Asignos de nivel superior opcionales - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asignos de nivel superior opcionales

Estos atributos de nivel superior son opcionales en el formatoAWS de búsqueda de seguridad. Para obtener más información sobre estos atributos, consulte AwsSecurityFindingla Referencia de laAWS Security Hub API.

Acción

El Actionobjeto proporciona detalles sobre una acción que afecta a un recurso o que se ha realizado en él.

Ejemplo

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }

CompanyName

El nombre de la empresa del producto que generó el hallazgo. Para los hallazgos basados en el control, la empresa esAWS.

Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindingso BatchUpdateFindings. La excepción es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.

Cuando utiliza la consola de Security Hub para filtrar los hallazgos por nombre de empresa, utiliza este atributo. Cuando utiliza la API de Security Hub para filtrar los hallazgos por nombre de empresa, utiliza elaws/securityhub/CompanyName atributo que aparece debajoProductFields. Security Hub no sincroniza esos dos atributos.

Ejemplo

"CompanyName": "AWS"

Conformidad de

El Complianceobjeto proporciona detalles de búsqueda relacionados con un control. Este atributo se devuelve para los hallazgos generados desde un control de Security Hub y para los hallazgos que seAWS Config envían a Security Hub.

Ejemplo

"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/pci-dss/v/3.2.1"}, {"StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"} ], "RelatedRequirements": [ "PCI DSS v3.2.1/3.4", "CIS AWS Foundations Benchmark v1.2.0/2.7", "CIS AWS Foundations Benchmark v1.4.0/3.7" ], "SecurityControlId": "CloudTrail.2", "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }

Confianza

La probabilidad de que un hallazgo identifique con precisión el comportamiento o el problema que se pretendía identificar.

Confidencesolo debe actualizarse utilizando BatchUpdateFindings.

Para buscar proveedores que deseen proporcionar un valor, seConfidence debe utilizar elConfidence atributo de abajoFindingProviderFields. Consulte Uso FindingProviderFields.

Confidencese puntúa de 0 a 100 mediante una escala de cocientes. 0 significa un 0 por ciento de confianza y 100 significa un 100 por ciento de confianza. Por ejemplo, una detección de exfiltración de datos basada en una desviación estadística del tráfico de red tiene poca confianza porque no se ha verificado una exfiltración real.

Ejemplo

"Confidence": 42

Criticidad

El nivel de importancia que se asigna a los recursos asociados a un hallazgo.

Criticalitysolo debe actualizarse llamando a la operación BatchUpdateFindingsde API. No actualice este objeto con BatchImportFindings.

Para buscar proveedores que deseen proporcionar un valor, seCriticality debe utilizar elCriticality atributo de abajoFindingProviderFields. Consulte Uso FindingProviderFields.

Criticalityse puntúa de 0 a 100, utilizando una escala de proporciones que solo admite números enteros completos. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.

Para cada recurso, tenga en cuenta lo siguiente al asignarCriticality:

  • ¿El recurso afectado contiene datos confidenciales (por ejemplo, un bucket de S3 con información de identificación personal)?

  • ¿El recurso afectado permite a un adversario ampliar su acceso o ampliar sus capacidades para llevar a cabo actividades maliciosas adicionales (por ejemplo, una cuenta de administrador de sistemas comprometida)?

  • ¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?

Puede utilizar las siguientes directrices:

  • Un recurso que alimente sistemas de misión crítica o que contenga datos altamente confidenciales puede puntuarse en el rango de 75 a 100.

  • Un recurso que alimente sistemas importantes (pero no críticos) o que contenga datos de importancia moderada se puede puntuar en el rango de 25 a 74.

  • Un recurso que alimente sistemas sin importancia o que contenga datos no confidenciales debe puntuarse en el rango de 0 a 24.

Ejemplo

"Criticality": 99

FindingProviderFields

FindingProviderFieldsincluye los siguientes atributos:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Puede actualizarFindingProviderFields mediante la operación de la BatchImportFindingsAPI. No puede actualizarlo con BatchUpdateFindings.

Para obtener más información sobre cómo Security Hub gestiona las actualizaciones desdeFindingProviderFields y BatchImportFindingshacia los atributos de nivel superior correspondientes, consulteUso FindingProviderFields.

Ejemplo

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

FirstObservedAt

Indica cuándo se observó por primera vez el posible problema de seguridad detectado por un hallazgo.

Esta marca de tiempo refleja la hora en que se observó por primera vez el evento o la vulnerabilidad. En consecuencia, puede diferir de la marca deCreatedAt tiempo, que refleja la hora en que se creó este registro de búsqueda.

Esta marca de tiempo debe ser inmutable entre las actualizaciones del registro de búsqueda, pero se puede actualizar si se determina una marca de tiempo más precisa.

Ejemplo

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

Indica cuándo el producto de hallazgos de seguridad observó por última vez el posible problema de seguridad detectado por un hallazgo.

Esta marca de tiempo refleja la hora en que se observó el evento o la vulnerabilidad por última vez o más recientemente. En consecuencia, puede diferir de la marca deUpdatedAt tiempo, que refleja cuándo se actualizó este registro de búsqueda por última vez o por última vez.

Puede proporcionar esta marca de tiempo, pero no es necesaria en la primera observación. Si proporciona este campo en la primera observación, la marca de tiempo debe ser la misma que laFirstObservedAt marca de tiempo. Debe actualizar este campo para reflejar la la marca temporal observada más recientemente o por última vez cada vez se observa un hallazgo.

Ejemplo

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware

El objeto Malware proporciona una lista de malware relacionado con un hallazgo.

Ejemplo

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

Red (retirada)

El Networkobjeto proporciona información relacionada con la red sobre un hallazgo.

Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso enResources o utilizar elAction objeto.

Ejemplo

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }

NetworkPath

El NetworkPathobjeto proporciona información sobre una ruta de red relacionada con una búsqueda. Cada entrada enNetworkPath representa un componente de la ruta.

Ejemplo

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]

Nota

El Noteobjeto especifica una nota definida por el usuario que puede añadir a una búsqueda.

Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puedes actualizar una nota usando BatchUpdateFindings.

Ejemplo

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

PatchSummary

El PatchSummaryobjeto proporciona un resumen del estado de cumplimiento del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.

Ejemplo

"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }

Proceso

El Processobjeto proporciona detalles relacionados con el proceso sobre un hallazgo.

Ejemplo:

"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }

ProductFields

Tipo de datos en el que los productos de búsqueda de seguridad pueden incluir detalles adicionales específicos de la solución que no forman parte del formato de búsqueda deAWS seguridad definido.

En el caso de los hallazgos generados por los controles de Security Hub,ProductFields incluye información sobre el control. Consulte Generar y actualizar los hallazgos de control.

Este campo no debe contener datos redundantes y no debe contener datos que estén en conflicto con los campos de AWS Security Finding Format.

El prefijoaws/ «» representa un espacio de nombres reservado únicamente paraAWS productos y servicios y no debe enviarse junto con los hallazgos de integraciones de terceros.

Aunque no es necesario, los productos deben formatear los nombres de los campos como company-id/product-id/field-name, donde el company-id y el product-id coinciden con los suministrados en el ProductArn del hallazgo.

Los campos a los que se hace referencia seArchival utilizan cuando Security Hub archiva un hallazgo existente. Por ejemplo, Security Hub archiva los hallazgos existentes al deshabilitar un control o estándar y al activar o desactivar los hallazgos de control consolidado.

Este campo también puede incluir información sobre el estándar que incluye el control que produjo el hallazgo.

Ejemplo

"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }

ProductName

Proporciona el nombre del producto que generó el hallazgo. Para los hallazgos basados en controles, el nombre del producto es Security Hub.

Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindingso BatchUpdateFindings. La excepción es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.

Cuando utiliza la consola de Security Hub para filtrar los hallazgos por nombre de producto, utiliza este atributo.

Cuando utiliza la API de Security Hub para filtrar los hallazgos por nombre de producto, utiliza elaws/securityhub/ProductName atributo que aparece debajoProductFields.

Security Hub no sincroniza esos dos atributos.

RecordState

Proporciona el estado del registro de un hallazgo.

De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran ACTIVE.

El estado ARCHIVED indica que un hallazgo estará oculto a la vista. Los hallazgos archivados no se eliminan inmediatamente. Puede buscarlas, revisarlas e informar sobre ellas. Security Hub archiva automáticamente los hallazgos basados en controles si se elimina el recurso asociado, si el recurso no existe o si el control está desactivado.

RecordStateestá destinado a buscar proveedores y solo puede actualizarse mediante BatchImportFindings. No puede actualizarlo con BatchUpdateFindings.

Para hacer un seguimiento del estado de la investigación sobre un hallazgo, utilice Workflowen lugar deRecordState.

Si el estado del registro cambia deARCHIVED aACTIVE y el estado del flujo de trabajo de la búsqueda esNOTIFIED oRESOLVED, Security Hub establece automáticamente el estado del flujo de trabajo enNEW.

Ejemplo

"RecordState": "ACTIVE"

Región

Especifica aRegión de AWS partir del cual se generó el hallazgo.

Security Hub rellena este atributo automáticamente para cada búsqueda. No puede actualizarlo mediante BatchImportFindingso BatchUpdateFindings.

Ejemplo

"Region": "us-west-2"

RelatedFindings

Proporciona una lista de los hallazgos relacionados con el hallazgo actual.

RelatedFindingssolo debe actualizarse con la operación BatchUpdateFindingsde la API. No debe actualizar este objeto con BatchImportFindings.

Para BatchImportFindingslas solicitudes, la búsqueda de proveedores debe utilizar elRelatedFindings objeto que aparece debajo FindingProviderFields.

Para ver las descripciones deRelatedFindings los atributos, consulte RelatedFindingla referenciaAWS Security Hub de la API.

Ejemplo

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

Corrección

El objeto Remediation proporciona información sobre los pasos de corrección recomendados para solucionar el hallazgo.

Ejemplo

"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }

Ejemplo

Especifica si el hallazgo es un hallazgo de muestra.

"Sample": true

SourceUrl

ElSourceUrl objeto proporciona una URL que enlaza con una página sobre la búsqueda actual en el producto de búsqueda.

"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

El ThreatIntelIndicatorobjeto proporciona detalles de inteligencia sobre amenazas relacionados con un hallazgo.

Ejemplo

"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]

Amenazas

El Threatsobjeto proporciona detalles sobre la amenaza detectada por un hallazgo.

Ejemplo

"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]

UserDefinedFields

Proporciona una lista de pares de cadenas de nombre y valor asociados a la búsqueda. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar automáticamente a través de su configuración específica.

La búsqueda de proveedores no debe utilizar este campo para los datos que genera el producto. En cambio, los proveedores de búsqueda pueden usar elProductFields campo para datos que no se asignen a ningún campo estándar del formatoAWS de búsqueda de seguridad.

Estos campos solo se pueden actualizar con BatchUpdateFindings.

Ejemplo

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }

VerificationState

Proporciona la veracidad de un hallazgo. Los productos Findings pueden proporcionar un valor deUNKNOWN para este campo. Un producto de hallazgos debe proporcionar un valor para este campo si hay un análogo significativo en el sistema del producto de hallazgos. Este campo suele rellenarse mediante una determinación o acción del usuario tras investigar un hallazgo.

Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante BatchUpdateFindings.

"VerificationState": "Confirmed"

Vulnerabilidades

El Vulnerabilitiesobjeto proporciona una lista de vulnerabilidades asociadas a un hallazgo.

Ejemplo

"Vulnerabilities" : [ { "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "FixAvailable": "YES", "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]

Flujo de trabajo

El objeto Workflow proporciona información sobre el estado de la investigación de un hallazgo.

Este campo está destinado a que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.

Solo puede actualizar elWorkflow campo con BatchUpdateFindings. Los clientes también pueden actualizarlo desde la consola. Consulte Establecimiento del estado de flujo de trabajo de los hallazgos.

Ejemplo

"Workflow": { "Status": "NEW" }

WorkflowState (Retirado)

Este objeto se retiró y se reemplazó por elStatus campo delWorkflow objeto.

Este campo proporciona el estado del flujo de trabajo de una búsqueda. Los productos de hallazgos puede proporcionar el valor NEW para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.

Ejemplo

"WorkflowState": "NEW"