결과 매핑에 대한 지침AWSASFF( Security Finding 형식) - AWS Security Hub
식별 정보Title 및 Description찾기 유형타임스탬프SeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFieldsCompliance제한된 필드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

결과 매핑에 대한 지침AWSASFF( Security Finding 형식)

다음 지침을 사용하여 결과를 ASFF에 매핑합니다. 각 ASFF 필드 및 객체에 대한 자세한 설명은 단원을 참조하십시오.AWSASFF( Security Finding 형식)AWS Security Hub사용 설명서.

식별 정보

SchemaVersion은(는) 항상 2018-10-08입니다.

ProductArnARN은 다음과 같습니다.AWS Security Hub사용자에게 할당합니다.

IdSecurity Hub가 검색 결과를 인덱싱하는 데 사용하는 값입니다 다른 검색 결과를 덮어쓰지 않도록 검색 결과 식별자는 고유해야 합니다. 검색 결과를 업데이트하려면 동일한 식별자로 검색 결과를 다시 제출하십시오.

GeneratorId다음과 같을 수 있습니다.Id또는 Amazon과 같은 개별 논리 단위를 참조할 수 있습니다.GuardDuty감지기 ID,AWS Config레코더 ID 또는 IAM 액세스 분석기 ID입니다.

Title 및 Description

Title영향을 받는 리소스에 대한 몇 가지 정보를 포함해야 합니다.Title는 공백을 포함하여 256자로 제한됩니다.

더 긴 세부 정보 추가Description.Description는 공백을 포함하여 1024자로 제한됩니다. 설명에 잘림을 추가하는 것을 고려할 수 있습니다. 다음은 그 예입니다:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

찾기 유형

검색 유형 정보를 다음 위치에 제공합니다.FindingProviderFields.Types.

Types와 일치해야 합니다.ASFF에 대한 유형 분류 체계.

필요한 경우 사용자 지정 분류기 (세 번째 네임스페이스) 를 지정할 수 있습니다.

타임스탬프

ASFF 형식에는 몇 가지 다른 타임스탬프가 포함되어 있습니다.

CreatedAtUpdatedAt

제출해야 합니다.CreatedAtUpdatedAt전화를 걸 때마다BatchImportFindings각 검색 결과에 대해.

값은 파이썬 3.8의 ISO8601 형식과 일치해야 합니다.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAtLastObservedAt

FirstObservedAtLastObservedAt시스템에서 검색 결과를 관찰했을 때 일치해야 합니다. 이 정보를 기록하지 않으면 이러한 타임스탬프를 제출할 필요가 없습니다.

값은 파이썬 3.8의 ISO8601 형식과 일치합니다.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

심각도 정보를 다음과 같이 제공합니다.FindingProviderFields.Severityobject에는 다음 필드가 포함됩니다.

Original

시스템의 심각도 값입니다.Original사용하는 시스템을 수용하기 위해 임의의 문자열이 될 수 있습니다.

Label

검색 심각도에 대한 필수 Security Hub 표시기입니다. 허용 값은 다음과 같습니다.

  • INFORMATIONAL— 문제를 찾을 수 없습니다.

  • LOW— 자체적으로 조치가 필요하지 않은 문제입니다.

  • MEDIUM— 해결해야 하지만 긴급하지는 않은 문제입니다.

  • HIGH— 우선적으로 해결해야 할 문제입니다.

  • CRITICAL— 추가 피해를 방지하기 위해 즉시 해결해야 합니다.

준수를 준수하는 결과는 항상 있어야 합니다.Label로 설정INFORMATIONAL. 의 예INFORMATIONAL결과는 통과한 보안 검사에서 얻은 결과입니다.AWS Firewall Manager수정된 결과.

고객은 보안 운영 팀에 할 일 목록을 제공하기 위해 검색 결과를 심각도에 따라 분류하는 경우가 많습니다. 검색 심각도를 다음과 같이 설정할 때 보수적이어야 합니다.HIGH또는CRITICAL.

통합 설명서에는 매핑 근거가 포함되어야 합니다.

Remediation

Remediation에는 두 가지 요소가 있습니다. 이러한 요소는 Security Hub 콘솔에서 결합됩니다.

Remediation.Recommendation.Text의 에 이 나타납니다.문제 해결검색 결과 세부 정보 섹션을 참조하십시오. 이 값은 다음과 같이 하이퍼링크되어 있습니다.Remediation.Recommendation.Url.

현재 Security Hub 표준, IAM 액세스 분석기 및 Firewall Manager 검색 결과만 검색 결과를 수정하는 방법에 대한 설명서에 대한 하이퍼링크를 표시합니다.

SourceUrl

사용 전용SourceUrl특정 검색 결과를 위해 본체에 딥 링크 URL을 제공할 수 있는 경우 그렇지 않으면 매핑에서 생략합니다.

Security Hub는 이 필드의 하이퍼링크를 지원하지 않지만 Security Hub 콘솔에 표시됩니다.

Malware, Network, Process, ThreatIntelIndicators

해당되는 경우 사용Malware,Network,Process또는ThreatIntelIndicators. 이러한 각 개체는 Security Hub 콘솔에 노출됩니다. 보내는 검색 결과의 컨텍스트에서 이러한 객체를 사용합니다.

예를 들어 알려진 명령 및 제어 노드에 아웃바운드 연결을 만드는 맬웨어를 탐지하는 경우 EC2 인스턴스에 대한 세부 정보를 다음 위치에 제공합니다.Resource.Details.AwsEc2Instance. 관련 항목 제공Malware,Network, 및ThreatIntelIndicatorEC2 인스턴스의 객체입니다.

Malware

Malware은 최대 5개의 맬웨어 정보 배열을 수용하는 목록입니다. 리소스 및 검색 결과와 관련된 맬웨어 항목을 만듭니다.

각 항목에는 다음 필드가 포함됩니다.

Name

맬웨어의 이름입니다. 값은 최대 64자의 문자열입니다.

Name심사된 위협 인텔리전스 또는 연구원 출처에서 온 것이어야 합니다.

Path

맬웨어에 대한 경로입니다. 값은 최대 512자의 문자열입니다.Path다음과 같은 경우를 제외하고 Linux 또는 Windows 시스템 파일 경로여야 합니다.

  • S3 버킷 또는 EFS 공유의 객체를 YARA 규칙과 비교하여 스캔하는 경우Path는 S3://또는 HTTPS 객체 경로입니다.

  • Git 저장소에서 파일을 스캔하는 경우Path는 Git URL 또는 복제 경로입니다.

State

맬웨어의 상태입니다. 허용 값은 다음과 같습니다.OBSERVED| REMOVAL_FAILED|REMOVED.

검색 제목과 설명에서 맬웨어에 발생한 상황에 대한 컨텍스트를 제공해야 합니다.

예::Malware.State입니다REMOVED그러면 검색 제목 및 설명에 상품이 경로에 있는 맬웨어를 제거했음을 반영해야 합니다.

다음의 경우,Malware.State입니다OBSERVED그러면 검색 제목 및 설명에 제품에 경로에 있는 이 맬웨어가 발견되었음을 반영해야 합니다.

Type

맬웨어의 유형을 나타냅니다. 허용 값은 다음과 같습니다.ADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM.

다음에 대한 추가 가치가 필요한 경우TypeSecurity Hub 팀에 문의하십시오.

Network

Network단일 객체입니다. 네트워크 관련 세부 정보를 여러 개 추가할 수 없습니다. 필드를 매핑할 때 다음 지침을 따릅니다.

대상 및 소스 정보

대상 및 소스는 TCP 또는 VPC 흐름 로그 또는 WAF 로그를 쉽게 매핑할 수 있습니다. 그들은 당신이 공격에 대한 발견에 대한 네트워크 정보를 설명 할 때 사용하기가 더 어렵습니다.

일반적으로 소스는 공격이 시작된 곳이지만 아래에 나열된 다른 출처가 있을 수 있습니다. 문서의 출처를 설명하고 검색 제목 및 설명에도 설명해야 합니다.

  • EC2 인스턴스에 대한 DDoS 공격의 경우 소스가 공격자이지만 실제 DDoS 공격은 수백만 개의 호스트를 사용할 수 있습니다. 대상은 EC2 인스턴스의 퍼블릭 IPv4 주소입니다.DirectionIN입니다.

  • EC2 인스턴스에서 알려진 명령 및 제어 노드로 통신하는 것으로 관찰되는 맬웨어의 경우 소스는 EC2 인스턴스의 IPV4 주소입니다. 대상은 명령 및 제어 노드입니다.Direction입니다OUT. 또한 제공 할 것입니다.MalwareThreatIntelIndicators.

Protocol

Protocol특정 프로토콜을 제공할 수 없는 한 항상 인터넷 할당 번호 기관 (IANA) 등록 이름에 매핑됩니다. 항상 이 옵션을 사용하고 포트 정보를 제공해야 합니다.

Protocol소스 및 대상 정보와는 독립적입니다. 그렇게 하는 것이 합리적일 때만 제공하십시오.

Direction

Direction항상 상대적입니다.AWS네트워크 경계.

  • IN입력 중임을 의미합니다.AWS(VPC, 서비스).

  • OUT종료 중임을 의미합니다.AWS네트워크 경계.

Process

Process단일 객체입니다. 프로세스 관련 세부 정보는 여러 개 추가할 수 없습니다. 필드를 매핑할 때 다음 지침을 따릅니다.

Name

Name는 실행 파일의 이름과 일치해야 합니다. 최대 64자까지 가능합니다.

Path

Path는 프로세스 실행 파일의 파일 시스템 경로입니다. 최대 512자까지 사용할 수 있습니다.

Pid, ParentPid

PidParentPid는 Linux 프로세스 식별자 (PID) 또는 Windows 이벤트 ID와 일치해야 합니다. 차별화하려면 EC2 Amazon 머신 이미지 (AMI) 를 사용하여 정보를 제공합니다. 고객은 아마도 Windows와 Linux를 차별화할 수 있습니다.

타임스탬프 (LaunchedAtTerminatedAt)

이 정보를 확실하게 검색할 수 없고 밀리초까지 정확하지 않은 경우 제공하지 마십시오.

고객이 포렌식 조사를 위해 타임스탬프를 사용하는 경우 타임스탬프가 없는 것이 잘못된 타임스탬프를 갖는 것보다 낫습니다.

ThreatIntelIndicators

ThreatIntelIndicators는 최대 5개의 위협 인텔리전스 객체 배열을 허용합니다.

각 항목에 대해Type특정 위협의 맥락에 있습니다. 허용 값은 다음과 같습니다.DOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL.

다음은 위협 인텔리전스 지표를 매핑하는 방법의 예입니다.

  • 코발트 스트라이크와 연관되어 있다는 것을 알고 있는 프로세스를 발견했습니다. 당신은 이것을 다음에서 배웠습니다FireEye의 블로그.

    TypePROCESS로 설정합니다. 또한Process프로세스에 대한 객체입니다.

  • 메일 필터가 알려진 악성 도메인에서 잘 알려진 해시된 패키지를 보내는 사람을 발견했습니다.

    생성 2개ThreatIntelIndicator객체입니다. 하나의 객체는DOMAIN. 다른 하나는HASH_SHA1.

  • 야라 규칙 (로키, 펜리르, Awss3) 으로 멀웨어를 발견했습니다.VirusScan,BinaryAlert).

    생성 2개ThreatIntelIndicator객체입니다. 하나는 맬웨어를 위한 것입니다. 다른 하나는HASH_SHA1.

Resources

Resources제공된 리소스 유형 및 세부 필드를 사용할 수 있습니다. Security Hub ASFF에 새로운 리소스를 지속적으로 추가하고 있습니다. ASFF 변경 사항에 대한 월별 로그를 받으려면 문의하십시오..

모델링된 리소스 유형에 대한 세부 정보 필드에 정보를 맞출 수 없는 경우 나머지 세부 정보를Details.Other.

ASFF에서 모델링되지 않은 리소스의 경우TypeOther. 자세한 내용은 단원을 참조하십시오.Details.Other.

다음을 사용할 수도 있습니다.Other비-에 대한 리소스 유형AWS결과.

ProductFields

사용 전용ProductFields다른 큐레이션된 필드를 사용할 수 없는 경우Resources또는 다음과 같은 설명 객체ThreatIntelIndicators,Network또는Malware.

사용하는 경우ProductFields이 결정에 대한 엄격한 근거를 제시해야 합니다.

Compliance

사용 전용Compliance조사 결과가 규정 준수와 관련이 있는 경우

Security Hub 사용Compliance컨트롤에 따라 생성 된 결과에 대해 설명합니다.

Firewall Manager 사용Compliance규정 준수와 관련되어 있기 때문에 연구 결과에 대해 설명합니다.

제한된 필드

이러한 필드는 고객이 검색 결과에 대한 조사를 추적하기 위한 것입니다.

이러한 필드 또는 개체에 매핑하지 마십시오.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

이러한 필드의 경우 에 있는 필드에 매핑합니다.FindingProviderFields객체입니다. 최상위 필드에 매핑하지 마십시오.

  • Confidence— 서비스의 기능이 비슷하거나 검색 결과에 따라 100% 인 경우에만 신뢰도 점수 (0-99) 를 포함하십시오.

  • Criticality— 중요도 점수 (0-99) 는 검색 결과와 관련된 리소스의 중요성을 표현하기 위한 것입니다.

  • RelatedFindings— 동일한 리소스 또는 검색 유형 관련 검색 결과를 추적할 수 있는 경우에만 관련 검색 결과를 제공합니다. 관련 검색 결과를 식별하려면 이미 Security Hub에 있는 검색 결과의 검색 결과 식별자를 참조해야 합니다.