Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attributi opzionali di primo livello
Questi attributi di primo livello sono opzionali nel AWS Security Finding Format (ASFF). Per ulteriori informazioni su questi attributi, consulta l'AWS Security Hub API AwsSecurityFindingReference.
Azione
L'Actionoggetto fornisce dettagli su un'azione che influisce o che è stata intrapresa su una risorsa.
Esempio
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
Il Account AWS nome a cui si applica il risultato.
Esempio
"AwsAccountName": "jane-doe-testaccount"
CompanyName
Il nome dell'azienda del prodotto che ha generato il risultato. Per i risultati basati sul controllo, la società è. AWS
Security Hub compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando BatchImportFindingso BatchUpdateFindings. L'eccezione è quando si utilizza un'integrazione personalizzata. Per informazioni, consulta Utilizzo di integrazioni di prodotti personalizzate per inviare i risultati a AWS Security Hub.
Quando si utilizza la console Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza questo attributo. Quando si utilizza l'API Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza l'aws/securityhub/CompanyNameattributo sottoProductFields. Security Hub non sincronizza questi due attributi.
Esempio
"CompanyName": "AWS"
Conformità
L'Complianceoggetto fornisce dettagli di ricerca relativi a un controllo. Questo attributo viene restituito per i risultati generati da un controllo Security Hub e per i risultati AWS Config inviati a Security Hub.
Esempio
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Confidence
La probabilità che un risultato identifichi accuratamente il comportamento o il problema che intendeva identificare.
Confidencedeve essere aggiornato solo utilizzando. BatchUpdateFindings
La ricerca di fornitori che desiderano fornire un valore per Confidence dovrebbe utilizzare l'Confidenceattributo sottoFindingProviderFields. Per informazioni, consulta Uso di FindingProviderFields.
Confidenceviene assegnato un punteggio da 0 a 100 utilizzando una scala di rapporti. 0 significa confidenza dello 0% e 100 indica una confidenza del 100 percento. Ad esempio, un rilevamento di un'esfiltrazione di dati basato su una deviazione statistica del traffico di rete ha una bassa affidabilità perché non è stata verificata un'effettiva esfiltrazione.
Esempio
"Confidence": 42
Criticità
Il livello di importanza assegnato alle risorse associate a un risultato.
Criticalitydeve essere aggiornato solo chiamando l'operazione BatchUpdateFindingsAPI. Non aggiornare questo oggetto con BatchImportFindings.
La ricerca di fornitori che desiderano fornire un valore per Criticality deve utilizzare l'Criticalityattributo sottoFindingProviderFields. Per informazioni, consulta Uso di FindingProviderFields.
Criticalityviene assegnato un punteggio da 0 a 100, utilizzando una scala di rapporti che supporta solo numeri interi completi. Un punteggio 0 indica che le risorse sottostanti non presentano criticità, mentre un punteggio 100 è riservato per la maggior parte delle risorse critiche.
Per ogni risorsa, al momento dell'assegnazione, tenete presente quanto segue: Criticality
-
La risorsa interessata contiene dati sensibili (ad esempio, un bucket S3 con PII)?
-
La risorsa interessata consente a un avversario di approfondire il proprio accesso o di estendere le proprie capacità per svolgere attività dannose aggiuntive (ad esempio, un account sysadmin compromesso)?
-
La risorsa è un asset critico per l'azienda (ad esempio, un sistema aziendale chiave che se compromesso potrebbe avere un impatto notevole sui profitti)?
Puoi utilizzare le linee guida seguenti:
-
Una risorsa che alimenta sistemi mission-critical o che contiene dati altamente sensibili può essere valutata nell'intervallo 75-100.
-
Una risorsa che alimenta sistemi importanti (ma non critici) o che contiene dati moderatamente importanti può essere valutata nell'intervallo 25-74.
-
Una risorsa che alimenta sistemi non importanti o che contiene dati non sensibili dovrebbe avere un punteggio compreso tra 0 e 24.
Esempio
"Criticality": 99
FindingProviderFields
FindingProviderFieldsinclude i seguenti attributi:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
È possibile eseguire l'aggiornamento FindingProviderFields utilizzando l'operazione BatchImportFindingsAPI. Non è possibile aggiornarlo con BatchUpdateFindings.
Per i dettagli su come Security Hub gestisce gli aggiornamenti da FindingProviderFields e BatchImportFindingsverso gli attributi di primo livello corrispondenti, vedereUso di FindingProviderFields.
Esempio
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indica quando il potenziale problema di sicurezza rilevato da un risultato è stato osservato per la prima volta.
Questo timestamp indica l'ora in cui l'evento o la vulnerabilità sono stati osservati per la prima volta. Di conseguenza, può differire dal CreatedAt timestamp, che riflette l'ora in cui è stato creato questo record di risultati.
Questo timestamp dovrebbe essere immutabile tra un aggiornamento e l'altro del record di ricerca, ma può essere aggiornato se viene determinato un timestamp più preciso.
Esempio
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indica quando il potenziale problema di sicurezza rilevato da un risultato è stato rilevato più di recente dal prodotto Security Finds.
Questo timestamp indica l'ora in cui l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta. Di conseguenza, può differire dal UpdatedAt timestamp, che indica quando questo record di risultati è stato aggiornato l'ultima volta o l'ultimo aggiornamento.
È possibile fornire questo timestamp, ma non è richiesto alla prima osservazione. Se fornisci questo campo alla prima osservazione, il timestamp dovrebbe essere lo stesso del timestamp. FirstObservedAt Aggiornare questo campo per riflettere l'ultimo timestamp o il timestamp osservato più di recente ogni volta che un risultato viene osservato.
Esempio
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
L'oggetto Malware fornisce un elenco di malware relativo a una ricerca.
Esempio
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Rete (ritirata)
L'Networkoggetto fornisce informazioni relative alla rete su un risultato.
Questo oggetto è stato ritirato. Per fornire questi dati, è possibile mappare i dati a una risorsa in Resources o utilizzare l'Actionoggetto.
Esempio
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
L'NetworkPathoggetto fornisce informazioni su un percorso di rete correlato a un risultato. Ogni voce in NetworkPath rappresenta un componente del percorso.
Esempio
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Nota
L'Noteoggetto specifica una nota definita dall'utente che è possibile aggiungere a un risultato.
Un provider di risultati può fornire una nota iniziale per una ricerca, ma non può aggiungere note successivamente. È possibile aggiornare una nota solo utilizzando. BatchUpdateFindings
Esempio
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
L'PatchSummaryoggetto fornisce un riepilogo dello stato di conformità della patch per un'istanza rispetto a uno standard di conformità selezionato.
Esempio
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Processo
L'Processoggetto fornisce dettagli relativi al processo relativi a un risultato.
Esempio:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Indica quando Security Hub ha ricevuto un risultato e inizia a elaborarlo.
Ciò differisce da CreatedAt eUpdatedAt, che sono timestamp obbligatori che si riferiscono all'interazione del fornitore del servizio di ricerca con il problema di sicurezza e la scoperta. Il ProcessedAt timestamp indica quando Security Hub inizia a elaborare un risultato. Una volta completata l'elaborazione, viene visualizzato un risultato nell'account di un utente.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Un tipo di dati in cui i prodotti per i risultati della sicurezza possono includere dettagli aggiuntivi specifici della soluzione che non fanno parte del AWS Security Finding Format definito.
Per i risultati generati dai controlli del Security Hub, ProductFields include informazioni sul controllo. Per informazioni, consulta Generazione e aggiornamento dei risultati del controllo.
Questo campo non deve contenere dati ridondanti e non deve contenere dati in conflitto con i campi del AWS Security Finding Format.
Il prefisso aws/ "" rappresenta uno spazio dei nomi riservato solo a AWS prodotti e servizi e non deve essere associato ai risultati di integrazioni di terze parti.
Anche se non richiesto, i nomi di campo dei prodotti devono avere il formato company-id/product-id/field-name, in cui company-id e product-id corrispondono a quelli forniti nella ProductArn del risultato.
I campi a cui si fa riferimento Archival vengono utilizzati quando Security Hub archivia un risultato esistente. Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.
Questo campo può includere anche informazioni sullo standard che include il controllo che ha prodotto il risultato.
Esempio
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Fornisce il nome del prodotto che ha generato il risultato. Per i risultati basati sul controllo, il nome del prodotto è Security Hub.
Security Hub compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando BatchImportFindingso BatchUpdateFindings. L'eccezione è quando si utilizza un'integrazione personalizzata. Per informazioni, consulta Utilizzo di integrazioni di prodotti personalizzate per inviare i risultati a AWS Security Hub.
Quando si utilizza la console Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza questo attributo.
Quando si utilizza l'API Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza l'aws/securityhub/ProductNameattributo sottoProductFields.
Security Hub non sincronizza questi due attributi.
RecordState
Fornisce lo stato di registrazione di un risultato.
Per impostazione predefinita, i risultati inizialmente generati da un servizio sono considerati ACTIVE.
Lo stato ARCHIVED indica che un risultato deve essere nascosto dalla vista. I risultati archiviati non vengono eliminati immediatamente. È possibile cercarli, esaminarli e riferirli. Security Hub archivia automaticamente i risultati basati sul controllo se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato.
RecordStateè destinato alla ricerca di fornitori e può essere aggiornato solo da. BatchImportFindings Non è possibile aggiornarlo utilizzando BatchUpdateFindings.
Per tenere traccia dello stato della tua indagine su un risultato, usa Workflowinvece diRecordState.
Se lo stato del record cambia da ARCHIVED a ACTIVE e lo stato del flusso di lavoro del risultato è NOTIFIED oRESOLVED, Security Hub imposta automaticamente lo stato del flusso di lavoro suNEW.
Esempio
"RecordState": "ACTIVE"
Regione
Speciifica il risultato Regione AWS da cui è stato generato il risultato.
Security Hub compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando BatchImportFindingso BatchUpdateFindings.
Esempio
"Region": "us-west-2"
RelatedFindings
Fornisce un elenco di risultati correlati al risultato corrente.
RelatedFindingsdeve essere aggiornato solo con l'operazione BatchUpdateFindingsAPI. Non dovresti aggiornare questo oggetto con BatchImportFindings.
Per BatchImportFindingsle richieste, i provider di ricerca devono utilizzare l'RelatedFindingsoggetto sotto FindingProviderFields.
Per visualizzare le descrizioni degli RelatedFindings attributi, RelatedFindingconsulta l'AWS Security Hub API Reference.
Esempio
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Correzione
L'oggetto Remediation fornisce informazioni sulle procedure di correzione consigliate per risolvere la ricerca.
Esempio
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Project N.E.M.O.
Speciifica se il risultato è un risultato di esempio.
"Sample": true
SourceUrl
L'SourceUrloggetto fornisce un URL che rimanda a una pagina relativa alla scoperta corrente del prodotto oggetto della ricerca.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
L'ThreatIntelIndicatoroggetto fornisce dettagli di intelligence sulle minacce correlati a una scoperta.
Esempio
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Minacce
L'Threatsoggetto fornisce dettagli sulla minaccia rilevata da un risultato.
Esempio
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Fornisce un elenco di coppie di stringhe nome-valore associate al risultato. Si tratta di campi personalizzati, definiti dall'utente che vengono aggiunti a un risultato. Questi campi possono essere generati automaticamente tramite una configurazione specifica.
I fornitori di servizi di ricerca non devono utilizzare questo campo per i dati generati dal prodotto. Invece, i provider di ricerca possono utilizzare il ProductFields campo per i dati che non sono mappati a nessun campo standard del AWS Security Finding Format.
Questi campi possono essere aggiornati solo utilizzando BatchUpdateFindings.
Esempio
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Fornisce la veridicità di un risultato. I prodotti Findings possono fornire un valore di UNKNOWN per questo campo. Un prodotto dei risultati dovrebbe fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati. Questo campo viene in genere compilato in base alla determinazione o all'azione dell'utente dopo l'analisi di un risultato.
Un provider di risultati può fornire un valore iniziale per questo attributo, ma non può aggiornarlo successivamente. È possibile aggiornare questo attributo solo utilizzando. BatchUpdateFindings
"VerificationState": "Confirmed"
Vulnerabilità
L'Vulnerabilitiesoggetto fornisce un elenco di vulnerabilità associate a un risultato.
Esempio
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flusso di lavoro
L' oggetto Workflow fornisce informazioni sullo stato dell'indagine su un risultato.
Questo campo è destinato ai clienti da utilizzare con strumenti di correzione, orchestrazione e ticketing. Non è destinato per provider di risultati.
Puoi aggiornare il campo solo con. Workflow BatchUpdateFindings I clienti possono anche aggiornarlo dalla console. Per informazioni, consulta Impostazione dello stato dei risultati del flusso di lavoro.
Esempio
"Workflow": { "Status": "NEW" }
WorkflowState (Ritirato)
Questo oggetto è stato ritirato ed è stato sostituito dal Status campo dell'Workflowoggetto.
Questo campo fornisce lo stato del flusso di lavoro di un risultato. I prodotti dei risultati sono in grado di fornire il valore di NEW per questo campo. Un prodotto dei risultati è in grado di fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati.
Esempio
"WorkflowState": "NEW"
