Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Directrices para mapear los hallazgos en el formato de búsqueda de AWS seguridad (ASFF)
<a name="guidelines-asff-mapping"></a>

Use las siguientes directrices para asignar sus resultados al ASFF. Para obtener descripciones detalladas de cada campo y objeto del ASFF, consulte [Formato de resultados de seguridad de AWS (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) en la *Guía del usuario de AWS Security Hub *.

## Información de identificación
<a name="asff-identifying-information"></a>

`SchemaVersion` es siempre `2018-10-08`.

`ProductArn`es el ARN que se le AWS Security Hub CSPM asigna.

`Id`es el valor que utiliza Security Hub CSPM para indexar las conclusiones. El identificador de resultados debe ser único para garantizar que no se sobrescriban otros resultados. Para actualizar un resultado, vuelva a enviarlo con el mismo identificador.

`GeneratorId`puede ser igual `Id` o hacer referencia a una unidad lógica discreta, como un ID de GuardDuty detector de Amazon, un ID de AWS Config grabadora o un ID de IAM Access Analyzer.

## Title y Description
<a name="asff-title-description"></a>

`Title` debe contener alguna información sobre el recurso afectado. `Title` tiene un límite de 256 caracteres, incluidos los espacios.

Puede agregar información más larga y detallada en la `Description`. La `Description` tiene un límite de 1024 caracteres, espacios incluidos. Puede considerar la posibilidad de truncar las descripciones. A continuación se muestra un ejemplo:

```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```

## Tipos de resultados
<a name="asff-finding-types"></a>

Proporcione la información del tipo de resultados en `FindingProviderFields.Types`.

`Types` debe coincidir con la [taxonomía de tipos de ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html).

Si es necesario, puede especificar un clasificador personalizado (el tercer espacio de nombres).

## Marcas de tiempo
<a name="asff-timestamps"></a>

El formato ASFF incluye algunas marcas temporales diferentes.

**`CreatedAt` y `UpdatedAt`**  
Debe enviar `CreatedAt` y `UpdatedAt` cada vez que llame a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) para cada resultado.  
Los valores deben coincidir con el ISO8601 formato de Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

**`FirstObservedAt` y `LastObservedAt`**  
`FirstObservedAt` y `LastObservedAt` deben coincidir en el momento en que el sistema observó el resultado. Si esta información no se registra, no es necesario que envíe estas marcas temporales.  
Los valores coinciden con el ISO8601 formato de Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

## Severity
<a name="asff-severity"></a>

La información de gravedad se proporciona en el objeto `FindingProviderFields.Severity`, que contiene los siguientes campos.

**`Original`**  
El valor de gravedad de su sistema. `Original` puede ser cualquier cadena, adaptada al sistema que utilice.

**`Label`**  
El indicador CSPM de Security Hub requerido de la gravedad del hallazgo. Los valores permitidos son los siguientes:  
+ `INFORMATIONAL`: no se encontró ningún problema.
+ `LOW`: el problema no requiere medidas por sí solo.
+ `MEDIUM`: el problema debe abordarse, pero no es urgente.
+ `HIGH`: el problema debe abordarse con prioridad.
+ `CRITICAL`: el problema debe solucionarse de inmediato para evitar más daños.
Los resultados que cumplan con las normas siempre deben tener el valor de `Label` establecido en `INFORMATIONAL`. Algunos ejemplos de `INFORMATIONAL` hallazgos son los resultados de los controles de seguridad que se han superado y AWS Firewall Manager los que se han subsanado.  
Los clientes suelen ordenar los resultados por su gravedad para ofrecer a sus equipos de operaciones de seguridad una lista de tareas pendientes. Establezca la gravedad del resultado en `HIGH` o `CRITICAL` con moderación.

La documentación de integración debe incluir la justificación de las asignaciones.

## Remediation
<a name="asff-remediation"></a>

`Remediation` tiene dos elementos. Estos elementos se combinan en la consola CSPM de Security Hub.

`Remediation.Recommendation.Text` aparece en la sección **Corrección** de los detalles del resultado. Tiene un hipervínculo al valor de `Remediation.Recommendation.Url`.

Actualmente, solo los hallazgos de los estándares CSPM de Security Hub, IAM Access Analyzer y Firewall Manager muestran hipervínculos a la documentación sobre cómo corregir el hallazgo.

## SourceUrl
<a name="asff-sourceurl"></a>

Use `SourceUrl` solo si puede proporcionar una URL con un enlace profundo a su consola para ese resultado concreto. De lo contrario, omítalo de la asignación.

El CSPM de Security Hub no admite hipervínculos de este campo, pero está expuesto en la consola CSPM de Security Hub.

## Malware, Network, Process, ThreatIntelIndicators
<a name="asff-malware-network-process-threatintel"></a>

Cuando proceda, use `Malware`, `Network`, `Process` o `ThreatIntelIndicators`. Cada uno de estos objetos está expuesto en la consola CSPM de Security Hub. Utilice estos objetos en el contexto del resultado que va a enviar.

Por ejemplo, si detecta un malware que establece una conexión saliente a un comando y nodo de control conocido, proporcione los detalles de la instancia de EC2 en `Resource.Details.AwsEc2Instance`. Proporcione los objetos `Malware`, `Network` y `ThreatIntelIndicator` pertinentes a esa instancia de EC2.

### Malware
<a name="asff-malware"></a>

`Malware` es una lista que acepta hasta cinco conjuntos de información sobre malware. Haga que las entradas de malware sean relevantes para el recurso y el resultado.

Cada entrada cuenta con los siguientes campos:

**`Name`**  
El nombre del malware. El valor es una cadena de hasta 64 caracteres.  
`Name` debe provenir de una fuente de investigación o de inteligencia sobre amenazas acreditada.

**`Path`**  
La ruta al malware. El valor es una cadena de hasta 512 caracteres. `Path` debe ser una ruta de archivo del sistema Linux o Windows, excepto en los siguientes casos.  
+ Si escanea los objetos de un bucket de S3 o un recurso compartido de EFS según las reglas YARA, entonces `Path` es la ruta del objeto S3:// o HTTPS.
+ Si escanea archivos en un repositorio de Git, entonces `Path` es la URL de Git o la ruta de clonado.

**`State`**  
El estado del malware. Los valores permitidos son `OBSERVED` \$1` REMOVAL_FAILED` \$1 `REMOVED`.  
En el título y la descripción del resultado, asegúrese de incluir el contexto de lo que ha ocurrido con el malware.  
Por ejemplo, si `Malware.State` es `REMOVED`, el título y la descripción del resultado deberían reflejar que el producto ha eliminado el malware que se encuentra en la ruta.  
Por ejemplo, si `Malware.State` es `OBSERVED`, el título y la descripción del resultado deberían reflejar que el producto ha encontrado el malware en la ruta.

**`Type`**  
Indica el tipo de malware. Los valores permitidos son `ADWARE` \$1 `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` \$1 `KEYLOGGER` \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 `TROJAN` \$1 `VIRUS` \$1 `WORM`.  
Si necesita un valor adicional`Type`, póngase en contacto con el equipo de CSPM de Security Hub.

### Network
<a name="asff-network"></a>

`Network` es un objeto único. No se pueden añadir varios detalles relacionados con la red. Aplique las siguientes directrices para asignar los campos.

**Información sobre el destino y el origen**  
El destino y el origen son registros de flujo de TCP o VPC o registros de WAF fáciles de asignar. Son más difíciles de usar cuando se describe información de la red para el resultado de un ataque.  
Por lo general, el origen es el lugar donde se origina el ataque, pero podría provenir de otros orígenes, como los que se indican a continuación. Debe explicar el origen en su documentación y también describirlo en el título y la descripción del resultado.  
+ En el caso de un ataque DDoS a una instancia de EC2, el origen es el atacante, aunque un ataque DDoS real puede utilizar millones de hosts. El destino es la dirección IPv4 pública de la instancia de EC2. `Direction` es IN.
+ En el caso de un malware al que se ha observado comunicándose desde una instancia de EC2 con un comando y nodo de control conocido, el origen es la dirección IPV4 de la instancia de EC2. El destino es el comando y nodo de control. `Direction` es `OUT`. También debe proporcionar `Malware` y `ThreatIntelIndicators`.

**`Protocol`**  
`Protocol` siempre se asigna a un nombre registrado de la Internet Assigned Numbers Authority (IANA), a menos que pueda proporcionar un protocolo específico. Siempre debe usarlo y proporcionar la información del puerto.  
`Protocol` es independiente de la información de origen y destino. Indíquelo solo cuando tenga sentido hacerlo.

**`Direction`**  
`Direction`siempre es relativo a los límites de la AWS red.  
+ `IN`significa que está entrando AWS (VPC, servicio).
+ `OUT`significa que está saliendo de los límites de la AWS red.

### Process
<a name="asff-process"></a>

`Process` es un objeto único. No se pueden añadir varios detalles relacionados con la red. Aplique las siguientes directrices para asignar los campos.

**`Name`**  
`Name` debe coincidir con el nombre del ejecutable. Acepta hasta 64 caracteres.

****`Path`****  
`Path` es la ruta del sistema de archivos al ejecutable del proceso. Acepta hasta 512 caracteres.

**`Pid`, `ParentPid`**  
`Pid` y `ParentPid` deben coincidir con el identificador de proceso (PID) de Linux o el ID de evento de Windows. Para distinguirlos, utilice las imágenes de máquina de Amazon (AMI) de EC2 para proporcionar la información. Los clientes probablemente puedan distinguir entre Windows y Linux.

**Marcas temporales (`LaunchedAt` y `TerminatedAt`)**  
Si no puede recuperar esta información de forma fiable, y no tienen una precisión de milisegundos, no las proporcione.  
Si un cliente confía en las marcas temporales para realizar una investigación forense, es mejor no contar con dicha marca que tener una marca temporal incorrecta.

### ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

`ThreatIntelIndicators` acepta un conjunto de hasta cinco objetos de inteligencia de amenazas.

Para cada entrada, `Type` se encuentra en el contexto de la amenaza específica. Los valores permitidos son `DOMAIN` \$1 `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` \$1 `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1 `URL`.

Estos son algunos ejemplos de cómo asignar los indicadores de inteligencia de amenazas:
+ Ha encontrado un proceso que sabe que está asociado a Cobalt Strike. Lo has aprendido en FireEye su blog.

  Establece `Type` en `PROCESS`. Cree también un objeto `Process` para el proceso.
+ Su filtro de correo detectó que alguien estaba enviando un paquete con hash reconocido desde un dominio malicioso conocido.

  Cree dos objetos `ThreatIntelIndicator`. Un objeto es para `DOMAIN`. El otro es para `HASH_SHA1`.
+ Has encontrado un malware con una regla de Yara (Loki, Fenrir, VirusScan Awss3,). BinaryAlert

  Cree dos objetos `ThreatIntelIndicator`. Uno es para el malware. El otro es para `HASH_SHA1`.

## Resources
<a name="asff-resources"></a>

Para `Resources`, utilice los tipos de recursos y los campos de detalles que proporcionamos siempre que sea posible. Security Hub CSPM agrega constantemente nuevos recursos al ASFF. Para recibir un registro mensual de los cambios en el ASFF, póngase en contacto con securityhub-partners@amazon.com.

Si no puede ajustar la información de los campos de detalles de un tipo de recurso modelado, asigne los detalles restantes a `Details.Other`.

Para un recurso que no esté modelado en ASFF, establezca `Type` en `Other`. Para obtener información detallada, consulte `Details.Other`.

También puede utilizar el tipo de `Other` recurso para los casos en los que no se encuentre información.AWS 

## ProductFields
<a name="asff-productfields"></a>

Use `ProductFields` solo si no puede usar otro campo mantenido para `Resources` o un objeto descriptivo como `ThreatIntelIndicators`, `Network` o `Malware`.

Si usa `ProductFields`, debe proporcionar una justificación estricta de esta decisión.

## Conformidad
<a name="asff-compliance"></a>

Use `Compliance` solo si sus resultados están relacionados con la conformidad.

Security Hub CSPM utiliza `Compliance` para los hallazgos que genera en función de los controles.

Firewall Manager usa `Compliance` para sus resultados porque están relacionados con la conformidad.

## Campos que están restringidos
<a name="asff-restricted-fields"></a>

Estos campos están pensados para que los clientes realicen un seguimiento de su investigación de un resultado.

No asigne nada a estos campos u objetos.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Para estos campos, haga la asignación a los campos que están en el objeto `FindingProviderFields`. No los asigne a los campos de nivel superior.
+ `Confidence`: incluya una puntuación de confianza (0-99) únicamente si su servicio tiene una funcionalidad similar o si confirma al 100 % su resultado.
+ `Criticality`: la puntuación de importancia crítica (0-99) se usa para expresar la importancia del recurso asociado al resultado.
+ `RelatedFindings`: proporcione los resultados relacionados únicamente si puede llevar un seguimiento de los resultados relacionados con el mismo recurso o tipo de resultado. Para identificar un hallazgo relacionado, debe consultar el identificador de hallazgo de un hallazgo que ya esté en el Security Hub CSPM.