Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attributi di primo livello ASFF obbligatori
I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono necessari per tutti i risultati in Security Hub. Per ulteriori informazioni su questi attributi obbligatori, vedere AwsSecurityFindingnel AWS Security Hub APIReference.
AwsAccountId
L' Account AWS ID a cui si applica il risultato.
Esempio
"AwsAccountId": "111111111111"
CreatedAt
Indica quando è stato creato il potenziale problema di sicurezza rilevato da un risultato.
Esempio
"CreatedAt": "2017-03-22T13:22:13.933Z"
Nota
Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.
Descrizione
La descrizione di una ricerca. Questo campo può essere testo boilerplate non specifico o dettagli che sono specifici dell'istanza del risultato.
Per i risultati di controllo generati da Security Hub, questo campo fornisce una descrizione del controllo.
Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
GeneratorId
L'identificatore per il componente specifico della soluzione (un'unità di logica discreta) che ha generato un risultato.
Per i risultati di controllo generati da Security Hub, questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"GeneratorId": "security-control/Config.1"
Id
L'identificatore specifico del prodotto per un risultato. Per i risultati di controllo generati da Security Hub, questo campo fornisce l'Amazon Resource Name (ARN) del risultato.
Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.
Esempio
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "
ProductArn
L'Amazon Resource Name (ARN) generato da Security Hub che identifica in modo univoco un prodotto di ricerca di terze parti dopo la registrazione del prodotto presso Security Hub.
Il formato di questo campo è arn:
.partition
:securityhub:region
:account-id
:product/company-id
/product-id
-
Per AWS i servizi integrati con Security Hub,
company-id
deve essere "aws
«eproduct-id
deve essere il nome del servizio AWS pubblico. Poiché AWS i prodotti e i servizi non sono associati a un account, laaccount-id
sezione di ARN è vuota. AWS i servizi che non sono ancora integrati con Security Hub sono considerati prodotti di terze parti. -
Per prodotti pubblici,
company-id
eproduct-id
devono essere i valori ID specificati al momento della registrazione. -
Per prodotti privati,
company-id
deve essere l'ID account.product-id
deve essere la parola riservata "default" o l'ID specificato al momento della registrazione.
Esempio
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Risorse
L'Resourcesoggetto fornisce un insieme di tipi di dati relativi alle risorse che descrivono le AWS risorse a cui si riferisce il risultato.
Esempio
"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
La versione dello schema per cui un risultato è formattato. Il valore di questo campo deve essere una delle versioni pubblicate ufficialmente identificate da AWS. Nella versione corrente, la versione dello schema AWS Security Finding Format è2018-10-08
.
Esempio
"SchemaVersion": "2018-10-08"
Gravità
Definisce l'importanza di un risultato. Per i dettagli su questo oggetto, vedere Severity
nel AWS Security Hub APIReference.
Severity
è sia un oggetto di primo livello in una ricerca che annidato sotto l'FindingProviderFields
oggetto.
Il valore dell'Severity
oggetto di primo livello per un risultato deve essere aggiornato solo da. BatchUpdateFindings
API
Per fornire informazioni sulla gravità, i fornitori di servizi di ricerca dovrebbero aggiornare l'Severity
oggetto sotto FindingProviderFields
quando effettuano una BatchImportFindings
APIrichiesta.
Se una BatchImportFindings
richiesta per un nuovo risultato fornisce solo Label
o fornisce soloNormalized
, Security Hub compila automaticamente il valore dell'altro campo. I Original
campi Product
e possono anche essere compilati.
Se l'Finding.Severity
oggetto di primo livello è presente ma non lo Finding.FindingProviderFields
è, Security Hub crea l'FindingProviderFields.Severity
oggetto e vi copia Finding.Severity object
l'intero. Ciò garantisce che i dettagli originali forniti dal provider vengano mantenuti all'interno della FindingProviderFields.Severity
struttura, anche se l'oggetto di primo livello viene sovrascritto. Severity
La gravità del risultato non considera la criticità degli asset coinvolti o della risorsa sottostante. La criticità è definita come il livello di importanza delle risorse associate al risultato. Ad esempio, una risorsa associata a un'applicazione mission critical ha una criticità maggiore rispetto a quella associata ai test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizza il campo Criticality
.
Si consiglia di utilizzare le seguenti indicazioni per tradurre i punteggi di gravità nativi dei risultati nel valore di in. Severity.Label
ASFF
-
INFORMATIONAL
— Questa categoria può includere un risultato relativo all'identificazionePASSED
di dati sensibili o diNOT AVAILABLE
controllo.WARNING
-
LOW
— Risultati che potrebbero portare a future compromessi. Ad esempio, questa categoria può includere vulnerabilità, punti deboli di configurazione e password esposte. -
MEDIUM
— Risultati che indicano un compromesso attivo, ma nessuna indicazione che un avversario abbia raggiunto i propri obiettivi. Ad esempio, questa categoria può includere attività legate a malware, attività di hacking e rilevamento di comportamenti insoliti. -
HIGH
oppureCRITICAL
— Risultati che indicano che un avversario ha raggiunto i propri obiettivi, come la perdita o la compromissione attiva dei dati o l'interruzione del servizio.
Esempio
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }
Title
Il titolo di un risultato. Questo campo può contenere testo boilerplate non specifico o dettagli specifici per l'istanza del risultato.
Per i risultati del controllo, questo campo fornisce il titolo del controllo.
Questo campo non fa riferimento a uno standard se si attivano i risultati del controllo consolidato.
Esempio
"Title": "AWS Config should be enabled"
Tipi
Uno o più tipi di risultati nel formato
che classificano un risultato. Questo campo non fa riferimento a uno standard se attivi i risultati del controllo consolidato.namespace
/category
/classifier
Types
deve essere aggiornato solo utilizzando BatchUpdateFindings
.
La ricerca di fornitori che desiderano fornire un valore per Types
dovrebbe utilizzare l'Types
attributo sotto FindingProviderFields
.
Nell'elenco seguente, i punti elenco di primo livello sono namespace, i punti elenco di secondo livello sono categorie e i punti elenco di terzo livello sono classificatori. Consigliamo che i provider di ricerca utilizzino namespace definiti per facilitare l'ordinamento e il raggruppamento dei risultati. È possibile utilizzare anche le categorie e i classificatori definiti, ma non sono obbligatori. Solo lo spazio dei nomi Software and Configuration Checks dispone di classificatori definiti.
È possibile definire un percorso parziale per. namespace/category/classifier Ad esempio, i seguenti tipi di ricerca sono tutti validi:
-
TTPs
-
TTPs/Evasione difensiva
-
TTPs/Defense Evasion/CloudTrailStopped
Le categorie tattiche, tecniche e procedure (TTPs) nell'elenco seguente sono allineate a MITREATT&CK
Elenco di namespace, categorie e classificatori:
-
Software and Configuration Checks
-
Vulnerabilità
-
CVE
-
-
AWS Migliori pratiche di sicurezza
-
Network Reachability
-
Runtime Behavior Analysis
-
-
Industry and Regulatory Standards
-
AWS Migliori pratiche di sicurezza di base
-
CISBenchmark Host Hardening
-
CIS AWS Benchmark Foundations
-
PCI-DSS
-
Controlli Cloud Security Alliance
-
ISOControlli 90001
-
ISOControlli 27001
-
ISOControlli 27017
-
ISO27018 Controlli
-
SOC1
-
SOC 2
-
HIPAAControlli (USA)
-
NISTComandi 800-53 () USA
-
NISTCSFControlli () USA
-
IRAPControlli (Australia)
-
ISMSK-Controls (Corea)
-
MTCSControlli (Singapore)
-
FISCControls (Giappone)
-
Controlli My Number Act (Giappone)
-
ENSControls (Spagna)
-
Controlli Cyber Essentials Plus (Regno Unito)
-
Controlli G-Cloud (Regno Unito)
-
Controlli C5 (Germania)
-
Controlli IT-Grundschutz (Germania)
-
GDPRControlli (Europa)
-
TISAXControlli (Europa)
-
-
Gestione delle patch
-
-
TTPs
-
Accesso iniziale
-
Esecuzione
-
Persistenza
-
Escalation dei privilegi
-
Defense Evasion
-
Accessi a credenziali
-
Individuazione
-
Movimento laterale
-
Raccolta
-
Comando e controllo
-
-
Effetti
-
Esposizione di dati
-
Esfiltrazione di dati
-
Distruzione di dati
-
Denial of Service
-
Consumo di risorse
-
-
Comportamenti insoliti
-
Applicazione
-
Flusso di rete
-
Indirizzo IP
-
Utente
-
VM
-
Container
-
Serverless
-
Processo
-
Database
-
Dati
-
-
Identificazioni dati sensibili
-
PII
-
Password
-
Note legali
-
Servizi finanziari
-
Sicurezza
-
Business
-
Esempio
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
Indica quando il fornitore dei risultati ha aggiornato l'ultima volta il record dei risultati.
Questo timestamp indica l'ora in cui il record di ricerca è stato aggiornato l'ultima volta o l'ultimo aggiornamento. Di conseguenza, può differire dal LastObservedAt
timestamp, che indica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta.
Quando si aggiorna il record di risultato, è necessario aggiornare il timestamp al timestamp corrente. Al momento della creazione di un record di ricerca, i timestamp CreatedAt
e i UpdatedAt
timestamp devono essere gli stessi. Dopo un aggiornamento del record di ricerca, il valore di questo campo deve essere più recente di tutti i valori precedenti in esso contenuti.
Nota che UpdatedAt
non può essere aggiornato utilizzando l'BatchUpdateFindings
APIoperazione. È possibile aggiornarlo solo utilizzando BatchImportFindings
.
Esempio
"UpdatedAt": "2017-04-22T13:22:13.933Z"
Nota
Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non si verifica alcun aggiornamento. Per archiviare i risultati per più di 90 giorni, puoi configurare una regola in Amazon EventBridge che indirizza i risultati al tuo bucket S3.