必要的頂層屬性 - AWS Security Hub
AwsAccountIdCreatedAt描述GeneratorIdIdProductArn資源SchemaVersion嚴重性Title類型UpdatedAt

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要的頂層屬性

Security Hub 中的所有發現項目都需要 AWS 安全性發現項目格式 (ASFF) 中的下列頂層屬性。如需有關這些必要屬性的詳細資訊,請參閱 AWS Security Hub API 參考AwsSecurityFinding中的。

AwsAccountId

發現項目套用的 AWS 帳戶 ID。

範例

"AwsAccountId": "111111111111"

CreatedAt

指出發現項目擷取的潛在安全性問題何時建立。

範例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

Security Hub 會在最近更新 90 天後刪除發現項目,如果未發生更新,則會在建立日期後刪除 90 天。若要存放超過 90 天的發現項目,您可以在 Amazon 中設定將發現結果路由 EventBridge 到 S3 儲存貯體的規則。

描述

問題清單的描述。此欄位可以是非特定的範例文字或問題清單執行個體的特定詳細資訊。

針對 Security Hub 產生的控制項發現項目,此欄位會提供控制項的描述。

如果您開啟合併的控制項發現項目,則此欄位不會參考標準。

範例

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

產生問題清單的解決方案特定元件 (邏輯分散式單位) 識別符。

對於 Security Hub 產生的控制項發現項目,如果您開啟合併的控制項發現項目,則此欄位不會參考標準。

範例

"GeneratorId": "security-control/Config.1"

Id

問題清單的產品特定識別符。對於 Security Hub 產生的控制項發現項目,此欄位會提供發現項目的 Amazon 資源名稱 (ARN)。

如果您開啟合併的控制項發現項目,則此欄位不會參考標準。

範例

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

由 Security Hub 產生的 Amazon 資源名稱 (ARN),可在產品向 Security Hub 註冊後唯一識別第三方發現項目產品。

此欄位的格式為 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 對於與 Security Hub 整合的 AWS 服務,company-id必須是 "aws",而且product-id必須是 AWS 公用服務名稱。由於 AWS 產品和服務不與帳戶相關聯,因此 ARN 的account-id區段為空白。 AWS 尚未與 Security Hub 整合的服務會被視為協力廠商產品。

  • 針對公有產品,company-idproduct-id 必須是註冊時指定的 ID 值。

  • 針對私有產品,company-id 必須是帳戶 ID。product-id 必須是預留的 "default" 字詞,或註冊時指定的 ID。

範例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

資源

Resources物件會提供一組資源資料類型,用來描述發現項目所參照的 AWS 資源。

範例

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

要格式化問題清單的結構描述版本。此欄位的值必須是 AWS識別的正式發佈版本之一。在目前版本中,「 AWS 安全性發現格式」結構描述版本為2018-10-08

範例

"SchemaVersion": "2018-10-08"

嚴重性

定義發現項目的重要性。如需有關此物件的詳細資訊,請參閱 AWS Security Hub API 參考Severity中的。

Severity同時是尋找項目中的頂層物件,且巢狀於FindingProviderFields物件之下。

發現項目的頂層Severity物件的值應該只能由 BatchUpdateFindingsAPI 更新。

若要提供嚴重性資訊,尋找提供者應在發出 BatchImportFindingsAPI 要求FindingProviderFields時更新下的Severity物件。
 如果新發現項目的BatchImportFindings請求只提供Label或僅提供Normalized,則 Security Hub 會自動填入另一個欄位的值。 ProductOriginal欄位也可以填入。

如果頂層Finding.Severity物件存在但Finding.FindingProviderFields不存在,Security Hub 會建立FindingProviderFields.Severity物件並Finding.Severity object將整個物件複製到其中。這樣可以確保提供者提供的原始詳細信息保留在FindingProviderFields.Severity結構中,即使頂層Severity對象被覆蓋也是如此。

問題清單嚴重性不會將牽涉之資產或基礎資源的重要性納入考量。重要性的定義是與問題清單相關聯之資源的重要性層級。例如,與任務關鍵應用程式相關聯的資源,其重要性高於與非生產測試相關聯的資源。如果要擷取資源重要性的資訊,請使用 Criticality 欄位。

我們建議您在將搜尋結果的原生嚴重性分數轉譯為 ASFF Severity.Label 中的值時,使用下列指引。

  • INFORMATIONAL— 此類別可能包括PASSEDWARNING、或NOT AVAILABLE支票或敏感資料識別的發現項目。

  • LOW— 可能導致 future 妥協的結果。例如,此類別可能包括弱點、設定弱點和公開的密碼。

  • MEDIUM— 表示積極的妥協,但沒有跡象表明對手完成了他們的目標的發現。例如,此類別可能包括惡意軟件活動,黑客活動和異常行為檢測。

  • HIGHCRITICAL — 指出對手已完成其目標的發現項目,例如作用中的資料遺失或入侵或拒絕服務。

範例

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

問題清單的標題。此欄位可以包含非特定的範例文字或此問題清單執行個體的特定詳細資訊。

對於控制項發現項目,此欄位會提供控制項的標題。

如果您開啟合併的控制項發現項目,則此欄位不會參考標準。

範例

"Title": "AWS Config should be enabled"

類型

一或多個格式為 namespace/category/classifier 的問題清單類型,可分類問題清單。如果您開啟合併的控制項發現項目,則此欄位不會參考標準。

Types應該只使用 BatchUpdateFindings.

尋找想要提供值的提供者Types應該使用下的Types屬性FindingProviderFields

在下列清單中,頂層項目符號是命名空間,第二層項目符號是類別,第三層項目符號是分類器。我們建議尋找提供者使用定義的命名空間來協助排序和分組發現項目。您也可以使用已定義的類別和分類器,但這並非必要項目。只有軟體和組態檢查命名空間有定義的分類器。

您可以定義命名空間/分類/分類器的部分路徑。例如,下列尋找項目類型都是有效的:

  • TTP

  • TTPs/Defense Evasion

  • TTPS/ 防禦逃避/CloudTrailStopped

下列清單中的策略、技術和程序 (TTP) 類別與 MITRE AT &CK MatrixTM 相符。「異常行為」命名空間反映了一般的異常行為,例如一般統計異常,並且不與特定的 TTP 保持一致。不過,您可使用異常行為和 TTP 問題清單類型來分類問題清單。

命名空間、類別和分類器的清單:

  • 軟體和組態檢查

    • 漏洞

      • CVE

    • AWS 安全性最佳做法

      • 網路連線能力

      • 執行時間行為分析

    • 產業和法規標準

      • AWS 基礎安全性最佳做法

      • CIS 主機強化基準

      • 獨聯體 AWS 基礎基準

      • PCI-DSS

      • 雲端安全性聯盟控制

      • ISO 90001 控制

      • ISO 27001 控制

      • ISO 27017 控制

      • ISO 27018 控制

      • SOC 1

      • SOC 2

      • HIPAA 控制 (美國)

      • NIST 800-53 控制 (美國)

      • NIST CSF 控制 (美國)

      • IRAP 控制 (澳大利亞)

      • K-ISMS 控制 (韓國)

      • MTCS 控制 (新加坡)

      • FISC 控制 (日本)

      • 個人編號法案控制 (日本)

      • ENS 控制 (西班牙)

      • Cyber Essentials Plus 控制 (英國)

      • G-Cloud 控制 (英國)

      • C5 控制 (德國)

      • IT-Grundschutz 控制 (德國)

      • GDPR 控制 (歐洲)

      • TISAX 控制 (歐洲)

    • 修補管理

  • TTP

    • 初始存取

    • 執行

    • Persistence

    • 權限提升

    • 防禦逃脫

    • 登入資料存取

    • 探索

    • 水平擴散

    • 收集

    • 命令和控制

  • 效果

    • 資料曝光

    • 資料外洩

    • 資料銷毀

    • 拒絕服務

    • 資源耗用

  • 異常行為

    • 應用程式

    • 網路流程

    • IP 地址

    • 使用者

    • VM

    • 容器

    • 無伺服器

    • 處理

    • 資料庫

    • 資料

  • 敏感資料識別

    • PII

    • 密碼

    • 法律聲明

    • 金融

    • 安全

    • 商業

範例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

指出尋找項目提供者上次更新發現項目記錄的時間。

此時間戳記會反映發現項目記錄上次或最近更新的時間。因此,它可能與時LastObservedAt間戳記不同,時間戳記反映事件或弱點是上次或最近觀察到的時間。

更新問題清單記錄時,您必須將此時間戳記更新為目前的時間戳記。建立搜尋結果記錄時,CreatedAtUpdatedAt時間戳記必須相同。更新發現項目記錄之後,此欄位的值必須比其所包含的所有先前值更新。

請注意,UpdatedAt無法使用 BatchUpdateFindingsAPI 作業進行更新。您只能使用更新它BatchImportFindings

範例

"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意

Security Hub 會在最近更新 90 天後刪除發現項目,如果未發生更新,則會在建立日期後刪除 90 天。若要存放超過 90 天的發現項目,您可以在 Amazon 中設定將發現結果路由 EventBridge 到 S3 儲存貯體的規則。