Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Attributs de haut niveau obligatoires
Les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) sont obligatoires pour tous les résultats dans Security Hub. Pour plus d'informations sur ces attributs obligatoires, consultez AwsSecurityFindingla référence de l'AWS Security Hub API.
AwsAccountId
L' Compte AWS identifiant auquel s'applique le résultat.
Exemple
"AwsAccountId": "111111111111"
CreatedAt
Indique à quel moment le problème de sécurité potentiel détecté par une découverte a été créé.
Exemple
"CreatedAt": "2017-03-22T13:22:13.933Z"
Note
Security Hub supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après la date de création si aucune mise à jour n'a lieu. Pour stocker les résultats pendant plus de 90 jours, vous pouvez configurer une règle dans Amazon EventBridge qui achemine les résultats vers votre compartiment S3.
Description
Description de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à l'instance de la conclusion.
Pour les résultats de contrôle générés par Security Hub, ce champ fournit une description du contrôle.
Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.
Exemple
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
Identifiant de la solution de composant spécifique (une unité de logique discrète) ayant généré une conclusion.
Pour les résultats de contrôle générés par Security Hub, ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.
Exemple
"GeneratorId": "security-control/Config.1"
Id
Identifiant du produit pour une conclusion. Pour les résultats de contrôle générés par Security Hub, ce champ fournit l'Amazon Resource Name (ARN) du résultat.
Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.
Exemple
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
L'Amazon Resource Name (ARN) généré par Security Hub qui identifie de manière unique un produit tiers trouve un produit après son enregistrement auprès de Security Hub.
Le format de ce champ est arn:.partition:securityhub:region:account-id:product/company-id/product-id
-
Pour les AWS services intégrés à Security Hub, le nom
company-iddoit êtreaws« » et leproduct-idnom du service AWS public. Comme AWS les produits et services ne sont associés à aucun compte, laaccount-idsection de l'ARN est vide. AWS les services qui ne sont pas encore intégrés à Security Hub sont considérés comme des produits tiers. -
Pour les produits publics,
company-idetproduct-iddoivent être les valeurs d'ID spécifiées au moment de l'inscription. -
Pour les produits privés,
company-iddoit être l'ID de compte. Leproduct-iddoit être le mot réservé « par défaut » ou l'ID qui a été spécifié au moment de l'inscription.
Exemple
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Ressources
L'Resourcesobjet fournit un ensemble de types de données de ressources qui décrivent les AWS ressources auxquelles le résultat fait référence.
Exemple
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
La version de schéma pour laquelle une conclusion est mise en forme. La valeur de ce champ doit être l'une des versions publiées officiellement identifiée par AWS. Dans la version actuelle, la version du schéma AWS Security Finding Format est2018-10-08.
Exemple
"SchemaVersion": "2018-10-08"
Sévérité
Définit l'importance d'une découverte. Pour plus de détails sur cet objet, reportez-vous Severityà la référence de l'AWS Security Hub API.
Severityest à la fois un objet de premier niveau dans une recherche et imbriqué sous l'FindingProviderFieldsobjet.
La valeur de l'Severityobjet de niveau supérieur pour une recherche ne doit être mise à jour que par l'BatchUpdateFindingsAPI.
Pour fournir des informations de gravité, les fournisseurs de recherche doivent mettre à jour l'Severityobjet sous FindingProviderFields lors de l'envoi d'une demande d'BatchImportFindingsAPI.
Si une BatchImportFindings demande de nouvelle recherche fournit uniquement Label ou uniquement des informationsNormalized, Security Hub renseigne automatiquement la valeur de l'autre champ. Les Original champs Product et peuvent également être remplis.
Si l'Finding.Severityobjet de niveau supérieur est présent mais Finding.FindingProviderFields absent, Security Hub crée l'FindingProviderFields.Severityobjet et y copie l'Finding.Severity objectintégralité. Cela garantit que les informations d'origine fournies par le fournisseur sont conservées dans la FindingProviderFields.Severity structure, même si l'Severityobjet de niveau supérieur est remplacé.
La gravité du résultat ne tient pas compte de la sévérité des actifs en cause ou de la ressource sous-jacente. La sévérité est définie comme le niveau d'importance des ressources associées au résultat Par exemple, une ressource associée à une application critique présente une criticité plus élevée qu'une ressource associée à des tests hors production. Pour saisir des informations sur la sévérité des ressources, utilisez le champ Criticality.
Nous vous recommandons d'utiliser les conseils suivants pour traduire les scores de gravité natifs des résultats en valeur de Severity.Label dans l'ASFF.
-
INFORMATIONAL— Cette catégorie peut inclure une recherche concernant unePASSEDWARNING, uneNOT AVAILABLEvérification ou une identification de données sensibles. -
LOW— Des résultats qui pourraient entraîner de futurs compromis. Par exemple, cette catégorie peut inclure des vulnérabilités, des faiblesses de configuration et des mots de passe exposés. -
MEDIUM— Des résultats qui indiquent un compromis actif, mais rien n'indique qu'un adversaire ait atteint ses objectifs. Par exemple, cette catégorie peut inclure les activités malveillantes, les activités de piratage et la détection de comportements inhabituels. -
HIGHouCRITICAL— Des résultats indiquant qu'un adversaire a atteint ses objectifs, tels qu'une perte active ou une compromission de données ou un déni de service.
Exemple
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Title
Titre de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à cette instance de la conclusion.
Pour les résultats du contrôle, ce champ fournit le titre du contrôle.
Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.
Exemple
"Title": "AWS Config should be enabled"
Types
Un ou plusieurs types de résultats au format namespace/category/classifier
Typesne doit être mis à jour qu'à l'aide de BatchUpdateFindings.
La recherche de fournisseurs qui souhaitent fournir une valeur pour Types doit utiliser l'Typesattribut ci-dessous FindingProviderFields.
Dans la liste suivante, les puces de premier niveau sont des espaces de noms, les puces de deuxième niveau sont des catégories et les puces de troisième niveau sont des classificateurs. Nous recommandons aux fournisseurs de recherche d'utiliser des espaces de noms définis pour faciliter le tri et le regroupement des résultats. Les catégories et classificateurs définis peuvent également être utilisés, mais ne sont pas obligatoires. Seul l'espace de noms Vérifications de logiciels et de configuration contient des classificateurs définis.
Vous pouvez définir un chemin partiel pour l'espace de noms/la catégorie/le classificateur. Par exemple, les types de recherche suivants sont tous valides :
-
TTP
-
Évasion de défense
-
TTPS/Évasion défense/ CloudTrailStopped
Les catégories de tactiques, techniques et procédures (TTP) de la liste suivante correspondent à la MatrixTM MITRE ATT&CK
Liste des espaces de noms, des catégories et des classificateurs :
-
Vérifications de logiciels et de configuration
-
Vulnérabilités
-
CVE
-
-
AWS Bonnes pratiques en matière de sécurité
-
Joignabilité de réseau
-
Analyse du comportement d'exécution
-
-
Secteur d'activité et normes réglementaires
-
AWS Bonnes pratiques fondamentales en matière de sécurité
-
CIS Host Hardening Benchmarks
-
Indice de référence AWS des fondations du CIS
-
PCI-DSS
-
Contrôles de la Cloud Security Alliance
-
Contrôles ISO 90001
-
Contrôles ISO 27001
-
Contrôles ISO 27017
-
Contrôles ISO 27018
-
SOC 1
-
SOC 2
-
Contrôles HIPAA (États-Unis)
-
Contrôles NIST 800-53 (États-Unis)
-
Contrôles NIST PPC (États-Unis)
-
Contrôles IRAP (Australie)
-
Contrôles K-ISMS (Corée)
-
Contrôles MTCS (Singapour)
-
Contrôles FISC (Japon)
-
Contrôles de la loi My Number Act (Japon)
-
Contrôles ENS (Espagne)
-
Contrôles Cyber Essentials Plus (Royaume-Uni)
-
Contrôles G-Cloud (Royaume-Uni)
-
Contrôles C5 (Allemagne)
-
Contrôles IT-Grundschutz (Allemagne)
-
Contrôles PIBR (Europe)
-
Contrôles TISAX (Europe)
-
-
Gestion des correctifs
-
-
TTP
-
Accès initial
-
Exécution
-
Persistance
-
Escalade de privilèges
-
Évasion de défense
-
Accès via les informations d'identification
-
Découverte
-
Mouvement latéral
-
Collection
-
Commande et contrôle
-
-
Effets
-
Exposition de données
-
Exfiltration de données
-
Destruction des données
-
Protection contre les attaques par déni de service
-
Consommation des ressources
-
-
Comportements inhabituels
-
Application
-
Débit réseau
-
Adresse IP
-
Utilisateur
-
MV
-
Conteneur
-
Sans serveur
-
Processus
-
Base de données
-
Données
-
-
Définition des données sensibles
-
PII
-
Mots de passe
-
Juridique
-
Services financiers
-
Sécurité
-
Entreprise
-
Exemple
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
Indique la date à laquelle le fournisseur de recherche a mis à jour l'enregistrement de recherche pour la dernière fois.
Cet horodatage indique l'heure à laquelle l'enregistrement des résultats a été mis à jour pour la dernière fois ou le plus récemment. Par conséquent, il peut être différent de l'LastObservedAthorodatage, qui indique la date à laquelle l'événement ou la vulnérabilité a été observé pour la dernière fois ou le plus récemment.
Lorsque vous mettez à jour l'enregistrement de la conclusion, vous devez mettre à jour cet horodatage avec l'horodatage actuel. Lors de la création d'un enregistrement de recherche, les UpdatedAt horodatages CreatedAt et doivent être identiques. Après une mise à jour de l'enregistrement des résultats, la valeur de ce champ doit être plus récente que toutes les valeurs précédentes qu'il contenait.
Notez que cela UpdatedAt ne peut pas être mis à jour à l'aide de BatchUpdateFindingsl'opération API. Vous ne pouvez le mettre à jour qu'en utilisant BatchImportFindings.
Exemple
"UpdatedAt": "2017-04-22T13:22:13.933Z"
Note
Security Hub supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après la date de création si aucune mise à jour n'a lieu. Pour stocker les résultats pendant plus de 90 jours, vous pouvez configurer une règle dans Amazon EventBridge qui achemine les résultats vers votre compartiment S3.
