Pedoman untuk pemetaan temuan ke dalamAWSFormat Pencarian Keamanan (ASFF) - AWS Security Hub
Mengidentifikasi informasiTitle dan DescriptionTipe temuanStempel WaktuSeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFieldsKepatuhanBidang yang dibatasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pedoman untuk pemetaan temuan ke dalamAWSFormat Pencarian Keamanan (ASFF)

Gunakan pedoman berikut untuk memetakan temuan Anda ke ASFF. Untuk deskripsi rinci dari setiap bidang ASFF dan objek, lihatAWSFormat Pencarian Keamanan (ASFF)diAWS Security HubPanduan Pengguna.

Mengidentifikasi informasi

SchemaVersion selalu 2018-10-08.

ProductArnadalah ARN yangAWS Security Hubmemberikan kepada Anda.

Idadalah nilai yang digunakan Security Hub untuk temuan indeks. Pengenal temuan harus unik, untuk memastikan bahwa temuan lain tidak ditimpa. Untuk memperbarui temuan, kirimkan kembali temuan dengan pengenal yang sama.

GeneratorIdbisa sama denganIdatau dapat merujuk ke unit logika diskrit, seperti AmazonGuardDutyID detektor,AWS ConfigID perekam, atau ID Penganalisis Akses IAM.

Title dan Description

Titleharus berisi beberapa informasi tentang sumber daya yang terpengaruh.Titleterbatas pada 256 karakter, termasuk spasi.

Tambahkan informasi rinci yang lebih panjang keDescription.Descriptionterbatas pada 1024 karakter, termasuk spasi. Anda dapat mempertimbangkan untuk menambahkan pemotongan ke deskripsi. Inilah contohnya:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

Tipe temuan

Anda memberikan informasi jenis temuan AndaFindingProviderFields.Types.

Typesharus sesuai denganjenis taksonomi untuk ASFF.

Jika diperlukan, Anda dapat menentukan klasifikasi kustom (namespace ketiga).

Stempel Waktu

Format ASFF mencakup beberapa cap waktu yang berbeda.

CreatedAt dan UpdatedAt

Anda harus mengirimkanCreatedAtdanUpdatedAtsetiap kali Anda meneleponBatchImportFindingsuntuk setiap temuan.

Nilai-nilai harus sesuai dengan format ISO8601 dalam Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAt dan LastObservedAt

FirstObservedAtdanLastObservedAtharus cocok ketika sistem Anda mengamati temuan. Jika Anda tidak mencatat informasi ini, Anda tidak perlu mengirimkan cap waktu ini.

Nilai-nilai cocok dengan format ISO8601 dalam Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

Anda memberikan informasi tingkat keparahan diFindingProviderFields.Severityobjek, yang berisi bidang berikut.

Original

Nilai keparahan dari sistem Anda.Originaldapat berupa string apapun, untuk mengakomodasi sistem yang Anda gunakan.

Label

Indikator Security Hub yang diperlukan dari tingkat keparahan temuan. Nilai yang diperbolehkan adalah sebagai berikut.

  • INFORMATIONAL- Tidak ada masalah yang ditemukan.

  • LOW— Masalah ini tidak memerlukan tindakan sendiri.

  • MEDIUM— Masalah harus diatasi tetapi tidak segera.

  • HIGH— Masalah harus ditangani sebagai prioritas.

  • CRITICAL— Masalah ini harus segera diatasi untuk mencegah kerusakan lebih lanjut.

Temuan yang sesuai harus selalu memilikiLabeldiatur keINFORMATIONAL. ContohINFORMATIONALTemuan adalah temuan dari pemeriksaan keamanan yang berlalu danAWS Firewall Managertemuan yang diperbaiki.

Pelanggan sering menyortir temuan berdasarkan tingkat keparahan mereka untuk memberikan tim operasi keamanan mereka daftar tugas. Bersikap konservatif saat menetapkan keparahan temuanHIGHatauCRITICAL.

Dokumentasi integrasi Anda harus menyertakan alasan pemetaan Anda.

Remediation

Remediationmemiliki dua elemen. Elemen-elemen ini digabungkan pada konsol Security Hub.

Remediation.Recommendation.Textmuncul diRemediasibagian dari rincian temuan. Hal ini hyperlink dengan nilaiRemediation.Recommendation.Url.

Saat ini, hanya temuan dari standar Security Hub, IAM Access Analyzer, dan Firewall Manager yang menampilkan hyperlink ke dokumentasi tentang cara memperbaiki temuan tersebut.

SourceUrl

Hanya menggunakanSourceUrljika Anda dapat memberikan URL yang tertaut dalam ke konsol Anda untuk temuan spesifik tersebut. Jika tidak, hilangkan dari pemetaan.

Security Hub tidak mendukung hyperlink dari bidang ini, tetapi terpapar pada konsol Security Hub.

Malware, Network, Process, ThreatIntelIndicators

Jika berlaku, gunakanMalware,Network,Process, atauThreatIntelIndicators. Masing-masing objek ini terpapar di konsol Security Hub. Gunakan benda-benda ini dalam konteks temuan yang Anda kirim.

Misalnya, jika Anda mendeteksi malware yang membuat koneksi keluar ke node perintah dan kontrol yang diketahui, berikan rincian untuk instans EC2 diResource.Details.AwsEc2Instance. Berikan yang relevanMalware,Network, danThreatIntelIndicatorobjek untuk instans EC2.

Malware

Malwareadalah daftar yang menerima hingga lima array informasi malware. Membuat entri malware yang relevan dengan sumber daya dan temuan.

Setiap entri memiliki bidang berikut.

Name

Nama malware. Nilainya adalah string berisi hingga 64 karakter.

Nameharus dari kecerdasan ancaman diperiksa atau sumber peneliti.

Path

Jalur ke malware. Nilainya adalah string hingga 512 karakter.Pathharus menjadi jalur file sistem Linux atau Windows, kecuali dalam kasus berikut.

  • Jika Anda memindai objek dalam bucket S3 atau bagian EFS terhadap aturan YARA, makaPathadalah jalur objek S3://atau HTTPS.

  • Jika Anda memindai file dalam repositori Git, makaPathadalah Git URL atau clone path.

State

Status malware. Nilai yang diperbolehkan adalahOBSERVED| REMOVAL_FAILED|REMOVED.

Dalam judul dan deskripsi temuan, pastikan Anda memberikan konteks untuk apa yang terjadi dengan malware.

Misalnya, jikaMalware.StateadalahREMOVED, maka judul temuan dan deskripsi harus mencerminkan bahwa produk Anda dihapus malware yang terletak di jalan.

JikaMalware.StateadalahOBSERVED, maka judul temuan dan deskripsi harus mencerminkan bahwa produk Anda mengalami malware ini terletak di jalan.

Type

Menunjukkan jenis malware. Nilai yang diperbolehkan adalahADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM.

Jika Anda membutuhkan nilai tambahan untukType, hubungi tim Security Hub.

Network

Networkadalah satu objek. Anda tidak dapat menambahkan beberapa rincian terkait jaringan. Saat memetakan bidang, gunakan pedoman berikut ini.

Informasi tujuan dan sumber

Tujuan dan sumber mudah untuk memetakan TCP atau VPC Flow Logs atau WAF log. Mereka lebih sulit untuk digunakan ketika Anda menggambarkan informasi jaringan untuk menemukan tentang serangan.

Biasanya, sumbernya adalah tempat serangan itu berasal, tetapi bisa memiliki sumber lain seperti yang tercantum di bawah ini. Anda harus menjelaskan sumber dalam dokumentasi Anda dan juga menjelaskannya dalam judul temuan dan deskripsi.

  • Untuk serangan DDoS pada instans EC2, sumbernya adalah penyerang, meskipun serangan DDoS nyata dapat menggunakan jutaan host. Tujuan adalah alamat IPv4 publik instans EC2.Directionadalah IN.

  • Untuk malware yang diamati berkomunikasi dari instans EC2 ke node perintah dan kontrol yang diketahui, sumbernya adalah alamat IPV4 dari instans EC2. Tujuan adalah perintah dan kontrol node.DirectionadalahOUT. Anda juga akan memberikanMalwaredanThreatIntelIndicators.

Protocol

Protocolselalu memetakan ke Internet Assigned Numbers Authority (IANA) nama terdaftar, kecuali Anda dapat memberikan protokol tertentu. Anda harus selalu menggunakan ini dan memberikan informasi port.

Protocolindependen dari sumber dan informasi tujuan. Hanya memberikan itu ketika masuk akal untuk melakukannya.

Direction

Directionselalu relatif terhadapAWSbatas jaringan.

  • INberarti itu memasukiAWS(VPC, layanan).

  • OUTberarti itu keluarAWSbatas jaringan.

Process

Processadalah satu objek. Anda tidak dapat menambahkan beberapa detail terkait proses. Saat memetakan bidang, gunakan pedoman berikut ini.

Name

Nameharus cocok dengan nama executable. Ia menerima hingga 64 karakter.

Path

Pathadalah path sistem file ke proses executable. Ia menerima hingga 512 karakter.

Pid, ParentPid

PiddanParentPidharus cocok dengan Linux proses identifier (PID) atau Windows event ID. Untuk membedakan, gunakan EC2 Amazon Machine Image (AMI) untuk memberikan informasi tersebut. Pelanggan mungkin dapat membedakan antara Windows dan Linux.

Stempel Waktu (LaunchedAtdanTerminatedAt)

Jika Anda tidak dapat dipercaya mengambil informasi ini, dan itu tidak akurat untuk milidetik, jangan menyediakannya.

Jika pelanggan bergantung pada stempel waktu untuk penyelidikan forensik, maka tidak memiliki stempel waktu lebih baik daripada memiliki cap waktu yang salah.

ThreatIntelIndicators

ThreatIntelIndicatorsmenerima array hingga lima objek intelijen ancaman.

Untuk setiap entri,Typeadalah dalam konteks ancaman spesifik. Nilai yang diperbolehkan adalahDOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL.

Berikut ini beberapa contoh cara memetakan indikator intelijen ancaman:

  • Anda menemukan proses yang Anda tahu terkait dengan Cobalt Strike. Anda belajar ini dariFireEyeblog.

    Atur Type ke PROCESS. Juga membuatProcesskeberatan untuk proses.

  • Filter email Anda menemukan seseorang yang mengirim paket hash terkenal dari domain berbahaya yang dikenal.

    Membuat duaThreatIntelIndicatorbenda. Satu objek adalah untukDOMAIN. Yang lainnya adalah untukHASH_SHA1.

  • Anda menemukan malware dengan aturan Yara (Loki, Fenrir, Ass3VirusScan,BinaryAlert).

    Membuat duaThreatIntelIndicatorbenda. Salah satunya adalah untuk malware. Yang lainnya adalah untukHASH_SHA1.

Resources

UntukResources, gunakan jenis sumber daya yang disediakan dan bidang detail kami bila memungkinkan. Security Hub terus menambahkan sumber daya baru ke ASFF. Untuk menerima log bulanan perubahan ASFF, hubungi.

Jika Anda tidak dapat memasukkan informasi di bidang rincian untuk jenis sumber daya yang dimodelkan, petakan rincian yang tersisa keDetails.Other.

Untuk sumber daya yang tidak dimodelkan dalam ASFF, setTypekepadaOther. Untuk informasi rinci, gunakanDetails.Other.

Anda juga dapat menggunakanOtherjenis sumber daya untuk non-AWStemuan.

ProductFields

Hanya menggunakanProductFieldsjika Anda tidak dapat menggunakan bidang curated lain untukResourcesatau objek deskriptif sepertiThreatIntelIndicators,Network, atauMalware.

Jika Anda menggunakanProductFields, Anda harus memberikan alasan yang ketat untuk keputusan ini.

Kepatuhan

Hanya menggunakanCompliancejika temuan Anda terkait dengan kepatuhan.

Penggunaan Security HubComplianceuntuk temuan yang dihasilkannya berdasarkan kontrol.

Firewall Manager menggunakanComplianceuntuk temuannya karena mereka terkait dengan kepatuhan.

Bidang yang dibatasi

Bidang ini ditujukan bagi pelanggan untuk melacak penyelidikan mereka dari temuan.

Jangan memetakan ke bidang atau objek ini.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Untuk bidang ini, petakan ke bidang yang ada diFindingProviderFieldsobjek. Jangan memetakan bidang tingkat atas.

  • Confidence— Hanya sertakan skor kepercayaan (0-99) jika layanan Anda memiliki fungsi yang sama, atau jika Anda berdiri 100% dengan temuan Anda.

  • Criticality— Skor kekritisan (0-99) dimaksudkan untuk mengungkapkan pentingnya sumber daya yang terkait dengan temuan tersebut.

  • RelatedFindings— Hanya memberikan temuan terkait jika Anda dapat melacak temuan yang terkait dengan sumber daya yang sama atau jenis pencarian. Untuk mengidentifikasi temuan terkait, Anda harus merujuk ke pengenal temuan temuan yang sudah ada di Security Hub.