必須の ASFF 最上位属性
AWS Security Hub のすべての検出結果で、Security Finding 形式 (ASFF) の次の最上位属性が必須です。これらの必須属性の詳細については、「AWS Security Hub API リファレンス」の「AwsSecurityFinding」を参照してください。
AwsAccountId
検出結果が適用される AWS アカウント ID です。
例
"AwsAccountId": "111111111111"
CreatedAt
結果によってキャプチャされた潜在的なセキュリティ問題がいつ作成されたかを示します。
例
"CreatedAt": "2017-03-22T13:22:13.933Z"
注記
Security Hub では、結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。結果を90 日間以上保存するには、結果を S3 バケットにルーティングするルールを Amazon EventBridge で設定することができます。
説明
結果の説明。このフィールドには、固有ではない定型テキスト、または結果のインスタンスに固有の詳細を指定できます。
Security Hub が生成するコントロール検出結果の場合、このフィールドにはコントロールの説明が表示されます。
[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
例
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
結果を生成したソリューションに固有のコンポーネント (個別のロジック単位) の識別子。
Security Hub が生成するコントロールの検出結果について、[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
例
"GeneratorId": "security-control/Config.1"
ID
結果の製品に固有の識別子。Security Hub が生成するコントロール検出結果の場合、このフィールドには検出結果の Amazon リソースネーム (ARN) が表示されます。
[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
例
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
サードパーティーの検出製品が Security Hub に登録された後に、その製品を一意に識別するための Security Hub によって生成された Amazon リソースネーム (ARN)。
このフィールドの形式は arn:
です。partition
:securityhub:region
:account-id
:product/company-id
/product-id
-
Security Hub と統合されている AWS サービスの場合、
company-id
は「aws
」である必要があり、product-id
は AWS パブリックサービス名である必要があります。AWS 製品およびサービスはアカウントに関連付けられていないため、ARN のaccount-id
セクションは空になります。まだ Security Hub と統合されていない AWS サービスは、サードパーティー製品と見なされます。 -
パブリック製品の場合、
company-id
およびproduct-id
は登録時に指定された ID 値である必要があります。 -
プライベート製品の場合、
company-id
はアカウント ID である必要があります。product-id
は、予約語の "default"、または登録時に指定された ID である必要があります。
例
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
リソース
Resources オブジェクトは、結果が参照する AWS リソースについて記述するリソースデータタイプのセットを提供します。
例
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
結果に使用されている形式のスキーマバージョン。このフィールドの値は、AWS で識別される正式公開バージョンの 1 つである必要があります。現在のリリースでは、AWS Security Finding 形式スキーマのバージョンは 2018-10-08
です。
例
"SchemaVersion": "2018-10-08"
緊急度
結果の重要性を定義します。このオブジェクトの詳細については、AWS Security Hub API リファレンスの「Severity
」を参照してください。
Severity
は検索結果の最上位オブジェクトであり、FindingProviderFields
オブジェクトの下にネストされています。
結果に含まれるトップレベルの Severity
オブジェクトの値は、BatchUpdateFindings
API によってのみ更新してください。
重要度情報を提供するには、BatchImportFindings
API リクエストを行うときに結果プロバイダーが FindingProviderFields
の下にある Severity
オブジェクトを更新する必要があります。
新しい検出結果に対する BatchImportFindings
リクエストが Label
または Normalized
のみを提供する場合、Security Hub は他のフィールドの値を自動的に入力します。Product
フィールドと Original
フィールドも入力される場合があります。
最上位の Finding.Severity
オブジェクトは存在するが Finding.FindingProviderFields
は存在しない場合、Security Hub は FindingProviderFields.Severity
オブジェクトを作成し、Finding.Severity object
全体をそこにコピーします。これにより、最上位の Severity
オブジェクトが上書きされても、プロバイダーが提供する元の詳細が FindingProviderFields.Severity
構造内に保持されます。
結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、結果に関連付けられたリソースの重要度のレベルとして定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重要度に関する情報をキャプチャするには、Criticality
フィールドを使用します。
結果のネイティブ重要度スコアを ASFF の Severity.Label
の値に変換する際には、以下のガイダンスを使用することを推奨します。
-
INFORMATIONAL
– このカテゴリには、PASSED
、WARNING
、NOT AVAILABLE
チェック、または機密データの ID が含まれる場合があります。 -
LOW
— 将来の侵害につながる可能性のある結果。例えば、このカテゴリには、脆弱性、設定の弱点、公開されたパスワードなどが含まれる場合があります。 -
MEDIUM
– 現在進行中の侵害を示していても、攻撃者が目標を達成した兆候が見られない結果。例えば、このカテゴリには、マルウェアアクティビティ、ハッキングアクティビティ、異常な動作の検出などが含まれます。 -
HIGH
またはCRITICAL
– 実際のデータ損失、漏洩、サービス拒否など、攻撃者が目標を達成したことを示す結果。
例
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
タイトル
結果のタイトル。このフィールドには、固有ではない定型テキスト、または結果のインスタンスに固有の詳細を指定できます。
コントロール検出結果の場合、このフィールドにはコントロールのタイトルが表示されます。
[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。
例
"Title": "AWS Config should be enabled"
型
の形式の 1 つ以上の結果タイプで、結果を分類します。[統合されたコントロールの検出結果] を有効にした場合、このフィールドは標準を参照しません。namespace
/category
/classifier
Types
は、BatchUpdateFindings
のみを使用して更新する必要があります。
結果プロバイダーが Types
に値を提供する場合は、FindingProviderFields
にある Types
属性を使用する必要があります。
以下のリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。検索プロバイダーでは、定義済みの名前空間を使用して、結果の並べ替えおよびグループ化を行うことが推奨されます。定義済みのカテゴリおよび分類子を使用することが推奨される場合もありますが、必須ではありません。Software and Configuration Checks 名前空間でのみ、分類子が定義されています。
名前空間/カテゴリ/分類子の部分パスを定義することができます。例えば、以下の結果タイプはすべて有効です。
-
TTP
-
TTP/防衛回避
-
TTP/防衛回避/CloudTrailStopped
次のリストの tactics、techniques、procedures (TTP) カテゴリは、MITRE ATT&CK MatrixTM
名前空間、カテゴリ、分類子のリスト:
-
ソフトウェアおよび設定チェック
-
脆弱性
-
CVE
-
-
AWS セキュリティのベストプラクティス
-
ネットワーク到達可能性
-
ランタイム動作分析
-
-
業界および規制の基準
-
AWS Foundational Security Best Practices
-
CIS Host Hardening Benchmark
-
CIS AWS Foundations Benchmark
-
PCI-DSS
-
クラウドセキュリティアライアンス規制
-
ISO 90001 規制
-
ISO 27001 規制
-
ISO 27017 規制
-
ISO 27018 規制
-
SOC 1
-
SOC 2
-
HIPAA 規制 (米国)
-
NIST 800-53 規制 (米国)
-
NIST CSF 規制 (米国)
-
IRAP 規制 (オーストラリア)
-
K-ISMS 規制 (韓国)
-
MTCS 規制 (シンガポール)
-
FISC安全対策基準 (日本)
-
マイナンバー法 (日本)
-
ENS 規制 (スペイン)
-
Cyber Essentials Plus 規制 (英国)
-
G-Cloud 規制 (英国)
-
C5 規制 (ドイツ)
-
IT-Grundschutz 規制 (ドイツ)
-
GDPR 規制 (ヨーロッパ)
-
TISAX 規制 (ヨーロッパ)
-
-
パッチ管理
-
-
TTP
-
初回アクセス
-
実行
-
永続的
-
権限昇格
-
防衛回避
-
認証情報アクセス
-
発見
-
横方向への移動
-
収集
-
コマンドアンドコントロール
-
-
効果
-
データ流出
-
データ漏えい
-
データ破壊
-
サービス拒否
-
リソース消費
-
-
異常な動作
-
アプリケーション
-
ネットワークフロー
-
IP アドレス
-
ユーザー
-
VM
-
コンテナ
-
サーバーレス
-
プロセス
-
データベース
-
データ
-
-
機密データの識別
-
PII
-
パスワード
-
リーガル
-
金融
-
セキュリティ
-
ビジネス
-
例
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
結果プロバイダーが最後に結果レコードを更新した日時を示します。
このタイムスタンプは、結果レコードが最後または最も最近に更新された時刻を反映しています。したがって、イベントまたは脆弱性が最後または最も最近に検出された日時を反映する LastObservedAt
タイムスタンプとは異なる可能性があります。
結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。結果レコードの作成時には、CreatedAt
と UpdatedAt
のタイムスタンプが同じである必要があります。結果レコードを更新した後は、このフィールドの値が、そのレコードに含まれる以前のすべての値よりも最近の値になる必要があります。
UpdatedAt
は BatchUpdateFindings
API オペレーションを使用して更新できません。これは BatchImportFindings
を使用してのみ更新できます。
例
"UpdatedAt": "2017-04-22T13:22:13.933Z"
注記
Security Hub では、結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。結果を90 日間以上保存するには、結果を S3 バケットにルーティングするルールを Amazon EventBridge で設定することができます。