Attributi di primo livello obbligatori - AWS Security Hub
AwsAccountIdCreatedAtDescrizioneGeneratorIdIdProductArnRisorseSchemaVersionGravitàTitleTipiUpdatedAt

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attributi di primo livello obbligatori

I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono necessari per tutti i risultati in Security Hub. Per ulteriori informazioni su questi attributi obbligatori, vedere AwsSecurityFindingnella Guida di AWS Security Hub APIriferimento.

AwsAccountId

L' Account AWS ID a cui si applica il risultato.

Esempio

"AwsAccountId": "111111111111"

CreatedAt

Indica quando è stato creato il potenziale problema di sicurezza rilevato da un risultato.

Esempio

"CreatedAt": "2017-03-22T13:22:13.933Z"
Nota

Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.

Descrizione

La descrizione di una ricerca. Questo campo può essere testo boilerplate non specifico o dettagli che sono specifici dell'istanza del risultato.

Per i risultati di controllo generati da Security Hub, questo campo fornisce una descrizione del controllo.

Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.

Esempio

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

L'identificatore per il componente specifico della soluzione (un'unità di logica discreta) che ha generato un risultato.

Per i risultati di controllo generati da Security Hub, questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.

Esempio

"GeneratorId": "security-control/Config.1"

Id

L'identificatore specifico del prodotto per un risultato. Per i risultati di controllo generati da Security Hub, questo campo fornisce l'Amazon Resource Name (ARN) del risultato.

Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.

Esempio

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

L'Amazon Resource Name (ARN) generato da Security Hub che identifica in modo univoco un prodotto di ricerca di terze parti dopo la registrazione del prodotto presso Security Hub.

Il formato di questo campo è arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Per AWS i servizi integrati con Security Hub, company-id deve essere "aws«e product-id deve essere il nome del servizio AWS pubblico. Poiché AWS i prodotti e i servizi non sono associati a un account, la account-id sezione di ARN è vuota. AWS i servizi che non sono ancora integrati con Security Hub sono considerati prodotti di terze parti.

  • Per prodotti pubblici, company-id e product-id devono essere i valori ID specificati al momento della registrazione.

  • Per prodotti privati, company-id deve essere l'ID account. product-id deve essere la parola riservata "default" o l'ID specificato al momento della registrazione.

Esempio

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Risorse

L'Resourcesoggetto fornisce un insieme di tipi di dati relativi alle risorse che descrivono le AWS risorse a cui si riferisce il risultato.

Esempio

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

La versione dello schema per cui un risultato è formattato. Il valore di questo campo deve essere una delle versioni pubblicate ufficialmente identificate da AWS. Nella versione corrente, la versione dello schema AWS Security Finding Format è2018-10-08.

Esempio

"SchemaVersion": "2018-10-08"

Gravità

Definisce l'importanza di un risultato. Per i dettagli su questo oggetto, vedere Severitynel AWS Security Hub APIReference.

Severityè sia un oggetto di primo livello in una ricerca che annidato sotto l'FindingProviderFieldsoggetto.

Il valore dell'Severityoggetto di primo livello per un risultato deve essere aggiornato solo da. BatchUpdateFindingsAPI

Per fornire informazioni sulla gravità, i fornitori di servizi di ricerca dovrebbero aggiornare l'Severityoggetto sotto FindingProviderFields quando effettuano una BatchImportFindingsAPIrichiesta.
 Se una BatchImportFindings richiesta per un nuovo risultato fornisce solo Label o fornisce soloNormalized, Security Hub compila automaticamente il valore dell'altro campo. I Original campi Product e possono anche essere compilati.

Se l'Finding.Severityoggetto di primo livello è presente ma non lo Finding.FindingProviderFields è, Security Hub crea l'FindingProviderFields.Severityoggetto e lo copia per intero al suo Finding.Severity object interno. Ciò garantisce che i dettagli originali forniti dal provider vengano mantenuti all'interno della FindingProviderFields.Severity struttura, anche se l'oggetto di primo livello viene sovrascritto. Severity

La gravità del risultato non considera la criticità degli asset coinvolti o della risorsa sottostante. La criticità è definita come il livello di importanza delle risorse associate al risultato. Ad esempio, una risorsa associata a un'applicazione mission critical ha una criticità maggiore rispetto a quella associata ai test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizza il campo Criticality.

Si consiglia di utilizzare le seguenti indicazioni per tradurre i punteggi di gravità nativi dei risultati nel valore di in. Severity.Label ASFF

  • INFORMATIONAL— Questa categoria può includere un risultato relativo all'identificazione PASSED di dati sensibili o di NOT AVAILABLE controllo. WARNING

  • LOW— Risultati che potrebbero portare a future compromessi. Ad esempio, questa categoria può includere vulnerabilità, punti deboli di configurazione e password esposte.

  • MEDIUM— Risultati che indicano un compromesso attivo, ma nessuna indicazione che un avversario abbia raggiunto i propri obiettivi. Ad esempio, questa categoria può includere attività legate a malware, attività di hacking e rilevamento di comportamenti insoliti.

  • HIGHoppure CRITICAL — Risultati che indicano che un avversario ha raggiunto i propri obiettivi, come la perdita o la compromissione attiva dei dati o l'interruzione del servizio.

Esempio

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

Il titolo di un risultato. Questo campo può contenere testo boilerplate non specifico o dettagli specifici per l'istanza del risultato.

Per i risultati del controllo, questo campo fornisce il titolo del controllo.

Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.

Esempio

"Title": "AWS Config should be enabled"

Tipi

Uno o più tipi di risultati nel formato namespace/category/classifier che classificano un risultato. Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.

Typesdeve essere aggiornato solo utilizzando BatchUpdateFindings.

La ricerca di fornitori che desiderano fornire un valore per Types dovrebbe utilizzare l'Typesattributo sotto FindingProviderFields.

Nell'elenco seguente, i punti elenco di primo livello sono namespace, i punti elenco di secondo livello sono categorie e i punti elenco di terzo livello sono classificatori. Consigliamo che i provider di ricerca utilizzino namespace definiti per facilitare l'ordinamento e il raggruppamento dei risultati. È possibile utilizzare anche le categorie e i classificatori definiti, ma non sono obbligatori. Solo lo spazio dei nomi Software and Configuration Checks dispone di classificatori definiti.

È possibile definire un percorso parziale per namespace/categoria/classificatore. Ad esempio, i seguenti tipi di ricerca sono tutti validi:

  • TTPs

  • TTPs/Evasione difensiva

  • TTPs/Evasione per la difesa/ CloudTrailStopped

Le categorie tattiche, tecniche e procedure (TTPs) nell'elenco seguente sono allineate a MITREATT&CK MatrixTM. Lo spazio dei nomi Unusual Behaviors riflette comportamenti generali insoliti, come le anomalie statistiche generali, e non è allineato a uno specifico. TTP Tuttavia, è possibile classificare un risultato sia in base ai comportamenti insoliti che ai tipi di risultati. TTPs

Elenco di namespace, categorie e classificatori:

  • Software and Configuration Checks

    • Vulnerabilità

      • CVE

    • AWS Migliori pratiche di sicurezza

      • Network Reachability

      • Runtime Behavior Analysis

    • Industry and Regulatory Standards

      • AWS Migliori pratiche di sicurezza di base

      • CISBenchmark Host Hardening

      • CIS AWS Benchmark Foundations

      • PCI-DSS

      • Controlli Cloud Security Alliance

      • ISOControlli 90001

      • ISOControlli 27001

      • ISOControlli 27017

      • ISO27018 Controlli

      • SOC1

      • SOC2

      • HIPAAControlli (USA)

      • NISTComandi 800-53 () USA

      • NISTCSFControlli () USA

      • IRAPControlli (Australia)

      • ISMSK-Controls (Corea)

      • MTCSControlli (Singapore)

      • FISCControlli (Giappone)

      • Controlli My Number Act (Giappone)

      • ENSControlli (Spagna)

      • Controlli Cyber Essentials Plus (Regno Unito)

      • Controlli G-Cloud (Regno Unito)

      • Controlli C5 (Germania)

      • Controlli IT-Grundschutz (Germania)

      • GDPRControlli (Europa)

      • TISAXControlli (Europa)

    • Gestione delle patch

  • TTPs

    • Accesso iniziale

    • Esecuzione

    • Persistenza

    • Escalation dei privilegi

    • Defense Evasion

    • Accessi a credenziali

    • Individuazione

    • Movimento laterale

    • Raccolta

    • Comando e controllo

  • Effetti

    • Esposizione di dati

    • Esfiltrazione di dati

    • Distruzione di dati

    • Denial of Service

    • Consumo di risorse

  • Comportamenti insoliti

    • Applicazione

    • Flusso di rete

    • Indirizzo IP

    • Utente

    • VM

    • Container

    • Serverless

    • Processo

    • Database

    • Dati

  • Identificazioni dati sensibili

    • PII

    • Password

    • Note legali

    • Servizi finanziari

    • Sicurezza

    • Business

Esempio

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

Indica quando il fornitore dei risultati ha aggiornato l'ultima volta il record dei risultati.

Questo timestamp indica l'ora in cui il record di ricerca è stato aggiornato l'ultima volta o l'ultimo aggiornamento. Di conseguenza, può differire dal LastObservedAt timestamp, che indica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta.

Quando si aggiorna il record di risultato, è necessario aggiornare il timestamp al timestamp corrente. Al momento della creazione di un record di ricerca, i timestamp CreatedAt e i UpdatedAt timestamp devono essere gli stessi. Dopo un aggiornamento del record di ricerca, il valore di questo campo deve essere più recente di tutti i valori precedenti in esso contenuti.

Nota che UpdatedAt non può essere aggiornato utilizzando l'BatchUpdateFindingsAPIoperazione. È possibile aggiornarlo solo utilizzando BatchImportFindings.

Esempio

"UpdatedAt": "2017-04-22T13:22:13.933Z"
Nota

Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.