本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
可選的頂層屬性
在「 AWS 安全性發現格式」(ASFF) 中,這些最上層屬性是選用的。如需有關這些屬性的詳細資訊,請參閱 AWS Security Hub API 參考AwsSecurityFinding中的。
動作
Action物件提供有關影響資源或對資源執行之動作的詳細資訊。
範例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
發現項目適用的 AWS 帳戶 名稱。
範例
"AwsAccountName": "jane-doe-testaccount"
CompanyName
產生發現項目之產品的公司名稱。對於基於控制的發現,公司是 AWS。
Security Hub 會自動為每個發現項目填入此屬性。您無法使用BatchImportFindings或更新它BatchUpdateFindings。例外情況是當您使用自訂整合時。請參閱使用自訂產品整合將發現項目傳送至 AWS Security Hub。
當您使用 Security Hub 主控台依公司名稱篩選發現項目時,您可以使用此屬性。當您使用 Security Hub API 依公司名稱篩選發現項目時,您可以使用下的aws/securityhub/CompanyName屬性ProductFields。Security Hub 不會同步處理這兩個屬性。
範例
"CompanyName": "AWS"
合規
Compliance物件會提供與控制項相關的尋找詳細資訊。系統會針對從 Security Hub 控制項產生的發現項目,以及 AWS Config 傳送至 Security Hub 的發現項目傳回此屬性。
範例
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
可信度
發現項目可準確識別其用於識別之行為或問題的可能性。
Confidence應該只使用 BatchUpdateFindings.
尋找想要提供值的提供者Confidence應該使用下的Confidence屬性FindingProviderFields。請參閱使用 FindingProviderFields。
Confidence使用比率刻度以 0-100 的基礎進行得分。0 表示百分之零的信賴度,100 表示 100% 的信賴度。例如,基於網路流量統計偏差的資料洩漏偵測具有較低的信賴度,因為尚未驗證實際洩漏。
範例
"Confidence": 42
危急性
指定給與發現項目相關聯之資源的重要性層級。
Criticality只能通過調用 BatchUpdateFindingsAPI 操作進行更新。請勿使用更新此物件BatchImportFindings。
尋找想要提供值的提供者Criticality應該使用下的Criticality屬性FindingProviderFields。請參閱使用 FindingProviderFields。
Criticality使用僅支援完整整數的比率刻度,以 0-100 為基礎進行評分。0 分表示不重要的基礎資源,100 分預留給最重要的資源。
對於每個資源,指定時請考慮下列事項Criticality:
-
受影響的資源是否包含敏感資料 (例如,含 PII 的 S3 儲存貯體)?
-
受影響的資源是否使對手能夠加深他們的訪問或擴展其功能以執行其他惡意活動(例如,受損的系統管理員帳戶)?
-
此資源是否為企業重要資產 (例如,若遭入侵可能造成重大收益損失的業務系統)?
您可使用下列準則:
-
支援關鍵任務系統或包含高度敏感資料的資源,可在 75—100 範圍內評分。
-
支持重要(但不是關鍵系統)或包含中等重要數據的資源可以在 25—74 範圍內進行評分。
-
為不重要的系統供電或包含非敏感資料的資源應在 0-24 範圍內進行評分。
範例
"Criticality": 99
FindingProviderFields
FindingProviderFields包括下列屬性:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
您可以使FindingProviderFields用 BatchImportFindingsAPI 操作進行更新。您無法使用更新它BatchUpdateFindings。
如需有關 Security Hub 如何處理來自BatchImportFindings對應頂層屬性的更新FindingProviderFields和更新的詳細資訊,請參閱使用 FindingProviderFields。
範例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
指出第一次觀察到發現項目擷取的潛在安全性問題的時間。
此時間戳記會反映第一次發現事件或弱點的時間。因此,它可能與時間戳記不同,時間CreatedAt戳記反映建立此尋找結果記錄的時間。
此時間戳記在發現記錄的更新之間應該是不可變的,但如果確定更準確的時間戳記,則可以更新。
範例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
指出安全發現項目產品最近發現項目所擷取的潛在安全性問題的時間。
此時間戳記會反映上次或最近發現事件或弱點的時間。因此,它可能與時UpdatedAt間戳記不同,時間戳記反映此尋找記錄上次或最近更新的時間。
您可以提供此時間戳記,但在第一次觀察時不需要此時間戳記。如果您在第一次觀察時提供此欄位,則時間戳記應與FirstObservedAt時間戳記相同。您應該更新此欄位,以在每次觀察到問題清單時,反映上次或最近觀察到的時間戳記。
範例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
惡意
Malware 物件提供與問題清單相關的惡意程式清單。
範例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
網路 (已停用)
Network物件提供有關發現項目的網路相關資訊。
此物件已淘汰。若要提供此資料,您可以將資料對映至中的資源Resources,或使用Action物件。
範例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
此NetworkPath物件會提供與發現項目相關之網路路徑的相關資訊。中的每個項目都NetworkPath代表路徑的一個元件。
範例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
注意
Note物件會指定使用者定義的附註,您可以加入至發現項目。
問題清單提供者可以提供問題清單的初始備註,但之後便無法新增備註。您只能使用更新註記BatchUpdateFindings。
範例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
此PatchSummary物件會針對選取的相容性標準,提供執行處理的修補程式相容性狀態摘要。
範例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
處理
Process物件會提供有關發現項目的程序相關詳細資訊。
範例:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
指出 Security Hub 何時收到發現項目,並開始處理它。
這與CreatedAt和不同UpdatedAt,這是與尋找項目提供者與安全性問題和發現項目互動相關的必要時間戳記。ProcessedAt時間戳記會指出 Security Hub 何時開始處理尋找項目。處理完成後,發現項目會顯示在使用者的帳戶中。
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
一種資料類型,其中安全發現項目產品可以包含其他解決方案特定詳細資料,這些詳細資料不屬於定義的 AWS 安全性發現
對於 Security Hub 控制項產生的發現項目,ProductFields包括控制項的相關資訊。請參閱產生及更新控制項發現項。
此欄位不應包含多餘的資料,也不得包含與「 AWS 安全性發現格式」欄位衝突的資料。
aws/"前置詞僅代表 AWS 產品和服務的保留命名空間,不得與第三方整合的發現結果一起提交。
雖然非必要,但產品應該將欄位名稱格式化為 company-id/product-id/field-name,其中 company-id 和 product-id 符合問題清單 ProductArn 所提供的內容。
當 Security Hub 封存現有的發現項Archival目時,會使用參照的欄位。例如,當您停用控制項或標準,以及開啟或關閉合併控制項發現項目時,Security Hub 會封存現有的發現項目。
此欄位也可能包含標準的相關資訊,其中包括產生發現項目的控制項。
範例
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
提供產生發現項目的產品名稱。對於以控制項為基礎的發現項目,產品名稱為 Security Hub。
Security Hub 會自動為每個發現項目填入此屬性。您無法使用BatchImportFindings或更新它BatchUpdateFindings。例外情況是當您使用自訂整合時。請參閱使用自訂產品整合將發現項目傳送至 AWS Security Hub。
當您使用 Security Hub 主控台依產品名稱篩選發現項目時,您可以使用此屬性。
當您使用 Security Hub API 依產品名稱篩選發現項目時,您可以使用下的aws/securityhub/ProductName屬性ProductFields。
Security Hub 不會同步處理這兩個屬性。
RecordState
提供發現項目的記錄狀態。
根據預設,會將服務一開始產生的問題清單視為 ACTIVE。
ARCHIVED 狀態表示問題清單應被隱藏看不到。封存的問題清單不會立即刪除。您可以搜尋、檢閱和報告它們。如果刪除關聯的資源、資源不存在或控制項已停用,Security Hub 會自動封存以控制項為基礎的發現項目。
RecordState用於尋找提供者,且只能由更新BatchImportFindings。您無法使用更新它BatchUpdateFindings。
若要追蹤調查項目的狀態,請使用Workflow而非RecordState。
如果記錄狀態從變更ARCHIVED為ACTIVE,且搜尋結果的工作流程狀態為NOTIFIED或RESOLVED,則 Security Hub 會自動將工作流程狀態設定為NEW。
範例
"RecordState": "ACTIVE"
區域
指定產生發現項目的 AWS 區域 來源。
Security Hub 會自動為每個發現項目填入此屬性。您無法使用BatchImportFindings或更新它BatchUpdateFindings。
範例
"Region": "us-west-2"
RelatedFindings
提供與目前發現項目相關的發現項目清單。
RelatedFindings應該只使用 BatchUpdateFindingsAPI 操作進行更新。您不應使用更新此物件BatchImportFindings。
針對BatchImportFindings要求,尋找提供者應該使用下的RelatedFindings物件FindingProviderFields。
若要檢視RelatedFindings屬性的說明,請參閱 AWS Security Hub API 參考RelatedFinding中的。
範例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
修補
Remediation 物件可提供處理問題清單的建議修補步驟資訊。
範例
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
樣本
指定尋找項目是否為範例尋找項目。
"Sample": true
SourceUrl
SourceUrl物件會提供連結至有關尋找項目產品中目前發現項目之頁面的 URL。
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
ThreatIntelIndicator物件提供與發現項目相關的威脅情報詳細資訊。
範例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
威脅
Threats物件會提供有關發現項目偵測到之安全威脅的詳細資訊。
範例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
提供與發現項目相關聯的名稱-值字串配對清單。這些是新增到問題清單的自訂使用者定義欄位。這些欄位可透過您的特定組態自動產生。
尋找提供者不應將此欄位用於產品產生的資料。相反地,尋找提供者可以將此ProductFields欄位用於未對應至任何標準「 AWS 安全性發現格式」欄位的資料。
這些欄位只能使用 BatchUpdateFindings 更新。
範例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
提供發現的真實性。發現項目產品可以UNKNOWN為此欄位提供的值。如果發現項目產品的系統中存在有意義的類比,則發現項目產品應該為此欄位提供值。此欄位通常由使用者決定或動作在調查發現項目後填入。
問題清單提供者可以提供此屬性的初始值,但之後便無法更新該值。您只能使用更新此屬性BatchUpdateFindings。
"VerificationState": "Confirmed"
漏洞
此Vulnerabilities物件會提供與發現項目相關聯的弱點清單。
範例
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
工作流程
Workflow 物件會提供關於問題清單調查狀態的相關資訊。
此欄位適用於客戶搭配補救、協調流程和票務工具使用。這不適用於問題清單提供者。
您只能使用更新Workflow欄位BatchUpdateFindings。客戶也只能從主控台進行更新。請參閱設定發現項目的工作流程狀態。
範例
"Workflow": { "Status": "NEW" }
WorkflowState (已退休)
此物件已淘汰,而且已由Workflow物件的Status欄位取代。
此欄位提供發現項目的工作流程狀態。問題清單產品可針對此欄位提供 NEW 值。如果問題清單產品系統中有意義的類比,問題清單產品可針對此欄位提供值。
範例
"WorkflowState": "NEW"
