Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Linee guida per la mappatura dei risultati nel AWS Security Finding Format (ASFF)
<a name="guidelines-asff-mapping"></a>

Utilizza le seguenti linee guida per associare i risultati all'ASFF. *Per descrizioni dettagliate di ogni campo e oggetto ASFF, consulta [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) nella Guida per l'AWS Security Hub utente.*

## Informazioni identificative
<a name="asff-identifying-information"></a>

`SchemaVersion` è sempre `2018-10-08`.

`ProductArn`è l'ARN che ti AWS Security Hub CSPM assegna.

`Id`è il valore che Security Hub CSPM utilizza per indicizzare i risultati. L'identificatore del risultato deve essere univoco, per garantire che altri risultati non vengano sovrascritti. Per aggiornare un risultato, invia nuovamente il risultato con lo stesso identificatore.

`GeneratorId`può essere uguale `Id` o fare riferimento a un'unità logica discreta, come un Amazon GuardDuty detector ID, un AWS Config recorder ID o un ID IAM Access Analyzer.

## Title e Description
<a name="asff-title-description"></a>

`Title`dovrebbe contenere alcune informazioni sulla risorsa interessata. `Title`è limitato a 256 caratteri, spazi inclusi.

Aggiungi informazioni più dettagliate a`Description`. `Description`è limitato a 1024 caratteri, spazi inclusi. Puoi prendere in considerazione l'aggiunta di un troncamento alle descrizioni. Ecco un esempio:

```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```

## Tipi di esiti
<a name="asff-finding-types"></a>

Fornisci le informazioni sul tipo di ricerca in. `FindingProviderFields.Types`

`Types`deve corrispondere alla [tassonomia dei tipi per ASFF.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html)

Se necessario, è possibile specificare un classificatore personalizzato (il terzo spazio dei nomi).

## Timestamp
<a name="asff-timestamps"></a>

Il formato ASFF include alcuni timestamp diversi.

**`CreatedAt` e `UpdatedAt`**  
Devi inviare `CreatedAt` `UpdatedAt` ogni volta che chiami [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)per ogni risultato.  
I valori devono corrispondere al ISO8601 formato in Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

**`FirstObservedAt` e `LastObservedAt`**  
`FirstObservedAt`e `LastObservedAt` devono corrispondere al momento in cui il sistema ha osservato il risultato. Se non si registrano queste informazioni, non è necessario inviare questi timestamp.  
I valori corrispondono al ISO8601 formato in Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

## Severity
<a name="asff-severity"></a>

Le informazioni sulla gravità vengono fornite nell'`FindingProviderFields.Severity`oggetto, che contiene i seguenti campi.

**`Original`**  
Il valore di gravità del sistema. `Original`può essere una stringa qualsiasi, per adattarsi al sistema in uso.

**`Label`**  
L'indicatore CSPM richiesto del Security Hub della gravità del rilevamento. I valori consentiti sono i seguenti.  
+ `INFORMATIONAL`— Non è stato riscontrato alcun problema.
+ `LOW`— Il problema non richiede di per sé un'azione.
+ `MEDIUM`— La questione deve essere affrontata ma non con urgenza.
+ `HIGH`— La questione deve essere affrontata in via prioritaria.
+ `CRITICAL`— Il problema deve essere risolto immediatamente per prevenire ulteriori danni.
I risultati conformi avrebbero dovuto essere sempre impostati `Label` su. `INFORMATIONAL` Esempi di `INFORMATIONAL` risultati sono i risultati dei controlli di sicurezza che sono stati superati e AWS Firewall Manager i risultati che sono stati corretti.  
I clienti spesso ordinano i risultati in base alla loro gravità per fornire ai team addetti alle operazioni di sicurezza un elenco di cose da fare. Siate prudenti quando impostate la gravità del risultato su `HIGH` o`CRITICAL`.

La documentazione di integrazione deve includere le motivazioni della mappatura.

## Remediation
<a name="asff-remediation"></a>

`Remediation`ha due elementi. Questi elementi vengono combinati nella console CSPM di Security Hub.

`Remediation.Recommendation.Text`appare nella sezione **Riparazione** dei dettagli del risultato. È collegato ipertestualmente al valore di. `Remediation.Recommendation.Url`

Attualmente, solo i risultati degli standard CSPM di Security Hub, IAM Access Analyzer e Firewall Manager mostrano collegamenti ipertestuali alla documentazione su come correggere il risultato.

## SourceUrl
<a name="asff-sourceurl"></a>

Utilizzalo solo `SourceUrl` se puoi fornire un URL con collegamento diretto alla tua console per quel risultato specifico. Altrimenti, omettilo dalla mappatura.

Security Hub CSPM non supporta i collegamenti ipertestuali da questo campo, ma sono esposti nella console CSPM di Security Hub.

## Malware, Network, Process, ThreatIntelIndicators
<a name="asff-malware-network-process-threatintel"></a>

Se applicabile, usa`Malware`,, o. `Network` `Process` `ThreatIntelIndicators` Ciascuno di questi oggetti è esposto nella console CSPM di Security Hub. Utilizzate questi oggetti nel contesto del risultato che state inviando.

Ad esempio, se rilevi un malware che stabilisce una connessione in uscita a un nodo di comando e controllo noto, fornisci i dettagli per l'istanza EC2 in. `Resource.Details.AwsEc2Instance` Fornisci gli `ThreatIntelIndicator` oggetti pertinenti `Malware` e per quell'istanza EC2. `Network`

### Malware
<a name="asff-malware"></a>

`Malware`è un elenco che accetta fino a cinque matrici di informazioni sul malware. Rendi le voci relative al malware pertinenti alla risorsa e alla scoperta.

Ogni voce contiene i seguenti campi.

**`Name`**  
Il nome del malware. Il valore è una stringa composta da un massimo di 64 caratteri.  
`Name`deve provenire da una fonte controllata di intelligence o di ricercatori sulle minacce.

**`Path`**  
Il percorso verso il malware. Il valore è una stringa composta da un massimo di 512 caratteri. `Path`deve essere un percorso di file di sistema Linux o Windows, tranne nei seguenti casi.  
+ Se esegui la scansione degli oggetti in un bucket S3 o in una condivisione EFS in base alle regole YARA, allora `Path` è il percorso dell'oggetto S3://o HTTPS.
+ Se esegui la scansione di file in un repository Git, allora `Path` è l'URL Git o il percorso del clone.

**`State`**  
Lo stato del malware. I valori consentiti sono `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.  
Nel titolo e nella descrizione del risultato, assicurati di fornire un contesto per ciò che è accaduto con il malware.  
Ad esempio, in caso `Malware.State` `REMOVED` affermativo, il titolo e la descrizione del risultato dovrebbero indicare che il prodotto ha rimosso il malware presente nel percorso.  
In caso `Malware.State` `OBSERVED` affermativo, il titolo e la descrizione del risultato dovrebbero indicare che il prodotto ha rilevato il malware localizzato lungo il percorso.

**`Type`**  
Indica il tipo di malware. I valori consentiti sono `ADWARE` `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` \$1 `KEYLOGGER` \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.  
Se hai bisogno di un valore aggiuntivo per`Type`, contatta il team CSPM di Security Hub.

### Network
<a name="asff-network"></a>

`Network`è un oggetto singolo. Non è possibile aggiungere più dettagli relativi alla rete. Durante la mappatura dei campi, utilizza le seguenti linee guida.

**Informazioni sulla destinazione e sulla fonte**  
La destinazione e l'origine sono facili da mappare i log di flusso TCP o VPC o i log WAF. Sono più difficili da usare quando si descrivono le informazioni di rete per individuare un attacco.  
In genere, la fonte è l'origine dell'attacco, ma potrebbe avere altre fonti, come quelle elencate di seguito. È necessario spiegare la fonte nella documentazione e descriverla anche nel titolo e nella descrizione del reperto.  
+ Per un attacco DDoS su un'istanza EC2, la fonte è l'aggressore, sebbene un attacco DDoS reale possa utilizzare milioni di host. La destinazione è l'indirizzo IPv4 pubblico dell'istanza EC2. `Direction`è IN.
+ Per il malware osservato mentre comunica da un'istanza EC2 a un nodo di comando e controllo noto, l'origine è l'indirizzo IPV4 dell'istanza EC2. La destinazione è il nodo di comando e controllo. `Direction`è`OUT`. Forniresti anche `Malware` e`ThreatIntelIndicators`.

**`Protocol`**  
`Protocol`esegue sempre il mapping su un nome registrato della Internet Assigned Numbers Authority (IANA), a meno che non sia possibile fornire un protocollo specifico. Dovresti sempre usarlo e fornire le informazioni sulla porta.  
`Protocol`è indipendente dalle informazioni di origine e destinazione. Forniscile solo quando ha senso farlo.

**`Direction`**  
`Direction`è sempre relativo ai confini della AWS rete.  
+ `IN`significa che sta entrando AWS (VPC, servizio).
+ `OUT`significa che sta uscendo dai confini della AWS rete.

### Process
<a name="asff-process"></a>

`Process`è un oggetto singolo. Non è possibile aggiungere più dettagli relativi al processo. Durante la mappatura dei campi, utilizza le seguenti linee guida.

**`Name`**  
`Name`deve corrispondere al nome dell'eseguibile. Accetta fino a 64 caratteri.

****`Path`****  
`Path`è il percorso del file system verso l'eseguibile del processo. Accetta fino a 512 caratteri.

**`Pid`, `ParentPid`**  
`Pid`e `ParentPid` deve corrispondere all'identificatore di processo Linux (PID) o all'ID evento di Windows. Per differenziare, usa Amazon Machine Images (AMI) EC2 per fornire le informazioni. I clienti possono probabilmente distinguere tra Windows e Linux.

**Timestamp (e) `LaunchedAt` `TerminatedAt`**  
Se non è possibile recuperare in modo affidabile queste informazioni e non sono accurate al millisecondo, non fornirle.  
Se un cliente si affida ai timestamp per le indagini forensi, non avere un timestamp è meglio che avere un timestamp sbagliato.

### ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

`ThreatIntelIndicators`accetta una serie di fino a cinque oggetti di intelligence sulle minacce.

Per ogni voce, `Type` rientra nel contesto della minaccia specifica. I valori consentiti sono `DOMAIN` `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` \$1 `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.

Ecco alcuni esempi di come mappare gli indicatori di intelligence sulle minacce:
+ Hai scoperto un processo che sai essere associato a Cobalt Strike. L'hai imparato dal FireEye nostro blog.

  Imposta `Type` su `PROCESS`. Crea anche un `Process` oggetto per il processo.
+ Il tuo filtro di posta ha rilevato che qualcuno ha inviato un noto pacchetto con hash da un dominio malevolo noto.

  Crea due `ThreatIntelIndicator` oggetti. Un oggetto è per`DOMAIN`. L'altro è per il`HASH_SHA1`.
+ Hai trovato un malware con una regola Yara (Loki, Fenrir, Awss3,). VirusScan BinaryAlert

  Crea due oggetti. `ThreatIntelIndicator` Uno è per il malware. L'altro è per il`HASH_SHA1`.

## Resources
<a name="asff-resources"></a>

Infatti`Resources`, utilizza i tipi di risorse e i campi di dettaglio forniti ogni volta che è possibile. Security Hub CSPM aggiunge costantemente nuove risorse all'ASFF. Per ricevere un registro mensile delle modifiche ad ASFF, contatta securityhub-partners@amazon.com.

Se non riesci a inserire le informazioni nei campi dei dettagli per un tipo di risorsa modellato, mappa i dettagli rimanenti a. `Details.Other`

Per una risorsa non modellata in ASFF, impostate su. `Type` `Other` Per informazioni dettagliate, utilizzare. `Details.Other`

È inoltre possibile utilizzare il tipo di `Other` risorsa per informazioni non AWS risultanti.

## ProductFields
<a name="asff-productfields"></a>

Utilizzalo solo `ProductFields` se non puoi utilizzare un altro campo curato per `Resources` o un oggetto descrittivo come `ThreatIntelIndicators``Network`, o. `Malware`

Se lo utilizzi`ProductFields`, devi fornire una motivazione rigorosa per questa decisione.

## Conformità
<a name="asff-compliance"></a>

Utilizzalo solo `Compliance` se i risultati sono correlati alla conformità.

Security Hub CSPM utilizza `Compliance` per i risultati che genera in base ai controlli.

Firewall Manager utilizza `Compliance` i risultati perché sono correlati alla conformità.

## Campi con restrizioni
<a name="asff-restricted-fields"></a>

Questi campi sono destinati ai clienti per tenere traccia delle indagini condotte su un risultato.

Non eseguire la mappatura su questi campi o oggetti.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Per questi campi, esegui il mapping ai campi presenti nell'`FindingProviderFields`oggetto. Non eseguire il mapping ai campi di primo livello.
+ `Confidence`— Includi un punteggio di affidabilità (0-99) solo se il tuo servizio ha una funzionalità simile o se condividi al 100% la tua opinione.
+ `Criticality`— Il punteggio di criticità (0-99) ha lo scopo di esprimere l'importanza della risorsa associata alla scoperta.
+ `RelatedFindings`— Fornisci risultati correlati solo se puoi tenere traccia dei risultati relativi alla stessa risorsa o tipo di scoperta. Per identificare un risultato correlato, è necessario fare riferimento all'identificatore del risultato di un risultato già presente in Security Hub CSPM.