Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Atributos de nivel superior necesarios del ASFF
Los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF) son necesarios para todos los hallazgos en Security Hub CSPM. Para obtener más información sobre estos atributos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) en la *Referencia de la API de AWS Security Hub*.
## AwsAccountId
El Cuenta de AWS identificador al que se aplica el hallazgo.
**Ejemplo**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
Indica el momento en que se creó el posible problema o evento de seguridad que aparece en el resultado.
**Ejemplo**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## Description (Descripción)
Una descripción del hallazgo. Este campo puede ser texto reutilizable no específico o información específica de la instancia del hallazgo.
En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo proporciona una descripción del control.
Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).
**Ejemplo**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
El identificador para el componente específico de la solución (unidad de lógica discreta) que generó un hallazgo.
En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo no hace referencia a ningún estándar cuando habilita los [resultados consolidados de controles](controls-findings-create-update.md#consolidated-control-findings).
**Ejemplo**
```
"GeneratorId": "security-control/Config.1"
```
## Id
El identificador específico del producto para un hallazgo. En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo proporciona el nombre de recurso de Amazon (ARN) del resultado.
Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).
**Ejemplo**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
El nombre de recurso de Amazon (ARN) que genera el CSPM de Security Hub y que identifica de forma única un producto de resultados de un tercero después de que dicho producto se registra en el CSPM de Security Hub.
El formato de este campo es `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Para Servicios de AWS que estén integrados con Security Hub CSPM, `company-id` debe ser `aws` «» y `product-id` debe ser el nombre del servicio AWS público. Como AWS los productos y servicios no están asociados a una cuenta, la `account-id` sección del ARN está vacía. Servicios de AWS los productos que aún no estén integrados con Security Hub CSPM se consideran productos de terceros.
+ En el caso de productos públicos, el `company-id` y el `product-id` deben ser los valores de ID especificados en el momento del registro.
+ En el caso de productos privados, el `company-id` debe ser el ID de la cuenta. El `product-id` debe ser la palabra reservada de forma predeterminada o el ID que se especificó en el momento del registro.
**Ejemplo**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## Recursos
La `Resources` matriz de objetos proporciona un conjunto de tipos de datos de recursos que describen AWS los recursos a los que se refiere el hallazgo. Para ver los detalles sobre los campos que puede incluir el objeto `Resources`, incluidos los campos obligatorios, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html) en la *Referencia de la API de AWS Security Hub*. Para ver ejemplos de `Resources` objetos específicos Servicios de AWS, consulte[Objeto Resources del ASFF](asff-resources.md).
**Ejemplo**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
La versión del esquema para el que se está formateado un hallazgo. El valor de este campo debe ser una de las versiones publicadas oficialmente identificadas por AWS. En la versión actual, la versión del esquema AWS Security Finding Format es`2018-10-08`.
**Ejemplo**
```
"SchemaVersion": "2018-10-08"
```
## Gravedad
Define la importancia de un resultado. Para obtener más información sobre este objeto, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html) en la *referencia de la API de AWS Security Hub *.
`Severity` es a la vez un objeto de nivel superior en un resultado y está anidado debajo del objeto `FindingProviderFields`.
El valor del objeto de nivel superior `Severity` para un resultado se debe actualizar solo mediante la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para proporcionar información sobre la gravedad, los proveedores de resultados deben actualizar el objeto `Severity` de `FindingProviderFields` cuando se hace una solicitud a la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html).
Si una solicitud `BatchImportFindings` para un nuevo resultado solo proporciona `Label` o `Normalized` únicamente, el CSPM de Security Hub completa automáticamente el valor del otro campo. Los campos `Product` y `Original` también pueden completarse.
Si el objeto de nivel superior `Finding.Severity` está presente pero `Finding.FindingProviderFields` no está presente, el CSPM de Security Hub crea el objeto `FindingProviderFields.Severity` y copia en este la totalidad de `Finding.Severity object`. Esto garantiza que los detalles originales proporcionados por el proveedor se van a retener en la estructura `FindingProviderFields.Severity`, incluso si se sobrescribe el objeto de nivel superior `Severity`.
La gravedad del hallazgo no tiene en cuenta la importancia crítica de los activos involucrados o del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el hallazgo. Por ejemplo, un recurso que está asociado a una aplicación de misión crítica tiene mayor importancia crítica frente a uno asociado a pruebas que no son de producción. Para capturar información sobre la importancia crítica de los recursos, utilice el campo `Criticality`.
Recomendamos utilizar la siguiente guía al traducir las puntuaciones de gravedad nativas de los resultados al valor `Severity.Label` en ASFF.
+ `INFORMATIONAL`: Esta categoría puede incluir el resultado de `PASSED`, `WARNING`, `NOT AVAILABLE` o una identificación de datos confidenciales.
+ `LOW`: Resultados que podrían resultar en futuros compromisos. Por ejemplo, esta categoría puede incluir vulnerabilidades, puntos débiles de configuración y contraseñas expuestas.
+ `MEDIUM` – Resultados que están asociados con problemas que indican una situación de peligro activa, pero ninguna indicación de que un adversario haya completado sus objetivos. Por ejemplo, esta categoría puede incluir actividad de malware, actividad de piratería y detección de comportamientos inusual.
+ `HIGH` o `CRITICAL` – Resultados que indican que un adversario ha completado sus objetivos, como, por ejemplo, pérdida de datos activa, situación en peligro o denegación de servicios.
**Ejemplo**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## Title
El título de un hallazgo. Este campo puede contener texto reutilizable no específico o información específica de esta instancia del hallazgo.
En el caso de los resultados de control, este campo proporciona el título del control. Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).
**Ejemplo**
```
"Title": "AWS Config should be enabled"
```
## Tipos
Uno o varios tipos de hallazgos en el formato de `namespace/category/classifier` que clasifica un hallazgo. Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).
`Types` se debe actualizar solo mediante la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Los proveedores de resultados que deseen proporcionar un valor para `Types` deben utilizar el atributo `Types` en [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).
En la siguiente lista, las viñetas de nivel superior son espacios de nombres, las viñetas de segundo nivel son categorías y las viñetas de tercer nivel son clasificadores. Recomendamos que los proveedores de resultado utilicen espacios de nombres definidos para ayudar a ordenar y agrupar los resultados. Se recomienda el uso de las categorías y clasificadores definidos, pero no son obligatorios. Sólo el espacio de nombres Comprobaciones de software y configuración tiene clasificadores definidos.
Puede definir una ruta parcial paranamespace/category/classifier. Por ejemplo, los siguientes tipos de hallazgo son válidos:
+ TTPs
+ TTPs/Defensa: Evasión
+ TTPs/Defense Evasion/CloudTrailStopped
Las categorías de tácticas, técnicas y procedimientos (TTPs) de la siguiente lista se alinean con la MatrixTM [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/). Los comportamientos inusuales reflejan un comportamiento general inusual, como anomalías estadísticas generales y no están alineados con un TTP específico. Sin embargo, puede clasificar un hallazgo tanto por comportamientos inusuales como por tipos de hallazgos. TTPs
**Lista de espacios de nombres, categorías y clasificadores:**
+ Comprobaciones de configuración y software
+ Vulnerabilidades
+ CVE
+ AWS Prácticas recomendadas de seguridad
+ Accesibilidad de red
+ Análisis del comportamiento del tiempo de ejecución
+ Estándares del sector y normativos
+ AWS Mejores prácticas de seguridad fundamentales
+ Indicadores de referencia de fortalecimiento de host de CIS
+ Punto de referencia de la AWS Fundación CIS
+ PCI-DSS
+ Controles Cloud Security Alliance
+ Controles ISO 90001
+ Controles ISO 27001
+ Controles ISO 27017
+ Controles ISO 27018
+ SOC 1
+ SOC 2
+ Controles HIPAA (EE. UU.)
+ Controles 800-53 de NIST (EE. UU.)
+ Controles de CSF del NIST (EE. UU.)
+ Controles IRAP (Australia)
+ Controles K-ISMS (Corea)
+ Controles MTCS (Singapur)
+ Controles FISC (Japón)
+ Controles My Number Act (Japón)
+ Controles ENS (España)
+ Controles Cyber Essentials Plus (Reino Unido)
+ Controles G-Cloud (Reino Unido)
+ Controles C5 (Alemania)
+ Controles IT-Grundschutz (Alemania)
+ Controles del RGPD (Europa)
+ Controles TISAX (Europa)
+ Administración de parches
+ TTPs
+ Acceso inicial
+ Ejecución
+ Persistencia
+ Escalado de privilegios
+ Evasión de defensa
+ Acceso a credenciales
+ Discovery
+ Movimiento lateral
+ Recopilación
+ Comando y control
+ Efectos
+ Exposición de datos
+ Filtración de datos
+ Destrucción de datos
+ Ataques de denegación de servicio
+ Consumo de recursos
+ Comportamientos inusuales
+ Aplicación
+ Flujo de red
+ Dirección IP
+ Usuario
+ VM
+ Container
+ Sin servidor
+ Proceso
+ Base de datos
+ Datos
+ Identificaciones de información confidencial
+ PII
+ Contraseñas
+ Cuestiones legales
+ Datos financieros
+ Seguridad
+ Usuarios
**Ejemplo**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
Indica cuándo fue la última vez que el proveedor de resultados actualizó el registro de resultado.
Esta marca de tiempo refleja la hora en que el registro de resultado se actualizó por última vez o por última vez. En consecuencia, puede diferir de la marca de tiempo `LastObservedAt`, que refleja cuándo se observó por última vez o más recientemente el evento o la vulnerabilidad.
Al actualizar el registro del hallazgo, debe actualizar esta marca temporal con la marca temporal actual. Tras la creación de un registro del resultado, las marcas temporales `CreatedAt` y `UpdatedAt` deben actualizarse a la misma marca temporal. Después de una actualización del registro del resultado, el valor de este campo debe ser el más reciente frente a todos los valores anteriores que contenía.
Tenga en cuenta que `UpdatedAt` no se puede actualizar mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Usted solo puede actualizarlo mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
**Ejemplo**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```