Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attributi di primo livello obbligatori
I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono necessari per tutti i risultati in Security Hub. Per ulteriori informazioni su questi attributi obbligatori, consulta l'AWS Security Hub API AwsSecurityFindingReference.
AwsAccountId
L' Account AWS ID a cui si riferisce il risultato.
Esempio
"AwsAccountId": "111111111111"
CreatedAt
Indica quando è stato creato il potenziale problema di sicurezza rilevato da un risultato.
Esempio
"CreatedAt": "2017-03-22T13:22:13.933Z"
Nota
Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.
Descrizione
La descrizione di una ricerca. Questo campo può essere testo boilerplate non specifico o dettagli che sono specifici dell'istanza del risultato.
Per i risultati di controllo generati da Security Hub, questo campo fornisce una descrizione del controllo.
Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
L'identificatore per il componente specifico della soluzione (un'unità di logica discreta) che ha generato un risultato.
Per i risultati di controllo generati da Security Hub, questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"GeneratorId": "security-control/Config.1"
Id
L'identificatore specifico del prodotto per un risultato. Per i risultati di controllo generati da Security Hub, questo campo fornisce l'Amazon Resource Name (ARN) del risultato.
Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
L'Amazon Resource Name (ARN) generato da Security Hub che identifica in modo univoco un prodotto di ricerca di terze parti dopo la registrazione del prodotto presso Security Hub.
Il formato di questo campo è arn:.partition:securityhub:region:account-id:product/company-id/product-id
-
Per AWS i servizi integrati con Security Hub,
company-iddeve essere "aws«eproduct-iddeve essere il nome del servizio AWS pubblico. Poiché AWS i prodotti e i servizi non sono associati a un account, laaccount-idsezione dell'ARN è vuota. AWS i servizi che non sono ancora integrati con Security Hub sono considerati prodotti di terze parti. -
Per prodotti pubblici,
company-ideproduct-iddevono essere i valori ID specificati al momento della registrazione. -
Per prodotti privati,
company-iddeve essere l'ID account.product-iddeve essere la parola riservata "default" o l'ID specificato al momento della registrazione.
Esempio
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Risorse
L'Resourcesoggetto fornisce un insieme di tipi di dati relativi alle risorse che descrivono le AWS risorse a cui si riferisce il risultato.
Esempio
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
La versione dello schema per cui un risultato è formattato. Il valore di questo campo deve essere una delle versioni pubblicate ufficialmente identificate da AWS. Nella versione corrente, la versione dello schema AWS Security Finding Format è2018-10-08.
Esempio
"SchemaVersion": "2018-10-08"
Gravità
Definisce l'importanza di un risultato. Per i dettagli su questo oggetto, Severityconsulta l'AWS Security Hub API Reference.
Severityè sia un oggetto di primo livello in una ricerca che annidato sotto l'FindingProviderFieldsoggetto.
Il valore dell'Severityoggetto di primo livello per un risultato deve essere aggiornato solo dall'API. BatchUpdateFindings
Per fornire informazioni sulla gravità, i provider di ricerca devono aggiornare l'Severityoggetto sotto FindingProviderFields quando effettuano una richiesta BatchImportFindingsAPI.
Se una BatchImportFindings richiesta per un nuovo risultato fornisce solo Label o fornisce soloNormalized, Security Hub compila automaticamente il valore dell'altro campo. I Original campi Product e possono anche essere compilati.
Se l'Finding.Severityoggetto di primo livello è presente ma non lo Finding.FindingProviderFields è, Security Hub crea l'FindingProviderFields.Severityoggetto e vi copia Finding.Severity object l'intero. Ciò garantisce che i dettagli originali forniti dal provider vengano mantenuti all'interno della FindingProviderFields.Severity struttura, anche se l'oggetto di primo livello viene sovrascritto. Severity
La gravità del risultato non considera la criticità degli asset coinvolti o della risorsa sottostante. La criticità è definita come il livello di importanza delle risorse associate al risultato. Ad esempio, una risorsa associata a un'applicazione mission critical ha una criticità maggiore rispetto a quella associata ai test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizza il campo Criticality.
Si consiglia di utilizzare le seguenti indicazioni per tradurre i punteggi di gravità nativi dei risultati nel valore dell'ASFF. Severity.Label
-
INFORMATIONAL— Questa categoria può includere un risultato relativo all'identificazionePASSEDdiWARNINGdati sensibili o diNOT AVAILABLEcontrollo. -
LOW— Risultati che potrebbero portare a future compromessi. Ad esempio, questa categoria può includere vulnerabilità, punti deboli di configurazione e password esposte. -
MEDIUM— Risultati che indicano un compromesso attivo, ma nessuna indicazione che un avversario abbia raggiunto i propri obiettivi. Ad esempio, questa categoria può includere attività legate a malware, attività di hacking e rilevamento di comportamenti insoliti. -
HIGHoppureCRITICAL— Risultati che indicano che un avversario ha raggiunto i propri obiettivi, come la perdita o la compromissione attiva dei dati o l'interruzione del servizio.
Esempio
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Title
Il titolo di un risultato. Questo campo può contenere testo boilerplate non specifico o dettagli specifici per l'istanza del risultato.
Per i risultati del controllo, questo campo fornisce il titolo del controllo.
Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"Title": "AWS Config should be enabled"
Tipi
Uno o più tipi di risultati nel formato namespace/category/classifier
Typesdeve essere aggiornato solo utilizzando BatchUpdateFindings.
La ricerca di fornitori che desiderano fornire un valore per Types dovrebbe utilizzare l'Typesattributo sotto FindingProviderFields.
Nell'elenco seguente, i punti elenco di primo livello sono namespace, i punti elenco di secondo livello sono categorie e i punti elenco di terzo livello sono classificatori. Consigliamo che i provider di ricerca utilizzino namespace definiti per facilitare l'ordinamento e il raggruppamento dei risultati. È possibile utilizzare anche le categorie e i classificatori definiti, ma non sono obbligatori. Solo lo spazio dei nomi Software and Configuration Checks dispone di classificatori definiti.
È possibile definire un percorso parziale per namespace/categoria/classificatore. Ad esempio, i seguenti tipi di ricerca sono tutti validi:
-
TTPs
-
TTPs/Defense Evasion
-
TTPS/Evasione dalla difesa/ CloudTrailStopped
Le categorie di tattiche, tecniche e procedure (TTP) nell'elenco seguente si allineano al MITRE
Elenco di namespace, categorie e classificatori:
-
Software and Configuration Checks
-
Vulnerabilità
-
CVE
-
-
AWS Migliori pratiche di sicurezza
-
Network Reachability
-
Runtime Behavior Analysis
-
-
Industry and Regulatory Standards
-
AWS Migliori pratiche di sicurezza di base
-
CIS Host Hardening Benchmarks
-
Benchmark CIS Foundations AWS
-
PCI-DSS
-
Controlli Cloud Security Alliance
-
Controlli ISO 90001
-
Controlli ISO 27001
-
Controlli ISO 27017
-
Controlli ISO 27018
-
SOC 1
-
SOC 2
-
Controlli HIPAA (USA)
-
Controlli NIST 800-53 (USA)
-
Controlli NIST CSF (USA)
-
Controlli IRAP (Australia)
-
Controlli K-ISMS (Corea)
-
Controlli MTCS (Singapore)
-
Controlli FISC (Giappone)
-
Controlli My Number Act (Giappone)
-
Controlli ENS (Spagna)
-
Controlli Cyber Essentials Plus (Regno Unito)
-
Controlli G-Cloud (Regno Unito)
-
Controlli C5 (Germania)
-
Controlli IT-Grundschutz (Germania)
-
Controlli GDPR (Europa)
-
Controlli TISAX (Europa)
-
-
Gestione delle patch
-
-
TTPs
-
Accesso iniziale
-
Esecuzione
-
Persistenza
-
Escalation dei privilegi
-
Defense Evasion
-
Accessi a credenziali
-
Individuazione
-
Movimento laterale
-
Raccolta
-
Comando e controllo
-
-
Effetti
-
Esposizione di dati
-
Esfiltrazione di dati
-
Distruzione di dati
-
Denial of Service
-
Consumo di risorse
-
-
Comportamenti insoliti
-
Applicazione
-
Flusso di rete
-
Indirizzo IP
-
Utente
-
VM
-
Container
-
Serverless
-
Processo
-
Database
-
Dati
-
-
Identificazioni dati sensibili
-
Informazioni che consentono l'identificazione personale degli utenti
-
Password
-
Note legali
-
Servizi finanziari
-
Sicurezza
-
Business
-
Esempio
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
Indica quando il provider di ricerca ha aggiornato l'ultima volta il record dei risultati.
Questo timestamp indica l'ora in cui il record di ricerca è stato aggiornato l'ultima volta o l'ultimo aggiornamento. Di conseguenza, può differire dal LastObservedAt timestamp, che indica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta.
Quando si aggiorna il record di risultato, è necessario aggiornare il timestamp al timestamp corrente. Al momento della creazione di un record di ricerca, i timestamp CreatedAt e i UpdatedAt timestamp devono essere gli stessi. Dopo un aggiornamento del record di ricerca, il valore di questo campo deve essere più recente di tutti i valori precedenti in esso contenuti.
Tieni presente che UpdatedAt non può essere aggiornato utilizzando l'operazione BatchUpdateFindingsAPI. Puoi aggiornarlo solo utilizzando BatchImportFindings.
Esempio
"UpdatedAt": "2017-04-22T13:22:13.933Z"
Nota
Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.
