Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Asignos de nivel superior opcionales
Estos atributos de nivel superior son opcionales en el formatoAWS de búsqueda de seguridad. Para obtener más información sobre estos atributos, consulte AwsSecurityFindingla Referencia de laAWS Security Hub API.
Acción
El Action
objeto proporciona detalles sobre una acción que afecta a un recurso o que se ha realizado en él.
Ejemplo
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
CompanyName
El nombre de la empresa del producto que generó el hallazgo. Para los hallazgos basados en el control, la empresa esAWS.
Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindings
o BatchUpdateFindings
. La excepción es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.
Cuando utiliza la consola de Security Hub para filtrar los hallazgos por nombre de empresa, utiliza este atributo. Cuando utiliza la API de Security Hub para filtrar los hallazgos por nombre de empresa, utiliza elaws/securityhub/CompanyName
atributo que aparece debajoProductFields
. Security Hub no sincroniza esos dos atributos.
Ejemplo
"CompanyName": "AWS"
Conformidad de
El Compliance
objeto proporciona detalles de búsqueda relacionados con un control. Este atributo se devuelve para los hallazgos generados desde un control de Security Hub y para los hallazgos que seAWS Config envían a Security Hub.
Ejemplo
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/pci-dss/v/3.2.1"}, {"StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"} ], "RelatedRequirements": [ "PCI DSS v3.2.1/3.4", "CIS AWS Foundations Benchmark v1.2.0/2.7", "CIS AWS Foundations Benchmark v1.4.0/3.7" ], "SecurityControlId": "CloudTrail.2", "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }
Confianza
La probabilidad de que un hallazgo identifique con precisión el comportamiento o el problema que se pretendía identificar.
Confidence
solo debe actualizarse utilizando BatchUpdateFindings
.
Para buscar proveedores que deseen proporcionar un valor, seConfidence
debe utilizar elConfidence
atributo de abajoFindingProviderFields
. Consulte Uso FindingProviderFields.
Confidence
se puntúa de 0 a 100 mediante una escala de cocientes. 0 significa un 0 por ciento de confianza y 100 significa un 100 por ciento de confianza. Por ejemplo, una detección de exfiltración de datos basada en una desviación estadística del tráfico de red tiene poca confianza porque no se ha verificado una exfiltración real.
Ejemplo
"Confidence": 42
Criticidad
El nivel de importancia que se asigna a los recursos asociados a un hallazgo.
Criticality
solo debe actualizarse llamando a la operación BatchUpdateFindings
de API. No actualice este objeto con BatchImportFindings
.
Para buscar proveedores que deseen proporcionar un valor, seCriticality
debe utilizar elCriticality
atributo de abajoFindingProviderFields
. Consulte Uso FindingProviderFields.
Criticality
se puntúa de 0 a 100, utilizando una escala de proporciones que solo admite números enteros completos. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.
Para cada recurso, tenga en cuenta lo siguiente al asignarCriticality
:
-
¿El recurso afectado contiene datos confidenciales (por ejemplo, un bucket de S3 con información de identificación personal)?
-
¿El recurso afectado permite a un adversario ampliar su acceso o ampliar sus capacidades para llevar a cabo actividades maliciosas adicionales (por ejemplo, una cuenta de administrador de sistemas comprometida)?
-
¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?
Puede utilizar las siguientes directrices:
-
Un recurso que alimente sistemas de misión crítica o que contenga datos altamente confidenciales puede puntuarse en el rango de 75 a 100.
-
Un recurso que alimente sistemas importantes (pero no críticos) o que contenga datos de importancia moderada se puede puntuar en el rango de 25 a 74.
-
Un recurso que alimente sistemas sin importancia o que contenga datos no confidenciales debe puntuarse en el rango de 0 a 24.
Ejemplo
"Criticality": 99
FindingProviderFields
FindingProviderFields
incluye los siguientes atributos:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
Puede actualizarFindingProviderFields
mediante la operación de la BatchImportFindings
API. No puede actualizarlo con BatchUpdateFindings
.
Para obtener más información sobre cómo Security Hub gestiona las actualizaciones desdeFindingProviderFields
y BatchImportFindings
hacia los atributos de nivel superior correspondientes, consulteUso FindingProviderFields.
Ejemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indica cuándo se observó por primera vez el posible problema de seguridad detectado por un hallazgo.
Esta marca de tiempo refleja la hora en que se observó por primera vez el evento o la vulnerabilidad. En consecuencia, puede diferir de la marca deCreatedAt
tiempo, que refleja la hora en que se creó este registro de búsqueda.
Esta marca de tiempo debe ser inmutable entre las actualizaciones del registro de búsqueda, pero se puede actualizar si se determina una marca de tiempo más precisa.
Ejemplo
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indica cuándo el producto de hallazgos de seguridad observó por última vez el posible problema de seguridad detectado por un hallazgo.
Esta marca de tiempo refleja la hora en que se observó el evento o la vulnerabilidad por última vez o más recientemente. En consecuencia, puede diferir de la marca deUpdatedAt
tiempo, que refleja cuándo se actualizó este registro de búsqueda por última vez o por última vez.
Puede proporcionar esta marca de tiempo, pero no es necesaria en la primera observación. Si proporciona este campo en la primera observación, la marca de tiempo debe ser la misma que laFirstObservedAt
marca de tiempo. Debe actualizar este campo para reflejar la la marca temporal observada más recientemente o por última vez cada vez se observa un hallazgo.
Ejemplo
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
El objeto Malware
proporciona una lista de malware relacionado con un hallazgo.
Ejemplo
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Red (retirada)
El Network
objeto proporciona información relacionada con la red sobre un hallazgo.
Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso enResources
o utilizar elAction
objeto.
Ejemplo
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
El NetworkPath
objeto proporciona información sobre una ruta de red relacionada con una búsqueda. Cada entrada enNetworkPath
representa un componente de la ruta.
Ejemplo
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Nota
El Note
objeto especifica una nota definida por el usuario que puede añadir a una búsqueda.
Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puedes actualizar una nota usando BatchUpdateFindings
.
Ejemplo
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
El PatchSummary
objeto proporciona un resumen del estado de cumplimiento del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.
Ejemplo
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Proceso
El Process
objeto proporciona detalles relacionados con el proceso sobre un hallazgo.
Ejemplo:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProductFields
Tipo de datos en el que los productos de búsqueda de seguridad pueden incluir detalles adicionales específicos de la solución que no forman parte del formato de búsqueda deAWS seguridad definido.
En el caso de los hallazgos generados por los controles de Security Hub,ProductFields
incluye información sobre el control. Consulte Generar y actualizar los hallazgos de control.
Este campo no debe contener datos redundantes y no debe contener datos que estén en conflicto con los campos de AWS Security Finding Format.
El prefijoaws/
«» representa un espacio de nombres reservado únicamente paraAWS productos y servicios y no debe enviarse junto con los hallazgos de integraciones de terceros.
Aunque no es necesario, los productos deben formatear los nombres de los campos como company-id/product-id/field-name
, donde el company-id
y el product-id
coinciden con los suministrados en el ProductArn
del hallazgo.
Los campos a los que se hace referencia seArchival
utilizan cuando Security Hub archiva un hallazgo existente. Por ejemplo, Security Hub archiva los hallazgos existentes al deshabilitar un control o estándar y al activar o desactivar los hallazgos de control consolidado.
Este campo también puede incluir información sobre el estándar que incluye el control que produjo el hallazgo.
Ejemplo
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an
ARCHIVED
state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Proporciona el nombre del producto que generó el hallazgo. Para los hallazgos basados en controles, el nombre del producto es Security Hub.
Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindings
o BatchUpdateFindings
. La excepción es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.
Cuando utiliza la consola de Security Hub para filtrar los hallazgos por nombre de producto, utiliza este atributo.
Cuando utiliza la API de Security Hub para filtrar los hallazgos por nombre de producto, utiliza elaws/securityhub/ProductName
atributo que aparece debajoProductFields
.
Security Hub no sincroniza esos dos atributos.
RecordState
Proporciona el estado del registro de un hallazgo.
De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran ACTIVE
.
El estado ARCHIVED
indica que un hallazgo estará oculto a la vista. Los hallazgos archivados no se eliminan inmediatamente. Puede buscarlas, revisarlas e informar sobre ellas. Security Hub archiva automáticamente los hallazgos basados en controles si se elimina el recurso asociado, si el recurso no existe o si el control está desactivado.
RecordState
está destinado a buscar proveedores y solo puede actualizarse mediante BatchImportFindings
. No puede actualizarlo con BatchUpdateFindings
.
Para hacer un seguimiento del estado de la investigación sobre un hallazgo, utilice Workflowen lugar deRecordState
.
Si el estado del registro cambia deARCHIVED
aACTIVE
y el estado del flujo de trabajo de la búsqueda esNOTIFIED
oRESOLVED
, Security Hub establece automáticamente el estado del flujo de trabajo enNEW
.
Ejemplo
"RecordState": "ACTIVE"
Región
Especifica aRegión de AWS partir del cual se generó el hallazgo.
Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindings
o BatchUpdateFindings
.
Ejemplo
"Region": "us-west-2"
RelatedFindings
Proporciona una lista de los hallazgos relacionados con el hallazgo actual.
RelatedFindings
solo debe actualizarse con la operación BatchUpdateFindings
de la API. No debe actualizar este objeto con BatchImportFindings
.
Para BatchImportFindings
las solicitudes, la búsqueda de proveedores debe utilizar elRelatedFindings
objeto que aparece debajo FindingProviderFields.
Para ver las descripciones deRelatedFindings
los atributos, consulte RelatedFinding
la referenciaAWS Security Hub de la API.
Ejemplo
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Corrección
El objeto Remediation
proporciona información sobre los pasos de corrección recomendados para solucionar el hallazgo.
Ejemplo
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Ejemplo
Especifica si el hallazgo es un hallazgo de muestra.
"Sample": true
SourceUrl
ElSourceUrl
objeto proporciona una URL que enlaza con una página sobre la búsqueda actual en el producto de búsqueda.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
El ThreatIntelIndicator
objeto proporciona detalles de inteligencia sobre amenazas relacionados con un hallazgo.
Ejemplo
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Amenazas
El Threats
objeto proporciona detalles sobre la amenaza detectada por un hallazgo.
Ejemplo
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Proporciona una lista de pares de cadenas de nombre y valor asociados a la búsqueda. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar automáticamente a través de su configuración específica.
La búsqueda de proveedores no debe utilizar este campo para los datos que genera el producto. En cambio, los proveedores de búsqueda pueden usar elProductFields
campo para datos que no se asignen a ningún campo estándar del formatoAWS de búsqueda de seguridad.
Estos campos solo se pueden actualizar con BatchUpdateFindings
.
Ejemplo
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Proporciona la veracidad de un hallazgo. Los productos Findings pueden proporcionar un valor deUNKNOWN
para este campo. Un producto de hallazgos debe proporcionar un valor para este campo si hay un análogo significativo en el sistema del producto de hallazgos. Este campo suele rellenarse mediante una determinación o acción del usuario tras investigar un hallazgo.
Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante BatchUpdateFindings
.
"VerificationState": "Confirmed"
Vulnerabilidades
El Vulnerabilities
objeto proporciona una lista de vulnerabilidades asociadas a un hallazgo.
Ejemplo
"Vulnerabilities" : [ { "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "FixAvailable": "YES", "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flujo de trabajo
El objeto Workflow
proporciona información sobre el estado de la investigación de un hallazgo.
Este campo está destinado a que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.
Solo puede actualizar elWorkflow
campo con BatchUpdateFindings
. Los clientes también pueden actualizarlo desde la consola. Consulte Establecimiento del estado de flujo de trabajo de los hallazgos.
Ejemplo
"Workflow": { "Status": "NEW" }
WorkflowState (Retirado)
Este objeto se retiró y se reemplazó por elStatus
campo delWorkflow
objeto.
Este campo proporciona el estado del flujo de trabajo de una búsqueda. Los productos de hallazgos puede proporcionar el valor NEW
para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.
Ejemplo
"WorkflowState": "NEW"