必需的顶级属性 - AWS Security Hub
AwsAccountIdCreatedAt描述GeneratorIdIdProductArn资源SchemaVersion严重性Title类型UpdatedAt

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

必需的顶级属性

Security Hub 中的所有查找结果都必须具备以下 AWS 安全调查结果格式 (ASFF) 中的顶级属性。有关这些必需属性的更多信息,请参阅《AWS Security Hub API 参考》中的 AwsSecurityFinding

AwsAccountId

调查结果适用的 AWS 账户 ID。

示例

"AwsAccountId": "111111111111"

CreatedAt

表示调查发现捕获到的潜在安全问题的创建时间。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

Security Hub 会在最近更新后 90 天或创建日期后 90 天(如果没有发生更新)删除结果。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将结果路由到您的 S3 存储桶。

描述

结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。

对于 Security Hub 生成的控件调查发现,此字段提供了对控件的描述。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。

对于 Security Hub 生成的控件调查发现,如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"GeneratorId": "security-control/Config.1"

Id

结果的特定于产品的标识符。对于 Security Hub 生成的控件调查发现,该字段提供了调查发现的 Amazon 资源名称(ARN)。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

由 Security Hub 生成的 Amazon 资源名称(ARN),用于在产品注册到 Security Hub 后唯一标识第三方结果产品。

此字段的格式为 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 对于与 Security Hub 集成的 AWS 服务,company-id必须aws是 “”,并且product-id必须是 AWS 公共服务名称。由于 AWS 产品和服务未与账户关联,所以 ARN 的account-id部分为空。 AWS 尚未与 Security Hub 集成的服务被视为第三方产品。

  • 对于公共产品,company-idproduct-id 必须为注册时指定的 ID 值。

  • 对于私有产品,company-id 必须为账户 ID。product-id 必须为保留字“default”或注册时指定的 ID。

示例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

资源

Resources对象提供了一组资源数据类型,这些数据类型描述了调查结果所指的 AWS 资源。

示例

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

格式化结果的架构版本。该字段的值必须为 AWS确定的官方发布版本之一。在当前版本中, AWS 安全调查结果格式架构版本为2018-10-08

示例

"SchemaVersion": "2018-10-08"

严重性

定义调查发现的重要性。有关此对象的详细信息,请参阅 AWS Security Hub API 参考中的 Severity

Severity 既是调查发现中的顶级对象,又嵌套在 FindingProviderFields 对象之下。

调查发现的顶级 Severity 对象的值只能由 BatchUpdateFindings API 更新。

要提供严重性信息,调查发现提供商在进行 BatchImportFindings API 请求时应更新 FindingProviderFields 下的 Severity 对象。
 如果对新查找结果的BatchImportFindings请求仅提供Label或仅提供Normalized,则 Security Hub 会自动填充另一个字段的值。 也可以填充ProductOriginal字段。

如果顶级Finding.Severity对象存在但不存在,Finding.FindingProviderFieldsSecurity Hub 会创建该FindingProviderFields.Severity对象并将整个对象复制Finding.Severity object到其中。这样可以确保即使顶层Severity对象被覆盖,提供者提供的原始细节也能保留在FindingProviderFields.Severity结构中。

结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源具有更高的关键性。要捕获有关资源严重性的信息,请使用 Criticality 字段。

我们建议在将调查发现的本机严重性评分转换为 ASFF 中的 Severity.Label 值时使用以下指南。

  • INFORMATIONAL——此类别可能包括 PASSEDWARNINGNOT AVAILABLE 的调查发现或敏感数据标识。

  • LOW——可能导致未来受损的调查发现。例如,此类别可能包括漏洞、配置漏洞和泄露密码。

  • MEDIUM——结果表明遭受活动攻击,但未指示攻击者已达成其目标 例如,此类别可能包括恶意软件活动、黑客活动和异常行为检测。

  • HIGHCRITICAL——指示攻击者达成目标(例如主动数据丢失或泄露、拒绝服务)的调查发现。

示例

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

对于控件调查发现,此字段提供控件的标题。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Title": "AWS Config should be enabled"

类型

一个或多个 namespace/category/classifier 格式的结果类型,用于对结果进行分类。如果您启用整合的控件调查发现,则此字段不会引用标准。

Types 只能使用 BatchUpdateFindings 进行更新。

调查发现提供商想要为 Types 提供值,应使用 FindingProviderFields 下面的 Types 属性。

在下面的列表中,顶级项目符号是命名空间,二级项目符号是类别,三级项目符号是分类器。我们建议调查发现提供商使用定义的命名空间来帮助对调查发现进行排序和分组。也可以使用定义的类别和分类器,但不是必需的。仅软件和配置检查命名空间定义了分类器。

您可以为命名空间/类别/分类器定义部分路径。例如,以下调查发现类型均有效:

  • TTP

  • TTP/Defense Evasion

  • TTPS/逃避防御/ CloudTrailStopped

以下列表中的策略、技术和程序 (TTP) 类别与 MITRE ATT&CK MatrixTM 一致。Unusual Behaviours 命名空间反映一般异常行为,例如一般统计异常,并且与特定 TTP 不一致。但是,您可以使用 Unusual Behaviors 和 TTP 结果类型对结果进行分类。

命名空间、类别和分类器列表:

  • Software and Configuration Checks

    • 漏洞

      • CVE

    • AWS 安全最佳实践

      • 网络可到达性

      • 运行时行为分析

    • 行业和法规标准

      • AWS 基础安全最佳实践

      • CIS 主机强化基准

      • 独联体 AWS 基金会基准

      • PCI-DSS

      • 云安全联盟控制

      • ISO 90001 控制

      • ISO 27001 控制

      • ISO 27017 控制

      • ISO 27018 控制

      • SOC 1

      • SOC 2

      • HIPAA 控制(美国)

      • NIST 800-53 控制(美国)

      • NIST CSF 控制(美国)

      • IRAP 控制(澳大利亚)

      • K-ISMS 控制(韩国)

      • MTCS 控制(新加坡)

      • FISC 控制(日本)

      • My Number Act 控制(日本)

      • ENS 控制(西班牙)

      • Cyber​​ Essentials Plus 控制(英国)

      • G-Cloud 控制(英国)

      • C5 控制(德国)

      • IT-Grundschutz 控制(德国)

      • GDP 控制(欧洲)

      • TISAX 控制(欧洲)

    • 补丁管理

  • TTP

    • 首次访问

    • Execution

    • Persistence

    • 权限提升

    • 躲避防御系统

    • 凭证访问

    • Discovery

    • 横向移动

    • 集合

    • 命令和控制

  • 影响

    • 数据公开

    • 数据泄露

    • 数据销毁

    • 拒绝服务

    • 资源消耗

  • 不寻常的行为

    • 应用程序

    • 网络流量

    • IP 地址

    • 用户

    • VM

    • 容器

    • Serverless(无服务器)

    • 过程

    • 数据库

    • 数据

  • 敏感数据识别

    • PII

    • 密码

    • 法律条款

    • 财务

    • 安全性

    • 业务

示例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

表示调查发现提供商上次更新查找记录的时间。

此时间戳反映了上次或最近一次更新的调查发现记录的时间。因此,它可能与 LastObservedAt 时间戳不同,后者反映的是上次或最近观察到事件或漏洞的时间。

更新结果记录时,必须将该时间戳更新为当前时间戳。创建调查发现记录后,CreatedAtUpdatedAt 时间戳必须相同。更新调查发现记录后,该字段的值必须比它包含的所有先前值更新。

请注意,UpdatedAt 无法使用 BatchUpdateFindings API 操作进行更新。您只能使用 BatchImportFindings 对其进行更新。

示例

"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意

Security Hub 会在最近更新后 90 天或创建日期后 90 天(如果没有发生更新)删除结果。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将结果路由到您的 S3 存储桶。