本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将调查结果映射到AWSSecurity Finding 格式 (ASFF)
使用以下准则将您的结果映射到 ASFF。有关每个 ASFF 字段和对象的详细说明,请参阅AWSSecurity Finding 格式 (ASFF)中的AWS Security Hub用户指南.
识别信息
SchemaVersion
始终为 2018-10-08
。
ProductArn
ARN 是AWS Security Hub分配给你。
Id
是 Security Hub 用来索引发现的值。查找结果标识符必须是唯一的,以确保其他调查结果不会被覆盖。要更新调查结果,请使用相同标识符重新提交查找结果。
GeneratorId
可以是一样的Id
或者可以参考离散的逻辑单元,例如亚马逊GuardDuty探测器 ID,AWS Config记录器 ID 或 IAM 访问分析器 ID。
Title 和 Description
Title
应包含有关受影响资源的一些信息。Title
包括空格在内的长度限制为 256 个字符。
将更长的详细信息添加到Description
.Description
包括空格在内的长度限制为 1024 个字符。你可以考虑在描述中添加截断。示例如下:
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234", "Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
查找类型
您在中提供了查找类型信息FindingProviderFields.Types
.
Types
应该匹配ASFF 的类型分类.
如果需要,可以指定自定义分类器(第三个命名空间)。
时间戳
ASFF 格式包括几个不同的时间戳。
CreatedAt
和UpdatedAt
-
你必须提交
CreatedAt
和UpdatedAt
每次打电话BatchImportFindings
对于每个发现。这些值必须与 Python 3.8 中的 ISO8601 格式匹配。
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAt
和LastObservedAt
-
FirstObservedAt
和LastObservedAt
系统观察到发现的时候必须匹配。如果您不记录此信息,则无需提交这些时间戳。这些值与 Python 3.8 中的 ISO8601 格式匹配。
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
Severity
您可以在FindingProviderFields.Severity
对象,其中包含以下字段。
Original
-
系统中的严重性值。
Original
可以是任意字符串,以容纳你使用的系统。 Label
-
查找严重性的所需 Security Hub 指示器。允许的值如下所示。
-
INFORMATIONAL
— 未发现任何问题。 -
LOW
— 问题不需要单独采取任何措施。 -
MEDIUM
— 必须解决问题,但不是紧急的。 -
HIGH
— 必须优先解决问题。 -
CRITICAL
— 必须立即纠正问题,以防止进一步的伤害。
合规的调查结果应始终具有
Label
设置为INFORMATIONAL
. 示例INFORMATIONAL
调查结果是通过安全检查的结果和AWS Firewall Manager得到补救的调查结果。客户经常按严重程度对发现进行排序,以便为安全运营团队提供待办事项清单。将查找严重性设置为时要保守
HIGH
要么CRITICAL
. -
您的集成文档必须包括映射的理由。
Remediation
Remediation
有两个元素。这些元素组合在 Security Hub 控制台上。
Remediation.Recommendation.Text
显示在补救措施查找细节的部分。它与的价值超链接Remediation.Recommendation.Url
.
目前,只有来自 Security Hub 标准、IAM 访问分析器和 Firewall Manager 的调查结果显示有关如何修复发现的文档的超链接。
SourceUrl
只能使用SourceUrl
是否可以为该特定发现提供一个深度链接的 URL 到控制台。否则,请从映射中省略它。
Security Hub 不支持来自此字段的超链接,但它显示在 Security Hub 控制台上。
Malware, Network, Process, ThreatIntelIndicators
如果适用,请使用Malware
、Network
、Process
,或者ThreatIntelIndicators
. 这些对象中的每个都在 Security Hub 控制台中公开。在您发送的查找结果的上下文中使用这些对象。
例如,如果您检测到与已知命令和控制节点建立出站连接的恶意软件,请在中提供 EC2 实例的详细信息Resource.Details.AwsEc2Instance
. 提供相关的Malware
、Network
, 和ThreatIntelIndicator
EC2 实例的对象。
Malware
Malware
是一个最多可接受五组恶意软件信息的列表。使恶意软件条目与资源和发现相关。
每个条目都包含以下字段。
Name
-
恶意软件的名称。值是最多 64 个字符的字符串。
Name
应该来自经过审查的威胁情报或研究人员来源。 Path
-
通向恶意软件的路径。值是最多 512 个字符的字符串。
Path
应该是 Linux 或 Windows 系统文件路径,但以下情况除外。-
如果您根据 YARA 规则扫描 S3 存储桶或 EFS 共享中的对象,那么
Path
是 S3://或 HTTPS 对象路径。 -
如果你扫描 Git 存储库中的文件,那么
Path
是 Git URL 或克隆路径。
-
State
-
恶意软件的状态。允许的值为
OBSERVED
|REMOVAL_FAILED
|REMOVED
.在查找标题和描述中,确保提供恶意软件发生的情况的上下文。
例如,如果
Malware.State
是REMOVED
,那么查找标题和描述应反映出您的产品删除了路径上的恶意软件。如果
Malware.State
是OBSERVED
,那么查找标题和描述应反映出您的产品遇到了位于路径上的此恶意软件。 Type
-
指示恶意软件的类型。允许的值为
ADWARE
|BLENDED_THREAT
|BOTNET_AGENT
|COIN_MINER
|EXPLOIT_KIT
|KEYLOGGER
|MACRO
|POTENTIALLY_UNWANTED
|SPYWARE
|RANSOMWARE
|REMOTE_ACCESS
|ROOTKIT
|TROJAN
|VIRUS
|WORM
.如果你需要额外的价值
Type
,请联系 Security Hub 团队。
Network
Network
是单个对象。不能添加多个与网络相关的详细信息 在映射字段时,请使用以下准则。
- 目的地和来源信息
-
目标和源很容易映射 TCP 或 VPC 流日志或 WAF 日志。当你描述网络信息以获得攻击的发现时,它们更难以使用。
通常,来源是攻击的起源,但它可能有下面列出的其他来源。你应该在文档中解释来源,并在查找标题和描述中对其进行描述。
-
对于 EC2 实例的 DDoS 攻击,来源是攻击者,尽管真正的 DDoS 攻击可能会使用数百万台主机。目标是 EC2 实例的公有 IPv4 地址。
Direction
在。 -
对于观察到从 EC2 实例与已知命令和控制节点进行通信的恶意软件,源是 EC2 实例的 IPV4 地址。目的地是命令和控制节点。
Direction
是OUT
. 你还会提供Malware
和ThreatIntelIndicators
.
-
Protocol
-
Protocol
除非您可以提供特定协议,否则始终映射到互联网号码分配机构 (IANA) 的注册名称。你应该始终使用它并提供端口信息。Protocol
独立于来源和目的地信息。只有在有意义的时候才提供它。 Direction
-
Direction
总是相对于AWS网络边界。-
IN
意味着它正在进入AWS(VPC、服务)。 -
OUT
意味着它正在退出AWS网络边界。
-
Process
Process
是单个对象。不能添加多个与流程相关的详细信息 在映射字段时,请使用以下准则。
Name
-
Name
应与可执行文件的名称匹配。最多可接受 64 个字符。 Path
-
Path
是进程可执行文件的文件系统路径。它最多可接受 512 个字符。 Pid
,ParentPid
-
Pid
和ParentPid
应与 Linux 进程标识符 (PID) 或 Windows 事件 ID 匹配。要区分,请使用 EC2 Amazon 系统映像 (AMI) 提供信息。客户可能可以区分 Windows 和 Linux。 - 时间戳 (
LaunchedAt
和TerminatedAt
) -
如果您无法可靠地检索此信息,并且不准确到毫秒,请不要提供它。
如果客户依赖时间戳进行取证调查,那么没有时间戳比具有错误的时间戳更好。
ThreatIntelIndicators
ThreatIntelIndicators
接受最多包含 5 个威胁情报对象的数组。
对于每个条目,Type
是在具体威胁的背景下。允许的值为DOMAIN
|EMAIL_ADDRESS
|HASH_MD5
|HASH_SHA1
|HASH_SHA256
|HASH_SHA512
|IPV4_ADDRESS
|IPV6_ADDRESS
|MUTEX
|PROCESS
|URL
.
以下是一些如何映射威胁情报指标的示例:
-
你发现了一个你知道与 Cobalt Strike 有关的过程。你从中学到了FireEye的博客。
将
Type
设置为PROCESS
。还可以创建Process
该进程的对象。 -
您的邮件过滤器发现有人从已知恶意域发送了众所周知的哈希包。
创建两个
ThreatIntelIndicator
对象。一个对象是用于DOMAIN
. 另一个是用于HASH_SHA1
. -
你发现了带有 Yara 规则的恶意软件(洛基、Fenrir、Ass3VirusScan、BinaryAlert)。
创建两个
ThreatIntelIndicator
对象。其中一个是恶意软件。另一个是用于HASH_SHA1
.
Resources
适用于Resources
,尽可能使用我们提供的资源类型和详细信息字段。Security Hub 不断向 ASFF 添加新资源。要获取 ASFF 变更的月度日志,请联系<securityhub-partners@amazon.com>
.
如果您不能适合模型化资源类型的详细信息字段中的信息,请将其余详细信息映射到Details.Other
.
对于 ASFF 中未建模的资源,请设置Type
到Other
. 有关详细信息,请使用Details.Other
.
您也可以使用Other
非-的资源类型AWS结果。
ProductFields
只能使用ProductFields
如果你不能使用另一个策划的字段Resources
或描述性对象,例如ThreatIntelIndicators
、Network
,或者Malware
.
如果你确实使用ProductFields
,你必须为此决定提供严格的理由。
Compliance
只能使用Compliance
如果你的调查结果与合规性有关。
Security Hub 使用Compliance
因为它根据控件生成的调查结果。
Firewall Manager 使用Compliance
因为它们与合规性有关。
受限的字段
这些字段旨在让客户跟踪他们对调查结果的调查。
不要映射到这些字段或对象。
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
对于这些字段,请映射到位于FindingProviderFields
对象。请勿映射到顶级字段。
-
Confidence
— 如果您的服务具有类似的功能,或者如果您 100% 支持自己的发现,则仅包括信心评分(0-99)。 -
Criticality
— 重要程度分数(0-99)旨在表达与调查结果相关的资源的重要性。 -
RelatedFindings
— 只有在可以跟踪与同一资源或查找类型相关的调查结果时才提供相关的调查结果。要识别相关查找结果,您必须参考 Security Hub 中已存在的查找结果的查找标识符。