Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Atribut tingkat atas yang diperlukan
Atribut tingkat atas berikut dalam AWS Security Finding Format (ASFF) diperlukan untuk semua temuan di Security Hub. Untuk informasi selengkapnya tentang atribut wajib ini, lihat AwsSecurityFindingdi Referensi AWS Security Hub API.
AwsAccountId
Akun AWS ID yang berlaku untuk temuan tersebut.
Contoh
"AwsAccountId": "111111111111"
CreatedAt
Menunjukkan kapan potensi masalah keamanan yang ditangkap oleh temuan dibuat.
Contoh
"CreatedAt": "2017-03-22T13:22:13.933Z"
catatan
Security Hub menghapus temuan 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk menyimpan temuan selama lebih dari 90 hari, Anda dapat mengonfigurasi aturan di Amazon EventBridge yang merutekan temuan ke bucket S3 Anda.
Deskripsi
Deskripsi temuan. Bidang ini dapat berupa teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan.
Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini memberikan deskripsi kontrol.
Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.
Contoh
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
Pengidentifikasi untuk komponen spesifik solusi (unit logika diskrit) yang menghasilkan temuan.
Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol konsolidasi.
Contoh
"GeneratorId": "security-control/Config.1"
Id
Pengidentifikasi khusus produk untuk sebuah temuan. Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini menyediakan Nama Sumber Daya Amazon (ARN) dari temuan tersebut.
Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.
Contoh
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
Nama Sumber Daya Amazon (ARN) yang dihasilkan oleh Security Hub yang secara unik mengidentifikasi produk temuan pihak ketiga setelah produk terdaftar di Security Hub.
Format bidang ini adalah arn:.partition:securityhub:region:account-id:product/company-id/product-id
-
Untuk AWS layanan yang terintegrasi dengan Security Hub,
company-idharus "aws“, danproduct-idharus menjadi nama layanan AWS publik. Karena AWS produk dan layanan tidak terkait dengan akun,account-idbagian ARN kosong. AWS Layanan yang belum terintegrasi dengan Security Hub dianggap sebagai produk pihak ketiga. -
Untuk produk publik,
company-iddanproduct-idharus berupa nilai ID yang ditentukan pada saat pendaftaran. -
Untuk produk pribadi,
company-idharus ID akun.product-idHarus berupa kata cadangan “default” atau ID yang ditentukan pada saat pendaftaran.
Contoh
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Sumber daya
ResourcesObjek menyediakan satu set tipe data sumber daya yang menggambarkan AWS sumber daya yang mengacu pada temuan tersebut.
Contoh
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
Versi skema yang diformat untuk temuan. Nilai bidang ini harus menjadi salah satu versi yang diterbitkan secara resmi yang diidentifikasi oleh AWS. Dalam rilis saat ini, versi skema AWS Security Finding Format adalah2018-10-08.
Contoh
"SchemaVersion": "2018-10-08"
Kepelikan
Mendefinisikan pentingnya sebuah temuan. Untuk detail tentang objek ini, lihat Severitydi Referensi AWS Security Hub API.
Severityadalah objek tingkat atas dalam temuan dan bersarang di bawah objek. FindingProviderFields
Nilai Severity objek tingkat atas untuk temuan hanya boleh diperbarui oleh BatchUpdateFindingsAPI.
Untuk memberikan informasi tingkat keparahan, penyedia pencarian harus memperbarui Severity objek di bawah FindingProviderFields saat membuat permintaan BatchImportFindingsAPI.
Jika BatchImportFindings permintaan untuk temuan baru hanya menyediakan Label atau hanya menyediakanNormalized, maka Security Hub secara otomatis mengisi nilai bidang lainnya. ProductBidang di bawah FindingProviderFields ini sudah pensiun dan tidak diisi dalam temuan saat ini. Sebaliknya, gunakan Original bidang.
Tingkat keparahan temuan tidak mempertimbangkan kekritisan aset yang terlibat atau sumber daya yang mendasarinya. Kritikalitas didefinisikan sebagai tingkat kepentingan sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi memiliki kekritisan yang lebih tinggi daripada yang terkait dengan pengujian nonproduksi. Untuk menangkap informasi tentang kekritisan sumber daya, gunakan Criticality bidang.
Sebaiknya gunakan panduan berikut saat menerjemahkan skor keparahan asli temuan ke nilai Severity.Label di ASFF.
-
INFORMATIONALKategori ini dapat mencakup temuan untukPASSED,WARNING, atauNOT AVAILABLEcek atau identifikasi data sensitif. -
LOW— Temuan yang dapat menghasilkan kompromi di masa depan. Misalnya, kategori ini mungkin mencakup kerentanan, kelemahan konfigurasi, dan kata sandi yang terbuka. -
MEDIUM— Temuan yang menunjukkan kompromi aktif, tetapi tidak ada indikasi bahwa musuh menyelesaikan tujuan mereka. Misalnya, kategori ini mungkin mencakup aktivitas malware, aktivitas peretasan, dan deteksi perilaku yang tidak biasa. -
HIGHatauCRITICAL— Temuan yang menunjukkan bahwa musuh menyelesaikan tujuan mereka, seperti kehilangan data aktif atau kompromi atau penolakan layanan.
Contoh
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Judul
Judul temuan. Bidang ini dapat berisi teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan ini.
Untuk temuan kontrol, bidang ini memberikan judul kontrol.
Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.
Contoh
"Title": "AWS Config should be enabled"
Tipe
Satu atau lebih jenis temuan dalam format namespace/category/classifier
Typesseharusnya hanya diperbarui menggunakan BatchUpdateFindings.
Menemukan penyedia yang ingin memberikan nilai untuk Types harus menggunakan Types atribut di bawah FindingProviderFields.
Dalam daftar berikut, peluru tingkat atas adalah ruang nama, peluru tingkat kedua adalah kategori, dan peluru tingkat ketiga adalah pengklasifikasi. Sebaiknya penyedia pencarian menggunakan ruang nama yang ditentukan untuk membantu mengurutkan dan mengelompokkan temuan. Kategori dan pengklasifikasi yang ditentukan juga dapat digunakan, tetapi tidak diperlukan. Hanya namespace Pemeriksaan Perangkat Lunak dan Konfigurasi yang telah menentukan pengklasifikasi.
Anda dapat menentukan jalur sebagian untuk namespace/category/classifier. Misalnya, jenis temuan berikut semuanya valid:
-
TTP
-
TTPS/Penghindaran Pertahanan
-
TTPS/Penghindaran Pertahan/ CloudTrailStopped
Kategori taktik, teknik, dan prosedur (TTP) dalam daftar berikut selaras dengan matrixTM MITRE ATT&CK
Daftar ruang nama, kategori, dan pengklasifikasi:
-
Pemeriksaan Perangkat Lunak dan Konfigurasi
-
Kerentanan
-
CVE
-
-
AWS Praktik Terbaik Keamanan
-
Keterjangkauan Jaringan
-
Analisis Perilaku Waktu Aktif
-
-
Standar Industri dan Regulasi
-
AWS Praktik Terbaik Keamanan Dasar
-
Tolok Ukur Pengerasan Host CIS
-
Tolok Ukur AWS Yayasan CIS
-
PCI-DSS
-
Kontrol Aliansi Keamanan Cloud
-
Kontrol ISO 90001
-
Kontrol ISO 27001
-
Kontrol ISO 27017
-
Kontrol ISO 27018
-
SOC 1
-
SOC 2
-
Kontrol HIPAA (AS)
-
NIST 800-53 Kontrol (AS)
-
Kontrol CSF NIST (AS)
-
Kontrol IRAP (Australia)
-
Kontrol K-ISMS (Korea)
-
Kontrol MTCS (Singapura)
-
Kontrol FISC (Jepang)
-
Kontrol Undang-Undang Nomor Saya (Jepang)
-
Kontrol ENS (Spanyol)
-
Kontrol Cyber Essentials Plus (Inggris)
-
Kontrol G-Cloud (Inggris)
-
Kontrol C5 (Jerman)
-
Kontrol IT-Grundschutz (Jerman)
-
Kontrol GDPR (Eropa)
-
Kontrol TISAX (Eropa)
-
-
Manajemen Patch
-
-
TTP
-
Akses Awal
-
Eksekusi
-
Tetap
-
Eskalasi Hak Istimewa
-
Penghindaran Pertahanan
-
Akses Kredensi
-
Penemuan
-
Gerakan Lateral
-
Koleksi
-
Perintah dan Kontrol
-
-
Efek
-
Eksposur Data
-
Ekfiltrasi Data
-
Penghancuran Data
-
Penolakan Layanan
-
Konsumsi Sumber Daya
-
-
Perilaku Tidak Biasa
-
Aplikasi
-
Aliran Jaringan
-
Alamat IP
-
Pengguna
-
VM
-
Kontainer
-
Nirserver
-
Proses
-
Basis Data
-
Data
-
-
Identifikasi Data Sensitif
-
PII
-
Kata Sandi
-
Legal
-
Keuangan
-
Keamanan
-
Bisnis
-
Contoh
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
Menunjukkan kapan penyedia temuan terakhir memperbarui catatan temuan.
Stempel waktu ini mencerminkan waktu ketika catatan temuan terakhir atau yang terbaru diperbarui. Akibatnya, ini dapat berbeda dari LastObservedAt stempel waktu, yang mencerminkan kapan peristiwa atau kerentanan terakhir atau yang terbaru diamati.
Saat memperbarui catatan temuan, Anda harus memperbarui stempel waktu ini ke stempel waktu saat ini. Setelah membuat catatan temuan, CreatedAt dan UpdatedAt stempel waktu harus sama. Setelah pembaruan ke catatan temuan, nilai bidang ini harus lebih baru dari semua nilai sebelumnya yang terkandung di dalamnya.
Perhatikan bahwa UpdatedAt tidak dapat diperbarui dengan menggunakan operasi BatchUpdateFindingsAPI. Anda hanya dapat memperbaruinya dengan menggunakan BatchImportFindings.
Contoh
"UpdatedAt": "2017-04-22T13:22:13.933Z"
catatan
Security Hub menghapus temuan 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk menyimpan temuan selama lebih dari 90 hari, Anda dapat mengonfigurasi aturan di Amazon EventBridge yang merutekan temuan ke bucket S3 Anda.
