検出結果を AWS Security Finding 形式 (ASFF) にマッピングするためのガイドライン

結果を ASFF にマッピングするには、以下のガイドラインに従います。各 ASFF フィールドとオブジェクトの詳細については、AWS Security Hub ユーザーガイドの「AWS Security Finding 形式 (ASFF)」を参照してください。

識別情報

SchemaVersion は常に 2018-10-08 です。

ProductArn は、 が割り当てる ARN AWS Security Hub です。

Id は、Security Hub がインデックス結果を作成するために使用する値です。他の結果が上書きされないように、結果識別子は一意である必要があります。結果を更新するには、同じ識別子を使用して結果を再送信します。

GeneratorId は Id と同じ、または Amazon GuardDuty ディテクタ ID、 AWS Config レコーダー ID、または IAM アクセスアナライザー ID など、論理の離散単位を参照するものです。

Title および Description

Title は影響を受けるリ出典に関する情報をいくつか含める必要があります。Title は 256 文字に制限されています。

より長い詳細情報を Description に追加します。Description は 1024 文字に制限されています。説明に切り捨てを追加することを検討できます。例を示します。

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

結果タイプ

FindingProviderFields.Types の結果タイプの情報を提供します。

Types は ASFF のタイプ分類 と一致する必要があります。

必要に応じて、カスタム分類子 (3 番目の名前空間) を指定できます。

タイムスタンプ

ASFF 形式には、いくつかの異なるタイムスタンプが含まれています。

CreatedAt および UpdatedAt

BatchImportFindings をコールするたびにそれぞれの結果について CreatedAt および UpdatedAt を送信する必要があります。

値は Python 3.8 の ISO8601 形式と一致する必要があります。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

FirstObservedAt および LastObservedAt

FirstObservedAt および LastObservedAt はシステムが結果を観察したときと一致する必要があります。この情報をレコードしない場合は、これらのタイムスタンプを送信する必要はありません。

値は Python 3.8 の ISO8601 形式と一致します。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

FindingProviderFields.Severity オブジェクトの重要値情報には、次のフィールドが含まれます。

Original

システムの重要値値。Original は、使用するシステムに対応するために、任意の文字列にすることができます。

Label

結果の重要値を示す必須の Security Hub インジケータ。許容値は、次のとおりです。

• INFORMATIONAL – 問題は見つかりませんでした。

• LOW - この問題は独自のアクションを必要としません。

• MEDIUM - この問題は対処する必要がありますが、緊急ではありません。

• HIGH – この問題は優先事項として対処する必要があります。

• CRITICAL – さらなる危害を防ぐために、問題を直ちに修復する必要があります。

準拠している結果は、常に Label が INFORMATIONAL に設定されている必要があります。INFORMATIONAL 検出結果の例には、合格したセキュリティチェックの結果と修正された AWS Firewall Manager 検出結果があります。

お客様は、セキュリティ運用チームに ToDo リストを提供するために、重要値で結果を並べ替えることがよくあります。結果の重要値を HIGH または CRITICAL に設定するときは慎重に行ってください。

統合ドキュメントには、マッピングの理論的根拠が含まれている必要があります。

Remediation

Remediation には 2 つの要素があります。これらの要素は、Security Hub コンソールで結合されます。

Remediation.Recommendation.Text は結果詳細の 修復 セクションに表示されます。これは、Remediation.Recommendation.Url の値にハイパーリンクされています。

現在、Security Hub 標準、IAM アクセスアナライザー、および Firewall Manager からの結果のみに、結果の修復方法に関するドキュメントへのハイパーリンクが表示されます。

SourceUrl

その特定の結果のために、コンソールにディープリンク URL を提供できる場合、SourceUrl のみを使用します。それ以外の場合は、マッピングから省略します。

Security Hub はこのフィールドからのハイパーリンクをSupportしていませんが、Security Hub コンソールで公開されます。

Malware, Network, Process, ThreatIntelIndicators

該当する場合、Malware、Network、Process、またはThreatIntelIndicators を使用します。これらのオブジェクトはそれぞれ Security Hub コンソールで公開されます。これらのオブジェクトは、送信する結果のコンテキストで使用します。

たとえば、既知のコマンドおよびコントロールノードへのアウトバウンド接続を行うマルウェアを検出した場合は、Resource.Details.AwsEc2Instance の EC2 インスタンスの詳細を提供します。その EC2 インスタンスの関連する Malware、Network、および ThreatIntelIndicator オブジェクトを提供します。

Malware

Malware は、最大 5 つのマルウェア情報の配列を受け入れるリストです。マルウェアエントリをリ出典と結果に関連づけるようにします。

各エントリには以下のフィールドがあります。

Name

マルウェアの名前。値は最大 64 文字の文字列です。

Name は検査済みの脅威インテリジェンスまたは研究者の情報である必要があります。

Path

マルウェアへのパス。値は 512 文字以内の文字列です。Path は次の場合を除き、Linux または Windows のシステムファイルパスにする必要があります。

• S3 バケットまたは EFS 共有内のオブジェクトを YARA ルールに対してスキャンする場合、Path は S3:// または HTTPS オブジェクトパスです。

• Git リポジトリ内のファイルをスキャンすると、Path は Git URL またはクローンのパスです。

State

マルウェアのステータス。指定できる値は OBSERVED | REMOVAL_FAILED | REMOVED です。

結果のタイトルと説明で、マルウェアで何が起こったかのコンテキストを提供していることを確認します。

たとえば、Malware.State が REMOVED の場合、結果タイトルと説明に、パス上にあるマルウェアを製品が除去したことを反映させる必要があります。

Malware.State が OBSERVED の場合、結果タイトルと説明に、パス上にあるこのマルウェアに製品が遭遇したことを反映させる必要があります。

Type

マルウェアのタイプを示します。指定できる値は、ADWARE | BLENDED_THREAT | BOTNET_AGENT | COIN_MINER | EXPLOIT_KIT | KEYLOGGER | MACRO | POTENTIALLY_UNWANTED | SPYWARE | RANSOMWARE | REMOTE_ACCESS | ROOTKIT | TROJAN | VIRUS | WORM です。

Type に追加の値が必要な場合、Security Hub チームにお問い合わせください。

Network

Network は単一オブジェクトです。複数のネットワーク関連の詳細を追加することはできません。フィールドをマッピングする場合は、以下のガイドラインに従います。

デスティネーションと出典情報

デスティネーションと出典は、TCP または VPC フローログ、または WAF ログを簡単にマッピングできます。攻撃に関する結果のネットワーク情報を記述しているとき、使用するのがより困難です。

通常、出典は攻撃が発生した場所ですが、以下に示すような他の出典がある可能性があります。ドキュメントで出典を説明し、結果タイトルと詳細にも説明する必要があります。

• EC2 インスタンスに対する DDoS 攻撃の場合、出典は攻撃者ですが、実際の DDoS 攻撃では何百万ものホストが使用される可能性があります。デスティネーションは EC2 インスタンスの公開 IPv4 アドレスです。Direction は IN です。

• EC2 インスタンスから既知のコマンドおよびコントロールノードへの通信が観察されるマルウェアの場合、出典は EC2 インスタンスの IPV4 アドレスです。デスティネーションは、コマンドおよびコントロールノードです。Direction は OUT です。また、Malware および ThreatIntelIndicators を提供します。

Protocol

Protocol は特定のプロトコルを提供できる場合を除き、常にインターネット割り当て番号局 (IANA) のメンバー名にマッピングします。常にこれを使用し、ポート情報を提供してください。

Protocol は、デスティネーションと出典情報から独立しています。そうするのが理にかなっているときのみ提供します。

Direction

Direction は常に AWS ネットワーク境界を基準にしています。

• IN は、 AWS (VPC、サービス) を入力していることを意味します。

• OUT は、 AWS ネットワーク境界から出ていることを意味します。

Process

Process は単一オブジェクトです。複数のプロセス関連の詳細を追加することはできません。フィールドをマッピングする場合は、以下のガイドラインに従います。

Name

Name は、実行可能ファイルの名前と一致する必要があります。最大 64 文字まで使用できます。

Path

Path は、実行可能プロセスへのファイルシステムパスです。最大 512 文字まで使用できます。

Pid, ParentPid

Pid および ParentPid は Linux プロセス識別子 (PID) または Windows イベント ID と一致する必要があります。区別するには、EC2 Amazon マシンイメージ (AMI) を使用して情報を提供します。お客様はおそらく Windows と Linux を区別できます。

タイムスタンプ (LaunchedAt および TerminatedAt)

この情報を確実に取得できず、ミリ秒単位で正確でない場合は、提供しないでください。

お客様がフォレンジック調査でタイムスタンプに依存している場合は、タイムスタンプがない方が間違ったタイムスタンプを持つよりも優れています。

ThreatIntelIndicators

ThreatIntelIndicators は最大 5 個の脅威インテリジェンスオブジェクトの配列を受け入れます。

エントリごとに、Type は、特定の脅威のコンテキストにあります。指定できる値は、DOMAIN | EMAIL_ADDRESS | HASH_MD5 | HASH_SHA1 | HASH_SHA256 | HASH_SHA512 | IPV4_ADDRESS | IPV6_ADDRESS | MUTEX | PROCESS | URL です。

脅威インテリジェンスインジケータをマッピングする方法の例をいくつか以下に示します。

• Cobalt Strike に関連付けられていることがわかっているプロセスが見つかりました。これを FireEye のブログから知りました。

  Type を PROCESS に設定します。また、プロセスの Process オブジェクトを作成します。

• メールフィルターによって、既知の悪意のあるドメインから既知のハッシュ化されたパッケージを送信している人が見つかりました。

  2 つの ThreatIntelIndicator オブジェクトを作成します。1 つのオブジェクトは、DOMAIN のためです。もう 1 つは、HASH_SHA1 のためです。

• Yara ルール (Loki、Fenrir、awss3VirusScan、BinaryAlert) でマルウェアが見つかりました。

  2 つの ThreatIntelIndicator オブジェクトを作成します。1 つはマルウェアのためです。もう 1 つは、HASH_SHA1 のためです。

Resources

Resources の場合、可能な限り提供されているリ出典タイプと詳細フィールドを使用します。Security Hub は常に ASFF に新しいリ出典を追加しています。ASFF の変更の月次ログを受け取るには、<securityhub-partners@amazon.com> に問い合わせます。

モデル化されたリ出典タイプの詳細フィールドに情報を収められない場合は、残りの詳細をDetails.Other にマッピングします。

ASFF でモデル化されていないリ出典については、Type を Other に設定します。詳細については、「Details.Other」を使用してください。

AWS 検出結果以外のOtherリソースタイプを使用することもできます。

ProductFields

Resources の別のキュレーションフィールドまたは ThreatIntelIndicators、Network、または Malware などの説明的なオブジェクトを使用できない場合、ProductFields のみを使用します。

ProductFields を使っている場合、この決定には厳密な根拠を提供する必要があります。

コンプライアンス

結果がコンプライアンスに関連している場合、Compliance のみを使用します。

Security Hub はコントロールに基づいて生成する結果に Compliance を使用します。

Firewall Manager はコンプライアンスに関連しているため、Compliance を使用します。

制限されているフィールド

これらのフィールドは、お客様が結果の調査を追跡できるようにするためのものです。

これらのフィールドまたはオブジェクトにはマップしないでください。

• Note

• UserDefinedFields

• VerificationState

• Workflow

これらのフィールドについては、FindingProviderFields オブジェクト内のフィールドにマップします。最上位フィールドにはマッピングしないでください。

• Confidence – サービスに同様の特徴がある場合、または結果が 100% 残っている場合にのみ、信頼スコア (0～99) を含めます。

• Criticality – 重要値スコア (0～99) は、結果に関連するリ出典の重要性を表すことを目的としています。

• RelatedFindings – 同じリ出典または結果タイプに関連する結果を追跡できる場合にのみ、関連する結果を提供します。関連する結果を特定するには、Security Hub に既にある結果の結果識別子を参照する必要があります。