Diretrizes para mapear descobertas noAWSFormato de descoberta de segurança da (ASFF)

Use as diretrizes a seguir para mapear suas descobertas para o ASFF. Para obter descrições detalhadas de cada campo e objeto ASFF, consulteAWSFormato de descoberta de segurança da (ASFF)noAWS Security HubGuia do usuário do.

Identificando informações

SchemaVersion é sempre 2018-10-08.

ProductArné o ARN queAWS Security Hubatribui a você.

Idé o valor que o Security Hub usa para indexar descobertas. O identificador de descoberta deve ser exclusivo, para garantir que outras descobertas não sejam sobrescritas. Para atualizar uma descoberta, reenvie a descoberta com o mesmo identificador.

GeneratorIdpode ser o mesmo queIdou pode se referir a uma unidade de lógica discreta, como uma AmazonGuardDutyID do detector,AWS ConfigID do gravador ou ID do analisador de acesso IAM.

Title e Description

Titledeve conter algumas informações sobre o recurso afetado.Titleestá limitado a 256 caracteres, incluindo espaços.

Adicione informações detalhadas mais longas aoDescription.Descriptionestá limitado a 1024 caracteres, incluindo espaços. Você pode considerar adicionar truncamento às descrições. Veja um exemplo abaixo:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

Tipos de descoberta

Você fornece suas informações de tipo de descoberta emFindingProviderFields.Types.

TypesDeve corresponder aoTipos de taxonomia para ASFF.

Se necessário, você pode especificar um classificador personalizado (o terceiro namespace).

Timestamps

O formato ASFF inclui alguns carimbos de data/hora diferentes.

CreatedAt e UpdatedAt

Você deve enviarCreatedAteUpdatedAttoda vez que você ligaBatchImportFindingspara cada achado.

Os valores devem corresponder ao formato ISO8601 no Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

FirstObservedAt e LastObservedAt

FirstObservedAteLastObservedAtdeve corresponder quando seu sistema observou a descoberta. Se você não registrar essas informações, não precisará enviar esses carimbos de data/hora.

Os valores correspondem ao formato ISO8601 no Python 3.8.

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

Você fornece informações de gravidade naFindingProviderFields.Severityobjeto, que contém os campos a seguir.

Original

O valor da gravidade do seu sistema.Originalpode ser qualquer string, para acomodar o sistema que você usa.

Label

O indicador Security Hub necessário da gravidade de descoberta. Os valores permitidos são os seguintes.

• INFORMATIONAL— Nenhum problema foi encontrado.

• LOW— O problema não requer ação por conta própria.

• MEDIUM— O problema deve ser tratado, mas sem caráter urgente.

• HIGH— O problema deve ser tratado como uma prioridade.

• CRITICAL— O problema deve ser corrigido imediatamente para evitar danos adicionais.

As descobertas que estão em conformidade sempre devem terLabelDefina comoINFORMATIONAL. Exemplos deINFORMATIONALdescobertas são descobertas de verificações de segurança que passaram eAWS Firewall Managerdescobertas que são corrigidas.

Os clientes geralmente classificam as descobertas por sua gravidade para dar às equipes de operações de segurança uma lista de tarefas. Seja conservador ao definir a gravidade da descoberta comoHIGHouCRITICAL.

Sua documentação de integração deve incluir sua lógica de mapeamento.

Remediation

RemediationO tem dois elementos. Esses elementos são combinados no console do Security Hub.

Remediation.Recommendation.Textaparece nocorreçãoseção dos detalhes de descoberta. Ele está com hiperlink para o valor deRemediation.Recommendation.Url.

Atualmente, apenas as descobertas dos padrões do Security Hub, do IAM Access Analyzer e do Firewall Manager exibem hiperlinks para a documentação sobre como corrigir a descoberta.

SourceUrl

Use somenteSourceUrlse você puder fornecer uma URL vinculada ao console para essa descoberta específica. Caso contrário, omita-o do mapeamento.

O Security Hub não oferece suporte a hiperlinks desse campo, mas é exposto no console do Security Hub.

Malware, Network, Process, ThreatIntelIndicators

Quando aplicável, useMalware,Network,Process, ouThreatIntelIndicators. Cada um desses objetos é exposto no console do Security Hub. Use esses objetos no contexto da descoberta que você está enviando.

Por exemplo, se você detectar malware que faz uma conexão de saída com um comando conhecido e nó de controle, forneça os detalhes para a instância do EC2 emResource.Details.AwsEc2Instance. Forneça o relevanteMalware,Network, eThreatIntelIndicatorObjetos para essa instância do EC2.

Malware

Malwareé uma lista que aceita até cinco matrizes de informações de malware. Torne as entradas de malware relevantes para o recurso e a descoberta.

Cada entrada tem os seguintes campos.

Name

O nome do malware. O valor é uma string de até 64 caracteres.

Namedeve ser de uma inteligência de ameaças vetada ou fonte de pesquisador.

Path

O caminho para o malware. O valor é uma string de até 512 caracteres.Pathdeve ser um caminho de arquivo do sistema Linux ou Windows, exceto nos seguintes casos.

• Se você digitalizar objetos em um bucket do S3 ou em um compartilhamento EFS com as regras do YARA, entãoPathé o caminho do objeto S3://ou HTTPS.

• Se você digitalizar arquivos em um repositório Git, entãoPathé o URL do Git ou caminho do clone.

State

O status do malware. Os valores permitidos sãoOBSERVED| REMOVAL_FAILED|REMOVED.

No título e na descrição da descoberta, certifique-se de fornecer contexto para o que aconteceu com o malware.

Por exemplo, seMalware.StateéREMOVED, então o título e a descrição da descoberta devem refletir que seu produto removeu o malware localizado no caminho.

SeMalware.StateéOBSERVEDe, em seguida, o título e a descrição da descoberta devem refletir que seu produto encontrou esse malware localizado no caminho.

Type

Indica o tipo de malware. Os valores permitidos sãoADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM.

Se você precisar de um valor adicional paraType, entre em contato com a equipe do Security Hub.

Network

Networké um único objeto. Você não pode adicionar vários detalhes relacionados à rede. Ao mapear os campos, use as diretrizes a seguir.

Informações de destino e fonte

O destino e a origem são fáceis de mapear logs de fluxo TCP ou VPC ou logs WAF. Eles são mais difíceis de usar quando você está descrevendo informações de rede para uma descoberta sobre um ataque.

Normalmente, a fonte é de onde o ataque se originou, mas pode ter outras fontes conforme listado abaixo. Você deve explicar a fonte em sua documentação e também descrevê-la no título e na descrição da descoberta.

• Para um ataque DDoS em uma instância do EC2, a origem é o invasor, embora um ataque DDoS real possa usar milhões de hosts. O destino é o endereço IPv4 público da instância EC2.Directionestá IN.

• Para malware observado se comunicando de uma instância do EC2 para um nó de comando e controle conhecido, a origem é o endereço IPV4 da instância do EC2. O destino é o nó de comando e controle.DirectionéOUT. Você também forneceriaMalwareeThreatIntelIndicators.

Protocol

Protocolsempre mapeia para um nome registrado da Internet Assignated Numbers Authority (IANA), a menos que você possa fornecer um protocolo específico. Você sempre deve usar isso e fornecer as informações da porta.

Protocolé independente das informações de origem e destino. Apenas forneça quando fizer sentido fazê-lo.

Direction

Directioné sempre relativo aoAWSLimites de rede.

• INsignifica que está entrandoAWS(VPC, serviço).

• OUTsignifica que está saindo doAWSLimites de rede.

Process

Processé um único objeto. Você não pode adicionar vários detalhes relacionados ao processo. Ao mapear os campos, use as diretrizes a seguir.

Name

Namedeve corresponder ao nome do executável. Ele aceita até 64 caracteres.

Path

Pathé o caminho do sistema de arquivos para o executável do processo. Ele aceita até 512 caracteres.

Pid, ParentPid

PideParentPiddeve corresponder ao identificador de processo Linux (PID) ou ao ID de evento do Windows. Para diferenciar, use Imagens de máquina da Amazon do EC2 (AMIs) para fornecer as informações. Os clientes provavelmente podem diferenciar entre Windows e Linux.

Carimbos de data e hora (LaunchedAteTerminatedAt)

Se você não conseguir recuperar essas informações de forma confiável e elas não forem precisas para o milissegundo, não as forneça.

Se um cliente depende de carimbos de data/hora para investigação forense, então não ter carimbo de data/hora é melhor do que ter o carimbo de data/hora errado.

ThreatIntelIndicators

ThreatIntelIndicatorsAceita uma matriz de até cinco objetos de inteligência de ameaças.

Para cada entrada,Typeestá no contexto da ameaça específica. Os valores permitidos sãoDOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL.

Veja a seguir alguns exemplos de como mapear indicadores de inteligência de ameaças:

• Você encontrou um processo que você sabe que está associado ao Cobalt Strike. Você aprendeu isso comFireEye.

  Defina Type para PROCESS. Crie também umProcessobjeto para o processo.

• Seu filtro de e-mail encontrou alguém enviando um pacote hash bem conhecido de um domínio malicioso conhecido.

  Criar doisThreatIntelIndicatorobjetos. Um objeto é para oDOMAIN. O outro é para oHASH_SHA1.

• Você encontrou malware com uma regra Yara (Loki, Fenrir, Awss3VirusScan,BinaryAlert).

  Criar doisThreatIntelIndicatorobjetos. Um deles é para o malware. O outro é para oHASH_SHA1.

Resources

para oResources, use nossos tipos de recursos e campos de detalhes fornecidos sempre que possível. O Security Hub está constantemente adicionando novos recursos ao ASFF. Para receber um registro mensal das alterações no ASFF, entre em contato<securityhub-partners@amazon.com>.

Se você não puder ajustar as informações nos campos de detalhes para um tipo de recurso modelado, mapeie os detalhes restantes paraDetails.Other.

Para um recurso que não é modelado em ASFF, definaTypeparaOther. Para obter informações detalhadas, useDetails.Other.

Você também pode usar oOthertipo de recurso para não-AWSDescobertas.

ProductFields

Use somenteProductFieldsse você não puder usar outro campo com curadoria paraResourcesou um objeto descritivo, comoThreatIntelIndicators,Network, ouMalware.

Se você usarProductFields, você deve fornecer uma lógica rigorosa para essa decisão.

Compliance

Use somenteCompliancese suas descobertas estiverem relacionadas à conformidade.

Usar o Security HubCompliancepara as descobertas que ele gera com base em controles.

Usar Firewall ManagerCompliancepor suas descobertas porque estão relacionadas à conformidade.

Campos restritos

Esses campos são destinados a que os clientes acompanhem a investigação de uma descoberta.

Não mapeie para esses campos ou objetos.

• Note

• UserDefinedFields

• VerificationState

• Workflow

Para esses campos, mapeie para os campos que estão naFindingProviderFieldsobjeto. Não mapeie para os campos de nível superior.

• Confidence— Inclua apenas uma pontuação de confiança (0-99) se o seu serviço tiver uma funcionalidade semelhante ou se você ficar 100% por sua descoberta.

• Criticality— O escore de criticidade (0-99) destina-se a expressar a importância do recurso associado ao achado.

• RelatedFindings— Forneça apenas descobertas relacionadas se você puder acompanhar as descobertas relacionadas ao mesmo recurso ou tipo de descoberta. Para identificar uma descoberta relacionada, você deve consultar o identificador de descoberta de uma descoberta que já está no Security Hub.