Amat - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amat

Estos atributos de nivel superior son opcionales en elAWSFormato de los hallazgos de seguridad de Para obtener más información sobre estos atributos, consulteAwsSecurityFindingen laAWS Security HubReferencia de la API.

Acción

LaActionproporciona detalles sobre una acción que afecta a un recurso o que se ha llevado a cabo en él.

Ejemplo

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }

CompanyName

El nombre de la empresa del producto que generó el hallazgo. Para los hallazgos basados en el control, la empresa estáAWS.

Security Hub rellena este atributo automáticamente para cada hallazgo. No puede actualizarlo medianteBatchImportFindingsoBatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.

Cuando utiliza la consola de Security Hub para filtrar las conclusiones por nombre de empresa, utiliza este atributo.Cuando usa la API de Security Hub para filtrar las conclusiones por nombre de la empresa, utiliza laaws/securityhub/CompanyNameatributo enProductFields. Security Hub no sincroniza esos dos atributos.

Ejemplo

"CompanyName": "AWS"

Conformidad de

LaComplianceproporciona detalles de hallazgos relacionados con un control. Este atributo solo se devuelve para hallazgos que se generan a partir de un control de Security Hub.

Ejemplo

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }

Confianza

La probabilidad de que un hallazgo identifique de forma precisa el comportamiento o problema que se pretendía identificar.

Confidencesolo se debe actualizar con la ayuda deBatchUpdateFindings.

Encontrar proveedores que quieran ofrecer un valor aConfidencedebe utilizar elConfidenceatributo enFindingProviderFields. Consulte Uso FindingProviderFields.

Confidencerecibe una puntuación de 0—100 en base a una escala de proporción. 0 significa 0 por cien de confianza y 100 significa 100 por cien de confianza. Por ejemplo, una detección de filtración de datos en base a una desviación estadística del tráfico de red tiene poca confianza porque no se ha verificado una filtración real.

Ejemplo

"Confidence": 42

Critical

El nivel de importancia que se asigna a los recursos asociados con un hallazgo.

Criticalitysolo debe actualizarse llamando a laBatchUpdateFindingsOperación de la API No actualice este objeto conBatchImportFindings.

Encontrar proveedores que quieran ofrecer un valor aCriticalitydebe utilizar elCriticalityatributo enFindingProviderFields. Consulte Uso FindingProviderFields.

Criticalityse puntúa de 0 a 100, mediante una escala de proporción que solo admite números enteros. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.

Para cada recurso, tenga en cuenta lo siguiente al asignarCriticality:

  • ¿Contiene el recurso afectado información confidencial (por ejemplo, un bucket de S3 con PII)?

  • ¿Permite el recurso afectado que un adversario profundice su acceso o amplíe sus capacidades de llevar a cabo actividades malintencionadas adicionales (por ejemplo, cuenta sysadmin en peligro)?

  • ¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?

Puede utilizar las siguientes directrices:

  • Un recurso que habilita sistemas esenciales o que contiene un alto nivel de información confidencial puede puntuar en el intervalo de 75—100.

  • Un recurso que habilita sistemas importantes (pero no esenciales) o que contiene datos moderadamente importantes puede puntuar en el intervalo de 25 a 74.

  • Un recurso que habilita sistemas sin importancia o que no contienen información confidencial debe puntuar en el intervalo de 0—24.

Ejemplo

"Criticality": 99

FindingProviderFields

FindingProviderFieldsincluye los atributos siguientes:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Puede actualizarFindingProviderFieldsmediante el uso deBatchImportFindingsOperación de la API No puede actualizarlo conBatchUpdateFindings.

Para obtener más información sobre cómo Security Hub gestiona las actualizaciones deBatchImportFindingsaFindingProviderFieldsy a los atributos de nivel superior correspondientes, consulteUso FindingProviderFields.

Ejemplo

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

FirstObservedAt

Indica cuándo se observó por primera vez el posible problema de seguridad detectado por un hallazgo.

Esta marca temporal refleja el momento en que se observó el evento o vulnerabilidad por primera vez. En consecuencia, puede diferir de laCreatedAttimestamp, que refleja la hora en que se creó este registro de búsqueda.

La marca temporal debe permanecer inmutable entre actualizaciones del registro del hallazgo, pero se puede actualizar si se determina una marca temporal más precisa.

Ejemplo

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

Indica cuando el producto de hallazgos de seguridad observó más recientemente el posible problema de seguridad capturado por un hallazgo.

La marca temporal refleja el momento en que el evento o vulnerabilidad se observó por última vez o más recientemente. En consecuencia, puede diferir de laUpdatedAtmarca de tiempo, que refleja cuándo se actualizó por última vez este registro de búsqueda o cuándo se actualizó más recientemente.

Puede proporcionar esta marca temporal, pero no es necesaria tras la primera observación. Si proporciona este campo al observar por primera vez, la marca temporal debe ser la misma que laFirstObservedAttimestamp/timestamp. Debe actualizar este campo para reflejar la la marca temporal observada más recientemente o por última vez cada vez se observa un hallazgo.

Ejemplo

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware

El objeto Malware proporciona una lista de malware relacionado con un hallazgo.

Ejemplo

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

Red (retirado)

LaNetworkproporciona información relacionada con la red de un hallazgo.

Este objeto se retira. Para proporcionar estos datos, puede asignar los datos a un recurso enResources, o usa elActionun objeto.

Ejemplo

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }

NetworkPath

LaNetworkPathproporciona información sobre una ruta de red que está relacionada con un hallazgo. Cada entrada enNetworkPathrepresenta un componente de la ruta.

Ejemplo

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]

Nota

LaNoteobject especifica una nota definida por el usuario que puede agregar a un hallazgo.

Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo se puede actualizar una nota conBatchUpdateFindings.

Ejemplo

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

PatchSummary

LaPatchSummaryproporciona un resumen del estado de cumplimiento de parches de una instancia con respecto a un estándar de cumplimiento seleccionado.

Ejemplo

"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }

Proceso

LaProcessproporciona detalles relacionados con el proceso acerca de un hallazgo.

Ejemplo:

"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }

ProductFields

Un tipo de datos donde los productos de hallazgos de seguridad pueden incluir detalles específicos de soluciones adicionales que no forman parte deAWSFormato de los hallazgos de seguridad de

Para ver los hallazgos generados por los controles de Security Hub,ProductFieldsincluye información sobre el control. Consulte Generación y actualización de los resultados de los controles.

Este campo no debe contener datos redundantes y no debe contener datos que estén en conflicto con los campos de AWS Security Finding Format.

La»aws/«prefijo» representa un espacio de nombres reservado paraAWSproductos y servicios de solo y no debe enviarse con hallazgos de integraciones de terceros.

Aunque no es necesario, los productos deben formatear los nombres de los campos como company-id/product-id/field-name, donde el company-id y el product-id coinciden con los suministrados en el ProductArn del hallazgo.

Ejemplo

"ProductFields": { "API", "DeleteTrail", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }

ProductName

Proporciona el nombre del producto que generó el hallazgo. Para los hallazgos basados en controles, el nombre del producto es Security Hub.

Security Hub rellena este atributo automáticamente para cada hallazgo. No puede actualizarlo medianteBatchImportFindingsoBatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Uso de integraciones de producto personalizadas para enviar los hallazgos aAWSCentro de seguridad de.

Cuando utiliza la consola de Security Hub para filtrar los resultados por nombre de producto, utiliza este atributo.

Cuando usas la API de Security Hub para filtrar los resultados por nombre de producto, utilizas laaws/securityhub/ProductNameatributo enProductFields.

Security Hub no sincroniza esos dos atributos.

RecordState

Información del estado de registro de un hallazgo.

De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran ACTIVE.

El estado ARCHIVED indica que un hallazgo estará oculto a la vista. Los hallazgos archivados no se eliminan inmediatamente. Puede buscar, examinar e informar sobre ellos. Security Hub archiva automáticamente los hallazgos basados en control si se elimina el recurso asociado, el recurso no existe o el control está deshabilitado.

RecordStateestá destinado a buscar proveedores y solo puede actualizarse conBatchImportFindings. No puede actualizarlo medianteBatchUpdateFindings.

Para realizar un seguimiento del estado de la investigación de un hallazgo, utiliceWorkflowen lugar deRecordState.

Si el estado del registro cambia deARCHIVEDaACTIVEy el estado del flujo de trabajo de la conclusión esNOTIFIEDoRESOLVED, Security Hub establece automáticamente el estado del flujo de trabajo enNEW.

Ejemplo

"RecordState": "ACTIVE"

Región

Especifica elRegión de AWSa partir del cual se genera el resultado.

Security Hub rellena este atributo automáticamente para cada hallazgo. No puede actualizarlo medianteBatchImportFindingsoBatchUpdateFindings.

Ejemplo

"Region": "us-west-2"

RelatedFindings

Proporciona una lista de hallazgos relacionados con el hallazgo actual.

RelatedFindingssolo se debe actualizar con elBatchUpdateFindingsOperación de la API No debe actualizar este objeto conBatchImportFindings.

ParaBatchImportFindings, la búsqueda de proveedores debe usar laRelatedFindingsobjeto bajoFindingProviderFields.

Para ver las descripciones de las descripcionesRelatedFindingsatributos, consulteRelatedFindingen laAWS Security HubReferencia de la API.

Ejemplo

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

Corrección

El objeto Remediation proporciona información sobre los pasos de corrección recomendados para solucionar el hallazgo.

Ejemplo

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }

Ejemplo

Especifica si el hallazgo es un resultado de ejemplo.

"Sample": true

SourceUrl

LaSourceUrlproporciona una URL que enlaza a una página sobre el hallazgo actual en el producto de hallazgos.

"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

LaThreatIntelIndicatorproporciona detalles de información de amenazas que están relacionados con un hallazgo.

Ejemplo

"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]

Amenazas

LaThreatsproporciona detalles sobre la amenaza detectada por un hallazgo.

Ejemplo

"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]

UserDefinedFields

Proporciona una lista de pares de cadenas de nombre/valor que están asociados con el hallazgo. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar de forma automática a través de su configuración específica.

La búsqueda de proveedores no debe utilizar este campo para los datos que genera el producto. En cambio, la búsqueda de proveedores puede usar laProductFieldscampo para datos que no se asignan a ningún estándarAWSCampo de los hallazgos de seguridad de.

Estos campos solo se pueden actualizar con BatchUpdateFindings.

Ejemplo

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }

VerificationState

Proporciona la veracidad de un resultado. Los productos de Findings pueden proporcionar un valor deUNKNOWNpara este campo. Un producto de hallazgos debe proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos. Este campo suele ser rellenado por una determinación o acción del usuario después de que se haya investigado un hallazgo.

Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo medianteBatchUpdateFindings.

"VerificationState": "Confirmed"

Vulnerabilidades

LaVulnerabilitiesproporciona una lista de vulnerabilidades que están asociados con un hallazgo.

Ejemplo

"Vulnerabilities" : [ { "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "FixAvailable": "YES", "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "Version": "1.0.2k" } ] } ]

Workflow

El objeto Workflow proporciona información sobre el estado de la investigación de un hallazgo.

Este campo está diseñado para que los clientes utilicen herramientas de mitigación, orquestación y creación de tickets. No está destinado a proveedores de hallazgos.

Solo se puede actualizar el archivoWorkflowcon un objetoBatchUpdateFindings. Los clientes también pueden actualizarlo desde la consola. Consulte Configuración del estado de flujo de trabajo de hallazgos.

Ejemplo

"Workflow": { "Status": "NEW" }

WorkflowState (Retirado)

Este objeto se ha retirado y se ha sustituido por el objetoStatusfield delWorkflowun objeto.

Este campo proporciona el estado de flujo de trabajo de un hallazgo. Los productos de hallazgos puede proporcionar el valor NEW para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.

Ejemplo

"WorkflowState": "NEW"