將調查結果映射到AWS安全問題清單格式 (ASFF) - AWS Security Hub
識別信息Title 與 Description問題清單類型時間戳記SeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFields合規受限制的字段

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將調查結果映射到AWS安全問題清單格式 (ASFF)

請使用下列準則將您的調查結果映射到 ASFF。有關每個 ASFF 字段和對象的詳細説明,請參閲AWS安全問題清單格式 (ASFF)中的AWS Security Hub使用者指南

識別信息

SchemaVersion 始終是 2018-10-08

ProductArn是 ARN,AWS Security Hub分配給你。

Id是 Security Hub 用於索引查找結果的值。查找結果標識符必須是唯一的,以確保其他查找結果不會被覆蓋。要更新查找結果,請使用相同的標識符重新提交查找結果。

GeneratorId可以與Id或者可以引用離散邏輯單元,例如亞馬遜GuardDuty偵測器 ID、AWS Config記錄器 ID 或 IAM 訪問分析器 ID。

Title 與 Description

Title應該包含有關受影響資源的一些信息。Title限製為 256 個字元,包括空格。

將更長的詳細信息添加到DescriptionDescription限製為 1024 個字元,包括空格。您可以考慮將截斷添加到描述中。範例如下:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

問題清單類型

您提供您的查找類型信息FindingProviderFields.Types

Types應該與類型 ASFF 的類型分類

如果需要,您可以指定一個自定義分類器(第三個命名空間)。

時間戳記

ASFF 格式包含幾個不同的時間戳。

CreatedAtUpdatedAt

您必須提交CreatedAtUpdatedAt每次調用BatchImportFindings對於每個發現。

這些值必須與 Python 3.8 中的 ISO8601 格式匹配。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAtLastObservedAt

FirstObservedAtLastObservedAt必須與系統觀察結果時匹配。如果您不記錄此信息,則不需要提交這些時間戳。

這些值與 Python 3.8 中的 ISO8601 格式相匹配。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

您可以在FindingProviderFields.Severity對象,其中包含下列欄位。

Original

系統中的嚴重性值。Original可以是任何字符串,以適應您使用的系統。

Label

查找嚴重性所需的 Security Hub 指示符。允許的值為:

  • INFORMATIONAL— 找不到任何問題。

  • LOW— 問題不需要自身採取動作。

  • MEDIUM問題必須解決,但不緊急。

  • HIGH問題必須優先處理。

  • CRITICAL— 問題必須立即修補以防止進一步的傷害。

符合要求的調查結果應始終具有Label設定為INFORMATIONAL。範例INFORMATIONAL調查結果是來自通過的安全檢查結果,AWS Firewall Manager調查結果被補救。

客户通常按其嚴重性對調查結果進行排序,以便為其安全運營團隊提供待辦事項列表。將查找嚴重性設置為HIGH或者CRITICAL

您的集成文檔必須包含映射理由。

Remediation

Remediation有兩個元素。這些元素在 Security Hub 控制台上組合。

Remediation.Recommendation.Text顯示於修補部分的查找詳細信息。它是超鏈接到Remediation.Recommendation.Url

目前,只有來自 Security Hub 標準、IAM 訪問分析器和 Firewall Manager 的調查結果顯示指向有關如何修復查找結果的文檔的超鏈接。

SourceUrl

僅使用SourceUrl如果您可以為該特定查找結果提供一個深度鏈接的 URL 到您的控制台。否則,請從映射中省略它。

Security Hub 不支持來自此字段的超鏈接,但它在 Security Hub 控制台上顯示。

Malware, Network, Process, ThreatIntelIndicators

在適用的情況下,使用MalwareNetworkProcess, 或ThreatIntelIndicators。這些對象中的每個都在 Security Hub 控制台中公開。在發送的查找結果的上下文中使用這些對象。

例如,如果您檢測到與已知命令和控制節點建立出站連接的惡意軟件,請在Resource.Details.AwsEc2Instance。提供相關MalwareNetwork,以及ThreatIntelIndicator對象。

Malware

Malware是一個列表,最多可接受五個惡意軟件信息數組。使惡意軟件條目與資源和查找結果相關。

每個項目都有下列欄位。

Name

惡意軟體名稱。值為最多 64 個字元的字串。

Name應該來自經過審查的威脅情報或研究人員來源。

Path

惡意軟體路徑。值為最多 512 個字元的字串。Path應該是 Linux 或 Windows 系統文件路徑,以下情況除外。

  • 如果您根據 YARA 規則掃描 S3 存儲桶或 EFS 共享中的對象,則Path是 S3://或 HTTPS 對象路徑。

  • 如果您掃描 Git 存儲庫中的文件,則Path是 Git URL 或克隆路徑。

State

惡意軟體狀態。允許的值為OBSERVED| REMOVAL_FAILED|REMOVED

在查找標題和描述中,確保您提供了惡意軟件發生的情況的上下文。

例如,如果Malware.StateREMOVED,則查找結果標題和描述應反映您的產品已刪除路徑上的惡意軟件。

如果Malware.StateOBSERVED,則查找結果標題和描述應反映您的商品在路徑上遇到此惡意軟件。

Type

指示惡意軟體類型。允許的值為ADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM

如果你需要一個額外的值Type,請聯繫 Security Hub 團隊。

Network

Network是單一物件。您不能添加多個與網絡相關的詳細信息。在映射欄位時,請使用下列準則。

目的地和源信息

目標和源易於映射 TCP 或 VPC 流日誌或 WAF 日誌。他們是更難以使用,當你正在描述網絡信息的發現有關攻擊.

通常,來源是攻擊的起源地,但它可能具有下面列出的其他來源。您應該在文檔中解釋來源,並在查找標題和描述中對其進行描述。

  • 對於 EC2 實例的 DDoS 攻擊,源是攻擊者,儘管真正的 DDoS 攻擊可能會使用數百萬台主機。目標位置為 EC2 實例的公有 IPv4 地址。Direction是在。

  • 對於觀察到從 EC2 實例到已知命令和控制節點通信的惡意軟件,源是 EC2 實例的 IPV4 地址。目標是命令和控制節點。DirectionOUT。您還可以提供MalwareThreatIntelIndicators

Protocol

Protocol始終映射到互聯網號碼分配機構 (IANA) 註冊名稱,除非您可以提供特定的協議。您應始終使用它並提供端口信息。

Protocol獨立於源信息和目標信息。只有在有意義的情況下才提供它。

Direction

Direction始終相對於AWS網絡邊界。

  • IN意味着它正在進入AWS(VPC、服務)。

  • OUT意味着它正在退出AWS網絡邊界。

Process

Process是單一物件。您不能添加多個與進程相關的詳細信息。在映射欄位時,請使用下列準則。

Name

Name應該與可執行文件的名稱相匹配。它最多可接受 64 個字元。

Path

Path是進程可執行檔的文件系統路徑。它最多可接受 512 個字符。

Pid, ParentPid

PidParentPid應該與 Linux 進程標識符 (PID) 或 Windows 事件 ID 匹配。若要區分開來,請使用 EC2 Amazon Machine Machine Image (AMI) 提供相關信息。客户可能會區分 Windows 和 Linux。

時間戳記 (LaunchedAtTerminatedAt)

如果您無法可靠地檢索此信息,並且該信息不準確到毫秒,請不要提供它。

如果客户依賴時間戳進行取證調查,那麼沒有時間戳比使用錯誤的時間戳更好。

ThreatIntelIndicators

ThreatIntelIndicators接受最多五個威脅情報對象的陣列。

對於每個條目,Type是在具體威脅的背景下. 允許的值為DOMAIN|EMAIL_ADDRESS|HASH_MD5|HASH_SHA1|HASH_SHA256|HASH_SHA512|IPV4_ADDRESS|IPV6_ADDRESS|MUTEX|PROCESS|URL

下面是一些如何繪製威脅情報指標的示例:

  • 你發現了一個你知道的過程與鈷罷工相關聯。你從FireEye的博客。

    Type 設為 PROCESS。同時創建Process對象。

  • 您的郵件過濾器發現有人從已知惡意域發送一個眾所周知的哈希包。

    建立 2 個ThreatIntelIndicator物件。一個對象是DOMAIN。另一個用於HASH_SHA1

  • 你發現惡意軟件與亞拉規則(洛基,芬裏爾,AWS3VirusScan、BinaryAlert。

    建立 2 個ThreatIntelIndicator物件。一個是惡意軟件。另一個用於HASH_SHA1

Resources

適用於Resources,請儘可能使用我們提供的資源類型和詳細信息字段。Security Hub 不斷向 ASFF 添加新資源。要接收 ASFF 更改的月度日誌,請聯繫

如果您無法適應模型化資源類型的詳細信息字段中的信息,請將剩餘詳細信息映射到Details.Other

對於未在 ASFF 中建模的資源,請將TypeOther。如需詳細資訊,請使用Details.Other

您也可以使用Other非資源類型AWS問題清單。

ProductFields

僅使用ProductFields如果您不能使用另一個策劃字段Resources或描述性對象,例如ThreatIntelIndicatorsNetwork, 或Malware

如果你確實使用ProductFields,您必須為此決定提供嚴格的理由。

合規

僅使用Compliance如果您的調查結果與合規性相關。

Security Hub 使用Compliance,瞭解它基於控件生成的調查結果。

Firewall Manager 使用Compliance,因為它們與遵守相關。

受限制的字段

這些字段旨在讓客户跟蹤他們對調查結果的調查。

請勿映射到這些字段或對象。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

對於這些字段,請映射到FindingProviderFields物件。請不要映射到頂層欄位。

  • Confidence— 如果您的服務具有類似的功能,或者您的查找結果 100%,則僅包含置信度分數 (0-99)。

  • Criticality— 重要度分數 (0-99) 用於表示與查找結果關聯的資源的重要性。

  • RelatedFindings— 僅當您可以跟蹤與同一資源或查找類型相關的查找結果時才提供相關的查找結果。要標識相關查找結果,您必須參考已在 Security Hub 中的查找結果的查找標識符。