Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Optionale Attribute der obersten Ebene ASFF
Diese Attribute der obersten Ebene sind im AWS Security Finding Format (ASFF) optional. Weitere Informationen zu diesen Attributen finden Sie AwsSecurityFindingin der AWS Security Hub APIReferenz.
Aktion
Das Action
Objekt enthält Details zu einer Aktion, die sich auf eine Ressource auswirkt oder die für eine Ressource ausgeführt wurde.
Beispiel
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
Der AWS-Konto Name, auf den sich das Ergebnis bezieht.
Beispiel
"AwsAccountName": "jane-doe-testaccount"
CompanyName
Der Name des Unternehmens für das Produkt, das zu dem Ergebnis geführt hat. Bei Ergebnissen, die auf Kontrollen beruhen, lautet das Unternehmen. AWS
Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindings
oder BatchUpdateFindings
aktualisieren. Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Integration von Security Hub mit kundenspezifischen Produkten.
Wenn Sie die Security Hub Hub-Konsole verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie dieses Attribut. Wenn Sie den Security Hub verwendenAPI, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie das aws/securityhub/CompanyName
Attribut unterProductFields
. Security Hub synchronisiert diese beiden Attribute nicht.
Beispiel
"CompanyName": "AWS"
-Compliance
Das Compliance
Objekt enthält in der Regel Details zu einem Kontrollergebnis, z. B. geltende Standards und den Status der Kontrollprüfung.
Beispiel
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Wahrscheinlichkeit
Die Wahrscheinlichkeit, dass ein Ergebnis das Verhalten oder das Problem, das identifiziert werden sollte, genau identifiziert.
Confidence
sollte nur mit aktualisiert werden BatchUpdateFindings
.
Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Confidence
sollten Sie das Confidence
Attribut unter verwendenFindingProviderFields
. Siehe Aktualisierung der Ergebnisse mit FindingProviderFields.
Confidence
wird anhand einer Verhältnisskala auf einer Basis von 0—100 bewertet. 0 bedeutet 0 Prozent Konfidenz, und 100 bedeutet 100 Prozent Konfidenz. Beispielsweise hat eine Erkennung einer Datenexfiltration, die auf einer statistischen Abweichung des Netzwerkverkehrs basiert, eine geringe Zuverlässigkeit, da eine tatsächliche Exfiltration nicht verifiziert wurde.
Beispiel
"Confidence": 42
Kritikalität
Die Wichtigkeit, die den Ressourcen zugewiesen wird, die mit einem Ergebnis verknüpft sind.
Criticality
sollte nur durch Aufrufen der BatchUpdateFindings
APIOperation aktualisiert werden. Aktualisieren Sie dieses Objekt nicht mit BatchImportFindings
.
Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Criticality
sollten Sie das Criticality
Attribut unter verwendenFindingProviderFields
. Siehe Aktualisierung der Ergebnisse mit FindingProviderFields.
Criticality
wird auf einer Basis von 0—100 bewertet, wobei eine Verhältnisskala verwendet wird, die nur ganze Zahlen unterstützt. Ein Wert von 0 bedeutet, dass die zugrunde liegenden Ressourcen keine Kritikalität haben, und der Wert 100 ist den wichtigsten Ressourcen vorbehalten.
Beachten Sie bei der Zuweisung für jede Ressource Folgendes: Criticality
-
Enthält die betroffene Ressource sensible Daten (z. B. einen S3-Bucket mitPII)?
-
Ermöglicht die betroffene Ressource einem Angreifer, seinen Zugriff zu vertiefen oder seine Fähigkeiten zur Ausführung zusätzlicher bösartiger Aktivitäten auszuweiten (z. B. ein kompromittiertes Systemadministratorkonto)?
-
Ist die Ressource ein geschäftskritisches Asset (z. B. ein wesentliches Unternehmenssystem, dessen Kompromittierung bedeutende Umsatzeinbußen verursachen könnte)?
Sie können die folgenden Richtlinien verwenden:
-
Eine Ressource, die geschäftskritische Systeme mit Strom versorgt oder hochsensible Daten enthält, kann im Bereich von 75 bis 100 bewertet werden.
-
Eine Ressource, die wichtige (aber nicht kritische Systeme) mit Strom versorgt oder mäßig wichtige Daten enthält, kann im Bereich 25—74 bewertet werden.
-
Eine Ressource, die unwichtige Systeme unterstützt oder unsensible Daten enthält, sollte im Bereich von 0—24 bewertet werden.
Beispiel
"Criticality": 99
FindingProviderFields
FindingProviderFields
umfasst die folgenden Attribute:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
Die vorherigen Felder sind unter dem FindingProviderFields
Objekt verschachtelt, haben aber Entsprechungen mit demselben Namen wie Felder der obersten EbeneASFF. Wenn ein neuer Befund von einem Suchdienstleister an Security Hub gesendet wird, füllt Security Hub das FindingProviderFields
Objekt automatisch auf, wenn es aufgrund der entsprechenden Felder der obersten Ebene leer ist.
Finding Provider können Updates FindingProviderFields
mithilfe BatchImportFindings
des Security Hub aktualisierenAPI. Bei der Suche nach Anbietern kann dieses Objekt nicht aktualisiert BatchUpdateFindings
werden.
Einzelheiten darüber, wie Security Hub Updates von BatchImportFindings
zu FindingProviderFields
und zu den entsprechenden Attributen der obersten Ebene verarbeitet, finden Sie unterAktualisierung der Ergebnisse mit FindingProviderFields.
Kunden können die Felder der obersten Ebene mithilfe des BatchUpdateFindings
Vorgangs aktualisieren. Kunden können nicht aktualisierenFindingProviderFields
.
Beispiel
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Gibt an, wann das potenzielle Sicherheitsproblem, das durch ein Ergebnis erkannt wurde, zum ersten Mal beobachtet wurde.
Dieser Zeitstempel gibt den Zeitpunkt an, zu dem das Ereignis oder die Sicherheitsanfälligkeit zum ersten Mal beobachtet wurde. Folglich kann er vom CreatedAt
Zeitstempel abweichen, der den Zeitpunkt angibt, zu dem dieser Befunddatensatz erstellt wurde.
Dieser Zeitstempel sollte zwischen Aktualisierungen des Ergebnisdatensatzes unveränderlich sein, kann aber aktualisiert werden, wenn ein genauerer Zeitstempel bestimmt wird.
Beispiel
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Gibt an, wann das potenzielle Sicherheitsproblem, das durch ein Ergebnis erkannt wurde, zuletzt vom Produkt mit Sicherheitsergebnissen festgestellt wurde.
Dieser Zeitstempel gibt den Zeitpunkt an, zu dem das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde. Folglich kann er vom UpdatedAt
Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz zuletzt oder zuletzt aktualisiert wurde.
Sie können diesen Zeitstempel angeben, er ist jedoch bei der ersten Beobachtung nicht erforderlich. Wenn Sie dieses Feld bei der ersten Beobachtung angeben, sollte der Zeitstempel mit dem Zeitstempel identisch sein. FirstObservedAt
Sie sollten dieses Feld immer wieder aktualisieren, sodass immer der Zeitstempel der letzten Beobachtung des Fundes angegeben wird.
Beispiel
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Schadsoftware
Das Objekt Malware
stellt eine Liste der Malware zur Verfügung, die mit einem Fund zusammenhängt.
Beispiel
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Netzwerk (im Ruhestand)
Das Network
Objekt stellt netzwerkbezogene Informationen zu einem Befund bereit.
Dieses Objekt ist ausgemustert. Um diese Daten bereitzustellen, können Sie die Daten entweder einer Ressource in zuordnen Resources
oder das Action
Objekt verwenden.
Beispiel
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
Das NetworkPath
Objekt stellt Informationen über einen Netzwerkpfad bereit, der mit einem Befund zusammenhängt. Jeder Eintrag in NetworkPath
steht für eine Komponente des Pfads.
Beispiel
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Hinweis
Das Note
Objekt gibt eine benutzerdefinierte Notiz an, die Sie zu einem Ergebnis hinzufügen können.
Ein Ergebnisanbieter kann eine erste Notiz für ein Ergebnis bereitstellen, aber danach können keine Notizen hinzugefügt werden. Sie können eine Notiz nur mit BatchUpdateFindings
aktualisieren.
Beispiel
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
Das PatchSummary
Objekt bietet eine Zusammenfassung des Patch-Konformitätsstatus einer Instanz anhand eines ausgewählten Konformitätsstandards.
Beispiel
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Prozess
Das Process
Objekt enthält prozessbezogene Details zu einem Ergebnis.
Beispiel:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Zeigt an, wann Security Hub ein Ergebnis erhalten hat und mit der Verarbeitung beginnt.
Dies unterscheidet sich von CreatedAt
undUpdatedAt
, bei denen es sich um erforderliche Zeitstempel handelt, die sich auf die Interaktion des Ermittlungsanbieters mit dem Sicherheitsproblem und dem Ergebnis beziehen. Der ProcessedAt
Zeitstempel gibt an, wann Security Hub mit der Verarbeitung eines Ergebnisses beginnt. Ein Ergebnis wird nach Abschluss der Verarbeitung im Konto eines Benutzers angezeigt.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Ein Datentyp, bei dem Produkte mit Sicherheitsergebnissen zusätzliche lösungsspezifische Details enthalten können, die nicht Teil des definierten AWS Sicherheitsfindungsformats sind.
Für Ergebnisse, die durch Security Hub Hub-Kontrollen generiert wurden, ProductFields
enthält dies Informationen über die Kontrolle. Siehe Generierung und Aktualisierung von Kontrollbefunden.
Dieses Feld sollte keine redundanten Daten enthalten und darf keine Daten enthalten, die mit Feldern im AWS Security Finding Format in Konflikt stehen.
Das Präfix aws/
"" steht für einen reservierten Namespace, der nur für AWS Produkte und Dienstleistungen reserviert ist und darf nicht zusammen mit Ergebnissen aus Integrationen von Drittanbietern eingereicht werden.
Auch wenn dies nicht unbedingt erforderlich ist, sollten Produkte Feldnamen wir folgt formatieren: company-id/product-id/field-name
. Dabei sollten die company-id
und product-id
den Angaben im ProductArn
des Fundes entsprechen.
Die Felder, auf die verwiesen wird, Archival
werden verwendet, wenn Security Hub ein vorhandenes Ergebnis archiviert. Security Hub archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie konsolidierte Kontrollergebnisse ein- oder ausschalten.
Dieses Feld kann auch Informationen über den Standard enthalten, der die Kontrolle beinhaltet, die zu dem Ergebnis geführt hat.
Beispiel
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an
ARCHIVED
state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Gibt den Namen des Produkts an, das den Befund generiert hat. Für Ergebnisse, die auf Kontrollen basieren, lautet der Produktname Security Hub.
Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindings
oder BatchUpdateFindings
aktualisieren. Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Integration von Security Hub mit kundenspezifischen Produkten.
Wenn Sie die Security Hub Hub-Konsole verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie dieses Attribut.
Wenn Sie den Security Hub verwendenAPI, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie das aws/securityhub/ProductName
Attribut unterProductFields
.
Security Hub synchronisiert diese beiden Attribute nicht.
RecordState
Stellt den Datensatzstatus eines Ergebnisses bereit.
Standardmäßig werden Funde als ACTIVE
erachtet, wenn sie anfangs von einem Service generiert werden.
Der Status ARCHIVED
gibt an, dass ein Fund nicht mehr sichtbar sein sollte. Archivierte Ergebnisse werden nicht sofort gelöscht. Sie können nach ihnen suchen, sie überprüfen und darüber Bericht erstatten. Security Hub archiviert automatisch kontrollbasierte Ergebnisse, wenn die zugehörige Ressource gelöscht wird, die Ressource nicht existiert oder die Kontrolle deaktiviert ist.
RecordState
ist für die Suche nach Anbietern vorgesehen und kann nur von aktualisiert werden. BatchImportFindings
Sie können es nicht aktualisieren mit BatchUpdateFindings
.
Um den Status Ihrer Untersuchung zu einem Ergebnis nachzuverfolgen, verwenden Sie WorkflowstattRecordState
.
Wenn sich der Datensatzstatus von ARCHIVED
zu ACTIVE
ändert und der Workflow-Status des Ergebnisses entweder NOTIFIED
oder lautetRESOLVED
, setzt Security Hub den Workflow-Status automatisch aufNEW
.
Beispiel
"RecordState": "ACTIVE"
Region
Gibt das an, AWS-Region aus dem das Ergebnis generiert wurde.
Security Hub füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit BatchImportFindings
oder BatchUpdateFindings
aktualisieren.
Beispiel
"Region": "us-west-2"
RelatedFindings
Stellt eine Liste von Ergebnissen bereit, die sich auf das aktuelle Ergebnis beziehen.
RelatedFindings
sollte nur mit der BatchUpdateFindings
APIOperation aktualisiert werden. Sie sollten dieses Objekt nicht mit aktualisieren BatchImportFindings
.
Für BatchImportFindings
Anfragen sollte die Suche nach Anbietern das RelatedFindings
Objekt unter verwenden FindingProviderFields.
Beschreibungen der RelatedFindings
Attribute finden Sie RelatedFinding
in der AWS Security Hub APIReferenz.
Beispiel
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Abhilfe
Das Objekt Remediation
enthält Informationen zu empfohlenen Behebungsschritten für das Problem.
Beispiel
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Beispiel
Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt.
"Sample": true
SourceUrl
Das SourceUrl
Objekt enthält einen URL Link zu einer Seite über das aktuelle Ergebnis im gefundenen Produkt.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
Das ThreatIntelIndicator
Objekt stellt Bedrohungsinformationen bereit, die sich auf einen Befund beziehen.
Beispiel
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Bedrohungen
Die ThreatsDas Objekt enthält Details zu der Bedrohung, die durch einen Befund erkannt wurde.
Beispiel
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Stellt eine Liste von Zeichenkettenpaaren aus Name und Wert bereit, die dem Befund zugeordnet sind. Dies sind individuelle, benutzerdefinierte Felder, die einem Fund hinzugefügt werden. Diese Felder können anhand Ihrer spezifischen Konfiguration automatisch generiert werden.
Bei der Suche nach Anbietern sollte dieses Feld nicht für Daten verwendet werden, die das Produkt generiert. Stattdessen kann das ProductFields
Feld bei der Suche nach Anbietern für Daten verwendet werden, die keinem Standardfeld im Format für AWS Sicherheitssuche zugeordnet sind.
Diese Felder können nur mit BatchUpdateFindings
aktualisiert werden.
Beispiel
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Stellt den Wahrheitsgehalt eines Ergebnisses sicher. Finds-Produkte können UNKNOWN
für dieses Feld einen Wert von angeben. Ein Ergebnisprodukt sollte einen Wert für dieses Feld liefern, wenn das System des Ergebnisprodukts ein aussagekräftiges Analogon enthält. Dieses Feld wird in der Regel durch eine Benutzerentscheidung oder eine Aktion nach der Untersuchung eines Ergebnisses gefüllt.
Ein Ergebnisanbieter kann einen Anfangswert für dieses Attribut bereitstellen, es danach aber nicht aktualisieren. Sie können dieses Attribut nur aktualisieren, indem Sie BatchUpdateFindings
.
"VerificationState": "Confirmed"
Schwachstellen
Die Vulnerabilitiesobject stellt eine Liste von Sicherheitslücken bereit, die mit einem Befund verknüpft sind.
Beispiel
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Workflow
Das Workflow
-Objekt bietet Informationen über den Status der Untersuchung zu einem Ergebnis.
Dieses Feld ist für Kunden zur Verwendung mit Tools zur Problembehebung, Orchestrierung und Ticketausstellung vorgesehen. Es ist nicht für die Suche nach Anbietern bestimmt.
Sie können das Feld nur mit aktualisieren. Workflow
BatchUpdateFindings
Kunden können ihn auch über die Konsole aktualisieren. Siehe Den Workflow-Status von Security Hub Hub-Ergebnissen festlegen.
Beispiel
"Workflow": { "Status": "NEW" }
WorkflowState (Im Ruhestand)
Dieses Objekt ist ausgemustert und wurde durch das Status
Feld des Workflow
Objekts ersetzt.
Dieses Feld gibt den Workflow-Status eines Ergebnisses an. Funde generierende Produkte können in diesem Feld den Wert NEW
angeben. Ein Funde generierendes Produkte kann einen Wert in diesem Feld angeben, wenn es ein aussagekräftiges Analogon im System des Produkts gibt.
Beispiel
"WorkflowState": "NEW"