Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richtlinien für die Zuordnung von Ergebnissen zum AWS Security Finding Format (ASFF)
Verwenden Sie die folgenden Richtlinien, um Ihre Ergebnisse dem ASFF zuzuordnen. *Eine ausführliche Beschreibung der einzelnen ASFF-Felder und -Objekte [finden Sie im AWS Benutzerhandbuch unter Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).AWS Security Hub *
## Identifizierende Informationen
`SchemaVersion` ist immer `2018-10-08`.
`ProductArn`ist der ARN, der Ihnen AWS Security Hub CSPM zugewiesen wird.
`Id`ist der Wert, den Security Hub CSPM verwendet, um Ergebnisse zu indexieren. Die Ergebnis-ID muss eindeutig sein, um sicherzustellen, dass andere Ergebnisse nicht überschrieben werden. Um ein Ergebnis zu aktualisieren, reichen Sie das Ergebnis erneut mit derselben Kennung ein.
`GeneratorId`kann mit einer diskreten Logikeinheit identisch sein `Id` oder sich auf eine solche beziehen, z. B. eine GuardDuty Amazon-Detektor-ID, AWS Config Rekorder-ID oder IAM Access Analyzer-ID.
## Title und Description
`Title`sollte einige Informationen über die betroffene Ressource enthalten. `Title`ist auf 256 Zeichen einschließlich Leerzeichen begrenzt.
Fügen Sie ausführlichere Informationen zu hinzu`Description`. `Description`ist auf 1024 Zeichen einschließlich Leerzeichen begrenzt. Sie können erwägen, Beschreibungen zu kürzen. Hier ein Beispiel:
```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```
## Erkenntnistypen
Sie geben Informationen zu Ihrem Suchtyp unter an`FindingProviderFields.Types`.
`Types`sollte der [Typen-Taxonomie für](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html) ASFF entsprechen.
Bei Bedarf können Sie einen benutzerdefinierten Klassifikator (den dritten Namespace) angeben.
## Zeitstempel
Das ASFF-Format enthält einige verschiedene Zeitstempel.
**`CreatedAt` und `UpdatedAt`**
Sie müssen `UpdatedAt` jedes Mal, wenn Sie anrufen [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html), jedes Ergebnis einreichen`CreatedAt`.
Die Werte müssen dem ISO8601 Format in Python 3.8 entsprechen.
```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```
**`FirstObservedAt` und `LastObservedAt`**
`FirstObservedAt`und `LastObservedAt` müssen mit dem Zeitpunkt übereinstimmen, zu dem Ihr System den Befund beobachtet hat. Wenn Sie diese Informationen nicht aufzeichnen, müssen Sie diese Zeitstempel nicht einreichen.
Die Werte entsprechen dem ISO8601 Format in Python 3.8.
```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```
## Severity
Sie geben Informationen zum Schweregrad in das `FindingProviderFields.Severity` Objekt ein, das die folgenden Felder enthält.
**`Original`**
Der Schweregradwert aus Ihrem System. `Original`kann eine beliebige Zeichenfolge sein, die dem von Ihnen verwendeten System entspricht.
**`Label`**
Der erforderliche Security Hub CSPM-Indikator für den Schweregrad des Fundes. Die zulässigen Werte lauten wie folgt.
+ `INFORMATIONAL`— Es wurde kein Problem gefunden.
+ `LOW`— Das Problem erfordert keine eigenständigen Maßnahmen.
+ `MEDIUM`— Das Problem muss angegangen werden, aber nicht dringend.
+ `HIGH`— Das Problem muss vorrangig angegangen werden.
+ `CRITICAL`— Das Problem muss sofort behoben werden, um weiteren Schaden zu vermeiden.
Feststellungen, die konform sind, hätten immer auf `INFORMATIONAL` Folgendes `Label` eingestellt werden müssen. Beispiele für `INFORMATIONAL` Ergebnisse sind Ergebnisse von Sicherheitsüberprüfungen, die bestanden wurden, und AWS Firewall Manager Ergebnisse, die behoben wurden.
Kunden sortieren die Ergebnisse häufig nach ihrem Schweregrad, um ihren Sicherheitsteams eine Aufgabenliste zu geben. Seien Sie vorsichtig, wenn Sie den Schweregrad der Ergebnisse auf `HIGH` oder `CRITICAL` setzen.
Ihre Integrationsdokumentation muss Ihre Begründung für die Zuordnung enthalten.
## Remediation
`Remediation`besteht aus zwei Elementen. Diese Elemente werden auf der Security Hub CSPM-Konsole kombiniert.
`Remediation.Recommendation.Text`wird im Abschnitt „**Problembehebung**“ der Ergebnisdetails angezeigt. Es ist mit dem Wert von verlinkt. `Remediation.Recommendation.Url`
Derzeit enthalten nur Ergebnisse der Security Hub CSPM-Standards, IAM Access Analyzer und Firewall Manager Hyperlinks zu Dokumentationen zur Behebung des Fehlers.
## SourceUrl
Verwenden Sie diese Option nur`SourceUrl`, wenn Sie eine Deep-Link-URL zu Ihrer Konsole für diesen spezifischen Befund angeben können. Andernfalls sollten Sie es in der Zuordnung weglassen.
Security Hub CSPM unterstützt keine Hyperlinks aus diesem Feld, es ist jedoch auf der Security Hub CSPM-Konsole verfügbar.
## Malware, Network, Process, ThreatIntelIndicators
Verwenden `Malware` Sie gegebenenfalls,, oder. `Network` `Process` `ThreatIntelIndicators` Jedes dieser Objekte ist in der Security Hub CSPM-Konsole verfügbar. Verwenden Sie diese Objekte im Kontext des Ergebnisses, das Sie senden.
Wenn Sie beispielsweise Malware entdecken, die eine ausgehende Verbindung zu einem bekannten Command-and-Control-Knoten herstellt, geben Sie die Details für die EC2-Instance in an. `Resource.Details.AwsEc2Instance` Geben Sie die relevanten `Malware``Network`, und `ThreatIntelIndicator` Objekte für diese EC2-Instance an.
### Malware
`Malware`ist eine Liste, die bis zu fünf Arrays mit Malware-Informationen akzeptiert. Machen Sie die Malware-Einträge relevant für die Ressource und das Ergebnis.
Jeder Eintrag hat die folgenden Felder.
**`Name`**
Der Name der Malware. Der Wert ist eine Zeichenfolge mit bis zu 64 Zeichen.
`Name`sollte aus einer geprüften Quelle für Bedrohungsinformationen oder Forscher stammen.
**`Path`**
Der Pfad zur Malware. Der Wert ist eine Zeichenfolge mit bis zu 512 Zeichen. `Path`sollte ein Linux- oder Windows-Systemdateipfad sein, außer in den folgenden Fällen.
+ Wenn Sie Objekte in einem S3-Bucket oder einem EFS-Share anhand der YARA-Regeln scannen, `Path` ist dies der S3: //- oder HTTPS-Objektpfad.
+ Wenn Sie Dateien in einem Git-Repository scannen, `Path` ist dies die Git-URL oder der Klonpfad.
**`State`**
Der Status der Malware. Die zulässigen Werte sind `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.
Stellen Sie sicher, dass Sie im Titel und in der Beschreibung des Befundes einen Kontext dafür angeben, was mit der Malware passiert ist.
Wenn dies beispielsweise der Fall `Malware.State` ist`REMOVED`, sollten der Titel und die Beschreibung des Befundes darauf hinweisen, dass Ihr Produkt die Malware entfernt hat, die sich auf dem Pfad befindet.
Falls ja `Malware.State``OBSERVED`, sollten der Titel und die Beschreibung des Ergebnisses darauf hinweisen, dass Ihr Produkt auf diese Schadsoftware gestoßen ist, die sich im Pfad befindet.
**`Type`**
Gibt die Art der Malware an. Die zulässigen Werte sind `ADWARE` \$1 \$1 `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` \$1 `KEYLOGGER` \$1 \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.
Wenn Sie einen zusätzlichen Wert für benötigen`Type`, wenden Sie sich an das Security Hub CSPM-Team.
### Network
`Network`ist ein einzelnes Objekt. Sie können nicht mehrere netzwerkbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.
**Ziel- und Quellinformationen**
Ziel und Quelle können einfach TCP- oder VPC-Flow-Logs oder WAF-Logs zugeordnet werden. Sie sind schwieriger zu verwenden, wenn Sie Netzwerkinformationen beschreiben, um Erkenntnisse über einen Angriff zu erhalten.
In der Regel handelt es sich bei der Quelle um den Ursprung des Angriffs, es könnte sich aber auch um andere Quellen handeln, wie unten aufgeführt. Sie sollten die Quelle in Ihrer Dokumentation erläutern und sie auch im Titel und in der Beschreibung der Ergebnisse beschreiben.
+ Bei einem DDoS-Angriff auf eine EC2-Instance ist der Angreifer die Quelle, obwohl ein echter DDoS-Angriff Millionen von Hosts nutzen kann. Das Ziel ist die öffentliche IPv4-Adresse der EC2-Instance. `Direction`ist IN.
+ Bei Schadsoftware, bei der beobachtet wird, dass sie von einer EC2-Instance zu einem bekannten Command-and-Control-Knoten kommuniziert, ist die Quelle die IPV4-Adresse der EC2-Instance. Das Ziel ist der Befehls- und Kontrollknoten. `Direction`ist`OUT`. Sie würden auch bereitstellen `Malware` und`ThreatIntelIndicators`.
**`Protocol`**
`Protocol`wird immer einem bei der Internet Assigned Numbers Authority (IANA) registrierten Namen zugeordnet, es sei denn, Sie können ein bestimmtes Protokoll angeben. Sie sollten dies immer verwenden und die Portinformationen angeben.
`Protocol`ist unabhängig von den Quell- und Zielinformationen. Geben Sie sie nur an, wenn es sinnvoll ist.
**`Direction`**
`Direction`ist immer relativ zu den AWS Netzwerkgrenzen.
+ `IN`bedeutet, dass es eintritt AWS (VPC, Service).
+ `OUT`bedeutet, dass es die AWS Netzwerkgrenzen verlässt.
### Process
`Process`ist ein einzelnes Objekt. Sie können nicht mehrere prozessbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.
**`Name`**
`Name`sollte dem Namen der ausführbaren Datei entsprechen. Es akzeptiert bis zu 64 Zeichen.
****`Path`****
`Path`ist der Dateisystempfad zur ausführbaren Datei des Prozesses. Er akzeptiert bis zu 512 Zeichen.
**`Pid`, `ParentPid`**
`Pid`und `ParentPid` sollte mit der Linux-Prozess-ID (PID) oder der Windows-Ereignis-ID übereinstimmen. Verwenden Sie zur Differenzierung EC2 Amazon Machine Images (AMI), um die Informationen bereitzustellen. Kunden können wahrscheinlich zwischen Windows und Linux unterscheiden.
**Zeitstempel (`LaunchedAt`und`TerminatedAt`)**
Wenn Sie diese Informationen nicht zuverlässig abrufen können und sie nicht auf die Millisekunde genau sind, geben Sie sie nicht an.
Wenn sich ein Kunde bei forensischen Untersuchungen auf Zeitstempel verlässt, ist es besser, keinen Zeitstempel zu haben als einen falschen Zeitstempel zu haben.
### ThreatIntelIndicators
`ThreatIntelIndicators`akzeptiert ein Array von bis zu fünf Threat-Intelligence-Objekten.
Steht für jeden `Type` Eintrag im Kontext der spezifischen Bedrohung. Die zulässigen Werte sind `DOMAIN` \$1 \$1 `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` \$1 \$1 `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.
Im Folgenden finden Sie einige Beispiele für die Zuordnung von Threat Intelligence-Indikatoren:
+ Sie haben einen Prozess gefunden, von dem Sie wissen, dass er mit Cobalt Strike zusammenhängt. Sie haben das aus FireEye unserem Blog gelernt.
Setzen Sie `Type` auf `PROCESS`. Erstellen Sie auch ein `Process` Objekt für den Prozess.
+ Ihr E-Mail-Filter hat festgestellt, dass jemand ein bekanntes Hash-Paket von einer bekannten bösartigen Domain gesendet hat.
Erstellen Sie zwei `ThreatIntelIndicator` Objekte. Ein Objekt ist für die`DOMAIN`. Der andere ist für den`HASH_SHA1`.
+ Sie haben Malware mit einer Yara-Regel gefunden (Loki, Fenrir, Awss3,). VirusScan BinaryAlert
`ThreatIntelIndicator`Erstellen Sie zwei Objekte. Eines ist für die Malware. Der andere ist für die`HASH_SHA1`.
## Resources
Verwenden Sie für`Resources`, wann immer möglich, unsere bereitgestellten Ressourcentypen und Detailfelder. Security Hub CSPM erweitert die ASFF ständig um neue Ressourcen. Um ein monatliches Protokoll der Änderungen an ASFF zu erhalten, wenden Sie sich an securityhub-partners@amazon.com.
Wenn Sie die Informationen nicht in die Detailfelder für einen modellierten Ressourcentyp einpassen können, ordnen Sie die restlichen Details zu. `Details.Other`
Stellen Sie für eine Ressource, die nicht in ASFF modelliert ist, auf ein. `Type` `Other` Nähere Informationen finden Sie unter. `Details.Other`
Sie können den `Other` Ressourcentyp auch für AWS Nichtergebnisse verwenden.
## ProductFields
Verwenden Sie diese Option nur, `ProductFields` wenn Sie kein anderes kuratiertes Feld `Resources` oder ein beschreibendes Objekt wie `ThreatIntelIndicators``Network`, oder verwenden können. `Malware`
Wenn Sie es verwenden`ProductFields`, müssen Sie diese Entscheidung genau begründen.
## Compliance
Verwenden Sie diese Option nur`Compliance`, wenn sich Ihre Ergebnisse auf die Einhaltung der Vorschriften beziehen.
Security Hub CSPM verwendet `Compliance` für die Ergebnisse, die es auf der Grundlage von Kontrollen generiert.
Firewall Manager verwendet `Compliance` für seine Ergebnisse, da sie sich auf die Einhaltung der Vorschriften beziehen.
## Eingeschränkte Felder
Diese Felder dienen Kunden dazu, den Überblick über ihre Untersuchungen zu einem Ergebnis zu behalten.
Ordnen Sie diese Felder oder Objekte nicht zu.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Ordnen Sie diese Felder den Feldern zu, die sich im `FindingProviderFields` Objekt befinden. Ordnen Sie sie nicht den Feldern der obersten Ebene zu.
+ `Confidence`— Geben Sie nur dann einen Konfidenzwert (0-99) an, wenn Ihr Service über eine ähnliche Funktionalität verfügt oder wenn Sie zu 100% zu Ihrem Ergebnis stehen.
+ `Criticality`— Der Kritikalitätswert (0-99) soll die Bedeutung der mit dem Ergebnis verbundenen Ressource ausdrücken.
+ `RelatedFindings`— Geben Sie nur dann verwandte Ergebnisse an, wenn Sie den Überblick über Ergebnisse behalten können, die sich auf dieselbe Ressource oder denselben Befundtyp beziehen. Um ein verwandtes Ergebnis zu identifizieren, müssen Sie auf die Ergebnis-ID eines Befundes verweisen, das sich bereits in Security Hub CSPM befindet.