Atribut tingkat atas ASFF yang diperlukan - AWS Security Hub
AwsAccountIdCreatedAtDeskripsiGeneratorIdIdProductArnSumber dayaSchemaVersionKepelikanJudulTipeUpdatedAt

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Atribut tingkat atas ASFF yang diperlukan

Atribut tingkat atas berikut dalam AWS Security Finding Format (ASFF) diperlukan untuk semua temuan di Security Hub. Untuk informasi selengkapnya tentang atribut yang diperlukan ini, lihat AwsSecurityFindingdalam AWS Security Hub APIReferensi.

AwsAccountId

Akun AWS ID yang berlaku untuk temuan tersebut.

Contoh

"AwsAccountId": "111111111111"

CreatedAt

Menunjukkan kapan potensi masalah keamanan yang ditangkap oleh temuan dibuat.

Contoh

"CreatedAt": "2017-03-22T13:22:13.933Z"
catatan

Security Hub menghapus temuan 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk menyimpan temuan selama lebih dari 90 hari, Anda dapat mengonfigurasi aturan di Amazon EventBridge yang merutekan temuan ke bucket S3 Anda.

Deskripsi

Deskripsi temuan. Bidang ini dapat berupa teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan.

Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini memberikan deskripsi kontrol.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Contoh

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

Pengidentifikasi untuk komponen spesifik solusi (unit logika diskrit) yang menghasilkan temuan.

Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol konsolidasi.

Contoh

"GeneratorId": "security-control/Config.1"

Id

Pengidentifikasi khusus produk untuk sebuah temuan. Untuk temuan kontrol yang dihasilkan Security Hub, bidang ini menyediakan Amazon Resource Name (ARN) dari temuan tersebut.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Contoh

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

Nama Sumber Daya Amazon (ARN) yang dihasilkan oleh Security Hub yang secara unik mengidentifikasi produk temuan pihak ketiga setelah produk terdaftar di Security Hub.

Format bidang ini adalah arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Untuk AWS layanan yang terintegrasi dengan Security Hub, company-id harus "aws“, dan product-id harus menjadi nama layanan AWS publik. Karena AWS produk dan layanan tidak terkait dengan akun, account-id bagian ARN tersebut kosong. AWS Layanan yang belum terintegrasi dengan Security Hub dianggap sebagai produk pihak ketiga.

  • Untuk produk publik, company-id dan product-id harus berupa nilai ID yang ditentukan pada saat pendaftaran.

  • Untuk produk pribadi, company-id harus ID akun. product-idHarus berupa kata cadangan “default” atau ID yang ditentukan pada saat pendaftaran.

Contoh

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Sumber daya

ResourcesObjek menyediakan satu set tipe data sumber daya yang menggambarkan AWS sumber daya yang mengacu pada temuan tersebut.

Contoh

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

Versi skema yang diformat untuk temuan. Nilai bidang ini harus menjadi salah satu versi yang diterbitkan secara resmi yang diidentifikasi oleh AWS. Dalam rilis saat ini, versi skema AWS Security Finding Format adalah2018-10-08.

Contoh

"SchemaVersion": "2018-10-08"

Kepelikan

Mendefinisikan pentingnya sebuah temuan. Untuk detail tentang objek ini, lihat Severitydi AWS Security Hub APIReferensi.

Severityadalah objek tingkat atas dalam temuan dan bersarang di bawah objek. FindingProviderFields

Nilai Severity objek tingkat atas untuk sebuah temuan seharusnya hanya diperbarui oleh. BatchUpdateFindingsAPI

Untuk memberikan informasi tingkat keparahan, penyedia pencarian harus memperbarui Severity objek di bawah FindingProviderFields saat membuat BatchImportFindingsAPIpermintaan.
 Jika BatchImportFindings permintaan untuk temuan baru hanya menyediakan Label atau hanya menyediakanNormalized, maka Security Hub secara otomatis mengisi nilai bidang lainnya. OriginalBidang Product dan juga dapat dihuni.

Jika Finding.Severity objek tingkat atas hadir tetapi tidak Finding.FindingProviderFields ada, Security Hub membuat FindingProviderFields.Severity objek dan menyalin keseluruhan Finding.Severity object ke dalamnya. Ini memastikan bahwa detail asli yang disediakan penyedia dipertahankan dalam FindingProviderFields.Severity struktur, bahkan jika objek tingkat atas Severity ditimpa.

Tingkat keparahan temuan tidak mempertimbangkan kekritisan aset yang terlibat atau sumber daya yang mendasarinya. Kritikalitas didefinisikan sebagai tingkat kepentingan sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi memiliki kekritisan yang lebih tinggi daripada yang terkait dengan pengujian nonproduksi. Untuk menangkap informasi tentang kekritisan sumber daya, gunakan Criticality bidang.

Sebaiknya gunakan panduan berikut saat menerjemahkan skor keparahan asli temuan ke nilai dalam. Severity.Label ASFF

  • INFORMATIONALKategori ini dapat mencakup temuan untukPASSED,WARNING, atau NOT AVAILABLE cek atau identifikasi data sensitif.

  • LOW— Temuan yang dapat menghasilkan kompromi di masa depan. Misalnya, kategori ini mungkin mencakup kerentanan, kelemahan konfigurasi, dan kata sandi yang terbuka.

  • MEDIUM— Temuan yang menunjukkan kompromi aktif, tetapi tidak ada indikasi bahwa musuh menyelesaikan tujuan mereka. Misalnya, kategori ini mungkin mencakup aktivitas malware, aktivitas peretasan, dan deteksi perilaku yang tidak biasa.

  • HIGHatau CRITICAL — Temuan yang menunjukkan bahwa musuh menyelesaikan tujuan mereka, seperti kehilangan data aktif atau kompromi atau penolakan layanan.

Contoh

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Judul

Judul temuan. Bidang ini dapat berisi teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan ini.

Untuk temuan kontrol, bidang ini memberikan judul kontrol.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Contoh

"Title": "AWS Config should be enabled"

Tipe

Satu atau lebih jenis temuan dalam format namespace/category/classifier yang mengklasifikasikan temuan. Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Typesseharusnya hanya diperbarui menggunakan BatchUpdateFindings.

Menemukan penyedia yang ingin memberikan nilai untuk Types harus menggunakan Types atribut di bawah FindingProviderFields.

Dalam daftar berikut, peluru tingkat atas adalah ruang nama, peluru tingkat kedua adalah kategori, dan peluru tingkat ketiga adalah pengklasifikasi. Sebaiknya penyedia pencarian menggunakan ruang nama yang ditentukan untuk membantu mengurutkan dan mengelompokkan temuan. Kategori dan pengklasifikasi yang ditentukan juga dapat digunakan, tetapi tidak diperlukan. Hanya namespace Pemeriksaan Perangkat Lunak dan Konfigurasi yang telah menentukan pengklasifikasi.

Anda dapat menentukan jalur sebagian untuknamespace/category/classifier. Misalnya, jenis temuan berikut semuanya valid:

  • TTPs

  • TTPs/Penghindaran Pertahanan

  • TTPs/Defense Evasion/CloudTrailStopped

Kategori taktik, teknik, dan prosedur (TTPs) dalam daftar berikut selaras dengan MITREATTMatrixTM &CK. Namespace Perilaku Tidak Biasa mencerminkan perilaku umum yang tidak biasa, seperti anomali statistik umum, dan tidak selaras dengan spesifik. TTP Namun, Anda dapat mengklasifikasikan temuan dengan Perilaku Tidak Biasa dan tipe TTPs temuan.

Daftar ruang nama, kategori, dan pengklasifikasi:

  • Pemeriksaan Perangkat Lunak dan Konfigurasi

    • Kerentanan

      • CVE

    • AWS Praktik Terbaik Keamanan

      • Keterjangkauan Jaringan

      • Analisis Perilaku Waktu Aktif

    • Standar Industri dan Regulasi

      • AWS Praktik Terbaik Keamanan Dasar

      • CISTolok Ukur Pengerasan Tuan Rumah

      • CIS AWS Tolok Ukur Yayasan

      • PCI-DSS

      • Kontrol Aliansi Keamanan Cloud

      • ISO90001 Kontrol

      • ISO27001 Kontrol

      • ISO27017 Kontrol

      • ISO27018 Kontrol

      • SOC1

      • SOC2

      • HIPAAKontrol (USA)

      • NIST800-53 Kontrol () USA

      • NISTCSFKontrol (USA)

      • IRAPKontrol (Australia)

      • K- ISMS Controls (Korea)

      • MTCSKontrol (Singapura)

      • FISCKontrol (Jepang)

      • Kontrol Undang-Undang Nomor Saya (Jepang)

      • ENSKontrol (Spanyol)

      • Kontrol Cyber Essentials Plus (Inggris)

      • Kontrol G-Cloud (Inggris)

      • Kontrol C5 (Jerman)

      • Kontrol IT-Grundschutz (Jerman)

      • GDPRKontrol (Eropa)

      • TISAXKontrol (Eropa)

    • Manajemen Patch

  • TTPs

    • Akses Awal

    • Eksekusi

    • Tetap

    • Eskalasi Hak Istimewa

    • Penghindaran Pertahanan

    • Akses Kredensi

    • Penemuan

    • Gerakan Lateral

    • Koleksi

    • Perintah dan Kontrol

  • Efek

    • Eksposur Data

    • Ekfiltrasi Data

    • Penghancuran Data

    • Penolakan Layanan

    • Konsumsi Sumber Daya

  • Perilaku Tidak Biasa

    • Aplikasi

    • Aliran Jaringan

    • Alamat IP

    • Pengguna

    • VM

    • Kontainer

    • Nirserver

    • Proses

    • Basis Data

    • Data

  • Identifikasi Data Sensitif

    • PII

    • Kata Sandi

    • Legal

    • Keuangan

    • Keamanan

    • Bisnis

Contoh

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

Menunjukkan kapan penyedia temuan terakhir memperbarui catatan temuan.

Stempel waktu ini mencerminkan waktu ketika catatan temuan terakhir atau yang terbaru diperbarui. Akibatnya, ini dapat berbeda dari LastObservedAt stempel waktu, yang mencerminkan kapan peristiwa atau kerentanan terakhir atau yang terbaru diamati.

Saat memperbarui catatan temuan, Anda harus memperbarui stempel waktu ini ke stempel waktu saat ini. Setelah membuat catatan temuan, CreatedAt dan UpdatedAt stempel waktu harus sama. Setelah pembaruan ke catatan temuan, nilai bidang ini harus lebih baru dari semua nilai sebelumnya yang terkandung di dalamnya.

Perhatikan bahwa UpdatedAt tidak dapat diperbarui dengan menggunakan BatchUpdateFindingsAPIoperasi. Anda hanya dapat memperbaruinya dengan menggunakan BatchImportFindings.

Contoh

"UpdatedAt": "2017-04-22T13:22:13.933Z"
catatan

Security Hub menghapus temuan 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk menyimpan temuan selama lebih dari 90 hari, Anda dapat mengonfigurasi aturan di Amazon EventBridge yang merutekan temuan ke bucket S3 Anda.