本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
必要的頂層ASFF屬性
下列中的頂層屬性 AWS 安全性中心中的所有發現項目都需要安全性尋找項目格式 (ASFF)。如需有關這些必要屬性的詳細資訊,請參閱 AwsSecurityFinding 中的 AWS Security Hub API參考。
AwsAccountId
所以此 AWS 帳戶 發現項目套用的識別碼。
範例
"AwsAccountId": "111111111111"
CreatedAt
指出發現項目擷取的潛在安全性問題何時建立。
範例
"CreatedAt": "2017-03-22T13:22:13.933Z"
注意
Security Hub 會在最近更新 90 天後刪除發現項目,如果未發生更新,則會在建立日期後刪除 90 天。若要存放超過 90 天的發現項目,您可以在 Amazon 中設定將發現結果路由 EventBridge 到 S3 儲存貯體的規則。
描述
問題清單的描述。此欄位可以是非特定的範例文字或問題清單執行個體的特定詳細資訊。
針對 Security Hub 產生的控制項發現項目,此欄位會提供控制項的描述。
如果您開啟合併的控制項發現項目,則此欄位不會參考標準。
範例
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
產生問題清單的解決方案特定元件 (邏輯分散式單位) 識別符。
對於 Security Hub 產生的控制項發現項目,如果您開啟合併的控制項發現項目,則此欄位不會參考標準。
範例
"GeneratorId": "security-control/Config.1"
Id
問題清單的產品特定識別符。對於 Security Hub 產生的控制項發現項目,此欄位會提供發現項目的 Amazon 資源名稱 (ARN)。
如果您開啟合併的控制項發現項目,則此欄位不會參考標準。
範例
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
由 Security Hub 產生的 Amazon 資源名稱 (ARN),可在產品向 Security Hub 註冊後唯一識別第三方發現項目產品。
此欄位的格式為 arn:
。partition
:securityhub:region
:account-id
:product/company-id
/product-id
-
用於 AWS 與 Security Hub 整合的服務,
company-id
必須是aws
「」,而且product-id
必須是 AWS 公共服務名稱。因為 AWS 產品和服務不與帳戶關聯,的account-id
部分ARN是空的。 AWS 尚未與 Security Hub 整合的服務會被視為協力廠商產品。 -
針對公有產品,
company-id
和product-id
必須是註冊時指定的 ID 值。 -
針對私有產品,
company-id
必須是帳戶 ID。product-id
必須是預留的 "default" 字詞,或註冊時指定的 ID。
範例
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
資源
Resources物件提供了一組資源資料類型,用來描述 AWS 發現項目所指的資源。
範例
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
要格式化問題清單的結構描述版本。此欄位的值必須是其中一個正式發佈的版本 AWS。 在目前的版本中, AWS 安全性發現格式架構版本為2018-10-08
.
範例
"SchemaVersion": "2018-10-08"
嚴重性
定義發現項目的重要性。如需有關此物件的詳細資訊,請參閱Severity
中的 AWS Security Hub API參考。
Severity
同時是尋找項目中的頂層物件,且巢狀於FindingProviderFields
物件之下。
發現項目的頂層Severity
物件值只能由更新BatchUpdateFindings
API。
若要提供嚴重性資訊,尋找提供者應在提出BatchImportFindings
API要求FindingProviderFields
時更新下的Severity
物件。
如果新發現項目的BatchImportFindings
請求只提供Label
或僅提供Normalized
,則 Security Hub 會自動填入另一個欄位的值。 Product
和Original
欄位也可以填入。
如果頂層Finding.Severity
物件存在但Finding.FindingProviderFields
不存在,Security Hub 會建立FindingProviderFields.Severity
物件並Finding.Severity object
將整個物件複製到其中。這樣可以確保提供者提供的原始詳細信息保留在FindingProviderFields.Severity
結構中,即使頂層Severity
對象被覆蓋也是如此。
問題清單嚴重性不會將牽涉之資產或基礎資源的重要性納入考量。重要性的定義是與問題清單相關聯之資源的重要性層級。例如,與任務關鍵應用程式相關聯的資源,其重要性高於與非生產測試相關聯的資源。如果要擷取資源重要性的資訊,請使用 Criticality
欄位。
我們建議您在將搜尋結果的原生嚴重性分數轉譯為中的Severity.Label
值時,使用下列指引。ASFF
-
INFORMATIONAL
— 此類別可能包括PASSED
WARNING
、或NOT AVAILABLE
支票或敏感資料識別的發現項目。 -
LOW
— 可能導致 future 妥協的結果。例如,此類別可能包括弱點、設定弱點和公開的密碼。 -
MEDIUM
— 表示積極的妥協,但沒有跡象表明對手完成了他們的目標的發現。例如,此類別可能包括惡意軟件活動,黑客活動和異常行為檢測。 -
HIGH
或CRITICAL
— 指出對手已完成其目標的發現項目,例如作用中的資料遺失或入侵,或拒絕服務。
範例
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Title
問題清單的標題。此欄位可以包含非特定的範例文字或此問題清單執行個體的特定詳細資訊。
對於控制項發現項目,此欄位會提供控制項的標題。
如果您開啟合併的控制項發現項目,則此欄位不會參考標準。
範例
"Title": "AWS Config should be enabled"
類型
一或多個格式為
的問題清單類型,可分類問題清單。如果您開啟合併的控制項發現項目,則此欄位不會參考標準。namespace
/category
/classifier
Types
應該只使用 BatchUpdateFindings
.
尋找想要提供值的提供者Types
應該使用下的Types
屬性FindingProviderFields
。
在下列清單中,頂層項目符號是命名空間,第二層項目符號是類別,第三層項目符號是分類器。我們建議尋找提供者使用定義的命名空間來協助排序和分組發現項目。定義的類別和分類器也可以使用,但這不是必需的。只有軟體和組態檢查命名空間有定義的分類器。
您可以定義命名空間/分類/分類器的部分路徑。例如,下列尋找項目類型都是有效的:
-
TTPs
-
TTPs/防禦逃避
-
TTPs/防衛迴避/CloudTrailStopped
下列清單中的策略、技巧和程序 (TTPs) 類別與 MITREATT&CK Matri
命名空間、類別和分類器的清單:
-
軟體和組態檢查
-
漏洞
-
CVE
-
-
AWS 安全最佳實務
-
網路連線能力
-
執行時間行為分析
-
-
產業和法規標準
-
AWS 基礎安全性最佳做法
-
CIS主機強化基準
-
CIS AWS 基礎基準
-
PCI-DSS
-
雲端安全性聯盟控制
-
ISO控制功能
-
ISO27001 控制項
-
ISO控制項
-
ISO智能控制
-
SOC1
-
SOC2
-
HIPAA控制項 (USA)
-
NIST控制功能 () USA
-
NISTCSF控制項 (USA)
-
IRAP控制(澳大利亞)
-
K-ISMS 控制(韓國)
-
MTCS控制(新加坡)
-
FISC控制(日本)
-
個人編號法案控制 (日本)
-
ENS控制(西班牙)
-
Cyber Essentials Plus 控制 (英國)
-
G-Cloud 控制 (英國)
-
C5 控制 (德國)
-
IT-Grundschutz 控制 (德國)
-
GDPR控制(歐洲)
-
TISAX控制(歐洲)
-
-
修補管理
-
-
TTPs
-
初始存取
-
執行
-
Persistence
-
權限提升
-
防禦逃脫
-
登入資料存取
-
探索
-
水平擴散
-
收集
-
命令和控制
-
-
效果
-
資料曝光
-
資料外洩
-
資料銷毀
-
拒絕服務
-
資源耗用
-
-
異常行為
-
應用程式
-
網路流程
-
IP 地址
-
使用者
-
VM
-
容器
-
無伺服器
-
流程
-
資料庫
-
資料
-
-
敏感資料識別
-
PII
-
密碼
-
法律聲明
-
金融
-
安全
-
商業
-
範例
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
指出尋找項目提供者上次更新發現項目記錄的時間。
此時間戳記會反映發現項目記錄上次或最近更新的時間。因此,它可能與時LastObservedAt
間戳記不同,時間戳記反映事件或弱點是上次或最近觀察到的時間。
更新問題清單記錄時,您必須將此時間戳記更新為目前的時間戳記。建立搜尋結果記錄時,CreatedAt
和UpdatedAt
時間戳記必須相同。更新發現項目記錄之後,此欄位的值必須比其所包含的所有先前值更新。
請注意,UpdatedAt
無法使用此作業進BatchUpdateFindings
API行更新。您只能使用更新它BatchImportFindings
。
範例
"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意
Security Hub 會在最近更新 90 天後刪除發現項目,如果未發生更新,則會在建立日期後刪除 90 天。若要存放超過 90 天的發現項目,您可以在 Amazon 中設定將發現結果路由 EventBridge 到 S3 儲存貯體的規則。