Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Atributos de nivel superior opcionales del ASFF
Los siguientes atributos de nivel superior del formato de búsqueda AWS de seguridad (ASFF) son opcionales para las búsquedas en Security Hub CSPM. Para obtener más información sobre estos atributos, consulte [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) en la *Referencia de la API de AWS Security Hub*.
## Action
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) proporciona detalles sobre una acción que afecta a un recurso o que se realizó respecto a este.
**Ejemplo**
```
"Action": {
"ActionType": "PORT_PROBE",
"PortProbeAction": {
"PortProbeDetails": [
{
"LocalPortDetails": {
"Port": 80,
"PortName": "HTTP"
},
"LocalIpDetails": {
"IpAddressV4": "192.0.2.0"
},
"RemoteIpDetails": {
"Country": {
"CountryName": "Example Country"
},
"City": {
"CityName": "Example City"
},
"GeoLocation": {
"Lon": 0,
"Lat": 0
},
"Organization": {
"AsnOrg": "ExampleASO",
"Org": "ExampleOrg",
"Isp": "ExampleISP",
"Asn": 64496
}
}
}
],
"Blocked": false
}
}
```
## AwsAccountName
Cuenta de AWS Nombre al que se aplica el hallazgo.
**Ejemplo**
```
"AwsAccountName": "jane-doe-testaccount"
```
## CompanyName
El nombre de la empresa del producto que generó el resultado. Para los hallazgos basados en el control, la empresa es AWS.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). La excepción a esto es cuando se utiliza una integración personalizada. Consulte [Integración del CSPM de Security Hub con productos personalizados](securityhub-custom-providers.md).
Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de empresa, se utiliza este atributo. Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de empresa, utiliza el atributo `aws/securityhub/CompanyName` dentro de `ProductFields`. El CSPM de Security Hub no sincroniza esos dos atributos.
**Ejemplo**
```
"CompanyName": "AWS"
```
## Conformidad
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html) normalmente proporciona detalles sobre un resultado de control, como los estándares aplicables y el estado de la comprobación de control.
**Ejemplo**
```
"Compliance": {
"AssociatedStandards": [
{"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
{"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
{"StandardsId": "standards/nist-800-53/v/5.0.0"}
],
"RelatedRequirements": [
"NIST.800-53.r5 AC-4",
"NIST.800-53.r5 AC-4(21)",
"NIST.800-53.r5 SC-7",
"NIST.800-53.r5 SC-7(11)",
"NIST.800-53.r5 SC-7(16)",
"NIST.800-53.r5 SC-7(21)",
"NIST.800-53.r5 SC-7(4)",
"NIST.800-53.r5 SC-7(5)"
],
"SecurityControlId": "EC2.18",
"SecurityControlParameters":[
{
"Name": "authorizedTcpPorts",
"Value": ["80", "443"]
},
{
"Name": "authorizedUdpPorts",
"Value": ["427"]
}
],
"Status": "NOT_AVAILABLE",
"StatusReasons": [
{
"ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
"Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
}
]
}
```
## Confianza
La probabilidad de que un resultado identifique de forma precisa el comportamiento o problema que se pretendía identificar.
`Confidence` solo debe actualizarse mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Los proveedores de resultados que deseen proporcionar un valor para `Confidence` deben utilizar el atributo `Confidence` en `FindingProviderFields`. Consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Confidence` recibe una puntuación de 0-100 en base a una escala de proporción, donde 0 significa 0 por cien de confianza y 100 significa 100 por cien de confianza. Por ejemplo, una detección de filtración de datos en base a una desviación estadística del tráfico de red tiene una confianza mucho más baja porque no se ha verificado una filtración real.
**Ejemplo**
```
"Confidence": 42
```
## Criticidad
El nivel de importancia que se asigna a los recursos asociados con el resultado.
`Criticality` solo debe actualizarse llamando a la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). No actualice este objeto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
Los proveedores de resultados que deseen proporcionar un valor para `Criticality` deben utilizar el atributo `Criticality` en `FindingProviderFields`. Consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Criticality` se puntúa de 0-100, mediante una escala de proporción que solo admite números enteros. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.
Para cada recurso, tenga en cuenta lo siguiente al asignar `Criticality`:
+ ¿Contiene el recurso afectado información confidencial (por ejemplo, un bucket de S3 con PII)?
+ ¿Permite el recurso afectado que un adversario profundice su acceso o amplíe sus capacidades de llevar a cabo actividades malintencionadas adicionales (por ejemplo, cuenta sysadmin en peligro)?
+ ¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?
Puede utilizar las siguientes directrices:
+ Un recurso que habilita sistemas esenciales o que contiene un alto nivel de información confidencial puede puntuar en el intervalo de 75-100.
+ Un recurso que habilita sistemas importantes (pero no esenciales) o que contiene datos moderadamente importantes puede puntuar en el intervalo de 25-75.
+ Un recurso que habilita sistemas no importantes o que no contienen información confidencial debe puntuar en el intervalo de 0-24.
**Ejemplo**
```
"Criticality": 99
```
## Detección
El `Detection` objeto proporciona detalles sobre una secuencia de ataque detectada por Amazon GuardDuty Extended Threat Detection. GuardDuty genera una secuencia de ataque que detecta cuando varios eventos se alinean con una actividad potencialmente sospechosa. Para recibir los resultados de la secuencia de GuardDuty ataques en AWS Security Hub CSPM, debe tener GuardDuty activado el CSPM en su cuenta. Para obtener más información, consulte [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) en la *Guía del GuardDuty usuario de Amazon*.
**Ejemplo**
```
"Detection": {
"Sequence": {
"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
"Actors": [{
"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
"Session": {
"Uid": "1234567891",
"MfAStatus": "DISABLED",
"CreatedTime": "1716916944000",
"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
},
"User": {
"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
"Name": "ec2_instance_role_production",
"Type": "AssumedRole",
"Uid": "AROA987654321EXAMPLE:i-b188560f",
"Account": {
"Uid": "AccountId",
"Name": "AccountName"
}
}
}],
"Endpoints": [{
"Id": "EndpointId",
"Ip": "203.0.113.1",
"Domain": "example.com",
"Port": 4040,
"Location": {
"City": "New York",
"Country": "US",
"Lat": 40.7123,
"Lon": -74.0068
},
"AutonomousSystem": {
"Name": "AnyCompany",
"Number": 64496
},
"Connection": {
"Direction": "INBOUND"
}
}],
"Signals": [{
"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
"Title": "Someone ran a penetration test tool on your account.",
"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
"Count": 19,
"FirstSeenAt": 1716916943000,
"SignalIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Data Destruction"
]
},
],
"LastSeenAt": 1716916944000,
"Name": "Test:IAMUser/KaliLinux",
"ResourceIds": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
],
"Type": "FINDING"
}],
"SequenceIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Discovery",
"Exfiltration",
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject",
"s3:GetObject",
"s3:ListBuckets"
"s3:ListObjects"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Cloud Service Discovery",
"Data Destruction"
]
}
]
}
}
```
## FindingProviderFields
`FindingProviderFields` incluye los siguientes atributos:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
Los campos anteriores están anidados debajo del objeto `FindingProviderFields`, pero tienen análogos del mismo nombre que los campos del ASFF de nivel superior. Cuando un proveedor envía un nuevo resultado al CSPM de Security Hub, el CSPM de Security Hub completa automáticamente el objeto `FindingProviderFields` si está vacío, según los campos de nivel superior correspondientes.
Los proveedores de resultados pueden actualizar `FindingProviderFields` mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub. Los proveedores de resultados no pueden actualizar este objeto mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para obtener detalles sobre cómo el CSPM de Security Hub maneja las actualizaciones desde `BatchImportFindings` hacia `FindingProviderFields` y hacia los atributos de nivel superior correspondientes, consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
Los clientes pueden actualizar los campos de nivel superior mediante la operación `BatchUpdateFindings`. Los clientes no pueden actualizar `FindingProviderFields`.
**Ejemplo**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
## FirstObservedAt
Indica el momento en que se observó por primera vez el posible problema o evento de seguridad que aparece en el resultado.
Esta marca de tiempo indica cuándo se observó por primera vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo `CreatedAt`, la cual refleja cuándo se creó este registro del resultado.
En el caso de los resultados de controles que genera y actualiza el CSPM de Security Hub, esta marca de tiempo también puede indicar cuándo cambió por última vez el estado de cumplimiento de un recurso. Para otros tipos de resultados, esta marca de tiempo debe permanecer inmutable entre las actualizaciones del registro del resultado, pero puede actualizarse si se determina una marca de tiempo más precisa.
**Ejemplo**
```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```
## LastObservedAt
Indica el momento en que el producto de resultados de seguridad observó por última vez el posible problema o evento capturado por un resultado.
Esta marca de tiempo indica cuándo se observó por última vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo `UpdatedAt`, que refleja cuándo se actualizó este registro de resultados por última vez.
Puede proporcionar esta marca temporal, pero no es necesaria tras la primera observación. Si completa este campo en la primera observación, la marca de tiempo debe coincidir con la marca de tiempo `FirstObservedAt`. Debe actualizar este campo para reflejar la marca temporal observada más recientemente o por última vez cada vez se observa un resultado.
**Ejemplo**
```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```
## Malware
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) proporciona una lista de malware relacionada con un resultado.
**Ejemplo**
```
"Malware": [
{
"Name": "Stringler",
"Type": "COIN_MINER",
"Path": "/usr/sbin/stringler",
"State": "OBSERVED"
}
]
```
## Network (Retired)
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html) brinda información relacionada con la red de un resultado.
Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso en `Resources` o utilizar el objeto `Action`.
**Ejemplo**
```
"Network": {
"Direction": "IN",
"OpenPortRange": {
"Begin": 443,
"End": 443
},
"Protocol": "TCP",
"SourceIpV4": "1.2.3.4",
"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"SourcePort": "42",
"SourceDomain": "example1.com",
"SourceMac": "00:0d:83:b1:c0:8e",
"DestinationIpV4": "2.3.4.5",
"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"DestinationPort": "80",
"DestinationDomain": "example2.com"
}
```
## NetworkPath
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html) proporciona información sobre una ruta de red relacionada con un resultado. Cada entrada en `NetworkPath` representa un componente de la ruta.
**Ejemplo**
```
"NetworkPath" : [
{
"ComponentId": "abc-01a234bc56d8901ee",
"ComponentType": "AWS::EC2::InternetGateway",
"Egress": {
"Destination": {
"Address": [ "192.0.2.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": ["203.0.113.0/24"]
}
},
"Ingress": {
"Destination": {
"Address": [ "198.51.100.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": [ "203.0.113.0/24" ]
}
}
}
]
```
## Nota
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html) especifica una nota definida por el usuario que se puede añadir a un resultado.
Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puede actualizar una nota con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Ejemplo**
```
"Note": {
"Text": "Don't forget to check under the mat.",
"UpdatedBy": "jsmith",
"UpdatedAt": "2018-08-31T00:15:09Z"
}
```
## PatchSummary
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html) proporciona un resumen del estado de conformidad del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.
**Ejemplo**
```
"PatchSummary" : {
"FailedCount" : 0,
"Id" : "pb-123456789098",
"InstalledCount" : 100,
"InstalledOtherCount" : 1023,
"InstalledPendingReboot" : 0,
"InstalledRejectedCount" : 0,
"MissingCount" : 100,
"Operation" : "Install",
"OperationEndTime" : "2018-09-27T23:39:31Z",
"OperationStartTime" : "2018-09-27T23:37:31Z",
"RebootOption" : "RebootIfNeeded"
}
```
## Proceso
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html) proporciona detalles relacionados con el proceso acerca del resultado.
Ejemplo:
```
"Process": {
"LaunchedAt": "2018-09-27T22:37:31Z",
"Name": "syslogd",
"ParentPid": 56789,
"Path": "/usr/sbin/syslogd",
"Pid": 12345,
"TerminatedAt": "2018-09-27T23:37:31Z"
}
```
## ProcessedAt
Indica el momento en que el CSPM de Security Hub recibió un resultado y comenzó a procesarlo.
Esto difiere de `CreatedAt` y `UpdatedAt`, que son marcas de tiempo obligatorias relacionadas con la interacción del proveedor del resultado con el problema de seguridad y con el propio resultado. La marca de tiempo `ProcessedAt` señala cuándo el CSPM de Security Hub inicia el procesamiento de un resultado. Un resultado aparece en la cuenta del usuario después de que el procesamiento finaliza.
```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```
## ProductFields
Un tipo de datos en el que los productos de análisis de seguridad pueden incluir detalles adicionales específicos de la solución que no forman parte del formato de análisis de AWS seguridad definido.
En el caso de los resultados generados por los controles del CSPM de Security Hub, `ProductFields` incluye información sobre el control. Consulte [Generación y actualización de los resultados de control](controls-findings-create-update.md).
Este campo no debe contener datos redundantes ni datos que entren en conflicto con los campos del formato de búsqueda AWS de seguridad.
El prefijo `aws/` "" representa un espacio de nombres reservado únicamente para AWS productos y servicios y no debe enviarse junto con los resultados de integraciones de terceros.
Aunque no es necesario, los productos deben formatear los nombres de los campos como `company-id/product-id/field-name`, donde el `company-id` y el `product-id` coinciden con los suministrados en el `ProductArn` del hallazgo.
Los campos que hacen referencia a `Archival` se usan cuando el CSPM de Security Hub archiva un resultado existente. Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando desactiva un control o un estándar y cuando activa o desactiva los [resultados consolidados de controles](controls-findings-create-update.md#consolidated-control-findings).
Este campo también puede incluir información sobre el estándar que incluye el control que produjo el resultado.
**Ejemplo**
```
"ProductFields": {
"API", "DeleteTrail",
"ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
"ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
"aws/inspector/AssessmentTargetName": "My prod env",
"aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
"aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
"generico/secure-pro/Action.Type", "AWS_API_CALL",
"generico/secure-pro/Count": "6",
"Service_Name": "cloudtrail.amazonaws.com"
}
```
## ProductName
Proporciona el nombre del producto que generó el resultado. En el caso de los resultados basados en controles, el nombre del producto es CSPM de Security Hub.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). La excepción a esto es cuando se utiliza una integración personalizada. Consulte [Integración del CSPM de Security Hub con productos personalizados](securityhub-custom-providers.md).
Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza este atributo.
Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza el atributo `aws/securityhub/ProductName` dentro de `ProductFields`.
El CSPM de Security Hub no sincroniza esos dos atributos.
## RecordState
El estado de registro de un a resultado.
De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran `ACTIVE`.
El estado `ARCHIVED` indica que un hallazgo estará oculto a la vista. Los resultados archivados no se eliminan de inmediato. Puede buscar, examinar e informar sobre ellos. El CSPM de Security Hub archiva automáticamente los resultados basados en controles cuando el recurso asociado se elimina, el recurso no existe o el control está desactivado.
`RecordState` está destinado a los proveedores de resultados y solo se puede actualizar mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html). No puede actualizarlo mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para hacer un seguimiento del estado de la investigación sobre un resultado, utilice [`Workflow`](#asff-workflow) en lugar de `RecordState`.
Si el estado del registro cambia de `ARCHIVED` a `ACTIVE` y el estado del flujo de trabajo del resultado es `NOTIFIED` o `RESOLVED`, el CSPM de Security Hub cambia automáticamente el estado del flujo de trabajo a `NEW`.
**Ejemplo**
```
"RecordState": "ACTIVE"
```
## Region
Especifica Región de AWS desde dónde se generó la búsqueda.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Ejemplo**
```
"Region": "us-west-2"
```
## RelatedFindings
Proporciona una lista de resultados relacionados con el resultado actual.
`RelatedFindings` solo debe actualizarse con la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). No debe actualizar este objeto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
Para las solicitudes [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html), los proveedores de resultados deben utilizar el objeto `RelatedFindings` en [`FindingProviderFields`](#asff-findingproviderfields).
Para ver las descripciones de los atributos `RelatedFindings`, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html) en la *referencia de la API de AWS Security Hub *.
**Ejemplo**
```
"RelatedFindings": [
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000" },
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```
## RiskAssessment
**Ejemplo**
```
"RiskAssessment": {
"Posture": {
"FindingTotal": 4,
"Indicators": [
{
"Type": "Reachability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
},
{
"Type": "Vulnerability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
}
]
}
}
```
## Corrección
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) proporciona información sobre los pasos de remediación recomendados para abordar el resultado.
**Ejemplo**
```
"Remediation": {
"Recommendation": {
"Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
}
}
```
## Muestra
Especifica si el resultado es un resultado de muestra.
```
"Sample": true
```
## SourceUrl
El objeto `SourceUrl` brinda una URL que enlaza a una página sobre el resultado actual en el producto de resultados.
```
"SourceUrl": "http://sourceurl.com"
```
## ThreatIntelIndicators
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html) brinda detalles de información de amenazas que están relacionados con un resultado.
**Ejemplo**
```
"ThreatIntelIndicators": [
{
"Category": "BACKDOOR",
"LastObservedAt": "2018-09-27T23:37:31Z",
"Source": "Threat Intel Weekly",
"SourceUrl": "http://threatintelweekly.org/backdoors/8888",
"Type": "IPV4_ADDRESS",
"Value": "8.8.8.8",
}
]
```
## Amenazas
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html) proporciona detalles sobre la amenaza detectada por un resultado.
**Ejemplo**
```
"Threats": [{
"FilePaths": [{
"FileName": "b.txt",
"FilePath": "/tmp/b.txt",
"Hash": "sha256",
"ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
}],
"ItemCount": 3,
"Name": "Iot.linux.mirai.vwisi",
"Severity": "HIGH"
}]
```
## UserDefinedFields
Una lista de pares de cadenas de nombre/valor que están asociados con el resultado. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar de forma automática a través de su configuración específica.
Los proveedores de resultados no deben utilizar este campo para los datos que genera el producto. En su lugar, los proveedores de búsqueda pueden usar el `ProductFields` campo para datos que no se asignen a ningún campo estándar del formato de búsqueda de AWS seguridad.
Estos campos solo se pueden actualizar con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Ejemplo**
```
"UserDefinedFields": {
"reviewedByCio": "true",
"comeBackToLater": "Check this again on Monday"
}
```
## VerificationState
Brinda la veracidad de un resultado. Los productos de resultados pueden proporcionar el valor `UNKNOWN` para este campo. Un producto de resultados puede proporcionar este valor para este campo si hay un valor analógico significativo en el sistema del producto de resultados. Este campo suele ser rellenado por una determinación o acción del usuario después de que haya investigado un resultado.
Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
```
"VerificationState": "Confirmed"
```
## Vulnerabilidades
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) proporciona una lista de vulnerabilidades asociadas a un resultado.
**Ejemplo**
```
"Vulnerabilities" : [
{
"CodeVulnerabilities": [{
"Cwes": [
"CWE-798",
"CWE-799"
],
"FilePath": {
"EndLine": 421,
"FileName": "package-lock.json",
"FilePath": "package-lock.json",
"StartLine": 420
},
"SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
}],
"Cvss": [
{
"BaseScore": 4.7,
"BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"Version": "V3"
},
{
"BaseScore": 4.7,
"BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
"Version": "V2"
}
],
"EpssScore": 0.015,
"ExploitAvailable": "YES",
"FixAvailable": "YES",
"Id": "CVE-2020-12345",
"LastKnownExploitAt": "2020-01-16T00:01:35Z",
"ReferenceUrls":[
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
],
"RelatedVulnerabilities": ["CVE-2020-12345"],
"Vendor": {
"Name": "Alas",
"Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
"VendorCreatedAt":"2020-01-16T00:01:43Z",
"VendorSeverity":"Medium",
"VendorUpdatedAt":"2020-01-16T00:01:43Z"
},
"VulnerablePackages": [
{
"Architecture": "x86_64",
"Epoch": "1",
"FilePath": "/tmp",
"FixedInVersion": "0.14.0",
"Name": "openssl",
"PackageManager": "OS",
"Release": "16.amzn2.0.3",
"Remediation": "Update aws-crt to 0.14.0",
"SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
"SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
"Version": "1.0.2k"
}
]
}
]
```
## Flujo de trabajo
El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) proporciona información sobre el estado de la investigación de un resultado.
Este campo está pensado para que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.
Solo puede actualizar el campo `Workflow` con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Los clientes también pueden actualizarlo desde la consola. Consulte [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md).
**Ejemplo**
```
"Workflow": {
"Status": "NEW"
}
```
## WorkflowState (Retirado)
Este objeto está retirado y se ha sustituido por el campo `Status` del objeto `Workflow`.
Este campo proporciona el estado del flujo de trabajo de un resultado. Los productos de hallazgos puede proporcionar el valor `NEW` para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.
**Ejemplo**
```
"WorkflowState": "NEW"
```