Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Attributs de niveau supérieur ASFF facultatifs
Ces attributs de haut niveau sont facultatifs dans le format AWS Security Finding (ASFF). Pour plus d'informations sur ces attributs, reportez-vous AwsSecurityFindingà la section AWS Security Hub APIRéférence.
Action
L'Action
objet fournit des détails sur une action qui affecte ou a été entreprise sur une ressource.
Exemple
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
Compte AWS Nom auquel s'applique le résultat.
Exemple
"AwsAccountName": "jane-doe-testaccount"
CompanyName
Le nom de l'entreprise pour le produit à l'origine de la découverte. Pour les résultats basés sur le contrôle, l'entreprise l'est AWS.
Security Hub renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de BatchImportFindings
ou BatchUpdateFindings
. L'exception à cette règle est lorsque vous utilisez une intégration personnalisée. Consultez Intégration de Security Hub à des produits personnalisés.
Lorsque vous utilisez la console Security Hub pour filtrer les résultats par nom de société, vous utilisez cet attribut. Lorsque vous utilisez le Security Hub API pour filtrer les résultats par nom de société, vous utilisez l'aws/securityhub/CompanyName
attribut ci-dessousProductFields
. Security Hub ne synchronise pas ces deux attributs.
Exemple
"CompanyName": "AWS"
Conformité d'
L'Compliance
objet fournit généralement des détails sur une constatation de contrôle, tels que les normes applicables et l'état de la vérification de contrôle.
Exemple
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Fiabilité
Probabilité qu'un résultat identifie avec précision le comportement ou le problème qu'il était censé identifier.
Confidence
ne doit être mis à jour qu'à l'aide de BatchUpdateFindings
.
La recherche de fournisseurs qui souhaitent fournir une valeur pour Confidence
doit utiliser l'Confidence
attribut ci-dessousFindingProviderFields
. Consultez Mettre à jour les résultats avec FindingProviderFields.
Confidence
est noté sur une base de 0 à 100 à l'aide d'une échelle de ratio. 0 signifie 0 % de confiance et 100 signifie 100 % de confiance. Par exemple, une détection d'exfiltration de données basée sur un écart statistique du trafic réseau est peu fiable car une exfiltration réelle n'a pas été vérifiée.
Exemple
"Confidence": 42
Criticité
Le niveau d'importance attribué aux ressources associées à une constatation.
Criticality
ne doit être mis à jour qu'en appelant l'BatchUpdateFindings
APIopération. Ne mettez pas à jour cet objet avec BatchImportFindings
.
La recherche de fournisseurs qui souhaitent fournir une valeur pour Criticality
doit utiliser l'Criticality
attribut ci-dessousFindingProviderFields
. Consultez Mettre à jour les résultats avec FindingProviderFields.
Criticality
est noté sur une base de 0 à 100, en utilisant une échelle de ratio qui ne prend en charge que les entiers complets. Un score de 0 signifie que les ressources sous-jacentes ne sont pas critiques, et un score de 100 est réservé aux ressources les plus critiques.
Pour chaque ressource, tenez compte des points suivants lors de l'attribution Criticality
:
-
La ressource affectée contient-elle des données sensibles (par exemple, un compartiment S3 avecPII) ?
-
La ressource affectée permet-elle à un adversaire d'approfondir son accès ou d'étendre ses capacités pour mener des activités malveillantes supplémentaires (par exemple, un compte d'administrateur système compromis) ?
-
La ressource est-elle stratégique (par exemple, un système d'entreprise clé compromis pourrait avoir un impact important sur les revenus) ?
Utilisez les directives suivantes :
-
Une ressource alimentant des systèmes critiques ou contenant des données très sensibles peut être notée entre 75 et 100.
-
Une ressource alimentant des systèmes importants (mais pas critiques) ou contenant des données modérément importantes peut être notée entre 25 et 74.
-
Une ressource alimentant des systèmes sans importance ou contenant des données non sensibles doit être notée entre 0 et 24.
Exemple
"Criticality": 99
FindingProviderFields
FindingProviderFields
inclut les attributs suivants :
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
Les champs précédents sont imbriqués sous l'FindingProviderFields
objet, mais ont des analogues portant le même nom que les champs de niveau supérieurASFF. Lorsqu'un nouveau résultat est envoyé à Security Hub par un fournisseur de recherche, Security Hub remplit automatiquement l'FindingProviderFields
objet s'il est vide en fonction des champs de niveau supérieur correspondants.
La recherche de fournisseurs peut être mise à jour FindingProviderFields
en utilisant le BatchImportFindings
fonctionnement du Security HubAPI. La recherche de fournisseurs ne permet pas de mettre à jour cet objet avec BatchUpdateFindings
.
Pour plus de détails sur la manière dont Security Hub gère les mises BatchImportFindings
à jour depuis FindingProviderFields
et vers les attributs de haut niveau correspondants, consultezMettre à jour les résultats avec FindingProviderFields.
Les clients peuvent mettre à jour les champs de niveau supérieur à l'aide de cette BatchUpdateFindings
opération. Les clients ne peuvent pas effectuer de mise à jourFindingProviderFields
.
Exemple
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indique à quel moment le problème de sécurité potentiel détecté par une découverte a été observé pour la première fois.
Cet horodatage indique l'heure à laquelle l'événement ou la vulnérabilité a été observé pour la première fois. Par conséquent, il peut être différent de l'CreatedAt
horodatage, qui reflète l'heure à laquelle cet enregistrement de recherche a été créé.
Cet horodatage doit être immuable entre les mises à jour de l'enregistrement des résultats, mais il peut être mis à jour si un horodatage plus précis est déterminé.
Exemple
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indique à quel moment le problème de sécurité potentiel détecté par une découverte a été observé pour la dernière fois par le produit de résultats de sécurité.
Cet horodatage indique l'heure à laquelle l'événement ou la vulnérabilité a été observé pour la dernière fois ou le plus récemment. Par conséquent, il peut être différent de l'UpdatedAt
horodatage, qui indique la date à laquelle cet enregistrement de résultats a été mis à jour pour la dernière fois ou le plus récemment.
Vous pouvez fournir cet horodatage, mais il n'est pas obligatoire lors de la première observation. Si vous fournissez ce champ lors de la première observation, l'horodatage doit être le même que l'FirstObservedAt
horodatage. Vous devez mettre à jour ce champ pour refléter la dernière fois ou la fois la plus récente où l'horodatage a été observé chaque fois qu'une conclusion est observée.
Exemple
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
L'objet Malware
fournit une liste de logiciels malveillants liés à un résultat.
Exemple
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Réseau (retraité)
L'Network
objet fournit des informations relatives au réseau concernant une découverte.
Cet objet est retiré. Pour fournir ces données, vous pouvez soit mapper les données à une ressource dansResources
, soit utiliser l'Action
objet.
Exemple
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
L'NetworkPath
objet fournit des informations sur un chemin réseau associé à une découverte. Chaque entrée dans NetworkPath
représente un composant du chemin.
Exemple
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Remarque
L'Note
objet spécifie une note définie par l'utilisateur que vous pouvez ajouter à une constatation.
Un fournisseur de conclusion peut fournir une note initiale pour une conclusion, mais ne peut pas ajouter de notes ensuite. Vous ne pouvez mettre à jour une note qu'en utilisant BatchUpdateFindings
.
Exemple
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
L'PatchSummary
objet fournit un résumé de l'état de conformité des correctifs pour une instance par rapport à une norme de conformité sélectionnée.
Exemple
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Processus
L'Process
objet fournit des informations relatives au processus concernant une découverte.
Exemple :
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Indique à quel moment Security Hub a reçu un résultat et commence à le traiter.
Cela diffère CreatedAt
des UpdatedAt
horodatages obligatoires liés à l'interaction du fournisseur de recherche avec le problème de sécurité et le résultat. L'horodatage indique à quel ProcessedAt
moment Security Hub commence à traiter une recherche. Une recherche apparaît dans le compte d'un utilisateur une fois le traitement terminé.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Type de données dans lequel les produits de résultats de sécurité peuvent inclure des informations supplémentaires spécifiques à la solution qui ne font pas partie du format de résultats de AWS sécurité défini.
Pour les résultats générés par les contrôles Security Hub, ProductFields
inclut des informations sur le contrôle. Consultez Génération et mise à jour des résultats de contrôle.
Ce champ ne doit pas contenir de données redondantes et ne doit pas contenir de données en conflit avec les champs du format AWS de recherche de sécurité.
Le préfixe aws/
« » représente un espace de noms réservé aux AWS produits et services uniquement et ne doit pas être soumis avec les résultats d'intégrations tierces.
Bien que cela ne soit pas obligatoire, les produits doivent formater les noms de champs en tant que company-id/product-id/field-name
, avec company-id
et product-id
qui correspondent à ceux fournis dans le ProductArn
de la conclusion.
Les champs de référence Archival
sont utilisés lorsque Security Hub archive une découverte existante. Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.
Ce champ peut également inclure des informations sur la norme qui inclut le contrôle qui a produit le résultat.
Exemple
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an
ARCHIVED
state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Fournit le nom du produit qui a généré le résultat. Pour les résultats basés sur le contrôle, le nom du produit est Security Hub.
Security Hub renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de BatchImportFindings
ou BatchUpdateFindings
. L'exception à cette règle est lorsque vous utilisez une intégration personnalisée. Consultez Intégration de Security Hub à des produits personnalisés.
Lorsque vous utilisez la console Security Hub pour filtrer les résultats par nom de produit, vous utilisez cet attribut.
Lorsque vous utilisez le Security Hub API pour filtrer les résultats par nom de produit, vous utilisez l'aws/securityhub/ProductName
attribut ci-dessousProductFields
.
Security Hub ne synchronise pas ces deux attributs.
RecordState
Indique l'état d'enregistrement d'un résultat.
Par défaut, les résultats qui ont été initialement générées par un service sont considérés comme ACTIVE
.
L'état ARCHIVED
indique qu'une conclusion doit être masquée. Les conclusions archivées ne sont pas immédiatement supprimées. Vous pouvez les rechercher, les examiner et créer des rapports à leur sujet. Security Hub archive automatiquement les résultats basés sur le contrôle si la ressource associée est supprimée, si la ressource n'existe pas ou si le contrôle est désactivé.
RecordState
est destiné à la recherche de fournisseurs et ne peut être mis à jour que par BatchImportFindings
. Vous ne pouvez pas le mettre à jour en utilisant BatchUpdateFindings
.
Pour suivre l'état de votre enquête sur un résultat, utilisez Workflowplutôt queRecordState
.
Si l'état de l'enregistrement passe de ARCHIVED
à ACTIVE
et que le statut du flux de travail du résultat est l'un NOTIFIED
ou l'autre ouRESOLVED
, Security Hub définit automatiquement le statut du flux de travail surNEW
.
Exemple
"RecordState": "ACTIVE"
Région
Spécifie la Région AWS source à partir de laquelle le résultat a été généré.
Security Hub renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de BatchImportFindings
ou BatchUpdateFindings
.
Exemple
"Region": "us-west-2"
RelatedFindings
Fournit une liste des résultats liés à la constatation actuelle.
RelatedFindings
ne doit être mis à jour qu'avec l'BatchUpdateFindings
APIopération. Vous ne devez pas mettre à jour cet objet avec BatchImportFindings
.
Pour les BatchImportFindings
demandes, la recherche de fournisseurs doit utiliser l'RelatedFindings
objet ci-dessous FindingProviderFields.
Pour consulter les descriptions des RelatedFindings
attributs, reportez-vous RelatedFinding
à la section AWS Security Hub APIRéférence.
Exemple
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Correction
L'objet Remediation
fournit des informations sur les étapes de correction recommandées pour résoudre le résultat.
Exemple
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Exemple
Spécifie si le résultat est un exemple de résultat.
"Sample": true
SourceUrl
L'SourceUrl
objet fournit un URL lien vers une page concernant la recherche actuelle dans le produit de recherche.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
L'ThreatIntelIndicator
objet fournit des informations détaillées sur les menaces associées à une découverte.
Exemple
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Menaces
L'interface ThreatsL'objet fournit des détails sur la menace détectée par une découverte.
Exemple
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Fournit une liste des paires de chaînes nom-valeur associées à la recherche. Ce sont des champs définis par l'utilisateur personnalisés qui sont ajoutés à une conclusion. Ces champs peuvent être générés automatiquement par le biais de votre configuration spécifique.
La recherche de fournisseurs ne doit pas utiliser ce champ pour les données générées par le produit. Les fournisseurs de recherche peuvent plutôt utiliser le ProductFields
champ pour les données qui ne correspondent à aucun champ standard du format AWS de recherche de sécurité.
Ces champs peuvent uniquement être mis à jour à l'aide de BatchUpdateFindings
.
Exemple
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Fournit la véracité d'une constatation. Les produits Findings peuvent fournir une valeur de UNKNOWN
pour ce champ. Un produit de résultats doit fournir une valeur pour ce champ s'il existe un analogue significatif dans le système du produit de résultats. Ce champ est généralement rempli par une détermination ou une action de l'utilisateur après avoir examiné un résultat.
Un fournisseur de conclusions peut fournir une valeur initiale pour cet attribut, mais ne peut plus le mettre à jour ensuite. Vous ne pouvez mettre à jour cet attribut qu'en utilisant BatchUpdateFindings
.
"VerificationState": "Confirmed"
Vulnérabilités
L'interface VulnerabilitiesL'objet fournit une liste de vulnérabilités associées à une découverte.
Exemple
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flux de travail
L'objet Workflow
fournit des informations sur l'état de l'enquête dans un résultat.
Ce champ est destiné à être utilisé par les clients avec des outils de correction, d'orchestration et de billetterie. Il n'est pas destiné à identifier les fournisseurs.
Vous ne pouvez mettre à jour le Workflow
champ qu'avec BatchUpdateFindings
. Les clients peuvent également le mettre à jour à partir de la console. Consultez Configuration de l'état du flux de travail en fonction des résultats du Security Hub.
Exemple
"Workflow": { "Status": "NEW" }
WorkflowState (Retraité)
Cet objet est retiré et a été remplacé par le Status
champ de l'Workflow
objet.
Ce champ indique l'état du flux de travail d'une recherche. Les produits des conclusions peuvent fournir la valeur de NEW
pour ce champ. Un produit de conclusion peut fournir une valeur pour ce champ s'il y a un produit similaire significatif dans les résultats du système du produit de conclusion.
Exemple
"WorkflowState": "NEW"