasta 512 caracteres.

Pid, ParentPid

PidyParentPiddebe coincidir con el identificador de proceso de Linux (PID) o el ID de evento de Windows. Para diferenciar, utilice Imágenes de máquina de Amazon (AMI) de EC2 para proporcionar la información. Los clientes pueden diferenciar entre Windows y Linux.

Marcas de tiempo (LaunchedAtyTerminatedAt)

Si no puede recuperar esta información de forma fiable y no es exacta en milisegundos, no la proporcione.

Si un cliente confía en las marcas de hora para la investigación forense, entonces no tener marca de hora es mejor que tener una marca de hora incorrecta.

ThreatIntelIndicators

ThreatIntelIndicatorsacepta una matriz de hasta cinco objetos de información de amenazas.

Para cada entrada,Typese encuentra en el contexto de la amenaza específica. Los valores permitidos sonDOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL.

A continuación, mostramos algunos ejemplos de cómo asignar indicadores de información de amenazas:

• Has encontrado un proceso que sabes que está asociado con Cobalt Strike. Lo aprendiste deFireEyedel blog de.

  Establezca Type en PROCESS. Crea también unProcessobjeto para el proceso.

• El filtro de correo ha encontrado a alguien que envía un paquete hash conocido desde un dominio malicioso conocido.

  Crear dosThreatIntelIndicatorobjetos. Un objeto es para elDOMAIN. El otro es para elHASH_SHA1.

• Has encontrado malware con una regla de Yara (Loki, Fenrir, Awss3VirusScan,BinaryAlert).

  Crear dosThreatIntelIndicatorobjetos. Uno es para el malware. El otro es para elHASH_SHA1.

Resources

ParaResources, utilice los tipos de recursos proporcionados y los campos de detalle siempre que sea posible. Security Hub añade constantemente nuevos recursos al ASFF. Para recibir un registro mensual de los cambios en el ASFF, póngase en contacto con<securityhub-partners@amazon.com>.

Si no puede colocar la información en los campos de detalles de un tipo de recurso modelado, asigne los detalles restantes aDetails.Other.

Para un recurso que no está modelado en ASFF, definaTypeaOther. Para obtener información detallada, utiliceDetails.Other.

También puede utilizar laOthertipo de recurso para organizaciones no gubernamentales,AWShallazgos.

ProductFields

Utilizar soloProductFieldssi no puede utilizar otro campo seleccionado paraResourceso un objeto descriptivo comoThreatIntelIndicators,Network, o bienMalware.

Si lo utilizasProductFields, debe proporcionar una justificación estricta para esta decisión.

Conformidad

Utilizar soloCompliancesi sus conclusiones están relacionadas con el cumplimiento.

Security Hub utilizaCompliancepara las conclusiones que genera sobre la base de los controles.

Firewall Manager utilizaCompliancepor sus conclusiones porque están relacionadas con el cumplimiento.

Campos restringidos

Estos campos están destinados a que los clientes realicen un seguimiento de su investigación de un hallazgo.

No asigne estos campos u objetos.

• Note

• UserDefinedFields

• VerificationState

• Workflow

Para estos campos, asigne los campos que se encuentran en elFindingProviderFieldsobjeto. No asigne a los campos de nivel superior.

• Confidence— Incluya solo un puntaje de confianza (0-99) si su servicio tiene una funcionalidad similar o si respalda al 100% su hallazgo.

• Criticality— El puntaje de criticidad (0-99) pretende expresar la importancia del recurso asociado al hallazgo.

• RelatedFindings: proporcione resultados relacionados únicamente si puede realizar un seguimiento de los hallazgos relacionados con el mismo recurso o tipo de búsqueda. Para identificar un hallazgo relacionado, debe hacer referencia al identificador de búsqueda de un hallazgo que ya se encuentra en Security Hub.