AWS Security Finding 形式 - AWS Security Hub

AWS Security Finding 形式

AWS Security Hub は、AWS セキュリティサービスおよびサードパーティー製品の統合からの検出結果を使用、集計、整理、および優先順位付けします。Security Hub は、AWS Security Finding 形式 (ASFF) と呼ばれる標準的な検出結果形式を使用してこれらの検出結果を処理するため、時間のかかるデータ変換作業が不要になります。その後、複数の製品から取り込まれた検出結果を相関させて、最も重要なものに優先順位を付けます。

ASFF 構文

以下は、ASFF における完全な検出結果の JSON の構文です。

"Findings": [ { "AwsAccountId": "string", "Compliance": { "RelatedRequirements": ["string"], "Status": "string", "StatusReasons": [ { "Description": "string", "ReasonCode": "string" } }, "Confidence": number, "CreatedAt": "string", "Criticality": number, "Description": "string", "FirstObservedAt": "string", "GeneratorId": "string", "Id": "string", "LastObservedAt": "string", "Malware": [ { "Name": "string", "Path": "string", "State": "string", "Type": "string" } ], "Network": { "DestinationDomain": "string", "DestinationIpV4": "string", "DestinationIpV6": "string", "DestinationPort": number, "Direction": "string", "Protocol": "string", "SourceDomain": "string", "SourceIpV4": "string", "SourceIpV6": "string", "SourceMac": "string", "SourcePort": number }, "Note": { "Text": "string", "UpdatedAt": "string", "UpdatedBy": "string" }, "Process": { "LaunchedAt": "string", "Name": "string", "ParentPid": number, "Path": "string", "Pid": number, "TerminatedAt": "string" }, "ProductArn": "string", "ProductFields": { "string" : "string" }, "RecordState": "string", "RelatedFindings": [ { "Id": "string", "ProductArn": "string" } ], "Remediation": { "Recommendation": { "Text": "string", "Url": "string" } }, "Resources": [ { "Details": { "AwsCloudFrontDistribution": { "DomainName": "string", "Etag": "string", "LastModifiedTime": "string", "Logging": { "Bucket": "string", "Enabled": boolean, "IncludeCookies": boolean, "Prefix": "string" }, "Origins": { "Items": { "OriginPath": "string", "Id": "string", "DomainName": "string" } }, "Status": "string", "WebAclId": "string" }, "AwsCodeBuildProject": { "EncryptionKey": "string", "Environment": { "Type": "string", "Certificate": "string", "ImagePullCredentialsType": "string", "RegistryCredential": { "Credential": "string", "CredentialProvider": "string" } }, "Name": "string", "ServiceRole": "string", "Source": { "Type": "string", "Location": "string", "GitCloneDepth": integer }, "VpcConfig": { "VpcId": "string", "Subnets": ["string"], "SecurityGroupIds": ["string"] } }, "AwsEc2Instance": { "IamInstanceProfileArn": "string", "ImageId": "string", "IpV4Addresses": [ "string" ], "IpV6Addresses": [ "string" ], "KeyName": "string", "LaunchedAt": "string", "SubnetId": "string", "Type": "string", "VpcId": "string" }, "AwsEc2NetworkInterface": { "Attachment": { "AttachmentId": "string", "AttachTime": "string", "DeleteOnTermination": true, "DeviceIndex": number, "InstanceId": "string" "InstanceOwnerId": "string", "Status": "string" }, "SecurityGroups": [ { "GroupId": "string", "GroupName": "string" } ], "NetworkInterfaceId": '"string", "SourceDestCheck": false }, "AwsEc2SecurityGroup": { "GroupId": "string", "GroupName": "string", "IpPermissions": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string" } ], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number "UserIdGroupPairs": [ { "UserId": "string", "GroupId": "string" } ] } ], "IpPermissionsEgress": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string" } ], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number "UserIdGroupPairs": [ { "UserId": "string", "GroupId": "string" } ] } ], "OwnerId": "string", "VpcId": "string" }, "AwsElasticSearchDomain": { "AccessPolicies": "string", "DomainStatus": { "DomainId": "string", "DomainName": "string", "Endpoint": "string", "Endpoints": { "string": "string" } }, "DomainEndpointOptions": { "EnforceHTTPS": boolean, "TLSSecurityPolicy": "string" }, "ElasticsearchVersion": "string", "EncryptionAtRestOptions": { "Enabled": boolean, "KmsKeyId": "string" }, "NodeToNodeEncryptionOptions": { "Enabled": boolean }, "VPCOptions": { "AvailabilityZones": [ "string" ], "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ], "VPCId": "string" } }, "AwsElbv2LoadBalancer": { "AvailabilityZones": { "SubnetId": "string", "ZoneName": "string" }, "CanonicalHostedZoneId": "string", "CreatedTime": "string", "DNSName": "string", "IpAddressType": "string", "Scheme": "string", "SecurityGroups": [ "string" ], "State": { "Code": "string", "Reason": "string" }, "Type": "string", "VpcId": "string" }, "AwsIamAccessKey": { "CreatedAt": "string", "PrincipalId": "string", "PrincipalName": "string", "PrincipalType": "string", "Status": "string" }, "AwsIamRole": { "AssumeRolePolicyDocument": "string", "CreateDate": "string", "MaxSessionDuration": number, "Path": "string", "RoleId": "string", "RoleName": "string" }, "AwsKmsKey": { "AWSAccountId": "string", "CreationDate": "string", "KeyId": "string", "KeyManager": "string", "KeyState": "string", "Origin": "string" }, "AwsLambdaFunction": { "Code" { "S3Bucket": "string", "S3Key": "string", "S3ObjectVersion": "string", "ZipFile": "string" }, "CodeSha256": "string", "DeadLetterConfig": { "TargetArn": "string", }, "Environment": { "Variables": { "string": "string" }, "Error": { "ErrorCode": "string", "Message": "string" } }, "FunctionName": "string", "Handler": "string", "KmsKeyArn": "string", "LastModified": "string", "Layers": { "Arn": "string", "CodeSize": number }, "RevisionId": "string", "Role": "string", "Runtime": "string", "Timeout": "integer", "TracingConfig": { "TracingConfig.Mode": "string" }, "Version": "string", "VpcConfig": { "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ] }, "MasterArn": "string", "MemorySize": number }, "AwsLambdaLayerVersion": { "CompatibleRuntimes": [ "string" ], "CreatedDate": "string", "Version": number }, "AwsRdsDbInstance": { "AssociatedRoles": [ { "RoleArn": "string", "FeatureName": "string", "Status": "string" } ], "CACertificateIdentifier": "string", "DBClusterIdentifier": "string", "DBInstanceClass": "string", "DBInstanceIdentifier": "string", "DbInstancePort": number, "DbiResourceId": "string", "DBName": "string", "DeletionProtection": boolean, "Endpoint": { "Address": "string", "Port": number, "HostedZoneId": "string" }, "Engine": "string", "EngineVersion": "string", "IAMDatabaseAuthenticationEnabled": boolean, "InstanceCreateTime": "string", "KmsKeyId": "string", "PubliclyAccessible": boolean, "TdeCredentialArn": "string", "StorageEncrypted": boolean, "VpcSecurityGroups": [ { "VpcSecurityGroupId": "string", "Status": "string" } ] }, "AwsS3Bucket": { "CreatedAt": "string", "OwnerId": "string", "OwnerName": "string" "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "string", "SSEAlgorithm": "string" } } ] } }, "AwsS3Object": { "ContentType": "string", "ETag": "string", "LastModified": "string", "ServerSideEncryption": "string", "SSEKMSKeyId": "string", "VersionId": "string" }, "AwsSnsTopic": { "KmsMasterKeyId": "string", "Owner": "string", "Subscription": { "Endpoint": "string", "Protocol": "string" }, "TopicName": "string" }, "AwsSqsQueue": { "DeadLetterTargetArn": "string", "KmsDataKeyReusePeriodSeconds": number, "KmsMasterKeyId": "string", "QueueName": "string" }, "AwsWafWebAcl": { "DefaultAction": "string", "Name": "string", "Rules": [ { "Action": { "Type": "string" }, "ExcludedRules": [ { "RuleId": "string" } ], "OverrideAction": { "Type": "string" }, "Priority": number, "RuleId": "string", "Type": "string" } ], "WebAclId": "string" }, "Container": { "ImageId": "string", "ImageName": "string", "LaunchedAt": "string", "Name": "string" }, "Other": { "string" : "string" } }, "Id": "string", "Partition": "string", "Region": "string", "Tags": { "string" : "string" }, "Type": "string" } ], "SchemaVersion": "string", "Severity": { "Label": "string", "Normalized": number, "Original": "string", "Product": number }, "SourceUrl": "string", "ThreatIntelIndicators": [ { "Category": "string", "LastObservedAt": "string", "Source": "string", "SourceUrl": "string", "Type": "string", "Value": "string" } ], "Title": "string", "Types": [ "string" ], "UpdatedAt": "string", "UserDefinedFields": { "string" : "string" }, "VerificationState": "string", "Workflow": { "Status": "string" }, "WorkflowState": "string" } ]

ASFF の属性

次の表に、ASFF の最上位の属性とオブジェクトを示します。オブジェクトの場合、オブジェクトの属性とサブフィールドの詳細を表示するには、オブジェクト名を選択してください。

属性

必須

説明

AwsAccountId

あり

結果条件が適用される AWS アカウント ID。

タイプ: 文字列 (最大 12 桁)

例:

"AwsAccountId": "111111111111"

Compliance

いいえ

コントロールに関連する検出結果の詳細。コントロールから生成された検出結果に対してのみ返されます。

タイプ: オブジェクト

例:

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT"; "Description": "CloudWatch alarms do not exist in the account" } ] }

Confidence

いいえ

検出結果の信頼度。信頼度は、検出結果が、識別することが意図されていた動作や問題を正確に識別する可能性として定義されます。

結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: 整数 (範囲 0 ~ 100)

信頼度には、比率スケールを使用して 0 ~ 100 の基準でスコアが付けられます。0 は信頼度が 0 パーセント、100 は信頼度が 100 パーセントであることを示します。

ただし、ネットワークトラフィックの統計的偏差に基づくデータの不正引き出しは、実際の不正引き出しが確認されていないため、信頼性がはるかに低くなります。

例:

"Confidence": 42

CreatedAt

はい

検出結果でキャプチャされた潜在的なセキュリティ上の問題が作成された日時を示す ISO 8601 形式のタイムスタンプ (RFC-3339 Date and Time on the Internet: Timestamps で定義)。

CreatedAt タイムスタンプは、検出結果レコードが作成された時刻を反映するため、イベントまたは脆弱性が最初に検出された時刻を反映する FirstObservedAt タイムスタンプとは異なる場合があります。

このタイムスタンプは、検出結果の最初の生成時に提供する必要があり、検出結果に対するそれ以降の更新時に変更することはできません

型: タイムスタンプ

例:

"CreatedAt": "2017-03-22T13:22:13.933Z"
注記

検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を Amazon S3 バケットにルーティングする CloudWatch イベント でルールを設定できます。

Criticality

いいえ

検出結果に関連付けられているリソースに割り当てられている重要度。スコア 0 は、基になるリソースに重要性がなく、スコア 100 は最も重要なリソース用に予約されています。

結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: 整数 (範囲 0 ~ 100)

重要度には、完全な整数のみをサポートする比率スケールを使用して、0 ~ 100 の基準でスコアが付けられます。つまり、他のリソースより重要度の高いリソースに影響を与える検出結果がどれであるかだけでなく、それらのリソースが他のリソースと比較してどれほど重要度が高いかを評価する必要があります。スコア 0 は、基になるリソースに重要性がなく、スコア 100 は最も重要なリソース用に予約されています。

検出結果の重要性を評価するときには、以下の点を考慮してください。

  • 影響を受けたリソースに機密データ (PII を含む S3 バケットなど) が含まれているか?

  • 影響を受けたリソースにより、攻撃者はアクセスレベルを深めたり、機能を拡張して悪意のあるアクティビティ (sysadmin アカウントへの侵入など) を追加で実行したりすることができるか?

  • そのリソースはビジネスクリティカルなアセット (たとえば、不正なアクセスを受けた場合、収益に大きな影響を与える可能性がある主要なビジネスシステム) であるか?

以下のガイドラインを使用できます。

  • ミッションクリティカルなシステムを駆動するリソース、または機密性の高いデータを含むリソースには、75 〜 100 の範囲でスコアを付けることができます。

  • 重要度の高いリソース (ただしクリティカルなシステムではない)、または重要度がそれほど高くないデータを含むリソースには、25 ~ 75 の範囲でスコアを付けることができます。

  • 重要でないシステムを駆動するリソース、または機密ではないデータを含むリソースには、0 ~ 24 の範囲でスコアを付ける必要があります。

例:

"Criticality": 99

Description

はい

検出結果の説明。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。

タイプ: 文字列 (1,024 文字以内)

例:

"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."

FirstObservedAt

いいえ

検出結果でキャプチャされた潜在的なセキュリティ上の問題が最初に検出された日時を示す ISO 8601 形式のタイムスタンプ (RFC-3339 Date and Time on the Internet: Timestamps で定義)。

型: タイムスタンプ

このタイムスタンプは、イベントまたは脆弱性が最初に検出された時刻を反映するため、この検出結果レコードが作成された時刻を反映する CreatedAt タイムスタンプとは異なる場合があります。

このタイムスタンプは、検出結果レコードが次に更新されるまで不変である必要がありますが、より正確なタイムスタンプがあると判別された場合は更新できます。

例:

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

GeneratorId

はい

検出結果を生成したソリューション固有のコンポーネント (個別のロジックの単位) の識別子。セキュリティ検索結果製品のさまざまなソリューションでは、このジェネレーターをルール、チェック、ディテクター、プラグインなどと呼ぶことができます。

タイプ: 文字列 (512 文字以内) または Amazon リソースネーム (ARN)

例:

"GeneratorId": "acme-vuln-9ab348"

Id

はい

検出結果の製品固有の識別子。

タイプ: 文字列 (512 文字以内) または ARN

検出結果 ID は、以下の制約を満たす必要があります。

  • ID は製品内でグローバルに一意である必要があります。一意性を強制するために、パブリック AWS リージョン名とアカウント ID を識別子に組み込むことができます。

  • 以前の検出結果がすでに存在していないかどうかにかかわらず、識別子をリサイクルすることはできません

  • この ID には、RFC-3986 Uniform Resource Identifier (URI): Generic Syntax のセクション 2.3 で定義されている、予約されていない文字セットの文字のみを含める必要があります。

  • AWS 以外のサービスの場合、ID の前にリテラル文字列 "arn:" を付けることはできません

  • AWS サービスの場合、ID は検出結果の ARN (使用可能な場合) である必要があります。それ以外の場合は、他の一意の識別子を使用できます。

これらの制約は、1 つの検出製品内に保持されることが期待されますが、複数の検出製品に保持される必要はありません。

例:

"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"

LastObservedAt

いいえ

検出結果でキャプチャされた潜在的なセキュリティ上の問題がセキュリティ検出製品によって最近検出された日時を示す ISO 8601 形式のタイムスタンプ (RFC-3339 Date and Time on the Internet: Timestamps で定義)。

型: タイムスタンプ

このタイムスタンプは、イベントまたは脆弱性が最後に検出された時刻を反映するため、この検出レコードが最後に更新された時刻を反映する UpdatedAt タイムスタンプとは異なる場合があります。

このタイムスタンプを提供することはできますが、最初の検出時には必要ありません。このような場合にフィールドを指定する場合は、タイムスタンプが FirstObservedAt タイムスタンプと同じである必要があります。検出結果が検出されるたびに、最後に検出されたタイムスタンプを反映するようにこのフィールドを更新する必要があります。

例:

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware

いいえ

検出結果に関連するマルウェアのリスト。

タイプ: 最大 5 つのマルウェアオブジェクトの配列

例:

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

Network

いいえ

検出結果に関するネットワーク関連情報の詳細。

タイプ: オブジェクト

例:

"Network": { "Direction": "IN", "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "here.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "there.com" }

Note

いいえ

検出結果に追加されるユーザー定義のメモ。

結果プロバイダーは、結果の最初のメモを提供できますが、それ以降にメモを追加することはできません。

注意は、BatchUpdateFindings を使用してのみ更新できます。メモは、マスターアカウントとメンバーアカウントの両方で追加できます。

タイプ: オブジェクト

例:

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

Process

いいえ

検出結果に関するプロセス関連情報の詳細。

タイプ: オブジェクト

例:

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z" }

ProductArn

はい

サードパーティーの検出製品が Security Hub に登録された後でその製品を一意に識別する、Security Hub によって生成された ARN。

Type (タイプ): ARN

このフィールドの形式は arn:partition:securityhub:region:account-id:product/company-id/product-id です。

  • Security Hub と統合されている AWS サービスの場合、company-id は "aws" である必要があり、product-id は AWS パブリックサービス名である必要があります。AWS 製品およびサービスはアカウントに関連付けられていないため、ARN の account-id セクションは空です。まだ Security Hub と統合されていない AWS サービスは、サードパーティー製品と見なされます。

  • パブリック製品の場合、company-id および product-id は登録時に指定された ID 値である必要があります。

  • プライベート製品の場合、company-id はアカウント ID である必要があります。product-id は、予約語の "default"、または登録時に指定された ID である必要があります。

例:

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

ProductFields

いいえ

定義済みの AWS Security Finding 形式の一部ではないソリューション固有の詳細をセキュリティ検出製品に追加で含めることができるデータ型。

タイプ: 最大 50 個のキー/値ペアのマップ

このフィールドには冗長データを含めないでください。また、AWS Security Finding 形式フィールドと競合するデータを含めることはできません。

プレフィックス "aws/" は、AWS 製品およびサービス専用の予約された名前空間を表します。このプレフィックスを、パートナー製品からの検出結果とともに送信しないでください。

必須ではありませんが、製品はフィールド名を company-id/product-id/field-name として形式設定することが推奨されます。ここで、company-idproduct-id は、検出結果の ProductArn に指定されているものと一致します。

フィールド名には、英数字、空白、および記号 _ . / = + \ - @ を含めることができます。

例:

"ProductFields": { "generico/secure-pro/Count": "6", "generico/secure-pro/Action.Type", "AWS_API_CALL", "API", "DeleteTrail", "Service_Name": "cloudtrail.amazonaws.com", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures" }

RecordState

いいえ

検出結果の記録状態。

デフォルトでは、サービスによって最初に生成されたときの検出結果は ACTIVE と見なされます。

ARCHIVED 状態は、検出結果がビューで非表示になることを示します。アーカイブされた結果はすぐに削除されません。検索、レビュー、レポートすることができます。

プロバイダーを検索すると、レコードの状態を更新できます。Security Hub は、関連付けられたリソースが削除されると、コントロールベースの結果を自動的にアーカイブします。

タイプ: Enum

有効な値: ACTIVE | ARCHIVED

例:

"RecordState": "ACTIVE"

RelatedFindings

いいえ

関連する検出結果のリスト。

結果プロバイダーは、関連する結果の初期リストを提供できますが、それ以降はリストを更新できません。関連する結果のリストは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: 最大 10 RelatedFinding 個のオブジェクトの配列

例:

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

Remediation

いいえ

検出結果の修復オプション。

タイプ: オブジェクト

例:

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }

Resources

はい

検出結果が参照するリソースを記述する、一連のリソースデータタイプ。

タイプ: 最大 32 個のリソースオブジェクトの配列

例:

"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]

SchemaVersion

はい

検出結果が形式設定されているスキーマのバージョン。このフィールドの値は、AWS で識別された正式公開バージョンの 1 つである必要があります。

現在のリリースでは、AWS Security Finding 形式スキーマのバージョンは 2018-10-08 です。

タイプ: 文字列 (10 文字以内、YYYY-MM-DD に準拠)

例:

"SchemaVersion": "2018-10-08"

Severity

はい

検出結果の重要度。

検出結果には、Label または Normalized が含まれている必要があります。Label が優先される属性です。どちらの属性も含まれていない場合、検出結果は無効です。

結果プロバイダーは、検索の初期重大度情報を提供できますが、それ以降は更新できません。重大度情報は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: オブジェクト

例:

"Severity": { "Label": "CRITICAL", "Original": 8.3 }

SourceUrl

いいえ

検出製品内の現在の検出結果に関するページにリンクする URL。

タイプ: URL

ThreatIntelIndicators

いいえ

検出結果に関連する脅威インテリジェンスの詳細。

タイプ: 最大 5 個の脅威インテリジェンスインジケータオブジェクトの配列

例:

"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" } ]

Title

はい

検出結果のタイトル。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。

タイプ: 文字列 (256 文字以内)

Types

はい

検出結果を分類する、namespace/category/classifier の形式の 1 つ以上の検出結果タイプ。

タイプ: 最大 50 個の文字列の配列

  • namespace は、定義済みの名前空間値のセットに含まれる値である必要があります。

    有効な値: Software and Configuration Checks | TTPs | Effects | Unusual Behaviors | Sensitive Data Identifications

  • category はどのような値でも構いませんが、検出製品では ASFF のタイプ分類 の検出タイプの分類に含まれるカテゴリを使用することをお勧めします。

  • classifier はどのような値でも構いませんが、可能であれば、公開された標準で定義されている識別子をそのまま検出結果プロバイダーで使用することをお勧めします。

名前空間はすべての検出結果タイプに必須ですが、カテゴリと分類子はオプションです。分類子を指定した場合は、カテゴリも指定する必要があります。

'/' 文字は予約されているため、カテゴリや分類子に使用しないでください。'/' 文字のエスケープはサポートされていません。

例:

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]

UpdatedAt

はい

検出製品が最後に検出結果レコードを更新した日時を示す ISO 8601 形式のタイムスタンプ (RFC-3339 Date and Time on the Internet: Timestamps で定義)。このタイムスタンプは、検出結果レコードが最後に更新された時刻を反映するため、イベントまたは脆弱性が最後に検出された時刻を反映する LastObservedAt タイムスタンプとは異なる場合があります。

検出結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。検出結果レコードの作成時には、CreatedAtUpdatedAt のタイムスタンプが同じタイムスタンプである必要があります。検出結果レコードを更新した後、このフィールドの値は、それに含まれていたすべての以前の値より大きい値である必要があります。

UpdatedAtBatchUpdateFindings からの変更によって更新されないことに注意してください。これは、BatchImportFindings によってのみ更新されます。

型: タイムスタンプ

検出結果は、最新の更新から 90 日後、または更新が行われない場合は作成日から 90 日後に削除されます。検出結果を90 日間以上保存するには、検出結果を Amazon S3 バケットにルーティングする CloudWatch イベント でルールを設定できます。

UserDefinedFields

いいえ

検出結果に関連付けられている名前と値の文字列のペアのリスト。これらは、検出結果に追加されるカスタムのユーザー定義フィールドです。これらのフィールドは、特定の設定によって自動的に生成されることがあります。検出製品では、このフィールドを製品で生成されるデータに使用しないでください。検出製品では ProductFields フィールドを、標準の AWS フィールドにマップされていないデータに使用できます。

これらのフィールドは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: 最大 50 個のキー/値ペアのマップ

例:

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }

VerificationState

いいえ

結果の信憑性。検出製品は、このフィールドに値 UNKNOWN を設定できます。検出製品のシステムに有意のアナログが存在する場合、検出製品はこの値を設定する必要があります。このフィールドは一般的に、検出結果調査後のユーザーの決定またはアクションに従って入力されます。

結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: Enum

有効な値:

  • UNKNOWN – セキュリティ検出結果のデフォルトの処理 (ただし、ユーザーが変更していない場合)。

  • TRUE_POSITIVE – セキュリティの検出結果が確認された場合は、ユーザーがこの値を設定します。

  • FALSE_POSITIVE – セキュリティの検出結果が不正なアラームであると判別された場合は、ユーザーがこの値を設定します。

  • BENIGN_POSITIVE – ユーザーはこの値を TRUE_POSITIVE の特別なケースとして設定します。特別なケースとは、検出結果が脅威を提供しない、予期される、またはその両方が発生する場合です。

Workflow

いいえ

検出結果の調査ステータスに関する情報を提供します。

ワークフローステータスは、プロバイダーを見つけるためのものではありません。ワークフローステータスは、BatchUpdateFindings を使用してのみ更新できます。お客様は、コンソールから更新することもできます。「検索のワークフローステータスの設定」を参照してください。ワークフローステータスは、マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

タイプ: オブジェクト

例:

Workflow: { "Status": "NEW" }

WorkflowState (廃止)

いいえ

このフィールドは廃止予定になっているため、代わりに Workflow オブジェクトの Status フィールドを使用することをお勧めします。

検出結果のワークフローの状態。検出製品は、このフィールドに値 NEW を設定できます。検出製品のシステムに有意のアナログが存在する場合、検出製品はこのフィールドに値を設定できます。

タイプ: Enum

有効な値:

  • NEW – これは、レコード状態が Active である検出結果に関連付けることができます。これは、新しい検出結果のデフォルトのワークフロー状態です。

  • ASSIGNED – これは、レコード状態が Active である検出結果に関連付けることができます。検出結果が確認され、レビューまたは対処のために担当者に提供されました。

  • IN_PROGRESS – これは、レコード状態が Active である検出結果に関連付けることができます。チームメンバーがこの検出結果に対処中です。

  • RESOLVED – これは、レコード状態が Archived である検出結果に関連付けることができます。これは、その検出結果が再度発生する (ネイティブサービスによって更新される) 場合、またはこれに一致する新しい検出結果がある場合に、検出結果が新しいアクティブな検出結果として顧客に表示されるという点で、DEFERRED の検出結果と異なります。

  • DEFERRED – これは、レコード状態が Archived である検出結果に関連付けることができ、この検出結果に一致する追加の検出結果が、一定期間または無期限に表示されないことを意味します。

    顧客がその検出結果を適用可能と見なしていないか、またはその検出結果がアクティブなデータセットに含める必要のない既知の問題です。

  • DUPLICATE – これは、レコード状態が Archived である検出結果に関連付けることができます。これは、その結果が別の検出結果の重複であることを意味します。

例:

"WorkflowState": "NEW"

Compliance

コントロールに関連する検出結果の詳細が含まれます。コントロールで実行されるチェックの結果として生成された検出結果に対してのみ返されます。

例:

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "FAILED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }

Compliance オブジェクトには、次の属性を含めることができます。

属性

必須

説明

RelatedRequirements

いいえ

Security Hub コントロールの場合、コントロールに関連する業界または規制フレームワークの要件。そのコントロールのチェックは、それらの要件に沿って行われます。

最大 32 個の関連要件を指定できます。

要件を識別するには、その識別子を使用します。

タイプ: 文字列の配列

Status

いいえ

セキュリティチェックの結果。

タイプ: Enum

有効な値:

  • PASSED – 評価されたすべてのリソースがセキュリティチェックに合格しました。

  • WARNING – 不足している情報があるか、設定に対するこのチェックはサポートされていません。

  • FAILED – 評価された 1 つ以上のリソースがセキュリティチェックに合格しませんでした。

  • NOT_AVAILABLE – サービスの停止または API エラーのため、チェックを実行できませんでした。NOT_AVAILABLE ステータスは、AWS Config 評価の結果が NOT_APPLICABLE であったことを示すこともできます。その場合は、3日後に、Security Hub によって自動的に検出結果がアーカイブされます。

例:

"Status": "PASSED"

StatusReasons

いいえ

コントロールから生成された検出結果の場合、Compliance.Status の値の背後にある理由のリスト。

ステータスコードとその意味のリストについては、「ASFF の標準関連情報」を参照してください。

型: 文字列

例:

"StatusReasons": [ { "Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" } ]

StatusReasons

コントロールから生成された検出結果の場合、Compliance.Status の値の理由のリスト。

"StatusReasons": [ { "Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" } ]

StatusReasons オブジェクト内の各理由には、次の属性を含めることができます。

属性

必須

説明

Description

いいえ

理由に対応する説明。

型: 文字列

ReasonCode

あり

現在のコントロールステータスの理由を表すコード。

型: 文字列

使用可能なステータスコードとその意味のリストについては、「セキュリティチェックの結果」を参照してください。

Malware

Malware オブジェクトは、検出結果に関連するマルウェアのリストを提供します。これは、最大 5 個のマルウェアオブジェクトを含めることができる配列です。

例:

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

各マルウェアオブジェクトには、次の属性を含めることができます。

属性

必須

説明

Name

はい

検出されたマルウェアの名前。

タイプ: 文字列 (64 文字以内)

例:

"Name": "Stringler"

Path

いいえ

検出されたマルウェアのファイルシステムパス。

タイプ: 文字列 (512 文字以内)

例:

"Path": "/usr/sbin/stringler"

State

いいえ

検出されたマルウェアの状態。

タイプ: Enum

有効な値: OBSERVED | REMOVAL_FAILED | REMOVED

例:

"State": "OBSERVED"

Type

いいえ

検出されたマルウェアのタイプ。

タイプ: Enum

有効な値: ADWARE | BLENDED_THREAT | BOTNET_AGENT | COIN_MINER | EXPLOIT_KIT | KEYLOGGER | MACRO | POTENTIALLY_UNWANTED | SPYWARE | RANSOMWARE | REMOTE_ACCESS | ROOTKIT | TROJAN | VIRUS | WORM

例:

"Type": "COIN_MINER"

Network

検出結果に関するネットワーク関連情報の詳細。

タイプ: オブジェクト

例:

"Network": { "Direction": "IN", "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "here.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "there.com" }

Network オブジェクトには、次の属性を含めることができます。

属性

必須

説明

DestinationDomain

いいえ

検出結果に関するネットワーク関連情報の送信先ドメイン。

タイプ: 文字列 (128 文字以内)

例:

"DestinationDomain": "there.com"

DestinationIpV4

いいえ

検出結果に関するネットワーク関連情報の送信先 IPv4 アドレス。

タイプ: IPv4

例:

"DestinationIpV4": "2.3.4.5"

DestinationIpV6

いいえ

検出結果に関するネットワーク関連情報の送信先 IPv6 アドレス。

タイプ: IPv6

例:

"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"

DestinationPort

いいえ

検出結果に関するネットワーク関連情報の送信先ポート。

タイプ: 数値 (0 ~ 65535 の範囲)

例:

"DestinationPort": "80"

Direction

いいえ

検出結果に関連付けられているネットワークトラフィックの方向。

タイプ: Enum

有効な値: IN | OUT

例:

"Direction": "IN"

Protocol

いいえ

検出結果に関するネットワーク関連情報のプロトコル。

タイプ: 文字列 (16 文字以内)

検出製品がより正確なプロトコルを判別できる場合を除き、名前は関連付けられているポートの IANA 登録名である必要があります。

例:

"Protocol": "TCP"

SourceDomain

いいえ

検出結果に関するネットワーク関連情報の送信元ドメイン。

タイプ: 文字列 (128 文字以内)

例:

"SourceDomain": "here.com"

SourceIpV4

いいえ

検出結果に関するネットワーク関連情報の送信元 IPv4 アドレス。

タイプ: IPv4

例:

"SourceIpV4": "1.2.3.4"

SourceIpV6

いいえ

検出結果に関するネットワーク関連情報の送信元 IPv6 アドレス。

タイプ: IPv6

例:

"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"

SourceMac

いいえ

検出結果に関するネットワーク関連情報の送信元メディアアクセスコントロール (MAC) アドレス。

タイプ: 文字列 (MM:MM:MM:SS:SS:SSと一致する必要がある)

例:

"SourceMac": "00:0d:83:b1:c0:8e"

SourcePort

いいえ

検索結果に関するネットワーク関連情報の送信元ポート。

タイプ: 数値 (0 ~ 65535 の範囲)

例:

"SourcePort": "80"

Note

Note オブジェクトによってユーザー定義のメモが検出結果に追加されます。

結果プロバイダーは、結果の最初のメモを提供できますが、それ以降にメモを追加することはできません。注意は、BatchUpdateFindings を使用してのみ更新できます。メモは、マスターアカウントとメンバーアカウントの両方で追加できます。

例:

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

Note オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Text

はい

検索結果メモのテキスト。

タイプ: 文字列 (512 文字以内)

例:

"Text": "Example text."

UpdatedAt

はい

メモが更新された日時を示すタイムスタンプ。

型: タイムスタンプ

例:

"UpdatedAt": "2018-08-31T00:15:09Z"

UpdatedBy

はい

メモを作成したプリンシパル。

タイプ: 文字列 (512 文字以内) または ARN

例:

"UpdatedBy": "jsmith"

Process

Process オブジェクトは、検出結果に関するプロセス関連の詳細を提供します。

例:

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z" }

Process オブジェクトには、次の属性を含めることができます。

属性

必須

説明

LaunchedAt

いいえ

プロセスが開始された日時を示すタイムスタンプ。

型: タイムスタンプ

例:

"LaunchedAt": "2018-09-27T22:37:31Z"

Name

いいえ

プロセスの名前。

タイプ: 文字列 (64 文字以内)

例:

"Name": "syslogd"

ParentPid

いいえ

親プロセス ID。

型: 数値

例:

"ParentPid": 56789

Path

いいえ

実行可能プロセスへのパス。

タイプ: 文字列 (512 文字以内)

例:

"Path": "/usr/sbin/syslogd"

Pid

いいえ

プロセス ID。

型: 数値

例:

"Pid": 12345

TerminatedAt

いいえ

プロセスが終了した日時を示すタイムスタンプ。

型: タイムスタンプ

例:

"TerminatedAt": "2018-09-27T23:37:31Z"

RelatedFindings

RelatedFindings オブジェクトは、現在の検出結果に関連する検出結果のリストを提供します。

結果プロバイダーは、関連する結果の初期リストを提供できますが、それ以降は更新できません。RelatedFindingsは、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

例:

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

関連する検出結果の各オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Id

はい

関連する検出結果の、製品によって生成された識別子。

タイプ: 文字列 (512 文字以内) または ARN

例:

"Id": "123e4567-e89b-12d3-a456-426655440000"

ProductArn

はい

関連する検出結果を生成した製品の ARN。

Type (タイプ): ARN

例:

"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"

Remediation

Remediation オブジェクトは、検出結果に対処するために推奨される修復手順に関する情報を提供します。

例:

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }

Remediation オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Recommendation

いいえ

検出結果内で特定された問題の修正方法に関する推奨事項。

Recommendation フィールドは、検出結果を解決するための手動の手順または詳細を容易にするためのものです。

推奨オブジェクトが存在する場合は、Text フィールドまたは Url フィールドが存在し、データが入力されている必要があります。両方のフィールドが存在し、データを入力することができます。

タイプ: オブジェクト

例:

"Recommendation": { "Text": "Example text.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }

Recommendation

Recommendation オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Text

いいえ

ユーザーに向けて表示する、検出結果への対処法の推奨事項を記述する自由形式の文字列。このフィールドに指定できるのは、固有ではない共通のテキストまたは検出結果のこのインスタンスに固有の詳細です。

タイプ: 文字列 (512 文字以内)

例:

"Text": "Example text."

Url

いいえ

その検出結果タイプの一般的な修復の情報にリンクする URL。

この URL は、アクセスするために資格情報を求めないこと、パブリックインターネットからアクセス可能であること、およびいかなるコンテキストやセッションも期待しないことが必要です。

タイプ: URL

例:

"Url": "http://myfp.com/recommendations/example_domain.html"

Resources

Resources オブジェクトは、検出結果に関連するリソースに関する情報を提供します。

タイプ: 最大 32 個のリソースオブジェクトの配列

例:

"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]

各リソースオブジェクトには、次の属性を含めることができます。

属性

必須

説明

Details

いいえ

このフィールドは、適切なサブフィールドを使用して、1 つのリソースに関する追加の詳細を提供します。

各リソースは、Resources フィールド内の個別のリソースオブジェクトで指定する必要があります。

Security Hub には、そのサポートされているリソースタイプに使用できる一連のサブフィールドが用意されています。これらのサブフィールドは、リソース Type の値に対応します。可能な限り、提供されたタイプとサブフィールドを使用してください。

たとえば、リソースが S3 バケットの場合、リソース TypeAwsS3Bucket に設定し、AwsS3Bucket サブフィールドにリソースの詳細を指定します。

Other サブフィールドでは、カスタムのフィールドおよび値を指定できます。Other サブフィールドは、次の場合に使用します。

  • リソースタイプ (リソース Type の値) に対応するサブフィールドがない場合。リソースの詳細を指定するには、 Other 詳細サブフィールドを使用します。

  • リソースタイプのサブフィールドに、入力するすべてのフィールドが含まれているわけではない場合。この場合は、リソースタイプのサブフィールドを使用して、使用可能なフィールドを挿入します。Other サブフィールドを使用して、タイプ固有のサブフィールドにないフィールドを挿入します。

  • リソースタイプが提供されたタイプのいずれでもない場合。この場合、リソース TypeOther に設定し、Other 詳細サブフィールドを使用して詳細を挿入します。

タイプ: オブジェクト

例:

"Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" }, "AwsS3Bucket": { "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de", "OwnerName": "acmes3bucketowner" }, "Other": [ { "Key": "LightPen", "Value": "blinky" }, { "Key": "SerialNo", "Value": "1234abcd" } ] }

Id

はい

指定されたリソースタイプの正規の識別子。

ARN で識別される AWS リソースの場合、これは ARN である必要があります。

ARN が欠落している他のすべての AWS リソースタイプの場合、これはリソースを作成した AWS サービスで定義されている識別子である必要があります。

AWS 以外のリソースの場合、これはリソースに関連付けられている一意の識別子である必要があります。

タイプ: 文字列 (512 文字以内) または ARN

例:

"Id": "arn:aws:s3:::example-bucket"

Partition

いいえ

リージョンが割り当てられている正規の AWS パーティション名。

タイプ: Enum

有効な値:

パーティション 説明
aws 商用
aws-cn 中国
aws-us-gov AWS GovCloud (US)

例:

"Partition": "aws"

Region

いいえ

このリソースが配置されている正規の AWS 外部リージョン名。

タイプ: 文字列 (16 文字以内)

例:

"Region": "us-west-2"

Tags

いいえ

検出結果が処理された時点でリソースに関連付けられていた AWS タグのリスト。タグが関連付けられているリソースの場合のみ、Tags 属性を含めます。リソースにタグが関連付けられていない場合は、検出結果に Tags 属性を含めないでください。

タイプ: 最大 50 個のタグのマップ (値は 256 文字以内)

タグには以下のような基本制限があります。

  • このフィールドには、AWS リソースに実際に存在するタグのみを指定できます。AWS Security Finding 形式で定義されていないリソースタイプのデータを提供するには、Other 詳細サブフィールドを使用します。

  • 値に使用できるのは、英数字、スペース、+、-、=、.、_、:、/、@ のみです。

  • 値の最大長は、AWS タグ値の長さである 256 文字です。

例:

"Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }

Type

あり

詳細を提供しているリソースのタイプ。

可能な限り、提供されているリソースタイプの 1 つ(AwsEc2Instance または AwsS3Bucket など)を使用します。

リソースタイプが提供されているリソースタイプと一致しない場合は 、リソース TypeOther に設定し、Other 詳細サブフィールドを使用して詳細を挿入します。

タイプ: 文字列 (256 文字以内)

サポートされている値は次のとおりです。タイプに対応するサブフィールドがある場合、そのサブフィールドの詳細を表示するには、タイプ名を選択します。

例:

"Type": "AwsS3Bucket"

AwsCloudFrontDistribution

AwsCloudFrontDistribution オブジェクトは、ディストリビューション設定の詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

DomainName

いいえ

ディストリビューションに対応するドメイン名。

型: 文字列

Etag

いいえ

エンティティタグは、オブジェクトのハッシュです。

型: 文字列

LastModifiedTime

いいえ

ディストリビューションが最後に変更された日時。

型: 文字列

Logging

いいえ

ディストリビューションのアクセスログを記録するかどうかを制御する複合型。

タイプ: オブジェクト

Origins

いいえ

このディストリビューションのオリジンとオリジングループに関する情報を含む複合型。

型: 文字列

Status

いいえ

ディストリビューションの現在のステータスを示します。

型: 文字列

WebAclId

いいえ

このディストリビューションに関連付ける AWS WAF ウェブ ACL がある場合は、それを指定する一意の識別子。

型: 文字列

Logging

Logging オブジェクトは、ディストリビューションのログ記録に関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

Bucket

いいえ

アクセスログを保存する S3 バケット。

型: 文字列

Enabled

いいえ

このフィールドでは、選択したディストリビューションを有効または無効にすることができます。

タイプ: ブール値

IncludeCookies

いいえ

CloudFront がアクセスログに Cookie を含めるかどうかを指定します。

タイプ: ブール値

Prefix

いいえ

CloudFront でこのディストリビューションのアクセスログのファイル名にプレフィックスとして使用するオプションの文字列。

型: 文字列

Origins

このディストリビューションのオリジンとオリジングループに関する情報を含む Origins オブジェクト。

これには、次の属性を含めることができます。

属性

必須

説明

Items

いいえ

このディストリビューションのオリジンまたはオリジングループを含む複合型。

タイプ: オブジェクト

各項目には、次の属性を含めることができます。

属性

必須

説明

OriginPath

いいえ

CloudFront が S3 バケットまたはカスタムオリジンのディレクトリにコンテンツをリクエストするように指示するオプションの要素。

型: 文字列

Id

いいえ

オリジンまたはオリジングループの一意の識別子。

型: 文字列

DomainName

いいえ

Amazon S3 オリジン: CloudFront がこのオリジンのオブジェクトの取得先としている S3 バケットの DNS 名。

型: 文字列

AwsCodeBuildProject

AwsCodeBuildProject オブジェクトは、AWS CodeBuild プロジェクトに関する情報を提供します。

例:

"AwsCodeBuildProject": { "EncryptionKey": "my-symm-key", "Environment": { "Type": "LINUX_CONTAINER", "Certificate": "myX509", "ImagePullCredentialsType": "CODEBUILD", "RegistryCredential": { "Credential": "my_dockerhub_secret", "CredentialProvider": "SECRETS_MANAGER" } }, "Name": "my-cd-project", "Source": { "Type": "CODECOMMIT", "Location": "https://git-codecommit.us-east-2.amazonaws.com/v1/repos/MyDemoRepo", "GitCloneDepth": 1 }, "ServiceRole": "arn:aws:iam:myrole", "VpcConfig": { "VpcId": "vpc-1234456", "Subnets": ["sub-12344566"], "SecurityGroupIds": ["sg-123456789012"] } }

AwsCodeBuildProject オブジェクトには、次の属性を含めることができます。

属性

必須

説明

EncryptionKey

いいえ

ビルド出力アーティファクトの暗号化に使用する AWS KMS カスタマーマスターキー (CMK)。

注記

サービスロールにそのキーへのアクセス権限がある場合、クロスアカウントの KMS キーを使用してビルド出力アーティファクトを暗号化できます。

CMK の ARN または CMK エイリアス (使用可能な場合: 形式 alias/alias-name を使用) のいずれかを指定できます。

型: 文字列

長さの制限: 最小長は 1 です。

Environment

いいえ

このビルドプロジェクトのビルド環境に関する情報。

タイプ: オブジェクト

Name

いいえ

ビルドプロジェクトの名前です。

型: 文字列

長さの制限: 最小長は 2 です。最大長は 255 です。

パターン: [A-Za-z0-9][A-Za-z0-9\-_]{1,254}

ServiceRole

いいえ

CodeBuild が AWS アカウントの代わりに依存 AWS サービスとやり取りできるようにする IAM ロールの ARN。

型: 文字列

長さの制限: 最小長は 1 です。

Source

いいえ

このビルドプロジェクトのビルド入力ソースコードに関する情報。

タイプ: オブジェクト

VpcConfig

いいえ

CodeBuild がアクセスする VPC 設定に関する情報。

タイプ: オブジェクト

Environment

Environment オブジェクトは、ビルドプロジェクトのビルド環境に関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

Certificate

いいえ

このビルドプロジェクトで使用する証明書。

型: 文字列

ImagePullCredentialsType

いいえ

ビルドのイメージをプルするために CodeBuild で使用する認証情報のタイプ。2 つの有効な値があります。

CODEBUILD は、CodeBuild で独自の認証情報を使用することを指定します。これに伴って、CodeBuild サービスプリンシパルを信頼するように ECR リポジトリポリシーを変更する必要があります。

SERVICE_ROLE は、CodeBuild でビルドプロジェクトのサービスロールを使用することを指定します。

クロスアカウントまたはプライベートレジストリイメージを使用する場合は、SERVICE_ROLE の認証情報を使用する必要があります。CodeBuild の選別されたイメージを使用する場合は、CODEBUILD の認証情報を使用する必要があります。

型: 文字列

有効な値: CODEBUILD | SERVICE_ROLE

RegistryCredential

いいえ

プライベートレジストリにアクセスするための認証情報。

タイプ: オブジェクト

Type

あり

関連するビルドに使用するビルド環境のタイプ。

型: 文字列

有効な値: WINDOWS_CONTAINER | LINUX_CONTAINER | LINUX_GPU_CONTAINER | ARM_CONTAINER

RegistryCredentials オブジェクト内の各レジストリ認証情報には、次の属性があります。

属性

必須

説明

Credential

あり

AWS Secrets Manager を使用して作成された認証情報の ARN または名前。

注記

認証情報で認証情報の名前を使用できるのは、認証情報が現在の AWS リージョン内に存在する場合のみです。

型: 文字列

長さの制限: 最小長は 1 です。

CredentialProvider

あり

プライベート Docker レジストリにアクセスするための認証情報を作成したサービス。有効な値は、Secrets Manager で SECRETS_MANAGER です。

型: 文字列

有効な値: SECRETS_MANAGER

Source

Source オブジェクトは、このビルドプロジェクトのビルド入力ソースコードに関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

GitCloneDepth

いいえ

ビルドプロジェクトの Git クローンの深さに関する情報。

タイプ: 整数

値の範囲: 最小値 は 0 です。

Location

いいえ

ビルドするソースコードの場所に関する情報。

型: 文字列

有効な値:

  • AWS CodePipeline のパイプラインのソースアクションで指定されているソースコード設定の場合は、location を指定しないでください。それを指定した場合、CodePipeline はそれを無視します。これは、CodePipeline がこの値ではなくパイプラインのソースアクションの設定を使用するためです。

  • AWS CodeCommit リポジトリのソースコードの場合は、ソースコードとビルド仕様 (例: https://git-codecommit.region-ID.amazonaws.com/v1/repos/repo-name) を含むリポジトリの、HTTPS クローン URL。

  • S3 入力バケットのソースコードの場合、次のいずれかです。

    • ソースコードを含む ZIP ファイルのパス (例: bucket-name/path/to/object-name.zip)。

    • ソースコードを含むフォルダのパス (例: bucket-name/path/to/source-code/folder/)。

  • GitHub リポジトリのソースコードの場合は、ソースコードと buildspec ファイルを含むリポジトリの HTTPS クローン URL。

  • Bitbucket リポジトリのソースコードの場合は、ソースコードと buildspec ファイルを含むリポジトリの HTTPS クローン URL。

Type

あり

ビルドするソースコードを含むリポジトリのタイプ。

型: 文字列

有効な値:

  • BITBUCKET ‐ ソースコードは Bitbucket リポジトリにあります。

    CODECOMMIT ‐ ソースコードは CodeCommit リポジトリにあります。

    CODEPIPELINE ‐ ソースコード設定は、CodePipeline のパイプラインのソースアクションで指定されています。

    GITHUB ‐ ソースコードは GitHub リポジトリにあります。

    GITHUB_ENTERPRISE ‐ ソースコードは GitHub エンタープライズリポジトリにあります。

    NO_SOURCE ‐ プロジェクトに入力ソースコードがありません。

    S3 ‐ ソースコードは Amazon S3 入力バケットにあります。

VpcConfig

VpcConfig オブジェクトは、CodeBuild がアクセスする VPC 設定に関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

SecurityGroupIds

いいえ

Amazon VPC 内の 1 つ以上のセキュリティグループ ID のリスト。

タイプ: 文字列の配列

配列メンバー: 5 個の項目の最大数。

長さの制限: 最小長は 1 です。

Subnets

いいえ

Amazon VPC 内の 1 つ以上のサブネット ID のリスト。

タイプ: 文字列の配列

配列メンバー: 16 個の項目の最大数。

長さの制限: 最小長は 1 です。

VpcId

いいえ

VPC の ID。

型: 文字列

長さの制限: 最小長は 1 です。

AwsEc2Instance

Amazon EC2 インスタンスの詳細。

タイプ: オブジェクト

AwsEc2Instance オブジェクトには、次の属性を含めることができます。

属性

必須

説明

IamInstanceProfileArn

いいえ

インスタンスの IAM プロファイルの ARN。

タイプ: 文字列 (AWS ARN 形式に準拠)

ImageId

いいえ

インスタンスの Amazon Machine Image (AMI) の ID。

タイプ: 文字列 (64 文字以内)

IpV4Addresses

いいえ

インスタンスに関連付けられている IPv4 アドレス。

タイプ: 最大 10 個の IPv4 アドレスの配列

IpV6Addresses

いいえ

インスタンスに関連付けられている IPv6 アドレス。

タイプ: 最大 10 個の IPv6 アドレスの配列

KeyName

いいえ

インスタンスに関連付けられているキー名。

タイプ: 文字列 (128 文字以内)

LaunchedAt

いいえ

インスタンスが起動された日時。

型: タイムスタンプ

SubnetId

いいえ

インスタンスが作成されたサブネットの識別子。

タイプ: 文字列 (32 文字以内)

Type

いいえ

インスタンスのインスタンスタイプ。これは有効な EC2 インスタンスタイプである必要があります。

タイプ: 文字列 (16 文字以内)

VpcId

いいえ

インスタンスが起動された VPC の識別子。

タイプ: 文字列 (32 文字以内)

AwsEc2NetworkInterface

AwsEc2NetworkInterface オブジェクトは、Amazon EC2 ネットワークインターフェイスに関する情報を提供します。

例:

"AwsEc2NetworkInterface": { "Attachment": { "AttachTime": "2019-01-01T03:03:21Z", "AttachmentId": "eni-attach-43348162", "DeleteOnTermination": true, "DeviceIndex": 123, "InstanceId": "i-1234567890abcdef0", "InstanceOwnerId": "123456789012", "Status": 'ATTACHED' }, "SecurityGroups": [ { "GroupName": "my-security-group", "GroupId": "sg-903004f8" }, ], "NetworkInterfaceId": 'eni-686ea200', "SourceDestCheck": false }

AwsEc2NetworkInterface オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Attachment

いいえ

ネットワークインターフェイスのアタッチメントに関する情報。

タイプ: オブジェクト

NetworkInterfaceId

いいえ

ネットワークインターフェイスの ID。

型: 文字列

SecurityGroups

いいえ

ネットワークインターフェイスのセキュリティグループ。

タイプ: グループオブジェクトの配列

SourceDestCheck

いいえ

インスタンスへのトラフィックまたはインスタンスからのトラフィックを検証するかどうかを示します。

タイプ: ブール値

Attachment

Attachment オブジェクトは、ネットワークインターフェイスのアタッチメントに関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

AttachmentId

いいえ

ネットワークインターフェイスのアタッチメントの ID。

型: 文字列

AttachTime

いいえ

アタッチメントがいつ開始されたかを示すタイムスタンプ。

型: タイムスタンプ

DeleteOnTermination

いいえ

インスタンスの終了時にネットワークインターフェイスを自動的に削除するかどうかを示します。

タイプ: ブール値

DeviceIndex

いいえ

インスタンス上のネットワークインターフェイス接続のデバイスインデックス。

型: 整数

InstanceId

いいえ

インスタンスの ID。

型: 文字列

InstanceOwnerId

いいえ

インスタンスの所有者の AWS アカウント ID。

型: 文字列

Status

いいえ

アタッチ状態。

型: 文字列

有効な値: attaching | attached | detaching | detached

SecurityGroups

SecurityGroups オブジェクトには、ネットワークインターフェイスのセキュリティグループのリストが含まれます。

各セキュリティグループには、次の属性を含めることができます。

属性

必須

説明

GroupId

いいえ

セキュリティグループの ID.

型: 文字列

GroupName

セキュリティグループの名前。

型: 文字列

AwsEc2SecurityGroup

AwsEc2SecurityGroup オブジェクトは、Amazon EC2 セキュリティグループを記述します。

例:

"AwsEc2SecurityGroup": { "GroupName": "MySecurityGroup", "GroupId": "sg-903004f8", "OwnerId": "123456789012", "VpcId": "vpc-1a2b3c4d", "IpPermissions": [ { "IpProtocol": "-1", "IpRanges": [], "UserIdGroupPairs": [ { "UserId": "123456789012", "GroupId": "sg-903004f8" } ], "PrefixListIds": [ {"PrefixListId": "pl-63a5400a"} ] }, { "PrefixListIds": [], "FromPort": 22, "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ], "ToPort": 22, "IpProtocol": "tcp", "UserIdGroupPairs": [] } ] }

AwsEc2SecurityGroup オブジェクトには、次の属性を含めることができます。

属性

必須

説明

GroupId

いいえ

セキュリティグループの ID.

型: 文字列

GroupName

いいえ

セキュリティグループの名前。

型: 文字列

IpPermissions

いいえ

セキュリティグループに関連付けられたインバウンドルール。

タイプ: IP アクセス許可オブジェクトの配列

IpPermissionsEgress

いいえ

[VPC のみ] セキュリティグループに関連付けられたアウトバウンドルール。

タイプ: IP アクセス許可オブジェクトの配列

OwnerId

いいえ

セキュリティグループ所有者の AWS アカウント ID。

型: 文字列

VpcId

いいえ

[VPC のみ] セキュリティグループの VPC の ID。

型: 文字列

IP アクセス許可オブジェクト

IpPermissions および IpPermissionsEgress オブジェクトには、両方とも IP アクセス許可オブジェクトの配列が含まれます。

各 IP アクセス許可オブジェクトには、次の属性を含めることができます。

属性

必須

説明

FromPort

いいえ

TCP および UDP プロトコルのポート範囲の開始番号、または ICMP/ICMPv6 タイプの番号。

-1 の値は、すべての ICMP/ICMPv6 タイプを示します。すべての ICMP/ICMPv6 タイプを指定した場合、すべてのコードを指定する必要があります。

型: 整数

IpProtocol

いいえ

IP プロトコルの名前 (tcpudpicmpicmpv6) または番号 (「プロトコル番号」を参照)。

[VPC のみ] -1 を使用してすべてのプロトコルを指定します。

セキュリティグループルールを許可するときに、-1、またはtcpudpicmp、または icmpv6 以外のプロトコル番号を指定すると、指定したポート範囲に関係なく、すべてのポートでトラフィックが許可されます。

tcpudp、および icmp には、ポート範囲を指定する必要があります。

icmpv6 では、ポート範囲はオプションです。ポート範囲を省略すると、すべてのタイプとコードのトラフィックが許可されます。

型: 文字列

IpRanges

いいえ

IP アドレスの範囲。

タイプ: IP 範囲オブジェクトの配列

PrefixListIds

いいえ

[VPC のみ] AWS サービスのプレフィックスリスト ID。アウトバウンドルールでは、これは、セキュリティグループに関連付けられたインスタンスから VPC エンドポイントを介してアクセスする AWS サービスです。

タイプ: プレフィックスリスト ID オブジェクトの配列

ToPort

いいえ

TCP および UDP プロトコルのポート範囲の終了番号、または ICMP/ICMPv6 コード。

-1 の値はすべての ICMP/ICMPv 6 コードを示しています。すべての ICMP/ICMPv6 タイプを指定した場合、すべてのコードを指定する必要があります。

型: 整数

UserIdGroupPairs

いいえ

セキュリティグループと AWS アカウント ID のペア。

タイプ: ユーザー ID グループペアオブジェクトの配列

IpRanges 配列内の各エントリには、次の属性を含めることができます。

属性

必須

説明

CidrIp

いいえ

IP アドレスの範囲。

CIDR 範囲またはソースセキュリティグループのいずれかを指定できますが、両方を指定することはできません。

単一の IPv4 アドレスを指定するには、/32 プレフィックス長を使用します。

単一の IPv6 アドレスを指定するには、/128 プレフィックス長を使用します。

型: 文字列

PrefixListIds 配列内の各エントリには、次の属性を含めることができます。

属性

必須

説明

PrefixListId

いいえ

プレフィックスの ID。

型: 文字列

UserIdGroupPairs 配列内の各エントリには、次の属性を含めることができます。

属性

必須

説明

GroupId

いいえ

セキュリティグループの ID.

型: 文字列

UserId

いいえ

AWS アカウントの ID。

別の VPC で参照されるセキュリティグループの場合、参照されるセキュリティグループのアカウント ID がレスポンスで返されます。参照されるセキュリティグループを削除すると、この値は返されません。

[Amazon EC2-Classic] 別の AWS アカウントのセキュリティグループを参照するルールを追加または削除する場合に必要です。

型: 文字列

AwsElasticSearchDomain

AwsElasticSearchDomain オブジェクトは、Elasticsearch ドメインの詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

AccessPolicies

いいえ

新しい Amazon ES ドメインのアクセスポリシーを指定する IAM ポリシードキュメント。

型: 文字列

DomainEndpointOptions

いいえ

ドメインエンドポイントの追加オプション。

タイプ: オブジェクト

DomainStatus

いいえ

ドメインステータスの詳細。

タイプ: オブジェクト

ElasticsearchVersion

いいえ

Elasticsearch バージョン。

型: 文字列

EncryptionAtRestOptions

いいえ

保管時の暗号化の設定の詳細。

タイプ: オブジェクト

NodeToNodeEncryptionOptions

いいえ

ノード間の暗号化の設定の詳細。

タイプ: オブジェクト

VPCOptions

いいえ

ドメインの VPCOptions に基づいて Amazon ES が取得する情報。

タイプ: オブジェクト

DomainEndpointOptions

DomainEndpointOptions オブジェクトは、ドメインエンドポイントの追加オプションに関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

EnforceHTTPS

いいえ

ドメインへのすべてのトラフィックが HTTPS 経由で到着することを要求するかどうか。

タイプ: ブール値

TLSSecurityPolicy

いいえ

Elasticsearch ドメインの HTTPS エンドポイントに適用する TLS セキュリティポリシー。

型: 文字列

有効な値:

  • Policy-Min-TLS-1-0-2019-07 (TLSv1.0 以上をサポートします)。

  • Policy-Min-TLS-1-2-2019-07 (TLSv1.2 のみをサポートします)。

DomainStatus

DomainStatus オブジェクトは、ドメインのステータスに関する詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

DomainId

いいえ

Amazon ES ドメイン用の一意の識別子。

型: 文字列

DomainName

いいえ

Amazon ES ドメインの名前。

ドメイン名は、AWS リージョン内の同じアカウントによって所有されるドメイン間で一意です。

ドメイン名は小文字で始まり、3~28 文字で構成される必要があります。

有効な文字は、a ~ z (小文字のみ)、0 ~ 9、– (ハイフン) です。

型: 文字列

Endpoint

いいえ

インデックス、検索、データアップロードのリクエストを Amazon ES ドメインに送信するために使用されるドメイン固有のエンドポイント。

エンドポイントはサービス URL です。

型: 文字列

Endpoints

いいえ

Amazon ES ドメインが VPC エンドポイントを使用する場合に存在するキー値ペア。

タイプ: キーと値のペアのマップ

例:

"vpc": "<VPC_ENDPOINT>"
EncryptionAtRestOptions

EncryptionAtRestOptions オブジェクトは、保管時の暗号化の設定に関する詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

Enabled

いいえ

保管時の暗号化が有効かどうか。

タイプ: ブール値

KmsKeyId

いいえ

AWS KMS キー ID。形式は 1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a です。

型: 文字列

NodeToNodeEncryptionOptions

NodeToNodeEncryptionOptions オブジェクトは、ノード間の暗号化の設定に関する詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

有効

いいえ

ノード間の暗号化が有効かどうか。

タイプ: ブール値

VpcOptions

VpcOptions オブジェクトには、ドメインの VPCOptions に基づいて Amazon ES が取得する情報が含まれます。

これには、次の属性を含めることができます。

属性

必須

説明

AvailabilityZones

いいえ

VPC サブネットに関連付けられるアベイラビリティーゾーンのリスト。

タイプ: 文字列の配列

SecurityGroupIds

いいえ

ドメインの VPC エンドポイントに関連付けられるセキュリティグループ ID のリスト。

タイプ: 文字列の配列.

SubnetIds

いいえ

ドメインの VPC エンドポイントに関連付けられるサブネット ID のリスト。

タイプ: 文字列の配列

VPCId

いいえ

VPC の ID。

型: 文字列

AwsElbv2LoadBalancer

AwsElbv2LoadBalancer オブジェクトは、ロードバランサーに関する情報を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

AvailabilityZones

いいえ

ロードバランサーのアベイラビリティーゾーン。

タイプ: オブジェクト

CanonicalHostedZoneId

いいえ

ロードバランサーに関連付けられる Amazon Route 53 ホストゾーンの ID。

型: 文字列

CreatedTime

いいえ

ロードバランサーが作成された日時。

型: 文字列

DNSName

いいえ

ロードバランサーのパブリック DNS 名。

型: 文字列

IpAddressType

いいえ

ロードバランサーのサブネットで使用される IP アドレスのタイプ。

指定できる値は、ipv4 (IPv4 アドレスの場合) または dualstack (IPv4 および IPv6 アドレスの場合) です。

型: 文字列

Scheme

いいえ

インターネット向けロードバランサーのノードにはパブリック IP アドレスが必要です。

型: 文字列

SecurityGroups

いいえ

ロードバランサーのセキュリティグループの ID。

タイプ: 文字列の配列

State

いいえ

ロードバランサーの状態。

タイプ: オブジェクト

Type

いいえ

ロードバランサーのタイプ。

型: 文字列

VpcId

いいえ

ロードバランサーの VPC の ID。

型: 文字列

AvailabilityZones

ロードバランサーのアベイラビリティーゾーンを指定します。

各アベイラビリティーゾーンには、次の属性を含めることができます。

属性

必須

説明

SubnetId

いいえ

サブネットの ID。

型: 文字列

ZoneName

いいえ

アベイラビリティーゾーンの名前。

型: 文字列

State

ロードバランサーの状態に関する情報。

State オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Code

いいえ

状態コード。

ロードバランサーの初期状態はプロビジョニングです。

ロードバランサーが完全にセットアップされ、トラフィックをルーティングする準備ができると、その状態はアクティブです。

ロードバランサーを設定できなかった場合、その状態は失敗です。

型: 文字列

Reason

いいえ

状態の説明。

型: 文字列

AwsIamAccessKey

検出結果に関連する IAM アクセスキーの詳細。

タイプ: オブジェクト

AwsIamAccessKey オブジェクトには、次の属性を含めることができます。

属性

必須

説明

CreatedAt

いいえ

検出結果に関連する IAM アクセスキーの作成日時。

型: タイムスタンプ

PrincipalId

いいえ

アクセスキーに関連付けられたプリンシパルの ID。

型: 文字列

PrincipalName

いいえ

プリンシパルの名前。

型: 文字列

PrincipalType

いいえ

プリンシパルのタイプ。

型: 文字列

Status

いいえ

検出結果に関連する IAM アクセスキーのステータス。有効な値は、ACTIVE および INACTIVE です。

タイプ: Enum

AwsIamRole

IAM ロールに関する情報(ロールのすべてのポリシーを含む)が含まれます。

タイプ: オブジェクト

AwsIamRole オブジェクトには、次の属性を含めることができます。

属性

必須

説明

AssumeRolePolicyDocument

いいえ

ロールを引き受けるアクセス許可を付与する信頼ポリシー。

型: 文字列

CreateDate

いいえ

ロールが作成された日時(ISO 8601 日付/時刻形式)。

型: 文字列

RoleId

いいえ

ロールを識別する安定した一意の文字列。

型: 文字列

RoleName

いいえ

ロールを識別するわかりやすい名前。

型: 文字列

MaxSessionDuration

いいえ

指定したロールに設定する最大セッション時間 (秒単位)。

型: 整数

Path

いいえ

ロールへのパス。

型: 文字列

AwsKmsKey

AWS KMS カスタマーマスターキー (CMK) の詳細。

タイプ: オブジェクト

AwsKmsKey オブジェクトには、次の属性を含めることができます。

属性

必須

説明

AWSAccountId

いいえ

CMK を所有するアカウントの AWS アカウント識別子。

型: 文字列

CreationDate

いいえ

CMK が作成された日時。

型: タイムスタンプ

KeyId

あり

CMK のグローバル一意識別子。

型: 文字列

最小長は 1 です。最大長は 2048 です。

KeyManager

いいえ

CMK のマネージャー。AWS アカウントの CMK は、お客様または AWS が管理します。

型: 文字列

有効な値: AWS | CUSTOMER.

KeyState

いいえ

CMK の状態。

型: 文字列

有効な値: Enabled | Disabled | PendingDeletion | PendingImport | Unavailable

Origin

いいえ

CMK のキーマテリアルのソース。

この値が AWS_KMS の場合、AWS KMS がキーマテリアルを作成しています。

この値が EXTERNAL の場合、キーマテリアルは既存のキー管理インフラストラクチャからインポートされたか、CMK にキーマテリアルがありません。

この値が AWS_CLOUDHSM の場合、キーマテリアルはカスタムキーストアに関連付けられた AWS CloudHSM クラスターに作成されています。

型: 文字列

有効な値: AWS_KMS | EXTERNAL | AWS_CLOUDHSM

AwsLambdaFunction

AwsLambdaFunction オブジェクトは、 Lambda 関数の設定に関する詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

Code

いいえ

AwsLambdaFunctionCode オブジェクト。

タイプ: オブジェクト

CodeSha256

いいえ

関数のデプロイパッケージの SHA256 ハッシュ。

型: 文字列

DeadLetterConfig

いいえ

関数のデッドレターキュー。

タイプ: オブジェクト

Environment

いいえ

関数の環境変数を設定。

タイプ: オブジェクト

FunctionName

いいえ

関数の名前。

型: 文字列

Handler

いいえ

Lambda が関数の実行を開始するために呼び出す関数。

型: 文字列

KmsKeyArn

いいえ

関数の環境変数を暗号化するために使用される AWS KMS キー。このキーは、カスタマー管理の CMK を設定している場合にのみ返されます。

型: 文字列

LastModified

いいえ

関数が最後に更新された日付と時刻(ISO-8601 形式 (YYYY-MM-DDThh:mm:ss.sTZD))。

型: 文字列

Layers

いいえ

関数のレイヤー。

タイプ: オブジェクト

MasterArn

いいえ

Lambda@Edge 関数の場合、マスター関数の ARN。

型: 文字列

MemorySize

いいえ

関数に割り当てられているメモリ。

型: 整数

RevisionId

いいえ

関数またはエイリアスの最新の更新リビジョン。

型: 文字列

Role

いいえ

関数の実行ロール。

型: 文字列

Runtime

いいえ

Lambda 関数のランタイム環境。

型: 文字列

Timeout

いいえ

Lambda で関数が停止するまでに許可される実行時間。

タイプ: 整数

TracingConfig

いいえ

関数の AWS X-Ray トレース設定。

タイプ: オブジェクト

Version

いいえ

Lambda 関数のバージョン。

型: 文字列

VpcConfig

いいえ

関数のネットワーク設定。

タイプ: オブジェクト

Code

AwsLambdaFunctionCode オブジェクト。

Code オブジェクトには、次の属性を含めることができます。

属性

必須

説明

S3Bucket

いいえ

関数と同じ AWS リージョンにある S3 バケット。バケットがある AWS アカウントは異なる場合があります。

型: 文字列

S3Key

いいえ

デプロイパッケージの Amazon S3 キー。

型: 文字列

S3ObjectVersion

いいえ

バージョニングされたオブジェクトの場合、使用するデプロイパッケージオブジェクトのバージョン。

型: 文字列

ZipFile

いいえ

デプロイパッケージの base64 でエンコードされたコンテンツ。AWS SDK および AWS CLI クライアントによりエンコーディングが処理されます。

型: 文字列

DeadLetterConfig

Lambda 関数のデッドレターキューに関する情報が含まれます。

DeadLetterConfig オブジェクトには、次の属性を含めることができます。

属性

必須

説明

TargetArn

いいえ

デッドレターキューを含む Amazon SQS キューまたは Amazon SNS トピックの Amazon リソースネーム (ARN)。

型: 文字列

Environment

Lambda 関数の環境変数の設定が含まれます。

Environment オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Variables

いいえ

各環境変数はキーと値のペア。

タイプ: 文字列から文字列へのマッピング

Error

いいえ

適用できなかった環境変数のエラーメッセージ。

タイプ: オブジェクト

Error オブジェクトには、次の属性を含めることができます。

属性

必須

説明

ErrorCode

いいえ

エラーコード。

型: 文字列

Message

いいえ

エラーメッセージ。

型: 文字列

Layer

Lambda 関数のレイヤー。

各レイヤーオブジェクトには、次の属性を含めることができます。

属性

必須

説明

Arn

いいえ

関数レイヤーの Amazon リソースネーム (ARN)。

型: 文字列

CodeSize

いいえ

レイヤーアーカイブのサイズ(バイト単位)。

型: 整数

TracingConfig

関数の AWS X-Ray トレース設定が含まれます。

TracingConfig オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Mode

いいえ

トレースモード。

型: 文字列

VpcConfig

Lambda 関数のネットワーク設定が含まれます。

VpcConfig オブジェクトには、次の属性を含めることができます。

属性

必須

説明

SecurityGroupIds

いいえ

VPC セキュリティグループ ID のリスト。

タイプ: 文字列の配列

SubnetIds

いいえ

VPC サブネット ID のリスト。

タイプ: 文字列の配列

AwsLambdaLayerVersion

AwsLambdaLayerVersion オブジェクトは、Lambda レイヤーのバージョンに関する詳細を提供します。

例:

"AwsLambdaLayerVersion": { "Version": 2, "CompatibleRuntimes": [ "java8" ], "CreatedDate": "2019-10-09T22:02:00.274+0000" }

AwsLambdaLayerVersion オブジェクトには、次の属性を含めることができます。

属性

必須

説明

CompatibleRuntimes

いいえ

レイヤーの互換性のあるランタイム。

タイプ: 文字列の配列

最大項目数は 5 です。

有効な値: nodejs10.x | nodejs12.x | java8 | java11 | python2.7 | python3.6 | python3.7 | python3.8 | dotnetcore1.0 | dotnetcore2.1 | go1.x | ruby2.5 | provided

CreatedDate

いいえ

バージョンが作成された日付 (ISO 8601 形式)。

たとえば、2018-11-27T15:10:45.123+0000 です。

型: 文字列

Version

いいえ

バージョン番号。

タイプ: Long

AwsRdsDbInstance

AwsRdsDbInstance オブジェクトは、Amazon RDS DB インスタンスの詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

AssociatedRoles

いいえ

DB インスタンスに関連付けられた IAM ロール。

タイプ: ロールオブジェクトの配列

CACertificateIdentifier

いいえ

この DB インスタンスの CA 証明書の識別子。

型: 文字列

DBClusterIdentifier

いいえ

DB インスタンスが DB クラスターのメンバーである場合は、DB インスタンスがメンバーとなっている DB クラスターの名前が含まれます。

型: 文字列

DBInstanceClass

いいえ

DB インスタンスのコンピューティングおよびメモリ容量クラスの名前を指定します。

型: 文字列

DBInstanceIdentifier

いいえ

ユーザーが指定したデータベース識別子が含まれています。この識別子は、DB インスタンスを識別する一意のキーです。

型: 文字列

DbInstancePort

いいえ

DB インスタンスがリッスンするポートを指定します。DB インスタンスが DB クラスターの一部である場合は、DB クラスターのポートとは異なるポートを指定できます。

型: 整数

DbiResourceId

いいえ

DB インスタンスの AWS リージョン固有のイミュータブルな識別子。

この識別子は、DB インスタンスの AWS KMS キーにアクセスするたびに CloudTrail ログエントリに記録されます。

型: 文字列

DBName

いいえ

このパラメータの意味は、使用しているデータベースエンジンによって異なります。

MySQL、MariaDB、SQL Server、PostgreSQL

DB インスタンスの作成時に指定された場合は、作成時に提供されたこの DB インスタンスの初期データベースの名前が入ります。DB インスタンスの存続中はこれと同じ名前が返されます。

型: 文字列

Oracle

作成した DB インスタンスの Oracle システム ID (SID) が含まれます。返されるパラメータが Oracle DB インスタンスに適用されない場合は表示されません。

型: 文字列

DeletionProtection

いいえ

DB インスタンスで削除保護が有効になっているかどうかを示します。削除保護が有効な場合、データベースは削除できません。

タイプ: ブール値

Endpoint

いいえ

接続エンドポイントを指定します。

タイプ: オブジェクト

Engine

いいえ

この DB インスタンスに使用されるデータベースエンジンの名前を入力します。

型: 文字列

EngineVersion

いいえ

データベースエンジンのバージョンを示します。

型: 文字列

IAMDatabaseAuthenticationEnabled

いいえ

IAM アカウントのデータベースアカウントへのマッピングが有効な場合は true、それ以外の場合は false です。

次のデータベースエンジンには、IAM データベース認証を有効にできます。

  • MySQL 5.6、マイナーバージョン 5.6.34 以降の場合

  • MySQL 5.7、マイナーバージョン 5.7.16 以降の場合

  • オーロラ 5.6 以降

タイプ: ブール値

InstanceCreateTime

いいえ

DB インスタンスが作成された日時を入力します。

型: タイムスタンプ

KmsKeyId

いいえ

StorageEncrypted が true の場合、暗号化された DB インスタンスの AWS KMS キー識別子。

型: 文字列

PubliclyAccessible

いいえ

DB インスタンスのアクセシビリティオプションを指定します。

true の値は、パブリック IP アドレスに解決されるパブリックに解決可能な DNS 名を持つインターネットに直接接続するインスタンスを指定します。

値 false は、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスを指定します。

タイプ: ブール値

StorageEncrypted

いいえ

DB インスタンスが暗号化されているかどうかを指定します。

タイプ: ブール値

TdeCredentialArn

いいえ

インスタンスが TDE 暗号化のために関連付けられているキーストアからの ARN。

型: 文字列

VpcSecurityGroups

いいえ

DB インスタンスが属する VPC セキュリティグループのリスト。

タイプ: オブジェクトの配列

AssociatedRoles

AssociatedRoles 配列には、DB インスタンスに関連付けられた IAM ロールが一覧表示されます。

AssociatedRoles 配列内の各ロールオブジェクトには、次の属性を含めることができます。

属性

必須

説明

FeatureName

いいえ

IAM ロールに関連付けられた機能の名前。

型: 文字列

RoleArn

いいえ

DB インスタンスに関連付けられた IAM ロールの ARN。

型: 文字列

Status

いいえ

IAM ロールと DB インスタンスの間の関連付けの状態を記述します。

型: 文字列

有効な値:

  • ACTIVE ‐ IAM ロール ARN は DB インスタンスに関連付けられており、ユーザーに代わって他の AWS のサービスにアクセスするために使用できます。

  • PENDING ‐ IAM ロール ARN は DB インスタンスに関連付けられています。

  • INVALID ‐ IAM ロール ARN は DB インスタンスに関連付けられていますが、DB インスタンスはユーザーに代わって他の AWS のサービスにアクセスするために IAM ロールを引き受けることができません。

Endpoint

Endpoint オブジェクトは、DB インスタンスの接続エンドポイントに関する詳細を提供します。

これには、次の属性を含めることができます。

属性

必須

説明

Address

いいえ

DB インスタンスの DNS アドレスが指定されます。

型: 文字列

HostedZoneId

いいえ

ホストゾーンを作成するときに Amazon Route 53 が割り当てる ID を指定します。

型: 文字列

Port

いいえ

データベースエンジンが待機しているポートを指定します。

型: 整数

VpcSecurityGroups

VpcSecurityGroups 配列は、DB インスタンスが属する VPC セキュリティグループのリストを提供します。

VpcSecurityGroups 配列内の各オブジェクトには、次の属性を含めることができます。

属性

必須

説明

VpcSecurityGroupId

いいえ

VPC セキュリティグループの名前。

型: 文字列

Status

いいえ

VPC セキュリティグループのステータス。

型: 文字列

AwsS3Bucket

Amazon S3 バケットの詳細。

タイプ: オブジェクト

AwsS3Bucket オブジェクトには、次の属性を含めることができます。

属性

必須

説明

CreatedAt

いいえ

S3 バケットの作成日時。

型: 文字列 (RFC 3339 形式を使用)

OwnerId

いいえ

Amazon S3 バケット所有者の正規ユーザー ID。

タイプ: 文字列 (64 文字以内)

OwnerName

いいえ

Amazon S3 バケット所有者の表示名。

タイプ: 文字列 (128 文字以内)

ServerSideEncryptionConfiguration

いいえ

S3 バケットに適用される暗号化ルール。

タイプ: オブジェクト

ApplyServerSideEncryptionByDefault オブジェクトを含む Rules オブジェクトで構成されます。

例:

"ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012", "SSEAlgorithm": "aws.kms" } } ] }
ApplyServerSideEncryptionByDefault

デフォルトのサーバー側の暗号化を指定して、バケット内の新しいオブジェクトに適用します。

ApplyServerSideEncryptionByDefault には、以下の属性を含めることができます。

属性

必須

説明

KMSMasterKeyID

いいえ

デフォルトの暗号化に使用する AWS KMS カスタマーマスターキー (CMK) ID。

キー ID または CMK ARN のいずれかです。

型: 文字列

SSEAAlgorithm

あり

デフォルト暗号化に使用するサーバー側の暗号化アルゴリズム。

型: 文字列

有効な値: AES256 | aws:kms

AwsS3Object

AWS S3 オブジェクトに関する詳細。

例:

"AwsS3Object": { "ContentType": "text/html", "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"", "LastModified": "2012-04-23T18:25:43.511Z", "ServerSideEncryption": "aws:kms", "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7", "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh" }

AWSS3Object には、以下の属性を含めることができます。

属性

必須

説明

ContentType

いいえ

オブジェクトデータの形式を記述する標準 MIME タイプ。

型: 文字列

ETag

いいえ

URL で見つかったリソースの特定のバージョンにウェブサーバーによって割り当てられた不透明な識別子。

型: 文字列

LastModified

いいえ

オブジェクトの最終変更日時。

型: 日時

ServerSideEncryption

いいえ

オブジェクトがサーバー側暗号化を使用して保存されている場合、このオブジェクトを Amazon S3 に保存するときに使用されるサーバー側暗号化アルゴリズムの値。

型: 文字列

SSEKMSKeyId

いいえ

オブジェクトに使用された AWS Key Management Service 対称カスタマーマネージドカスタマーマスターキー (CMK) の識別子。

型: 文字列

VersionId

いいえ

オブジェクトのバージョン。

型: 文字列

AwsSnsTopic

トピックの Amazon リソースネーム (ARN) のラッパータイプ。

タイプ: オブジェクト

AwsSnsTopic オブジェクトには、次の属性を含めることができます。

属性

必須

説明

KmsMasterKeyId

いいえ

Amazon SNS 用 AWS マネージドカスタマーマスターキー (CMK) またはカスタム CMK の ID。

型: 文字列

Subscription

いいえ

サブスクリプションは、Amazon SNS トピックのサブスクリプションエンドポイントを記述する埋め込みプロパティです。

タイプ: オブジェクトの配列

TopicName

いいえ

トピックの名前。

型: 文字列

Owner

いいえ

サブスクリプションの所有者。

型: 文字列

Subscription

AwsSnsTopic オブジェクト内の Subscription オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Endpoint

いいえ

サブスクリプションのエンドポイント (形式はプロトコルによって異なる)。

型: 文字列

Protocol

いいえ

サブスクリプションのプロトコル。

型: 文字列

AwsSqsQueue

Amazon SQS キューに関するデータ。

タイプ: オブジェクト

AwsSqsQueue オブジェクトには、次の属性を含めることができます。

属性

必須

説明

KmsDataKeyReusePeriodSeconds

いいえ

Amazon SQS がデータキーを再利用して、もう一度 AWS KMS を呼び出す前にメッセージを暗号化または復号できる時間の長さ (秒)。

型: 整数

KmsMasterKeyId

いいえ

Amazon SQS 用 AWS マネージドカスタマーマスターキー (CMK) またはカスタム CMK の ID。

型: 文字列

QueueName

いいえ

新しいキューの名前です。

型: 文字列

DeadLetterTargetArn

いいえ

maxReceiveCount の値を超えた後、Amazon SQS がメッセージを移動するデッドレターキューの Amazon リソースネーム (ARN)。

型: 文字列

AwsWafWebAcl

AwsWafWebAcl オブジェクトは、 AWS WAF WebACL の詳細を提供します。

例:

"AwsWafWebAcl": { "DefaultAction": "ALLOW", "Name": "MyWafAcl", "Rules": [ { "Action": { "Type": "ALLOW" }, "ExcludedRules": [ { "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98" } ], "OverrideAction": { "Type": "NONE" }, "Priority": 1, "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98", "Type": "REGULAR" } ], "WebAclId": "waf-1234567890" }

AwsWafWebAcl オブジェクトには、次の属性を含めることができます。

属性

必須

説明

DefaultAction

あり

WebACL に含まれているルールに一致するものがない場合に実行するアクション。アクションは、WafAction オブジェクトによって指定されます。

タイプ: WafAction オブジェクト

Name

いいえ

WebACL のフレンドリ名または説明。作成後に WebACL の名前は変更できません。

型: 文字列

長さの制限: 最小長は 1 です。最大長は 128 です。

Rules

はい

WebACL のルールのリスト。

タイプ: オブジェクトの配列

WebAclId

あり

WebACL の一意の識別子。

型: 文字列

長さの制限: 最小長は 1 です。最大長は 128 です。

ルールオブジェクト

Rules 配列は、WebACL のルールのリストを提供します。

配列内の各ルールオブジェクトには、次の属性を含めることができます。

属性

必須

説明

Action

いいえ

ウェブリクエストがルールの条件に一致したときに CloudFront または AWS WAF が実行するアクションを指定します。

タイプ: オブジェクト

ExcludedRules

いいえ

ルールグループから除外するルールの配列。これは、ActivatedRule がルールグループを参照している場合にのみ適用されます。

タイプ: オブジェクトの配列

OverrideAction

いいえ

OverrideAction を使用して RuleGroup をテストします。

ルールグループ内のルールは、リクエストをブロックする可能性があります。OverrideActionNone に設定した場合、ルールグループ内の個々のルールがリクエストと一致し、そのリクエストをブロックするよう設定されている場合、ルールグループはリクエストをブロックします。

ただし、最初にルールグループをテストする場合は、OverrideActionCount に設定します。このルールグループは、グループに含まれる個々のルールで指定されたブロックアクションを上書きします。一致するリクエストをブロックする代わりに、それらのリクエストがカウントされます。

ActivatedRule|OverrideAction は、ルールグループを WebACL に更新または追加した場合にのみ適用されます。この場合は、ActivatedRule|Action を使用しません。その他のすべての更新リクエストでは、ActivatedRule|OverrideAction の代わりに ActivatedRule|Action が使用されます。

タイプ: オブジェクト

Priority

あり

WebACL のルールを評価する順序を指定します。Priority の値が小さいルールは、値が大きいルールよりも先に評価されます。

値は一意の整数である必要があります。

複数のルールを WebACL に追加する場合、値が連続する必要はありません。

型: 整数

RuleId

あり

ルールの識別子。

型: 文字列

長さの制限: 最小長は 1 です。最大長は 128 です。

Type

いいえ

ルールタイプ (REGULAR RATE_BASED、または GROUP)。

デフォルト: REGULAR

型: 文字列

有効な値: REGULAR | RATE_BASED | GROUP

各アクションには、次の属性を含めることができます。

属性

必須

説明

Type

いいえ

ルールの設定と一致するリクエストに AWS WAF が応答する方法を指定します。

  • ALLOW ‐ AWS WAF がリクエストを許可します

  • BLOCK ‐ AWS WAF がリクエストをブロックします

  • COUNT ‐ AWS WAF は、ルールのすべての条件に該当するリクエストのカウンターを増分します。その後、AWS WAF は、引き続きウェブ ACL の残りのルールに基づいてウェブリクエストを検査します。WebACL のデフォルトアクションについては、COUNT を指定できません。

型: 文字列

有効な値: BLOCK | ALLOW | COUNT

除外される各ルールには、次の属性を含めることができます。

属性

必須

説明

RuleId

あり

ルールグループから除外するルールの一意の識別子。

型: 文字列

長さの制限: 最小長は 1 です。最大長は 128 です。

ルールの各オーバーライドアクションには、次の属性を含めることができます。

属性

必須

説明

Type

あり

COUNT は、ルールグループ内の個々のルールで指定されたアクションをオーバーライドします。

NONE に設定すると、ルールのアクションが実行されます。

型: 文字列

有効な値: NONE | COUNT

Container

検出結果に関連するコンテナの詳細。

タイプ: オブジェクト

例:

"Container": { "Name": "Secret Service Container", "ImageId": "image12", "ImageName": "SecSvc v1.2 Image", "LaunchedAt": "2018-09-29T01:25:54Z" }

Container オブジェクトには、次の属性を含めることができます。

属性

必須

説明

ImageId

いいえ

検出結果に関連するイメージの識別子。

タイプ: 文字列 (128 文字以内)

ImageName

いいえ

検出結果に関連するイメージの名前。

タイプ: 文字列 (128 文字以内)

LaunchedAt

いいえ

コンテナが開始された日時。

型: タイムスタンプ

Name

いいえ

検出結果に関連するコンテナの名前。

タイプ: 文字列 (128 文字以内)

Other

Other サブフィールドでは、カスタムのフィールドおよび値を指定できます。Other サブフィールドは、次の場合に使用します。

  • リソースタイプに対応するサブフィールドがない場合。リソースの詳細を指定するには、 Other サブフィールドを使用します。

  • リソースタイプのサブフィールドに、入力するすべてのフィールドが含まれているわけではない場合。この場合は、リソースタイプのサブフィールドを使用して、使用可能なフィールドを挿入します。Other サブフィールドを使用して、タイプ固有のサブフィールドにないフィールドを挿入します。

  • リソースタイプが提供されたタイプのいずれでもない場合。この場合、Resource.TypeOther に設定し、Other サブフィールドを使用して詳細を挿入します。

タイプ: 最大 50 個のキー/値ペアのマップ

各キーと値のペアは、次の要件を満たしている必要があります。

  • キーは 128 文字未満である必要があります。

  • 値は 1,024 文字未満である必要があります。

Severity

検出結果の重要度に関する詳細。

検出結果プロバイダーは初期重大度を設定できますが、それ以降は更新できません。重大度は、BatchUpdateFindings を使用してのみ更新できます。マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

検出結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、検出結果に関連付けられたリソースの重要度のレベルとして定義されます。たとえば、ミッションクリティカルなアプリケーションに関連付けられたリソースもあれば、非本番稼働用テストに関連付けられたリソースもあります。リソースの重要度に関する情報をキャプチャするには、Criticality フィールドを使用します。

検出結果に Label または Normalized が含まれている必要があります。どちらの属性も含まれていない場合、検出結果は無効です。Label が優先される属性です。

Severity オブジェクトには、次の属性を含めることができます。

属性

必須

説明

Label

いいえ

結果の重要度値。

タイプ: Enum

使用可能な値: INFORMATIONAL | LOW | MEDIUM | HIGH |CRITICAL

概して、Label 値は以下のように解釈できます。

  • INFORMATIONAL – 問題は見つかりませんでした。

  • LOW – この問題は単独で対処する必要はありません。

  • MEDIUM – この問題は対処する必要がありますが、緊急ではありません。

  • HIGH – この問題は優先事項として対処する必要があります。

  • CRITICAL – この問題は悪化しないようにすぐに修正する必要があります。

Normalized (廃止予定)

いいえ

検出結果の正規化された重大度。

この属性は廃止される予定です。Normalized ではなく、Label を指定します。

タイプ: 整数

Normalized の値は 0 〜 100 の整数であることが必要です。ゼロは検出結果に重要度が適用されないことを意味し、100 は検出結果の重要度が最大であることを意味します。

Normalized の値の設定に関するガイダンスについては、「正規化された重要度を割り当てるためのガイダンス (AWS サービスおよびパートナー)」を参照してください。

Original

いいえ

検出結果を生成した検出製品からのネイティブの重大度。

タイプ: 文字列 (最大 64 文字)

Product (廃止)

いいえ

検出結果を生成した検出製品で定義されているネイティブの重大度。

これは廃止され、Original に置き換えられます。

タイプ: 数値 (単精度 32 ビット IEEE 754 浮動小数点数、有限値に制限)

Security Hub が LabelNormalized 値をマップする方法

Label のみまたは Normalized のみを指定した場合、Security Hub はもう一方のフィールドの値を自動的に入力します。

Normalized を提供し、Label を提供しない場合、Label は以下のように自動的に設定されます。

Normalized

Label

0

INFORMATIONAL

1–39

LOW

40–69

MEDIUM

70–89

HIGH

90–100

CRITICAL

Label のみを指定し、Normalized を指定しない場合、Normalized は以下のように自動的に設定されます。

Label

Normalized

INFORMATIONAL

0

LOW

1

MEDIUM

40

HIGH

70

CRITICAL

90

正規化された重要度を割り当てるためのガイダンス (AWS サービスおよびパートナー)

AWS のサービスおよびサードパーティーパートナーの製品によって生成された検出結果の場合、重要度は以下に基づいています。

  • 最も重大 – 実際のデータの損失やサービス拒否に関連付けられている検出結果

  • 2 番目に重大 – アクティブなセキュリティ侵害に関連付けられているが、データの損失やその他の悪影響が発生したことを示してない検出結果

  • 3 番目に重大 – 今後のセキュリティ侵害の可能性を示す問題に関連付けられている検出結果

検出結果のネイティブの重要度スコアを ASFF 対応の正規化された重要度に変換する際には、以下のガイダンスを使用することをお勧めします。

  • 通知目的の検出結果。合格したチェックまたは機密データの識別に対応する検出結果など。

    推奨スコア: 0

  • 今後の侵害につながる可能性のある問題に関連付けられた検出結果。脆弱性、設定の弱点、公開されたパスワードなど。

    これは一般的に、検出結果のタイプに基づいて Software and Configuration Checks 名前空間に合わせられます。

    推奨スコア: 1 ~ 39 (低)

  • 積極的な侵害を示しているが、攻撃者による目標達成を示していない問題に関連付けられた検出結果。マルウェアアクティビティ、ハッキングアクティビティ、または異常な動作の検出など。

    これは通常、検出結果のタイプに基づいて Threat Detections and Unusual Behavior 名前空間に合わせられます。

    推奨スコア: 40 ~ 69 (中)

  • 攻撃者がアクティブなデータの損失、漏洩、サービス拒否などの目標を達成したことを示す検出結果。

    これは一般的に、検出結果のタイプに基づいて Effects 名前空間に合わせられます。

    推奨スコア: 70 〜 100 (高または重大)

ThreatIntelIndicators

検出結果に関連する脅威インテリジェンスの詳細。

タイプ: 最大 5 個の脅威インテリジェンスインジケータオブジェクトの配列

例:

"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" } ]

各脅威インテリジェンスインジケータオブジェクトには、次の属性を含めることができます。

属性

必須

説明

Category

いいえ

脅威インテリジェンスインジケータのカテゴリ。

タイプ: Enum

有効な値: BACKDOOR | CARD_STEALER | COMMAND_AND_CONTROL | DROP_SITE | EXPLOIT_SITE | KEYLOGGER

LastObservedAt

いいえ

脅威インテリジェンスインジケータが最後に検出された日時。

型: タイムスタンプ

Source

いいえ

脅威インテリジェンスのソース。

タイプ: 文字列 (64 文字以内)

SourceUrl

いいえ

脅威インテリジェンスのソースからの詳細情報の URL。

タイプ: URL

Type

いいえ

脅威インテリジェンスインジケータのタイプ。

タイプ: Enum

有効な値: DOMAIN | EMAIL_ADDRESS | HASH_MD5 | HASH_SHA1 | HASH_SHA256 | HASH_SHA512 | IPV4_ADDRESS | IPV6_ADDRESS | MUTEX | PROCESS | URL

Value

いいえ

脅威インテリジェンスインジケータの値。

タイプ: 文字列 (512 文字以内)

Workflow

Workflow オブジェクトは、検出結果の調査ステータスに関する情報を提供します。

検出結果の提供元を見つけるためのものではありません。このオブジェクトは顧客専用に用意されており、顧客の修復ツール、オーケストレーションツール、チケット発行ツールによって使用されます。

ワークフローのステータスは、BatchUpdateFindings を使用してのみ更新できます。お客様は、コンソールから更新することもできます。「検索のワークフローステータスの設定」を参照してください。ワークフローステータスは、マスターアカウントによってのみ更新できます。メンバーアカウントでは更新できません。

Workflow には、以下の属性を含めることができます。

属性

必須

説明

Status

いいえ

検出結果の調査ステータス。

タイプ: Enum

有効な値: NEW | NOTIFIED | RESOLVED | SUPPRESSED

  • NEW – レビュー前の検出結果の初期状態。

  • NOTIFIED – セキュリティの問題についてリソース所有者に通知したことを示します。初回レビュー者がリソース所有者ではなく、リソース所有者の介入が必要な場合に使用されます。

  • RESOLVED – この検出結果はレビューおよび修正され、現在は解決済みと見なされています。

  • SUPPRESSED – 検出結果はレビューされず、対処されません。

ASFF のタイプ分類

Types パスの最初の 3 つのレベルについて説明します。このリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。分類子は Software and Configuration Checks 名前空間でのみ定義されます。

  • 名前空間

    • カテゴリ

      • 分類子

検出結果の提供元には、定義済みの名前空間を使用する必要があります。定義済みのカテゴリと分類子の使用をお勧めしますが、必須ではありません。

検出結果の提供元には、名前空間/カテゴリ/分類子の部分パスを定義できます。たとえば、以下の検出結果タイプはすべて有効です。

  • TTPs

  • TTPs/Defense Evasion

  • TTPs/Defense Evasion/CloudTrailStopped

TTP は 戦略、手法、および手順の略です。次のリストの TTP カテゴリは、MITRE ATT&CK MatrixTM に対応します。Unusual Behaviors は、一般的な異常動作 (統計的異常など) を反映しており、特定の TTP に合わせられていません。ただし、Unusual Behaviors と TTP の両方の検出結果タイプを持つ検出結果として分類できます。

  • Software and Configuration Checks

    • Vulnerabilities

      • CVE

    • AWS Security Best Practices

      • Network Reachability

      • Runtime Behavior Analysis

    • Industry and Regulatory Standards

      • CIS Host Hardening Benchmarks

      • CIS AWS Foundations Benchmark

      • PCI-DSS Controls

      • Cloud Security Alliance Controls

      • ISO 90001 Controls

      • ISO 27001 Controls

      • ISO 27017 Controls

      • ISO 27018 Controls

      • SOC 1

      • SOC 2

      • HIPAA Controls (USA)

      • NIST 800-53 Controls (USA)

      • NIST CSF Controls (USA)

      • IRAP Controls (Australia)

      • K-ISMS Controls (Korea)

      • MTCS Controls (Singapore)

      • FISC Controls (Japan)

      • My Number Act Controls (Japan)

      • ENS Controls (Spain)

      • Cyber Essentials Plus Controls (UK)

      • G-Cloud Controls (UK)

      • C5 Controls (Germany)

      • IT-Grundschutz Controls (Germany)

      • GDPR Controls (Europe)

      • TISAX Controls (Europe)

  • TTPs

    • Initial Access

    • Execution

    • Persistence

    • Privilege Escalation

    • Defense Evasion

    • Credential Access

    • Discovery

    • Lateral Movement

    • Collection

    • Command and Control

  • Effects

    • Data Exposure

    • Data Exfiltration

    • Data Destruction

    • Denial of Service

    • Resource Consumption

  • Unusual Behaviors

    • Application

    • Network Flow

    • IP address

    • User

    • VM

    • Container

    • Serverless

    • Process

    • Database

    • Data

  • Sensitive Data Identifications

    • PII

    • Passwords

    • Legal

    • Financial

    • Security

    • Business