オプションの最上位属性 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オプションの最上位属性

これらの最上位属性は、 AWS Security Finding 形式 (ASFF) ではオプションです。これらの属性の詳細については、 AWS Security Hub API リファレンスのAwsSecurityFinding「」を参照してください。

アクション

Action オブジェクトは、リソースに影響する、またはリソースに対して実行されたアクションの詳細を提供します。

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }

AwsAccountName

結果が適用される AWS アカウント 名前。

"AwsAccountName": "jane-doe-testaccount"

CompanyName

結果を生成した製品の会社の名前。コントロールベースの検出結果の場合、会社は です AWS。

Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。カスタム統合を使用している場合は例外です。「カスタム製品統合を使用した AWS Security Hub への結果の送信」を参照してください。

Security Hub コンソールを使用して会社名で結果をフィルタリングする場合は、この属性を使用します。Security Hub API を使用して会社名で結果をフィルタリングする場合は、ProductFieldsaws/securityhub/CompanyName 属性を使用します。Security Hub は、これら 2 つの属性を同期しません。

"CompanyName": "AWS"

コンプライアンス

Compliance オブジェクトは、コントロールに関連する結果の詳細を提供します。この属性は、Security Hub コントロールから生成された結果と、 が Security Hub AWS Config に送信する結果に対して返されます。

"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }

信頼度

特定することが想定されている挙動または問題を、結果が正確に特定できる可能性。

Confidence は、BatchUpdateFindings のみを使用して更新する必要があります。

結果プロバイダーが Confidence に値を提供する場合は、FindingProviderFields にある Confidence 属性を使用する必要があります。「FindingProviderFields を使用する」を参照してください。

Confidence は、比率スケールを使用して 0~100 ベースで採点されます。0 は 0% の信頼度を意味し、100 は 100% の信頼度を意味します。例えば、ネットワークトラフィックの統計的偏差に基づくデータの不正引き出しは、実際の不正引き出しが確認されていないため、信頼性が低くなります。

"Confidence": 42

緊急性

結果に関連付けられているリソースに割り当てられている重要度です。

Criticality は、BatchUpdateFindings API オペレーションを呼び出すことによってのみ更新してください。このオブジェクトは BatchImportFindings で更新しないでください。

結果プロバイダーが Criticality に値を提供する場合は、FindingProviderFields にある Criticality 属性を使用する必要があります。「FindingProviderFields を使用する」を参照してください。

Criticality は、比率スケールを使用して 0~100 ベースで採点され、完全な整数のみをサポートしています。スコア 0 は、基になるリソースに重要性がないことを示しており、スコア 100 は最も重要なリソース用に予約されています。

各リソースに対して、Criticality を割り当てる際に以下の点を考慮してください。

  • 影響を受けたリソースに機密データ (PII が含まれる S3 バケットなど) が含まれていないか?

  • 影響を受けたリソースにより、攻撃者はアクセスレベルを深めたり、能力を広げて悪意のあるアクティビティ (sysadmin アカウントへの侵害など) をさらに実行したりすることができるか?

  • 当該のリソースは、ビジネスクリティカルなアセット (例えば、侵害された場合、収益に大きな影響を与える可能性がある主要なビジネスシステム) なのか?

ガイドラインは次の通りです。

  • ミッションクリティカルなシステムに電力を供給するリソースや、機密性の高いデータが含まれるリソースは、75~100 の範囲で採点することができます。

  • 重要な (クリティカルではない) システムに電力を供給しているリソースや、やや重要なデータを含むリソースは、25~74 の範囲で採点することができます。

  • 重要でないシステムに電力を供給しているリソースや、機密でないデータを含むリソースは、0~24 の範囲で採点する必要があります。

"Criticality": 99

FindingProviderFields

FindingProviderFields には次の属性が含まれます。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

FindingProviderFields は、BatchImportFindings API オペレーションを使用することによって更新できます。これは BatchUpdateFindings で更新することはできません。

Security Hub が BatchImportFindings から FindingProviderFields および対応する最上位属性への更新を処理する方法についての詳細は、「FindingProviderFields を使用する」を参照してください。

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

FirstObservedAt

結果によってキャプチャされた潜在的なセキュリティ問題が最初に検出された時期を示します。

このタイムスタンプは、イベントまたは脆弱性が最初に検出された時刻を反映しています。したがって、この結果記録が作成された時間を反映する CreatedAt タイムスタンプとは異なる可能性があります。

このタイムスタンプは、結果記録が次に更新されるまでイミュータブルである必要がありますが、より正確なタイムスタンプがあると判別された場合は更新できます。

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

結果でキャプチャされた潜在的なセキュリティ上の問題が、セキュリティ検出製品によって最後に検出された日時を示します。

このタイムスタンプは、イベントまたは脆弱性が最後にまたは最近検出された時刻を反映します。したがって、これはこの結果記録が最後に更新された日時または最近更新された日時が反映される UpdatedAt タイムスタンプとは異なる可能性があります。

このタイムスタンプを提供することもできますが、最初の観測時には必要ありません。最初の観測時にこのフィールドを指定する場合は、タイムスタンプが FirstObservedAt タイムスタンプと同じである必要があります。結果が観測されるたびに、最後に検出されたタイムスタンプを反映するようにこのフィールドを更新する必要があります。

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware

Malware オブジェクトは、検出結果に関連するマルウェアのリストを提供します。

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

Network (廃止)

Network オブジェクトは、結果に関するネットワーク関連情報を提供します。

このオブジェクトは廃止されました。このデータを提供するには、Resources 内のリソースにデータをマッピングするか、Action オブジェクトを使用できます。

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }

NetworkPath

NetworkPath オブジェクトは、結果に関連するネットワークパスに関する情報を提供します。NetworkPath 内の各エントリは、パスのコンポーネントを表しています。

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]

注意

Note オブジェクトは、結果に追加できるユーザー定義のメモを指定します。

結果プロバイダーは、結果に対しる最初のメモは提供できますが、それ以降にメモを追加することはできません。メモは BatchUpdateFindings を使用してのみ更新できます。

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

PatchSummary

PatchSummary オブジェクトは、選択したコンプライアンス標準に対するインスタンスのパッチコンプライアンス状態についての概要を提供します。

"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }

プロセス

Process オブジェクトは、結果に関するプロセス関連の詳細を提供します。

例:

"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }

ProcessedAt

Security Hub が検出結果を受信し、処理を開始するタイミングを示します。

これは CreatedAt および UpdatedAt とは異なります。これらは、検出結果プロバイダーのセキュリティ問題や検出結果のやり取りに関係する必須のタイムスタンプです。ProcessedAt タイムスタンプは、Security Hub が検出結果の処理を開始する時刻を示します。処理が完了すると、検出結果がユーザーのアカウントに表示されます。

"ProcessedAt": "2023-03-23T13:22:13.933Z"

ProductFields

セキュリティ検出製品に、定義された AWS Security Finding 形式に含まれていない追加のソリューション固有の詳細を含めることができるデータ型。

Security Hub コントロールによって生成された結果の場合、ProductFields にコントロールに関する情報が含まれています。「コントロールの結果を生成および更新する」を参照してください。

このフィールドには冗長データを含めず、 AWS Security Finding 形式フィールドと競合するデータを含めないでください。

aws/「」プレフィックスは、 AWS 製品およびサービスの予約済み名前空間のみを表し、サードパーティーの統合結果とともに送信することはできません。

必須ではありませんが、製品はフィールド名を company-id/product-id/field-name のフォーマットにすることが推奨されます。ここにある、company-idproduct-id は、結果の ProductArn にあるものと一致します。

参照するフィールド Archival は、Security Hub が既存の結果をアーカイブするときに使用されます。例えば、コントロールまたは標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。

このフィールドには、検出結果を生成したコントロールを含む標準に関する情報が含まれる場合もあります。

"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }

ProductName

結果を生成した製品の名前を提供します。コントロールベースの結果の場合、製品名は Security Hub になります。

Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。カスタム統合を使用している場合は例外です。「カスタム製品統合を使用した AWS Security Hub への結果の送信」を参照してください。

Security Hub コンソールを使用して製品名で結果をフィルタリングする場合は、この属性を使用します。

Security Hub API を使用して製品名で結果をフィルタリングする場合は、ProductFieldsaws/securityhub/ProductName 属性を使用します。

Security Hub は、これら 2 つの属性を同期しません。

RecordState

結果のレコード状態を提供します。

デフォルトでは、サービスによって最初に生成されたときの結果は ACTIVE と見なされます。

ARCHIVED 状態は、結果がビューで非表示になるべきであることを示します。アーカイブされた結果はすぐに削除されません。検索やレビュー、レポートを行うことができます。関連付けられたリソースが削除された場合、リソースが存在しない場合、またはコントロールが無効になっている場合、Security Hub でコントロールベースの結果が自動的にアーカイブされます。

RecordState は結果プロバイダー専用であり、BatchImportFindings によってのみ更新できます。これは BatchUpdateFindings を使用して更新することはできません。

結果に対する調査状態を追跡する場合は、RecordState ではなく Workflow を使用してください。

レコードの状態が ARCHIVED から ACTIVE に変更され、結果のワークフローステータスが NOTIFIED または RESOLVED の場合、Security Hub はワークフローステータスを自動的に NEW に設定します。

"RecordState": "ACTIVE"

リージョン

結果の生成 AWS リージョン 元の を指定します。

Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。

"Region": "us-west-2"

RelatedFindings

現在の結果に関連する結果のリストを提供します。

RelatedFindings は、BatchUpdateFindings API オペレーションでのみ更新してください。このオブジェクトは BatchImportFindings で更新しないでください。

BatchImportFindings リクエストの場合、結果プロバイダーは FindingProviderFieldsRelatedFindings オブジェクトを使用する必要があります。

RelatedFindings 属性の詳細については、AWS Security Hub APIリファレンスの「RelatedFinding」を参照してください。

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

修正

Remediation オブジェクトは、結果に対処するために推奨される修復ステップに関する情報を提供します。

"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }

サンプル

結果がサンプルの結果かどうかを指定します。

"Sample": true

SourceUrl

SourceUrl オブジェクトは、検出製品内の現在の結果に関するページにリンクする URL を提供します。

"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

ThreatIntelIndicator オブジェクトは、結果に関連する脅威インテリジェンスの詳細を提供します。

"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]

脅威

Threats オブジェクトは、結果によって検出された脅威の詳細を表示します。

"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]

UserDefinedFields

結果に関連付けられている名前と値の文字列ペアのリストを提供します。結果に追加されるカスタムのユーザー定義フィールドです。これらのフィールドは、特定の設定で自動生成されることがあります。

結果プロバイダーでは、このフィールドを製品で生成されるデータに使用しないでください。代わりに、結果プロバイダーは、標準の AWS Security Finding 形式ProductFieldsフィールドにマッピングされないデータに フィールドを使用できます。

これらのフィールドは、BatchUpdateFindings を使用してのみ更新できます。

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }

VerificationState

結果の正確性を提供します。結果プロバイダーは、このフィールドに値 UNKNOWN を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供する必要があります。このフィールドは一般的に、結果調査後のユーザーの決定またはアクションに従って入力されます。

結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。

"VerificationState": "Confirmed"

脆弱性

Vulnerabilities オブジェクトは、結果に関連付けられている脆弱性のリストを提供します。

"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]

ワークフロー

Workflow オブジェクトは、結果の調査ステータスに関する情報を提供します。

このフィールドは、お客様が修復、オーケストレーション、チケット発行ツールで使用することを目的としています。結果の提供元を見つけるためのものではありません。

Workflow フィールドは BatchUpdateFindings でのみ更新できます。お客様は、コンソールから更新することもできます。「結果のワークフローステータスを設定する」を参照してください。

"Workflow": { "Status": "NEW" }

WorkflowState (廃止)

このオブジェクトは廃止され、Workflow オブジェクトの Status フィールドによって置き換えられています。

このフィールドは、結果のワークフローステータスを提供します。検出製品は、このフィールドに値 NEW を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供することができます。

"WorkflowState": "NEW"