Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pedoman pemetaan temuan ke dalam AWS Security Finding Format (ASFF)
<a name="guidelines-asff-mapping"></a>

Gunakan panduan berikut untuk memetakan temuan Anda ke ASFF. *Untuk deskripsi rinci dari setiap bidang dan objek ASFF, lihat [AWS Security Finding Format (ASFF) di Panduan](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) Pengguna.AWS Security Hub *

## Mengidentifikasi informasi
<a name="asff-identifying-information"></a>

`SchemaVersion` selalu `2018-10-08`.

`ProductArn`adalah ARN yang AWS Security Hub CSPM memberikan kepada Anda.

`Id`adalah nilai yang digunakan Security Hub CSPM untuk mengindeks temuan. Pengidentifikasi temuan harus unik, untuk memastikan bahwa temuan lain tidak ditimpa. Untuk memperbarui temuan, kirim ulang temuan dengan pengenal yang sama.

`GeneratorId`dapat sama dengan `Id` atau dapat merujuk ke unit logika diskrit, seperti ID GuardDuty detektor Amazon, ID AWS Config perekam, atau ID Penganalisis Akses IAM.

## Title dan Description
<a name="asff-title-description"></a>

`Title`harus berisi beberapa informasi tentang sumber daya yang terpengaruh. `Title`terbatas pada 256 karakter, termasuk spasi.

Tambahkan informasi terperinci yang lebih panjang ke`Description`. `Description`terbatas pada 1024 karakter, termasuk spasi. Anda dapat mempertimbangkan untuk menambahkan pemotongan ke deskripsi. Inilah contohnya:

```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```

## Tipe temuan
<a name="asff-finding-types"></a>

Anda memberikan informasi jenis temuan Anda di`FindingProviderFields.Types`.

`Types`harus cocok dengan [jenis taksonomi untuk ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html).

Jika diperlukan, Anda dapat menentukan pengklasifikasi kustom (namespace ketiga).

## Stempel waktu
<a name="asff-timestamps"></a>

Format ASFF mencakup beberapa stempel waktu yang berbeda.

**`CreatedAt` dan `UpdatedAt`**  
Anda harus mengirimkan `CreatedAt` dan `UpdatedAt` setiap kali Anda menelepon [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)untuk setiap temuan.  
Nilai harus sesuai dengan ISO8601 format di Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

**`FirstObservedAt` dan `LastObservedAt`**  
`FirstObservedAt`dan `LastObservedAt` harus cocok ketika sistem Anda mengamati temuan tersebut. Jika Anda tidak mencatat informasi ini, Anda tidak perlu mengirimkan stempel waktu ini.  
Nilai-nilai cocok dengan ISO8601 format di Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

## Severity
<a name="asff-severity"></a>

Anda memberikan informasi tingkat keparahan dalam `FindingProviderFields.Severity` objek, yang berisi bidang berikut.

**`Original`**  
Nilai keparahan dari sistem Anda. `Original`dapat berupa string apa saja, untuk mengakomodasi sistem yang Anda gunakan.

**`Label`**  
Indikator CSPM Security Hub yang diperlukan untuk tingkat keparahan temuan. Nilai yang diizinkan adalah sebagai berikut.  
+ `INFORMATIONAL`Tidak ada masalah yang ditemukan.
+ `LOW`— Masalah ini tidak memerlukan tindakan sendiri.
+ `MEDIUM`Masalah ini harus diatasi tetapi tidak mendesak.
+ `HIGH`Masalah ini harus diatasi sebagai prioritas.
+ `CRITICAL`— Masalah ini harus segera diperbaiki untuk mencegah kerusakan lebih lanjut.
Temuan yang sesuai harus selalu `Label` ditetapkan. `INFORMATIONAL` Contoh `INFORMATIONAL` temuan adalah temuan dari pemeriksaan keamanan yang lulus dan AWS Firewall Manager temuan yang diperbaiki.  
Pelanggan sering mengurutkan temuan berdasarkan tingkat keparahannya untuk memberi tim operasi keamanan mereka daftar tugas. Bersikaplah konservatif saat mengatur tingkat keparahan temuan ke `HIGH` atau`CRITICAL`.

Dokumentasi integrasi Anda harus menyertakan alasan pemetaan Anda.

## Remediation
<a name="asff-remediation"></a>

`Remediation`memiliki dua elemen. Elemen-elemen ini digabungkan pada konsol CSPM Security Hub.

`Remediation.Recommendation.Text`muncul di bagian **Remediasi** dari detail temuan. Hal ini hyperlink ke nilai. `Remediation.Recommendation.Url`

Saat ini, hanya temuan dari standar CSPM Security Hub, IAM Access Analyzer, dan Firewall Manager yang menampilkan hyperlink ke dokumentasi tentang cara memulihkan temuan.

## SourceUrl
<a name="asff-sourceurl"></a>

Gunakan hanya `SourceUrl` jika Anda dapat memberikan URL yang ditautkan dalam ke konsol Anda untuk temuan spesifik tersebut. Jika tidak, hilangkan dari pemetaan.

Security Hub CSPM tidak mendukung hyperlink dari bidang ini, tetapi terpapar di konsol CSPM Security Hub.

## Malware, Network, Process, ThreatIntelIndicators
<a name="asff-malware-network-process-threatintel"></a>

Jika berlaku, gunakan`Malware`,`Network`,`Process`, atau`ThreatIntelIndicators`. Masing-masing objek ini diekspos di konsol CSPM Security Hub. Gunakan benda-benda ini dalam konteks temuan yang Anda kirim.

Misalnya, jika Anda mendeteksi malware yang membuat koneksi keluar ke node perintah dan kontrol yang diketahui, berikan detail untuk instans EC2 di. `Resource.Details.AwsEc2Instance` Berikan `ThreatIntelIndicator` objek yang relevan`Malware`,`Network`, dan untuk instans EC2 itu.

### Malware
<a name="asff-malware"></a>

`Malware`adalah daftar yang menerima hingga lima array informasi malware. Buat entri malware yang relevan dengan sumber daya dan temuan.

Setiap entri memiliki bidang berikut.

**`Name`**  
Nama malware. Nilainya adalah string hingga 64 karakter.  
`Name`harus dari intelijen ancaman yang diperiksa atau sumber peneliti.

**`Path`**  
Jalan menuju malware. Nilainya adalah string hingga 512 karakter. `Path`harus berupa jalur file sistem Linux atau Windows, kecuali dalam kasus berikut.  
+ Jika Anda memindai objek dalam bucket S3 atau berbagi EFS terhadap aturan YARA, maka `Path` adalah jalur objek S3://atau HTTPS.
+ Jika Anda memindai file dalam repositori Git, maka `Path` adalah URL Git atau jalur klon.

**`State`**  
Status malware. Nilai yang diizinkan adalah `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.  
Dalam judul dan deskripsi temuan, pastikan Anda memberikan konteks untuk apa yang terjadi dengan malware.  
Misalnya, jika `Malware.State` ya`REMOVED`, maka judul dan deskripsi temuan harus mencerminkan bahwa produk Anda menghapus malware yang terletak di jalur.  
Jika `Malware.State` ya`OBSERVED`, maka judul dan deskripsi temuan harus mencerminkan bahwa produk Anda menemukan malware ini yang terletak di jalur.

**`Type`**  
Menunjukkan jenis malware. Nilai yang diizinkan adalah `ADWARE` \$1 `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` `KEYLOGGER` \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.  
Jika Anda membutuhkan nilai tambahan`Type`, hubungi tim CSPM Security Hub.

### Network
<a name="asff-network"></a>

`Network`adalah objek tunggal. Anda tidak dapat menambahkan beberapa detail terkait jaringan. Saat memetakan bidang, gunakan pedoman berikut.

**Informasi tujuan dan sumber**  
Tujuan dan sumbernya mudah untuk memetakan TCP atau VPC Flow Logs atau log WAF. Mereka lebih sulit digunakan ketika Anda menggambarkan informasi jaringan untuk menemukan tentang serangan.  
Biasanya, sumbernya adalah tempat serangan itu berasal, tetapi bisa memiliki sumber lain seperti yang tercantum di bawah ini. Anda harus menjelaskan sumbernya dalam dokumentasi Anda dan juga menjelaskannya dalam judul dan deskripsi temuan.  
+ Untuk serangan DDoS pada instans EC2, sumbernya adalah penyerang, meskipun serangan DDoS nyata dapat menggunakan jutaan host. Tujuannya adalah alamat IPv4 publik dari instans EC2. `Direction`ada di.
+ Untuk malware yang diamati berkomunikasi dari instans EC2 ke node perintah dan kontrol yang diketahui, sumbernya adalah alamat IPV4 dari instans EC2. Tujuannya adalah simpul perintah dan kontrol. `Direction`adalah`OUT`. Anda juga akan menyediakan `Malware` dan`ThreatIntelIndicators`.

**`Protocol`**  
`Protocol`selalu memetakan ke nama terdaftar Internet Assigned Numbers Authority (IANA), kecuali jika Anda dapat memberikan protokol tertentu. Anda harus selalu menggunakan ini dan memberikan informasi port.  
`Protocol`independen dari sumber dan informasi tujuan. Sediakan hanya ketika masuk akal untuk melakukannya.

**`Direction`**  
`Direction`selalu relatif terhadap batas-batas AWS jaringan.  
+ `IN`berarti itu masuk AWS (VPC, layanan).
+ `OUT`berarti keluar dari batas-batas AWS jaringan.

### Process
<a name="asff-process"></a>

`Process`adalah objek tunggal. Anda tidak dapat menambahkan beberapa detail terkait proses. Saat memetakan bidang, gunakan pedoman berikut.

**`Name`**  
`Name`harus cocok dengan nama yang dapat dieksekusi. Ini menerima hingga 64 karakter.

****`Path`****  
`Path`adalah jalur sistem file ke proses yang dapat dieksekusi. Ia menerima hingga 512 karakter.

**`Pid`, `ParentPid`**  
`Pid`dan `ParentPid` harus cocok dengan pengidentifikasi proses Linux (PID) atau ID peristiwa Windows. Untuk membedakan, gunakan EC2 Amazon Machine Images (AMI) untuk memberikan informasi. Pelanggan mungkin dapat membedakan antara Windows dan Linux.

**Stempel waktu (`LaunchedAt`dan) `TerminatedAt`**  
Jika Anda tidak dapat mengambil informasi ini dengan andal, dan itu tidak akurat hingga milidetik, jangan berikan.  
Jika pelanggan mengandalkan stempel waktu untuk penyelidikan forensik, maka tidak memiliki stempel waktu lebih baik daripada memiliki stempel waktu yang salah.

### ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

`ThreatIntelIndicators`menerima array hingga lima objek intelijen ancaman.

Untuk setiap entri, `Type` adalah dalam konteks ancaman spesifik. Nilai yang diizinkan adalah `DOMAIN` `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.

Berikut adalah beberapa contoh cara memetakan indikator intelijen ancaman:
+ Anda menemukan proses yang Anda tahu terkait dengan Cobalt Strike. Anda belajar ini dari FireEye blog.

  Atur `Type` ke `PROCESS`. Juga buat `Process` objek untuk proses tersebut.
+ Filter email Anda menemukan seseorang mengirim paket hash terkenal dari domain berbahaya yang dikenal.

  Buat dua `ThreatIntelIndicator` objek. Satu objek adalah untuk`DOMAIN`. Yang lainnya adalah untuk`HASH_SHA1`.
+ Anda menemukan malware dengan aturan Yara (Loki, Fenrir, Awss3,). VirusScan BinaryAlert

  Buat dua `ThreatIntelIndicator` objek. Salah satunya untuk malware. Yang lainnya adalah untuk`HASH_SHA1`.

## Resources
<a name="asff-resources"></a>

Untuk`Resources`, gunakan jenis sumber daya dan bidang detail yang kami sediakan bila memungkinkan. Security Hub CSPM terus menambahkan sumber daya baru ke ASFF. Untuk menerima log bulanan perubahan ASFF, hubungi securityhub-partners@amazon.com.

Jika Anda tidak dapat memasukkan informasi di bidang detail untuk jenis sumber daya yang dimodelkan, petakan detail yang tersisa. `Details.Other`

Untuk sumber daya yang tidak dimodelkan dalam ASFF, atur `Type` ke. `Other` Untuk informasi rinci, gunakan`Details.Other`.

Anda juga dapat menggunakan jenis `Other` sumber daya untuk AWS non-temuan.

## ProductFields
<a name="asff-productfields"></a>

Hanya gunakan `ProductFields` jika Anda tidak dapat menggunakan bidang kurasi lain untuk `Resources` atau objek deskriptif seperti`ThreatIntelIndicators`,`Network`, atau. `Malware`

Jika Anda menggunakannya`ProductFields`, Anda harus memberikan alasan yang ketat untuk keputusan ini.

## Kepatuhan
<a name="asff-compliance"></a>

Gunakan hanya `Compliance` jika temuan Anda terkait dengan kepatuhan.

Security Hub menggunakan CSPM `Compliance` untuk temuan yang dihasilkannya berdasarkan kontrol.

Firewall Manager menggunakan `Compliance` temuannya karena mereka terkait dengan kepatuhan.

## Bidang yang dibatasi
<a name="asff-restricted-fields"></a>

Bidang ini ditujukan bagi pelanggan untuk melacak penyelidikan mereka terhadap suatu temuan.

Jangan memetakan ke bidang atau objek ini.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Untuk bidang ini, petakan ke bidang yang ada di `FindingProviderFields` objek. Jangan memetakan ke bidang tingkat atas.
+ `Confidence`— Hanya sertakan skor kepercayaan (0-99) jika layanan Anda memiliki fungsi yang sama, atau jika Anda berdiri 100% dengan temuan Anda.
+ `Criticality`— Skor kekritisan (0-99) dimaksudkan untuk mengungkapkan pentingnya sumber daya yang terkait dengan temuan tersebut.
+ `RelatedFindings`— Hanya berikan temuan terkait jika Anda dapat melacak temuan yang terkait dengan sumber daya atau jenis temuan yang sama. Untuk mengidentifikasi temuan terkait, Anda harus merujuk ke pengidentifikasi temuan dari temuan yang sudah ada di Security Hub CSPM.