Lignes directrices pour la cartographie des résultats dans leAWSFormat ASFF ( Security Finding Format) - AWS Security Hub
Informations d'identificationTitle et DescriptionTypes de résultatsHorodatagesSeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFieldsConformitéChamps restreints

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lignes directrices pour la cartographie des résultats dans leAWSFormat ASFF ( Security Finding Format)

Suivez les recommandations suivantes pour associer vos résultats à l'ASFF. Pour obtenir une description détaillée de chaque champ et objet ASFF, voirAWSFormat ASFF ( Security Finding Format)dans leAWS Security HubGuide de l'utilisateur.

Informations d'identification

SchemaVersion est toujours 2018-10-08.

ProductArnest l'ARN quiAWS Security Hubvous attribue.

Idest la valeur utilisée par Security Hub pour indexer les résultats. L'identificateur de recherche doit être unique, pour s'assurer que les autres résultats ne sont pas écrasés. Pour mettre à jour une recherche, soumettez à nouveau la recherche avec le même identifiant.

GeneratorIdpeut être identique àIdou peut faire référence à une unité de logique discrète, telle qu'AmazonGuardDutyID de détecteur,AWS ConfigID de l'enregistreur ou ID IAM Access Analyzer.

Title et Description

Titledevrait contenir des informations sur la ressource affectée.Titleest limité à 256 caractères, espaces compris.

Ajoutez des informations détaillées plus longues àDescription.Descriptionest limité à 1 024 caractères, espaces compris. Vous pouvez envisager d'ajouter une troncature aux descriptions. Voici un exemple:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

Types de résultats

Vous fournissez vos informations de type de recherche dansFindingProviderFields.Types.

Typesdoit correspondre à la valeurTaxonomie des types pour ASFF.

Si nécessaire, vous pouvez spécifier un classificateur personnalisé (le troisième espace de noms).

Horodatages

Le format ASFF inclut quelques horodatages différents.

CreatedAt et UpdatedAt

Vous devez soumettreCreatedAtetUpdatedAtchaque fois que vous appelezBatchImportFindingspour chaque constatation.

Les valeurs doivent correspondre au format ISO8601 dans Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAt et LastObservedAt

FirstObservedAtetLastObservedAtdoit correspondre lorsque votre système a observé le résultat. Si vous n'enregistrez pas ces informations, vous n'avez pas besoin de soumettre ces horodatage.

Les valeurs correspondent au format ISO8601 dans Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

Vous fournissez des informations de gravité dans leFindingProviderFields.Severityobjet, qui contient les champs suivants.

Original

La valeur de gravité de votre système.Originalpeut être n'importe quelle chaîne, pour s'adapter au système que vous utilisez.

Label

Indicateur Security Hub requis de la gravité de la recherche. Les valeurs autorisées sont les suivantes.

  • INFORMATIONAL— Aucun problème n'a été identifié.

  • LOW— Le problème ne nécessite pas d'action en soi.

  • MEDIUM— Le problème doit être traité, mais n'est pas urgent.

  • HIGH— Le problème doit être traité en priorité.

  • CRITICAL— Le problème doit être résolu immédiatement pour éviter d'autres dommages.

Les résultats conformes devraient toujours avoirLabeldéfini surINFORMATIONAL. Exemples deINFORMATIONALles résultats sont des résultats des contrôles de sécurité qui ont été passés etAWS Firewall Managerles résultats qui sont corrigés.

Les clients trient souvent les résultats en fonction de leur gravité pour donner à leurs équipes des opérations de sécurité une liste de choses à faire. Soyez prudent lorsque vous définissez la gravité de la recherche surHIGHouCRITICAL.

Votre documentation d'intégration doit inclure votre justification cartographique.

Remediation

Remediationcompte deux éléments. Ces éléments sont combinés sur la console Security Hub.

Remediation.Recommendation.Texts'affiche dans le fichierCorrectionsection des détails de la recherche. Il est hyperlié à la valeur deRemediation.Recommendation.Url.

Actuellement, seuls les résultats des normes Security Hub, IAM Access Analyzer et Firewall Manager affichent des hyperliens vers la documentation sur la façon de remédier à la recherche.

SourceUrl

Utiliser uniquementSourceUrlsi vous pouvez fournir une URL profondément liée à votre console pour ce résultat spécifique. Sinon, omettez-le dans le mappage.

Security Hub ne prend pas en charge les liens hypertexte de ce champ, mais il est exposé sur la console Security Hub.

Malware, Network, Process, ThreatIntelIndicators

Le cas échéant, utilisezMalware,Network,Process, ouThreatIntelIndicators. Chacun de ces objets est exposé dans la console Security Hub. Utilisez ces objets dans le contexte de la recherche que vous envoyez.

Par exemple, si vous détectez des logiciels malveillants qui établissent une connexion sortante à un nœud de commande et de contrôle connu, indiquez les détails de l'instance EC2 dansResource.Details.AwsEc2Instance. Fournir les éléments pertinentsMalware,Network, etThreatIntelIndicatorobjets pour cette instance EC2.

Malware

Malwareest une liste qui accepte jusqu'à cinq baies d'informations sur les logiciels malveillants. Rendez les entrées de logiciels malveillants pertinentes pour la ressource et la recherche.

Chaque entrée contient les champs suivants.

Name

Nom du programme malveillant. La valeur est une chaîne comportant jusqu'à 64 caractères.

Namedevraient provenir d'une source de renseignements sur les menaces ou d'un chercheur vérifié.

Path

Chemin vers le malware. La valeur est une chaîne comportant jusqu'à 512 caractères.Pathdoit être un chemin d'accès au fichier système Linux ou Windows, sauf dans les cas suivants.

  • Si vous analysez des objets dans un compartiment S3 ou un partage EFS par rapport aux règles YARA, alorsPathest le chemin d'accès à l'objet S3 ://ou HTTPS.

  • Si vous analysez des fichiers dans un référentiel Git, alorsPathest l'URL Git ou le chemin du clone.

State

Statut du programme malveillant. Les valeurs autorisées sont :OBSERVED| REMOVAL_FAILED|REMOVED.

Dans le titre et la description de recherche, assurez-vous de fournir le contexte de ce qui s'est passé avec le logiciel malveillant.

Par exemple, siMalware.StateestREMOVED, le titre et la description de recherche doivent indiquer que votre produit a supprimé le logiciel malveillant situé sur le chemin d'accès.

SiMalware.StateestOBSERVED, alors le titre et la description de recherche doivent indiquer que votre produit a rencontré ce logiciel malveillant situé sur le chemin d'accès.

Type

Indique le type de programme malveillant. Les valeurs autorisées sont :ADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM.

Si vous avez besoin d'une valeur supplémentaire pourType, contactez l'équipe Security Hub.

Network

Networkest un seul objet. Vous ne pouvez pas ajouter plusieurs détails liés au réseau. Lorsque vous mappez les champs, suivez les recommandations suivantes.

Informations sur la destination et la source

La destination et la source sont faciles à mapper les journaux de flux TCP ou VPC ou les journaux WAF. Ils sont plus difficiles à utiliser lorsque vous décrivez des informations réseau pour trouver une attaque.

En règle générale, la source est d'origine de l'attaque, mais elle peut avoir d'autres sources comme indiqué ci-dessous. Vous devez expliquer la source dans votre documentation et la décrire dans le titre de recherche et la description.

  • Pour une attaque DDoS sur une instance EC2, la source est l'attaquant, bien qu'une attaque DDoS réelle puisse utiliser des millions d'hôtes. La destination est l'adresse IPv4 publique de l'instance EC2.Directionest IN.

  • Pour les logiciels malveillants observés qui communiquent depuis une instance EC2 vers un nœud de commande et de contrôle connu, la source est l'adresse IPV4 de l'instance EC2. La destination est le nœud de commande et de contrôle.DirectionestOUT. Vous fourniriez égalementMalwareetThreatIntelIndicators.

Protocol

Protocolest toujours associé à un nom enregistré IANA (Internet Assigned Numbers Authority), à moins que vous ne puissiez fournir un protocole spécifique. Vous devez toujours l'utiliser et fournir les informations de port.

Protocolest indépendant des informations sur la source et la destination. Ne le fournissez que lorsqu'il est logique de le faire.

Direction

Directionest toujours relatif à laAWSlimites de réseau.

  • INsignifie qu'il entreAWS(VPC, service).

  • OUTsignifie qu'il quitte leAWSlimites de réseau.

Process

Processest un seul objet. Vous ne pouvez pas ajouter plusieurs détails liés au processus. Lorsque vous mappez les champs, suivez les recommandations suivantes.

Name

Namedoit correspondre au nom de l'exécutable. Il accepte jusqu'à 64 caractères.

Path

Pathest le chemin d'accès au système de fichiers vers l'exécutable du processus. Il accepte jusqu'à 512 caractères.

Pid, ParentPid

PidetParentPiddoit correspondre à l'identificateur de processus Linux (PID) ou à l'ID d'événement Windows. Pour différencier, utilisez EC2 Amazon Machine Images (AMI) pour fournir les informations. Les clients peuvent probablement faire la différence entre Windows et Linux.

Horodatages (LaunchedAtetTerminatedAt)

Si vous ne pouvez pas récupérer ces informations de manière fiable et qu'elles ne sont pas exactes à la milliseconde, ne les fournissez pas.

Si un client s'appuie sur des horodatages pour les enquêtes médicolégales, il vaut mieux ne pas avoir d'horodatage que d'avoir un horodatage erroné.

ThreatIntelIndicators

ThreatIntelIndicatorsaccepte un tableau contenant jusqu'à cinq objets de détection des menaces.

Pour chaque entrée,Typeest dans le contexte de la menace spécifique. Les valeurs autorisées sont :DOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL.

Voici des exemples de cartographie des indicateurs de détection des menaces :

  • Vous avez trouvé un processus dont vous savez qu'il est associé à Cobalt Strike. Vous avez appris cela deFireEyesur le blog.

    Définissez Type sur PROCESS. Créez également unProcessobjet pour le processus.

  • Votre filtre de messagerie a détecté que quelqu'un envoyait un paquet haché bien connu à partir d'un domaine malveillant connu.

    Créer deuxThreatIntelIndicatorobjets. L'un des objets est destiné auDOMAIN. L'autre est destinée à l'HASH_SHA1.

  • Vous avez trouvé un logiciel malveillant avec une règle Yara (Loki, Fenrir, Awss3)VirusScan,BinaryAlert).

    Créer deuxThreatIntelIndicatorobjets. L'un concerne le logiciel malveillant. L'autre est destinée à l'HASH_SHA1.

Resources

PourResources, utilisez les types de ressources et les champs de détails fournis chaque fois que possible. Security Hub ajoute constamment de nouvelles ressources à l'ASFF. Pour recevoir un journal mensuel des modifications apportées à ASFF, contactez.

Si vous ne pouvez pas insérer les informations dans les champs de détails pour un type de ressource modélisé, mapper les détails restants surDetails.Other.

Pour une ressource qui n'est pas modélisée dans ASFF, définissezTypepourOther. Pour plus d'informations, utilisezDetails.Other.

Vous pouvez également utiliser l'optionOthertype de ressource pour les non -AWSrésultats.

ProductFields

Utiliser uniquementProductFieldssi vous ne pouvez pas utiliser un autre champ réservé pourResourcesou un objet descriptif tel queThreatIntelIndicators,Network, ouMalware.

Si vous utilisezProductFields, vous devez fournir une justification stricte de cette décision.

Conformité

Utiliser uniquementCompliancesi vos résultats sont liés à la conformité.

Security Hub utiliseCompliancepour les résultats qu'il génère sur la base de contrôles.

Firewall Manager utiliseCompliancepour ses résultats parce qu'ils sont liés à la conformité.

Champs restreints

Ces champs sont destinés à permettre aux clients de suivre leur enquête sur un constat.

Ne pas mapper ces champs ou objets.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Pour ces champs, mapper les champs qui se trouvent dans la zoneFindingProviderFieldsobjet. Ne pas mapper les champs de niveau supérieur.

  • Confidence— N'incluez un score de confiance (0-99) que si votre service dispose d'une fonctionnalité similaire ou si vous êtes à 100 % de votre recherche.

  • Criticality— Le score de criticité (0-99) vise à exprimer l'importance de la ressource associée à la découverte.

  • RelatedFindings— Ne fournissez des résultats associés que si vous pouvez suivre les résultats liés à la même ressource ou au même type de recherche. Pour identifier une recherche associée, vous devez vous référer à l'identifiant de recherche d'une recherche déjà présente dans Security Hub.