Atributos de nível superior necessários - AWS Security Hub
AwsAccountIdCreatedAtDescriçãoGeneratorIdIdProductArnRecursosSchemaVersionGravidadeCargoTiposUpdatedAt

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos de nível superior necessários

Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são necessários para todas as descobertas no Security Hub. Para obter mais informações sobre esses atributos obrigatórios, consulte AwsSecurityFinding na Referência da API do AWS Security Hub .

AwsAccountId

O Conta da AWS ID ao qual a descoberta se aplica.

Exemplo

"AwsAccountId": "111111111111"

CreatedAt

Indica quando o possível problema de segurança detectado por uma descoberta foi criado.

Exemplo

"CreatedAt": "2017-03-22T13:22:13.933Z"
nota

O Security Hub exclui descobertas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não houver atualização. Para armazenar descobertas por mais de 90 dias, você pode configurar uma regra na Amazon EventBridge que encaminha as descobertas para o seu bucket do S3.

Descrição

A descrição de uma descoberta. Esse campo pode ser um texto padronizado não específico ou detalhes específicos da instância da descoberta.

Para as descobertas de controle geradas pelo Security Hub, esse campo fornece uma descrição do controle.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

O identificador do componente específico da solução (uma unidade discreta de lógica) que gerou uma descoberta.

Para as descobertas de controle que o Security Hub gera, esse campo não faz referência a um padrão se você ativar as constatações de controle consolidadas.

Exemplo

"GeneratorId": "security-control/Config.1"

Id

O identificador específico do produto para uma descoberta. Para descobertas de controle geradas pelo Security Hub, esse campo fornece o nome do recurso da Amazon (ARN) da descoberta.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

O nome do recurso da Amazon (ARN) gerado pelo Security Hub que identifica exclusivamente um produto de descobertas de terceiros depois que o produto é registrado com o Security Hub.

O formato desse campo é arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Para AWS serviços integrados ao Security Hub, o company-id deve ser "aws“e o product-id deve ser o nome do serviço AWS público. Como AWS os produtos e serviços não estão associados a uma conta, a account-id seção do ARN está vazia. AWS serviços que ainda não estão integrados ao Security Hub são considerados produtos de terceiros.

  • Para produtos públicos, o company-id e o product-id devem ser os valores de ID especificados no momento do registro.

  • Para os produtos privados, o company-id deve ser o ID da conta. O product-id deve ser a palavra reservada "default" ou o ID que foi especificado no momento do registro.

Exemplo

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Recursos

O Resourcesobjeto fornece um conjunto de tipos de dados de recursos que descrevem os AWS recursos aos quais a descoberta se refere.

Exemplo

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

A versão do esquema para a qual uma descoberta está formatada. O valor desse campo deve ser uma das versões publicadas oficialmente identificadas pela AWS. Na versão atual, a versão do esquema AWS Security Finding Format é2018-10-08.

Exemplo

"SchemaVersion": "2018-10-08"

Gravidade

Define a importância de uma descoberta. Para obter detalhes sobre esse objeto, consulte Severity na Referência da API AWS Security Hub .

Severity é ao mesmo tempo um objeto de nível superior em uma descoberta e está aninhado sob o objeto FindingProviderFields.

O valor do objeto Severity de nível superior para uma descoberta só deve ser atualizado pela API BatchUpdateFindings.

Para fornecer informações de gravidade, os provedores de descobertas devem atualizar o objeto Severity em FindingProviderFields quando fizerem uma solicitação de API BatchImportFindings.
 Se uma solicitação BatchImportFindings para uma nova descoberta fornecer apenas Label ou fornecer apenas Normalized, o Security Hub preencherá automaticamente o valor do outro campo. O campo Product sob FindingProviderFields foi descontinuado e não é preenchido nas descobertas atuais. No lugar dela, use o campo Original.

A gravidade da descoberta não considera a criticidade dos ativos envolvidos ou do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica tem maior criticidade do que um recurso associado a testes de não produção. Para capturar informações sobre criticidade do recurso, use o campo Criticality.

Recomendamos usar a seguinte orientação ao traduzir os escores de gravidade nativos dos resultados para o valor de Severity.Label na ASFF.

  • INFORMATIONAL — Essa categoria pode incluir uma descoberta para uma verificação PASSED, WARNING ou NOT AVAILABLE ou uma identificação de dados confidenciais.

  • LOW — Descobertas que podem resultar em compromissos futuros. Por exemplo, essa categoria pode incluir vulnerabilidades, pontos fracos da configuração e senhas expostas.

  • MEDIUM: as descobertas que indicam um comprometimento ativo, mas nenhuma indicação de que um adversário tenha concluído seus objetivos. Por exemplo, essa categoria pode incluir atividade de malware, atividade de hacking e detecção de comportamento incomum.

  • HIGH ou CRITICAL: descobertas que indicam que um adversário concluiu seus objetivos, como perda ou comprometimento ativo de dados ou uma negação de serviço.

Exemplo

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Cargo

O título de uma descoberta. Esse campo pode conter texto padronizado não específico ou detalhes específicos dessa instância da descoberta.

Para descobertas de controle, esse campo fornece o título do controle.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Title": "AWS Config should be enabled"

Tipos

Um ou mais tipos de descobertas no formato de namespace/category/classifier que classificam uma descoberta. Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Types só deve ser atualizado usando BatchUpdateFindings.

Os provedores de descobertas que desejam fornecer um valor para Types devem usar o atributo Types sob FindingProviderFields.

Na lista a seguir, os marcadores de nível superior são namespaces, os marcadores de segundo nível são categorias e os marcadores de terceiro nível são classificadores. Recomendamos que os provedores de descobertas usem namespaces definidos para ajudar a classificar e agrupar as descobertas. As categorias e os classificadores definidos também podem ser usados, mas não são obrigatórios. Somente o namespace Verificações de software e configuração tem classificadores definidos.

É possível definir um caminho parcial para namespace/category/classifier. Por exemplo, todos os tipos de descoberta a seguir são válidos:

  • TTPs

  • TTPs/Evasão de defesa

  • TTPS/Evasão de defesa/ CloudTrailStopped

As categorias de táticas, técnicas e procedimentos (TTPs) na lista a seguir se alinham com a MITRE ATT&CK MatrixTM. O spacename de Comportamentos incomuns reflete o comportamento incomum geral, como anomalias estatísticas gerais, e não está alinhado a um TTP específico. Entretanto, é possível classificar uma descoberta com os tipos de descoberta Comportamentos incomuns e TTPs.

Lista de namespaces, categorias e classificadores:

  • Verificações de software e configuração

    • Vulnerabilidades

      • CVE

    • AWS Melhores práticas de segurança

      • Acessibilidade de rede

      • Análise de comportamento do tempo de execução

    • Padrões regulatórios e do setor

      • AWS Melhores práticas básicas de segurança

      • Referências do CIS Host Hardening

      • Referência do CIS AWS Foundations

      • PCI-DSS

      • Controles da Cloud Security Alliance

      • Controles ISO 90001

      • Controles ISO 27001

      • Controles ISO 27017

      • Controles ISO 27018

      • SOC 1

      • SOC 2

      • Controles HIPAA (EUA)

      • Controles NIST 800-53 (EUA)

      • Controles da CSF do NIST (EUA)

      • Controles IRAP (Austrália)

      • Controles K-ISMS (Coreia)

      • Controles MTCS (Singapura)

      • Controles FISC (Japão)

      • Controles da Lei Meu Número (Japão)

      • Controles ENS (Espanha)

      • Controles Cyber Essentials Plus (Reino Unido)

      • Controles G-Cloud (Reino Unido)

      • Controles C5 (Alemanha)

      • Controles IT-Grundschutz (Alemanha)

      • Controles GDPR (Europa)

      • Controles TISAX (Europa)

    • Gerenciamento de patches

  • TTPs

    • Acesso inicial

    • Execução

    • Persistência

    • Escalonamento de privilégios

    • Evasão de defesa

    • Acesso credencial

    • Descoberta

    • Movimento lateral

    • Coleta

    • Comando e controle

  • Efeitos

    • Exposição de dados

    • Exfiltração de dados

    • Destruição de dados

    • Negação de serviço

    • Consumo de recursos

  • Comportamentos incomuns

    • Aplicativo

    • Fluxo de rede

    • Endereço IP

    • Usuário

    • VM

    • Contêiner

    • Sem servidor

    • Processar

    • Banco de dados

    • Dados

  • Identificação de dados confidenciais

    • PII

    • Senhas

    • Legal

    • Financeiro

    • Segurança

    • Business

Exemplo

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

Indica quando o provedor de descoberta atualizou o registro de descoberta pela última vez.

Esse timestamp reflete a hora em que o registro de descoberta foi atualizado pela última vez ou a mais recente. Consequentemente, ele pode ser diferente do timestamp LastObservedAt, que reflete quando o evento ou vulnerabilidade foi observado pela última vez ou foi observado mais recentemente.

Ao atualizar o registro de descoberta, é necessário atualizar esse timestamp para o timestamp atual. Após a criação de um registro de descoberta, os timestamps CreatedAt e UpdatedAt devem ser o mesmo. Após uma atualização do registro de localização, o valor desse campo deve ser mais recente do que todos os valores anteriores que ele continha.

Observe que UpdatedAt não pode ser atualizado usando a operação da API BatchUpdateFindings. Você só pode atualizá-lo usando BatchImportFindings.

Exemplo

"UpdatedAt": "2017-04-22T13:22:13.933Z"
nota

O Security Hub exclui descobertas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não houver atualização. Para armazenar descobertas por mais de 90 dias, você pode configurar uma regra na Amazon EventBridge que encaminha as descobertas para o seu bucket do S3.