調査結果をにマッピングするためのガイドラインAWSSecurity Finding 形式 - AWS Security Hub
識別情報Title および Description結果タイプタイムスタンプSeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFieldsコンプライアンス制限されているフィールド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

調査結果をにマッピングするためのガイドラインAWSSecurity Finding 形式

結果を ASFF にマッピングするには、次のガイドラインに従います。各 ASFF フィールドとオブジェクトの詳細については、を参照してください。AWSSecurity Finding 形式AWS Security Hubユーザーガイド

識別情報

SchemaVersion は常に 2018-10-08 です。

ProductArnARN はAWS Security Hub君に割り当てる。

Idは、Security Hub が結果のインデックスを作成するために使用する値です。他の調査結果が上書きされないように、結果識別子は一意である必要があります。結果を更新するには、同じ識別子を使用して結果を再送信します。

GeneratorIdと同じでもかまいませんIdまたは、Amazon などの論理の離散単位を指すこともできます。GuardDuty検出器 IDAWS Configレコーダー ID、または IAM アクセスアナライザー ID。

Title および Description

Title影響を受けるリソースに関する情報をいくつか含める必要があります。Titleは、スペースを含む 256 文字に制限されています。

より長い詳細情報をDescriptionDescriptionは、スペースを含む 1024 文字に制限されています。説明に切り捨てを追加することを検討できます。例を示します。

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

結果タイプ

検索タイプの情報をFindingProviderFields.Types

Typesと一致するはずです。ASFF のタイプ分類

必要に応じて、カスタム分類子 (3 番目の名前空間) を指定できます。

タイムスタンプ

ASFF 形式には、いくつかの異なるタイムスタンプが含まれています。

CreatedAt および UpdatedAt

提出する必要がありますCreatedAtそしてUpdatedAt電話するたびにBatchImportFindingsそれぞれの発見について。

値は Python 3.8 の ISO8601 形式と一致する必要があります。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAt および LastObservedAt

FirstObservedAtそしてLastObservedAtシステムが調査結果を観察したときと一致する必要があります。この情報を記録しない場合は、これらのタイムスタンプを送信する必要はありません。

値は Python 3.8 の ISO8601 形式と一致しています。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

重大度情報は、FindingProviderFields.Severityオブジェクト。には以下のフィールドがあります。

Original

システムの重大度値。Originalは、使用するシステムに対応するために、任意の文字列にすることができます。

Label

検出の重大度を示す必須Security Hub インジケータ。指定できる値は次のとおりです。

  • INFORMATIONAL— 問題は見つかりませんでした。

  • LOW— この問題は単独で対処する必要はありません。

  • MEDIUM— この問題は対処する必要がありますが、緊急ではありません。

  • HIGH— この問題は優先事項として対処する必要があります。

  • CRITICAL— さらなる被害を防ぐために、この問題は直ちに修正する必要があります。

準拠している所見は、常に持っている必要がありますLabelに設定します。INFORMATIONAL。の例INFORMATIONAL調査結果は、合格したセキュリティチェックの結果であり、AWS Firewall Manager修正された調査結果。

お客様は、セキュリティ運用チームに ToDo リストを提供するために、重要度で調査結果を並べ替えることがよくあります。検索の重大度をに設定するときは慎重に行ってくださいHIGHまたはCRITICAL

統合ドキュメントには、マッピングの理論的根拠が含まれている必要があります。

Remediation

Remediationには 2 つの要素があります。これらの要素は、Security Hub コンソールで結合されます。

Remediation.Recommendation.Textに表示されます。修復検索の詳細のセクション。これは、の値にハイパーリンクされていますRemediation.Recommendation.Url

現在、Security Hub 標準、IAM アクセスアナライザー、およびFirewall Manager からの結果のみに、結果の修正方法に関するドキュメントへのハイパーリンクが表示されます。

SourceUrl

使用のみSourceUrlその特定の結果のために、コンソールにディープリンク URL を提供できるかどうか。それ以外の場合は、マッピングから省略します。

Security Hub はこのフィールドからのハイパーリンクをサポートしていませんが、Security Hub コンソールで公開されます。

Malware, Network, Process, ThreatIntelIndicators

該当する場合は、Malware,Network,Process, またはThreatIntelIndicators。これらのオブジェクトはそれぞれ Security Hub コンソールで公開されます。これらのオブジェクトは、送信する結果のコンテキストで使用します。

たとえば、既知のコマンドおよびコントロールノードへのアウトバウンド接続を行うマルウェアを検出した場合は、EC2 インスタンスの詳細をで指定します。Resource.Details.AwsEc2Instance。関連するものを提供してくださいMalware,Network, およびThreatIntelIndicatorその EC2 インスタンスのオブジェクト。

Malware

Malwareは、最大 5 つのマルウェア情報の配列を受け入れるリストです。マルウェアエントリをリソースと発見に関連づけるようにします。

各エントリには以下のフィールドがあります。

Name

マルウェアの名前。値は 64 文字の文字列です。

Name検査済みの脅威インテリジェンスまたは研究者の情報源から入手する必要があります。

Path

マルウェアへのパス。値は、最大 512 文字の文字列です。Path次の場合を除き、Linux または Windows のシステムファイルパスにする必要があります。

  • S3 バケットまたは EFS 共有内のオブジェクトを YARA ルールに対してスキャンすると、PathS3://または HTTPS オブジェクトパスです。

  • Git リポジトリ内のファイルをスキャンすると、PathGit URL またはクローンのパスです。

State

マルウェアのステータス。指定できる値は次のとおりです。OBSERVED| REMOVAL_FAILED|REMOVED

検索のタイトルと説明で、マルウェアで何が起こったかのコンテキストを提供していることを確認します。

たとえば、次のようになります。Malware.StateですREMOVEDの順にクリックすると、検索タイトルと説明に、パス上にあるマルウェアが製品によって削除されたことが反映されます。

もしMalware.StateですOBSERVEDの順にクリックすると、検索タイトルと説明に、パス上に存在するこのマルウェアが製品で検出されたことを反映する必要があります。

Type

マルウェアのタイプを示します。指定できる値は次のとおりです。ADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM

に追加の値が必要な場合Type、Security Hub チームに連絡してください。

Network

Networkは 1 つのオブジェクトです。複数のネットワーク関連の詳細を追加することはできません。フィールドをマッピングする場合は、次のガイドラインに従います。

デスティネーションとソース情報

宛先と送信元は、TCP または VPC フローログ、または WAF ログを簡単にマッピングできます。あなたが攻撃に関する発見のためのネットワーク情報を記述しているとき、彼らは使用するのがより困難です.

通常、ソースは攻撃の発祥地ですが、以下に示すような他のソースがある可能性があります。ドキュメントでソースを説明し、検索のタイトルと説明にも説明する必要があります。

  • EC2 インスタンスに対する DDoS 攻撃の場合、ソースは攻撃者ですが、実際の DDoS 攻撃では何百万ものホストが使用される可能性があります。宛先は EC2 インスタンスのパブリック IPv4 アドレスです。Directionは入っています。

  • EC2 インスタンスから既知のコマンドおよびコントロールノードへの通信が観察されるマルウェアの場合、ソースは EC2 インスタンスの IPV4 アドレスです。デスティネーションは、コマンドおよびコントロールノードです。DirectionですOUT。また、MalwareそしてThreatIntelIndicators

Protocol

Protocol特定のプロトコルを提供できる場合を除き、常にインターネット割り当て番号局 (IANA) の登録名にマッピングします。常にこれを使用し、ポート情報を提供してください。

Protocolは、送信元および宛先情報から独立しています。そうするのが理にかなっているときだけ提供してください。

Direction

Directionは、常に相対的であるAWSネットワーク境界。

  • IN入ることを意味するAWS(VPC、サービス)。

  • OUTそれは終了していることを意味し、AWSネットワーク境界。

Process

Processは 1 つのオブジェクトです。複数のプロセス関連の詳細を追加することはできません。フィールドをマッピングする場合は、次のガイドラインに従います。

Name

Nameは実行可能ファイルの名前と一致する必要があります。64 文字まで使用できます。

Path

Pathは、実行可能プロセスへのファイルシステムパスです。最大 512 文字まで使用できます。

Pid, ParentPid

PidそしてParentPidLinux プロセス識別子 (PID) または Windows イベント ID と一致する必要があります。区別するには、EC2 Amazon マシンイメージ (AMI) を使用して情報を提供します。お客様は、おそらく Windows と Linux を区別することができます。

タイムスタンプLaunchedAtそしてTerminatedAt)

この情報を確実に取得できず、ミリ秒単位で正確でない場合は、提供しないでください。

お客様がフォレンジック調査でタイムスタンプに依存している場合は、タイムスタンプがない方が間違ったタイムスタンプを持つよりも優れています。

ThreatIntelIndicators

ThreatIntelIndicators最大 5 個の脅威インテリジェンスオブジェクトの配列を受け入れます。

エントリごとに、Typeは、特定の脅威のコンテキストにあります。指定できる値は次のとおりです。DOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL

ここでは、脅威インテリジェンスインジケータをマッピングする方法の例をいくつか紹介します。

  • Cobalt Strikeに関連付けられていることがわかっているプロセスが見つかりました。これはから学んだFireEyeのブログ。

    TypePROCESS に設定します。また、Processプロセスのオブジェクト。

  • メールフィルタによって、既知の悪意のあるドメインから既知のハッシュ化されたパッケージを送信している人が見つかりました。

    2 つの作成ThreatIntelIndicatorオブジェクト。1つのオブジェクトは、DOMAIN。もう 1 つの場合はHASH_SHA1

  • ヤラルール(ロキ、フェンリル、Awss3VirusScan,BinaryAlert).

    2 つの作成ThreatIntelIndicatorオブジェクト。一つはマルウェア用です。もう 1 つの場合はHASH_SHA1

Resources

を使用する場合Resourcesでは、可能な限り提供されているリソースタイプと詳細フィールドを使用します。Security Hub は常に ASFF に新しいリソースを追加しています。ASFF の変更の月次ログを受け取るには、

モデル化されたリソースタイプの詳細フィールドに情報を収められない場合は、残りの詳細をDetails.Other

ASFF でモデル化されていないリソースについては、TypeOther。詳細については、以下を使用します。Details.Other

また、 を使用することもできますOther非リソースタイプAWS検出結果。

ProductFields

使用のみProductFieldsで別のキュレーションフィールドを使用できない場合Resourcesまたは次のような説明的なオブジェクトThreatIntelIndicators,Network, またはMalware

あなたが使っている場合ProductFieldsでは、この決定には厳密な根拠を提供しなければならない。

コンプライアンス

使用のみCompliance調査結果が、コンプライアンスに関連している場合。

Security Hub の使用Complianceこれは、コントロールに基づいて生成する所見です。

Firewall Manager の使用Complianceその調査結果は、コンプライアンスに関連しているためです。

制限されているフィールド

これらのフィールドは、顧客が調査結果の調査を追跡できるようにするためのものです。

これらのフィールドまたはオブジェクトにはマップしないでください。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

これらのフィールドについては、内のフィールドにマップします。FindingProviderFieldsオブジェクト。最上位フィールドにはマップしないでください。

  • Confidence— サービスに同様の機能がある場合、または結果が 100% 満たされている場合にのみ、信頼スコア(0~99)を含めてください。

  • Criticality— 重要度スコア (0~99) は、結果に関連するリソースの重要性を表すことを目的としています。

  • RelatedFindings:同じリソースまたは検索タイプに関連する調査結果を追跡できる場合にのみ、関連する結果を提供します。関連する結果を特定するには、Security Hub に既にある結果の検索 ID を参照する必要があります。