翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 必須の ASFF 最上位属性
Security Hub CSPM のすべての検出結果には、 AWS Security Finding 形式 (ASFF) の次の最上位属性が必要です。これらの必須属性の詳細については、「*AWS Security Hub API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)」を参照してください。
## AwsAccountId
検出結果が適用される AWS アカウント ID。
**例**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
検出結果によってキャプチャされた潜在的なセキュリティ問題またはイベントがいつ作成されたかを示します。
**例**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## 説明
検出結果の説明。このフィールドには、固有ではない定型テキスト、または結果のインスタンスに固有の詳細を指定できます。
Security Hub CSPM が生成するコントロール検出結果の場合、このフィールドにはコントロールの説明が表示されます。
[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
**例**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
検出結果を生成したソリューションに固有のコンポーネント (個別のロジック単位) の識別子。
Security Hub CSPM が生成するコントロールの検出結果について、[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
**例**
```
"GeneratorId": "security-control/Config.1"
```
## ID
検出結果の製品に固有の識別子。Security Hub CSPM が生成するコントロール検出結果の場合、このフィールドには検出結果の Amazon リソースネーム (ARN) が表示されます。
[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
**例**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
サードパーティーの検出製品が Security Hub CSPM に登録された後に、その製品を一意に識別するための Security Hub CSPM によって生成された Amazon リソースネーム (ARN)。
このフィールドの形式は `arn:partition:securityhub:region:account-id:product/company-id/product-id` です。
+ Security Hub CSPM と統合 AWS のサービス されている `company-id`の場合、 は`aws`「」で、 は AWS パブリックサービス名`product-id`である必要があります。製品およびサービスはアカウントに関連付けられていないため AWS 、ARN の `account-id`セクションは空です。Security Hub CSPM とまだ統合されていない AWS のサービス は、サードパーティー製品と見なされます。
+ パブリック製品の場合、`company-id` および `product-id` は登録時に指定された ID 値である必要があります。
+ プライベート製品の場合、`company-id` はアカウント ID である必要があります。`product-id` は、予約語の "default"、または登録時に指定された ID である必要があります。
**例**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## リソース
オブジェクトの`Resources`配列は、検出結果が参照するリソースを記述する AWS リソースデータ型のセットを提供します。必須のフィールドなど、`Resources` オブジェクトに含まれる可能性のあるフィールドの詳細については、「*AWS Security Hub API リファレンス*」「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)」を参照してください。特定の の`Resources`オブジェクトの例については AWS のサービス、「」を参照してください[Resources ASFF オブジェクト](asff-resources.md)。
**例**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
検出結果に使用されている形式のスキーマバージョン。このフィールドの値は、 AWSで識別される正式公開バージョンの 1 つである必要があります。現在のリリースでは、 AWS Security Finding 形式のスキーマバージョンは です`2018-10-08`。
**例**
```
"SchemaVersion": "2018-10-08"
```
## 緊急度
検出結果の重要性を定義します。このオブジェクトの詳細については、「*AWS Security Hub API リファレンス*」の「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)」を参照してください。
`Severity` は検索結果の最上位オブジェクトであり、`FindingProviderFields` オブジェクトの下にネストされています。
検出結果に含まれるトップレベルの `Severity` オブジェクトの値は、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API の使用によってのみ更新してください。
重要度情報を提供するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) API リクエストを行うときに結果プロバイダーが `FindingProviderFields` の下にある `Severity` オブジェクトを更新する必要があります。
新しい検出結果に対する `BatchImportFindings` リクエストが `Label` または `Normalized` のみを提供する場合、Security Hub CSPM は他のフィールドの値を自動的に入力します。`Product` フィールドと `Original` フィールドも入力される場合があります。
最上位の `Finding.Severity` オブジェクトは存在するが `Finding.FindingProviderFields` は存在しない場合、Security Hub CSPM は `FindingProviderFields.Severity` オブジェクトを作成し、`Finding.Severity object` 全体をそこにコピーします。これにより、最上位の `Severity` オブジェクトが上書きされても、プロバイダーが提供する元の詳細が `FindingProviderFields.Severity` 構造内に保持されます。
検出結果の重要度には、関連するアセットまたは基になるリソースの重要度は考慮されません。重要度は、検出結果に関連付けられたリソースの重要度のレベルとして定義されます。例えば、ミッションクリティカルなアプリケーションに関連付けられているリソースは、非本番稼働用テストに関連付けられたリソースより重大度が高くなります。リソースの重要度に関する情報をキャプチャするには、`Criticality` フィールドを使用します。
検出結果のネイティブ重要度スコアを ASFF の `Severity.Label` の値に変換する際には、以下のガイダンスを使用することを推奨します。
+ `INFORMATIONAL` – このカテゴリには、`PASSED`、`WARNING`、`NOT AVAILABLE` チェック、または機密データの ID が含まれる場合があります。
+ `LOW` – 将来の侵害につながる可能性のある検出結果。例えば、このカテゴリには、脆弱性、設定の弱点、公開されたパスワードなどが含まれる場合があります。
+ `MEDIUM` – 現在進行中の侵害を示していても、攻撃者が目標を達成した兆候が見られない検出結果。例えば、このカテゴリには、マルウェアアクティビティ、ハッキングアクティビティ、異常な動作の検出などが含まれます。
+ `HIGH` または `CRITICAL` – 実際のデータ損失、漏洩、サービス拒否など、攻撃者が目標を達成したことを示す検出結果。
**例**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## タイトル
検出結果のタイトル。このフィールドには、固有ではない定型テキスト、または検出結果のインスタンスに固有の詳細を指定できます。
コントロール検出結果の場合、このフィールドにはコントロールのタイトルが表示されます。[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
**例**
```
"Title": "AWS Config should be enabled"
```
## 型
`namespace/category/classifier` の形式の 1 つ以上の検出結果タイプで、検出結果を分類します。[[統合されたコントロールの検出結果]](controls-findings-create-update.md#consolidated-control-findings) を有効にした場合、このフィールドは標準を参照しません。
`Types` は [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API を使用してのみ更新する必要があります。
検出結果プロバイダーが `Types` に値を提供する場合は、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html) にある `Types` 属性を使用する必要があります。
以下のリストでは、最上位の項目は名前空間、2 番目のレベルの項目はカテゴリ、3 番目のレベルの項目は分類子です。検出結果プロバイダーでは、定義済みの名前空間を使用して、検出結果の並べ替えおよびグループ化を行うことが推奨されます。定義済みのカテゴリおよび分類子を使用することが推奨される場合もありますが、必須ではありません。Software and Configuration Checks 名前空間でのみ、分類子が定義されています。
名前空間/カテゴリ/分類子の部分パスを定義することができます。例えば、以下の結果タイプはすべて有効です。
+ TTP
+ TTP/防衛回避
+ TTP/防衛回避/CloudTrailStopped
次のリストの tactics、techniques、procedures (TTP) カテゴリは、[MITRE ATT&CK MatrixTM](https://attack.mitre.org/matrices/enterprise/) に対応しています。Unusual Behaviors (異常動作) の名前空間は、一般的な異常動作 (統計的異常など) を反映しており、特定の TTP とは一致していません。ただし、Unusual Behaviors と TTP の両方の結果で結果を分類することは可能です。
**名前空間、カテゴリ、分類子のリスト:**
+ ソフトウェアおよび設定チェック
+ 脆弱性
+ CVE
+ AWS セキュリティのベストプラクティス
+ ネットワーク到達可能性
+ ランタイム動作分析
+ 業界および規制の基準
+ AWS 基本的なセキュリティのベストプラクティス
+ CIS Host Hardening Benchmark
+ CIS AWS Foundations Benchmark
+ PCI-DSS
+ クラウドセキュリティアライアンス規制
+ ISO 90001 規制
+ ISO 27001 規制
+ ISO 27017 規制
+ ISO 27018 規制
+ SOC 1
+ SOC 2
+ HIPAA 規制 (米国)
+ NIST 800-53 規制 (米国)
+ NIST CSF 規制 (米国)
+ IRAP 規制 (オーストラリア)
+ K-ISMS 規制 (韓国)
+ MTCS 規制 (シンガポール)
+ FISC安全対策基準 (日本)
+ マイナンバー法 (日本)
+ ENS 規制 (スペイン)
+ Cyber Essentials Plus 規制 (英国)
+ G-Cloud 規制 (英国)
+ C5 規制 (ドイツ)
+ IT-Grundschutz 規制 (ドイツ)
+ GDPR 規制 (ヨーロッパ)
+ TISAX 規制 (ヨーロッパ)
+ パッチ管理
+ TTP
+ 初回アクセス
+ 実行
+ 永続的
+ 権限昇格
+ 防衛回避
+ 認証情報アクセス
+ 発見
+ 横方向への移動
+ 収集
+ コマンドアンドコントロール
+ 効果
+ データ流出
+ データ漏えい
+ データ破壊
+ サービス拒否
+ リソース消費
+ 異常な動作
+ アプリケーション
+ ネットワークフロー
+ IP アドレス
+ ユーザー
+ VM
+ コンテナ
+ サーバーレス
+ プロセス
+ データベース
+ データ
+ 機密データの識別
+ PII
+ パスワード
+ リーガル
+ 金融
+ セキュリティ
+ ビジネス
**例**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
検出結果プロバイダーが最後に結果レコードを更新した日時を示します。
このタイムスタンプは、検出結果レコードが最後または最も最近に更新された時刻を反映しています。したがって、イベントまたは脆弱性が最後または最も最近に検出された日時を反映する `LastObservedAt` タイムスタンプとは異なる可能性があります。
検出結果レコードを更新する際には、このタイムスタンプを現在のタイムスタンプに更新する必要があります。検出結果レコードの作成時には、`CreatedAt` と `UpdatedAt` のタイムスタンプが同じである必要があります。検出結果レコードを更新した後は、このフィールドの値が、そのレコードに含まれる以前のすべての値よりも最近の値になる必要があります。
`UpdatedAt` は [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して更新できません。これは [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用してのみ更新できます。
**例**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```