Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche Attribute der obersten Ebene ASFF
Die folgenden Attribute der obersten Ebene im AWS Security Finding Format (ASFF) sind für alle Ergebnisse in Security Hub erforderlich. Weitere Informationen zu diesen erforderlichen Attributen finden Sie AwsSecurityFindingin der AWS Security Hub APIReferenz.
AwsAccountId
Die AWS-Konto ID, für die das Ergebnis gilt.
Beispiel
"AwsAccountId": "111111111111"
CreatedAt
Gibt an, wann das potenzielle Sicherheitsproblem, das durch einen Befund erkannt wurde, verursacht wurde.
Beispiel
"CreatedAt": "2017-03-22T13:22:13.933Z"
Anmerkung
Security Hub löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach dem Erstellungsdatum, wenn kein Update erfolgt. Um Ergebnisse länger als 90 Tage zu speichern, können Sie in Amazon eine Regel konfigurieren EventBridge , die Ergebnisse an Ihren S3-Bucket weiterleitet.
Beschreibung
Die Beschreibung eines Fundes. Dieses Feld kann unspezifischen Standardtext oder spezifische Details für die Instance des Fundes enthalten.
Für Kontrollergebnisse, die Security Hub generiert, enthält dieses Feld eine Beschreibung der Kontrolle.
Dieses Feld verweist nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.
Beispiel
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
Die Kennung für die lösungsspezifische Komponente (eine separate Logikeinheit), die einen Fund generiert hat.
Bei Kontrollergebnissen, die Security Hub generiert, verweist dieses Feld nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.
Beispiel
"GeneratorId": "security-control/Config.1"
Id
Die produktspezifische Kennung für einen Fund. Für Kontrollergebnisse, die Security Hub generiert, enthält dieses Feld den Amazon-Ressourcennamen (ARN) des Ergebnisses.
Dieses Feld verweist nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.
Beispiel
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
Der von Security Hub generierte Amazon-Ressourcenname (ARN), der ein Produkt eines Drittanbieters eindeutig identifiziert, nachdem das Produkt bei Security Hub registriert wurde.
Das Format des Felds ist arn:.partition:securityhub:region:account-id:product/company-id/product-id
-
Für AWS Dienste, die in Security Hub integriert sind,
company-idmuss das "aws" lauten, und dasproduct-idmuss der AWS öffentliche Dienstname sein. Da AWS Produkte und Dienste keinem Konto zugeordnet sind, ARN ist deraccount-idAbschnitt von leer. AWS Dienste, die noch nicht in Security Hub integriert sind, gelten als Produkte von Drittanbietern. -
Für öffentliche Produkte müssen die
company-idund dieproduct-iddie ID-Werte sein, die zum Zeitpunkt der Registrierung angegeben wurden. -
Für private Produkte muss die
company-iddie Konto-ID sein. Dieproduct-idmuss das reservierte Wort "default" (Standard) oder die ID sein, die zum Zeitpunkt der Registrierung angegeben wurde.
Beispiel
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Ressourcen
Das ResourcesObjekt stellt eine Reihe von Ressourcendatentypen bereit, die die AWS Ressourcen beschreiben, auf die sich das Ergebnis bezieht.
Beispiel
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
Die Schemaversion, für die ein Fund formatiert ist. Der Wert dieses Feldes muss eine der offiziell veröffentlichten Versionen sein, die von AWS identifiziert wurden. In der aktuellen Version lautet die Schemaversion des AWS Security Finding Formats2018-10-08.
Beispiel
"SchemaVersion": "2018-10-08"
Schweregrad
Definiert die Wichtigkeit eines Ergebnisses. Einzelheiten zu diesem Objekt finden Sie Severityin der AWS Security Hub APIReferenz.
Severityist sowohl ein Objekt der obersten Ebene in einem Befund als auch ein unter dem Objekt verschachteltes Objekt. FindingProviderFields
Der Wert des Severity Objekts der obersten Ebene für einen Befund sollte nur von der aktualisiert werden. BatchUpdateFindingsAPI
Um Informationen zum Schweregrad bereitzustellen, sollten Suchanbieter FindingProviderFields bei einer BatchImportFindingsAPIAnfrage das Severity Objekt unter aktualisieren.
Wenn eine BatchImportFindings Anfrage für ein neues Ergebnis nur liefert Label oder nur liefertNormalized, füllt Security Hub automatisch den Wert des anderen Felds aus. Die Original Felder Product und können ebenfalls ausgefüllt werden.
Wenn das Finding.Severity Objekt der obersten Ebene vorhanden, aber nicht vorhanden Finding.FindingProviderFields ist, erstellt Security Hub das FindingProviderFields.Severity Objekt und kopiert das gesamte Objekt Finding.Severity object hinein. Dadurch wird sichergestellt, dass die ursprünglichen, vom Anbieter bereitgestellten Details in der FindingProviderFields.Severity Struktur erhalten bleiben, auch wenn das Objekt der obersten Ebene Severity überschrieben wird.
Der Schweregrad des Ergebnisses berücksichtigt nicht den kritischen Charakter der beteiligten Komponenten oder der zugrunde liegenden Ressource. Der kritische Charakter ist definiert als die Wichtigkeit der Ressourcen, die mit dem Ergebnis verbunden sind. Beispielsweise hat eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, eine höhere Priorität als eine Ressource, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das Criticality-Feld, um Informationen zum kritischen Charakter der Ressource zu erfassen.
Wir empfehlen, die folgenden Hinweise zu beachten, wenn Sie die systemeigenen Schweregrade der Ergebnisse in den umrechnen. Severity.Label ASFF
-
INFORMATIONAL— Diese Kategorie kann ein Ergebnis für einenPASSEDWARNING, oderNOT AVAILABLEScheck oder eine Identifizierung sensibler Daten beinhalten. -
LOW— Erkenntnisse, die zu future Kompromissen führen könnten. Zu dieser Kategorie können beispielsweise Sicherheitslücken, Konfigurationsschwächen und offengelegte Passwörter gehören. -
MEDIUM— Ergebnisse, die auf einen aktiven Kompromiss hindeuten, aber keinen Hinweis darauf, dass ein Gegner seine Ziele erreicht hat. Zu dieser Kategorie können beispielsweise Malware-Aktivitäten, Hacking-Aktivitäten und die Erkennung ungewöhnlicher Verhaltensweisen gehören. -
HIGHoderCRITICAL— Ergebnisse, die darauf hindeuten, dass ein Angreifer seine Ziele erreicht hat, wie z. B. aktiver Datenverlust oder Datenkompromittierung oder Denial-of-Service.
Beispiel
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Title
Der Titel eines Fundes. Dieses Feld kann unspezifischen Standardtext oder spezifische Details für diese Instanz des Fundes enthalten.
Bei Kontrollergebnissen gibt dieses Feld den Titel der Kontrolle an.
Dieses Feld verweist nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.
Beispiel
"Title": "AWS Config should be enabled"
Typen
Ein oder mehrere Fundtypen im Format namespace/category/classifier
Typessollte nur aktualisiert werden mit BatchUpdateFindings.
Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Types sollten Sie das Types Attribut unter verwenden FindingProviderFields.
In der folgenden Liste sind die Aufzählungszeichen der obersten Ebene Namespaces, die Aufzählungszeichen der zweiten Ebene sind Kategorien und die Aufzählungszeichen der dritten Ebene sind Klassifikatoren. Wir empfehlen, dass Suchanbieter definierte Namespaces verwenden, um Ergebnisse zu sortieren und zu gruppieren. Die definierten Kategorien und Klassifikatoren können ebenfalls verwendet werden, sind aber nicht erforderlich. Nur der Software- und Konfigurationsprüfungs-Namespace hat definierte Klassifizierer.
Sie können einen Teilpfad für Namespace/Kategorie/Klassifikator definieren. Beispielsweise sind die folgenden Findungstypen alle gültig:
-
TTPs
-
TTPs/Umgehung der Verteidigung
-
TTPs/Umgehung der Verteidigung/ CloudTrailStopped
Die Kategorien Taktiken, Techniken und Verfahren (TTPs) in der folgenden Liste entsprechen der MITREATT&CK MatrixTM
Liste der Namespaces, Kategorien und Klassifikatoren:
-
Software- und Konfigurationsprüfungen
-
Schwachstellen
-
CVE
-
-
AWS Bewährte Methoden im Bereich Sicherheit
-
Netzwerkerreichbarkeit
-
Laufzeitverhaltens-Analyse
-
-
Branchen- und regulatorische Standards
-
AWS Bewährte grundlegende Sicherheitsmethoden
-
CISBenchmarks für Host-Hardening
-
CIS AWS Maßstab für Stiftungen
-
PCI-DSS
-
Cloud Security Alliance-Kontrollen
-
ISO90001 Kontrollen
-
ISO27001 Steuerungen
-
ISO27017 Steuerungen
-
ISO27018 Steuerungen
-
SOC1
-
SOC2
-
HIPAASteuerungen (USA)
-
NIST800-53 Steuerungen () USA
-
NISTCSFSteuerungen () USA
-
IRAPSteuerungen (Australien)
-
K- ISMS Controls (Korea)
-
MTCSControls (Singapur)
-
FISCSteuerungen (Japan)
-
My Number Act-Kontrollen (Japan)
-
ENSKontrollen (Spanien)
-
Cyber Essentials Plus-Kontrollen (Vereinigtes Königkreich)
-
G-Cloud-Kontrollen (Vereinigtes Königreich)
-
C5-Kontrollen (Deutschland)
-
IT-Grundschutz-Kontrollen (Deutschland)
-
GDPRKontrollen (Europa)
-
TISAXSteuerungen (Europa)
-
-
Patch-Management
-
-
TTPs
-
Anfänglicher Zugriff
-
Ausführung
-
Persistenz
-
Rechteeskalation
-
Abwehrumgehung
-
Anmeldeinformationszugriff
-
Erkennung
-
Seitwärtsbewegung (Lateral Movement)
-
Sammlung
-
Command and Control
-
-
Auswirkungen
-
Offenlegung von Daten
-
Datenexfiltration
-
Datenvernichtung
-
Denial of Service
-
Ressourcennutzung
-
-
Ungewöhnliches Verhalten
-
Anwendung
-
Netzwerkfluss
-
IP-Adresse
-
Benutzer
-
VM
-
Container
-
Serverless
-
Prozess
-
Datenbank
-
Daten
-
-
Identifizierung sensibler Daten
-
PII
-
Passwörter
-
Recht
-
Finanzanwendungen
-
Sicherheit
-
Geschäft
-
Beispiel
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
Gibt an, wann der Suchprovider den Ergebnisdatensatz zuletzt aktualisiert hat.
Dieser Zeitstempel gibt den Zeitpunkt an, zu dem der Suchdatensatz zuletzt oder zuletzt aktualisiert wurde. Folglich kann er vom LastObservedAt Zeitstempel abweichen, der angibt, wann das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde.
Wenn Sie den Funddatensatz aktualisieren, müssen Sie diesen Zeitstempel durch den aktualisierten Zeitstempel ersetzen. Bei der Erstellung eines Befunddatensatzes müssen die Zeitstempel CreatedAt und die UpdatedAt Zeitstempel identisch sein. Nach einer Aktualisierung des Suchdatensatzes muss der Wert dieses Felds aktueller sein als alle vorherigen Werte, die es enthielt.
Beachten Sie, dass dieser BatchUpdateFindingsAPIVorgang UpdatedAt nicht aktualisiert werden kann. Sie können es nur aktualisieren, indem Sie BatchImportFindings.
Beispiel
"UpdatedAt": "2017-04-22T13:22:13.933Z"
Anmerkung
Security Hub löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach dem Erstellungsdatum, wenn kein Update erfolgt. Um Ergebnisse länger als 90 Tage zu speichern, können Sie in Amazon eine Regel konfigurieren EventBridge , die Ergebnisse an Ihren S3-Bucket weiterleitet.
