Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Atributos de nivel superior opcionales
Estos atributos de nivel superior son opcionales en el formato de búsqueda AWS de seguridad (ASFF). Para obtener más información sobre estos atributos, consulte la referencia AwsSecurityFindingde la AWS Security Hub API.
Acción
El objeto Action proporciona detalles sobre una acción que afecta a un recurso o que se ha realizado en él.
Ejemplo
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
El Cuenta de AWS nombre al que se aplica el hallazgo.
Ejemplo
"AwsAccountName": "jane-doe-testaccount"
CompanyName
El nombre de la empresa del producto que generó el resultado. Para los hallazgos basados en el control, la empresa es AWS.
Security Hub rellena este atributo automáticamente para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de productos personalizadas para enviar las conclusiones a AWS Security Hub.
Cuando se utiliza la consola de Security Hub para filtrar los resultados por nombre de empresa, se utiliza este atributo. Cuando se utiliza la API de Security Hub para filtrar los resultados por nombre de empresa, se utiliza el atributo aws/securityhub/CompanyName en ProductFields. Security Hub no sincroniza esos dos atributos.
Ejemplo
"CompanyName": "AWS"
Conformidad
El objeto Compliance proporciona detalles de resultado relacionados con un control. Este atributo se devuelve para las conclusiones generadas desde un control de Security Hub y para las conclusiones que se AWS Config envían a Security Hub.
Ejemplo
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Confianza
La probabilidad de que un resultado identifique de forma precisa el comportamiento o problema que se pretendía identificar.
Confidence solo debe actualizarse mediante BatchUpdateFindings.
Los proveedores de resultados que deseen proporcionar un valor para Confidence deben utilizar el atributo Confidence en FindingProviderFields. Consulte Uso de FindingProviderFields.
Confidence recibe una puntuación de 0-100 en base a una escala de proporción, donde 0 significa 0 por cien de confianza y 100 significa 100 por cien de confianza. Por ejemplo, una detección de filtración de datos en base a una desviación estadística del tráfico de red tiene una confianza mucho más baja porque no se ha verificado una filtración real.
Ejemplo
"Confidence": 42
Criticidad
El nivel de importancia que se asigna a los recursos asociados con el resultado.
Criticality solo debe actualizarse llamando a la operación de la API BatchUpdateFindings. No actualice este objeto con BatchImportFindings.
Los proveedores de resultados que deseen proporcionar un valor para Criticality deben utilizar el atributo Criticality en FindingProviderFields. Consulte Uso de FindingProviderFields.
Criticality se puntúa de 0-100, mediante una escala de proporción que solo admite números enteros. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.
Para cada recurso, tenga en cuenta lo siguiente al asignar Criticality:
-
¿Contiene el recurso afectado información confidencial (por ejemplo, un bucket de S3 con PII)?
-
¿Permite el recurso afectado que un adversario profundice su acceso o amplíe sus capacidades de llevar a cabo actividades malintencionadas adicionales (por ejemplo, cuenta sysadmin en peligro)?
-
¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?
Puede utilizar las siguientes directrices:
-
Un recurso que habilita sistemas esenciales o que contiene un alto nivel de información confidencial puede puntuar en el intervalo de 75-100.
-
Un recurso que habilita sistemas importantes (pero no esenciales) o que contiene datos moderadamente importantes puede puntuar en el intervalo de 25-75.
-
Un recurso que habilita sistemas no importantes o que no contienen información confidencial debe puntuar en el intervalo de 0-24.
Ejemplo
"Criticality": 99
FindingProviderFields
FindingProviderFields incluye los siguientes atributos:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
Los campos anteriores están anidados debajo del FindingProviderFields objeto, pero tienen análogos del mismo nombre que los campos ASFF de nivel superior. Cuando un proveedor de búsquedas envía un nuevo hallazgo a Security Hub, Security Hub rellena el FindingProviderFields objeto automáticamente si está vacío en función de los campos de nivel superior correspondientes.
La búsqueda de proveedores se puede actualizar FindingProviderFields mediante el BatchImportFindingsfuncionamiento de la API de Security Hub. Al buscar proveedores, no se puede actualizar este objeto con BatchUpdateFindings.
Para obtener más información sobre cómo Security Hub gestiona las actualizaciones desde BatchImportFindings a FindingProviderFields y a los atributos de nivel superior correspondientes, consulte Uso de FindingProviderFields.
Los clientes pueden actualizar los campos de nivel superior mediante la BatchUpdateFindings operación. Los clientes no pueden actualizarFindingProviderFields.
Ejemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indica cuándo se observó por primera vez el posible problema de seguridad detectado por un resultado.
Esta marca de tiempo refleja la hora en que se observó por primera vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo CreatedAt, que refleja la hora en que se creó este registro de resultados.
La marca temporal debe permanecer inmutable entre actualizaciones del registro del resultado, pero se puede actualizar si se ha determinado una marca temporal más precisa.
Ejemplo
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indica cuándo el producto de resultados de seguridad detectó por última vez el posible problema de seguridad detectado por un resultado.
Esta marca de tiempo refleja la hora en que el evento o la vulnerabilidad se observó por última vez o por última vez. Por lo tanto, puede diferir de la marca de tiempo UpdatedAt, que refleja cuándo se actualizó este registro de resultados por última vez.
Puede proporcionar esta marca temporal, pero no es necesaria tras la primera observación. Si proporciona este campo en la primera observación, la marca temporal debe ser la misma que la marca temporal FirstObservedAt. Debe actualizar este campo para reflejar la marca temporal observada más recientemente o por última vez cada vez se observa un resultado.
Ejemplo
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
El objeto Malware proporciona una lista de malware relacionado con un hallazgo.
Ejemplo
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Network (Retired)
El objeto Network brinda información relacionada con la red de un resultado.
Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso en Resources o utilizar el objeto Action.
Ejemplo
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
El objeto NetworkPath proporciona información sobre una ruta de red relacionada con un resultado. Cada entrada en NetworkPath representa un componente de la ruta.
Ejemplo
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Nota
El objeto Note especifica una nota definida por el usuario que se puede añadir a un resultado.
Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puedes actualizar una nota con BatchUpdateFindings.
Ejemplo
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
El objeto PatchSummary proporciona un resumen del estado de conformidad del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.
Ejemplo
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Proceso
El objeto Process proporciona detalles relacionados con el proceso acerca del resultado.
Ejemplo:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Indica cuándo recibe Security Hub un resultado y comienza a procesarlo.
Esto difiere de las marcas de tiempo obligatorias CreatedAt y UpdatedAt, y se refieren a la interacción del proveedor de resultados con el problema de seguridad y el resultado. La marca de tiempo ProcessedAt indica cuándo comienza Security Hub a procesar un resultado. Una vez finalizado el procesamiento, aparece un resultado en la cuenta de un usuario.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Un tipo de datos en el que los productos de Security Findings pueden incluir detalles adicionales específicos de la solución que no forman parte del formato de búsqueda de AWS seguridad definido.
En el caso de los resultados generadas por los controles de Security Hub, ProductFields incluye información sobre el control. Consulte Generación y actualización de los resultados de control.
Este campo no debe contener datos redundantes ni datos que entren en conflicto con los campos del formato de búsqueda AWS de seguridad.
El prefijo aws/ "" representa un espacio de nombres reservado únicamente para AWS productos y servicios y no debe enviarse junto con los resultados de integraciones de terceros.
Aunque no es necesario, los productos deben formatear los nombres de los campos como company-id/product-id/field-name, donde el company-id y el product-id coinciden con los suministrados en el ProductArn del hallazgo.
Los campos que hacen referencia a Archival se utilizan cuando Security Hub archiva un resultado existente. Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.
Este campo también puede incluir información sobre el estándar que incluye el control que produjo el resultado.
Ejemplo
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Proporciona el nombre del producto que generó el resultado. Para los resultados basados en el control, el nombre del producto es Security Hub.
Security Hub rellena este atributo automáticamente para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de productos personalizadas para enviar las conclusiones a AWS Security Hub.
Cuando se utiliza la consola de Security Hub para filtrar los resultados por nombre de producto, se utiliza este atributo.
Cuando utiliza la API de Security Hub para filtrar los resultados por nombre de producto, utiliza el atributo aws/securityhub/ProductName en ProductFields.
Security Hub no sincroniza esos dos atributos.
RecordState
El estado de registro de un a resultado.
De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran ACTIVE.
El estado ARCHIVED indica que un hallazgo estará oculto a la vista. Los hallazgos archivados no se eliminan inmediatamente. Puede buscar, examinar e informar sobre ellos. Security Hub archiva automáticamente los resultados basados en el control si el recurso asociado se elimina, el recurso no existe o el control está deshabilitado.
RecordState está diseñado para encontrar proveedores de resultados y solo puede ser actualizado por BatchImportFindings. No puede actualizarlo mediante BatchUpdateFindings.
Para hacer un seguimiento del estado de la investigación sobre un resultado, utilice Workflow en lugar de RecordState.
Si el estado del registro cambia de ARCHIVED a ACTIVE y el estado del flujo de trabajo del resultado es NOTIFIED o RESOLVED, Security Hub establece automáticamente el estado del flujo de trabajo como NEW.
Ejemplo
"RecordState": "ACTIVE"
Región
Especifica Región de AWS desde dónde se generó la búsqueda.
Security Hub rellena este atributo automáticamente para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings.
Ejemplo
"Region": "us-west-2"
RelatedFindings
Proporciona una lista de resultados relacionados con el resultado actual.
RelatedFindings solo debe actualizarse con la operación de la API BatchUpdateFindings. No debe actualizar este objeto con BatchImportFindings.
Para las solicitudes BatchImportFindings, los proveedores de resultados deben utilizar el objeto RelatedFindings en FindingProviderFields.
Para ver las descripciones de los atributos RelatedFindings, consulte RelatedFinding en la referencia de la API de AWS Security Hub .
Ejemplo
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Corrección
El objeto Remediation proporciona información sobre los pasos de corrección recomendados para solucionar el hallazgo.
Ejemplo
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Muestra
Especifica si el resultado es un resultado de muestra.
"Sample": true
SourceUrl
El objeto SourceUrl brinda una URL que enlaza a una página sobre el resultado actual en el producto de resultados.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
El objeto ThreatIntelIndicator brinda detalles de información de amenazas que están relacionados con un resultado.
Ejemplo
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Amenazas
El objeto Threats proporciona detalles sobre la amenaza detectada por un resultado.
Ejemplo
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Una lista de pares de cadenas de nombre/valor que están asociados con el resultado. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar de forma automática a través de su configuración específica.
Los proveedores de resultados no deben utilizar este campo para los datos que genera el producto. En su lugar, los proveedores de búsqueda pueden usar el ProductFields campo para datos que no se asignen a ningún campo estándar del formato de búsqueda de AWS seguridad.
Estos campos solo se pueden actualizar con BatchUpdateFindings.
Ejemplo
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Brinda la veracidad de un resultado. Los productos de resultados pueden proporcionar el valor UNKNOWN para este campo. Un producto de resultados puede proporcionar este valor para este campo si hay un valor analógico significativo en el sistema del producto de resultados. Este campo suele ser rellenado por una determinación o acción del usuario después de que haya investigado un resultado.
Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante BatchUpdateFindings.
"VerificationState": "Confirmed"
Vulnerabilidades
El objeto Vulnerabilities proporciona una lista de vulnerabilidades asociadas a un resultado.
Ejemplo
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flujo de trabajo
El objeto Workflow proporciona información sobre el estado de la investigación de un hallazgo.
Este campo está pensado para que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.
Solo puede actualizar el campo Workflow con BatchUpdateFindings. Los clientes también pueden actualizarlo desde la consola. Consulte Configuración del estado de flujo de trabajo de los resultados.
Ejemplo
"Workflow": { "Status": "NEW" }
WorkflowState (Retirado)
Este objeto está retirado y se ha sustituido por el campo Status del objeto Workflow.
Este campo proporciona el estado del flujo de trabajo de un resultado. Los productos de hallazgos puede proporcionar el valor NEW para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.
Ejemplo
"WorkflowState": "NEW"
