オプションの最上位 ASFF 属性
これらの最上位属性は AWS Security Finding 形式 (ASFF) ではオプションです。これらの属性の詳細については、AWS Security Hub API リファレンスの「AwsSecurityFinding」を参照してください。
アクション
Action オブジェクトは、リソースに影響する、またはリソースに対して実行されたアクションの詳細を提供します。
例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
検出結果が適用される AWS アカウント名です。
例
"AwsAccountName": "jane-doe-testaccount"
CompanyName
結果を生成した製品の会社の名前。コントロールベースの結果の場合、会社は AWS になります。
Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。カスタム統合を使用している場合は例外です。「Security Hub とカスタム製品の統合」を参照してください。
Security Hub コンソールを使用して会社名で結果をフィルタリングする場合は、この属性を使用します。Security Hub API を使用して会社名で結果をフィルタリングする場合は、ProductFields の aws/securityhub/CompanyName 属性を使用します。Security Hub は、これら 2 つの属性を同期しません。
例
"CompanyName": "AWS"
コンプライアンス
Compliance オブジェクトは通常、適用可能な標準やコントロールチェックのステータスなど、コントロールの検出結果に関する詳細を提供します。
例
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
信頼度
特定することが想定されている挙動または問題を、結果が正確に特定できる可能性。
Confidence は、BatchUpdateFindings のみを使用して更新する必要があります。
結果プロバイダーが Confidence に値を提供する場合は、FindingProviderFields にある Confidence 属性を使用する必要があります。「FindingProviderFields での結果の更新」を参照してください。
Confidence は、比率スケールを使用して 0~100 ベースで採点されます。0 は 0% の信頼度を意味し、100 は 100% の信頼度を意味します。例えば、ネットワークトラフィックの統計的偏差に基づくデータの不正引き出しは、実際の不正引き出しが確認されていないため、信頼性が低くなります。
例
"Confidence": 42
緊急性
結果に関連付けられているリソースに割り当てられている重要度です。
Criticality は、BatchUpdateFindings API オペレーションを呼び出すことによってのみ更新してください。このオブジェクトは BatchImportFindings で更新しないでください。
結果プロバイダーが Criticality に値を提供する場合は、FindingProviderFields にある Criticality 属性を使用する必要があります。「FindingProviderFields での結果の更新」を参照してください。
Criticality は、比率スケールを使用して 0~100 ベースで採点され、完全な整数のみをサポートしています。スコア 0 は、基になるリソースに重要性がないことを示しており、スコア 100 は最も重要なリソース用に予約されています。
各リソースに対して、Criticality を割り当てる際に以下の点を考慮してください。
-
影響を受けたリソースに機密データ (PII が含まれる S3 バケットなど) が含まれていないか?
-
影響を受けたリソースにより、攻撃者はアクセスレベルを深めたり、能力を広げて悪意のあるアクティビティ (sysadmin アカウントへの侵害など) をさらに実行したりすることができるか?
-
当該のリソースは、ビジネスクリティカルなアセット (例えば、侵害された場合、収益に大きな影響を与える可能性がある主要なビジネスシステム) なのか?
ガイドラインは次の通りです。
-
ミッションクリティカルなシステムに電力を供給するリソースや、機密性の高いデータが含まれるリソースは、75~100 の範囲で採点することができます。
-
重要な (クリティカルではない) システムに電力を供給しているリソースや、やや重要なデータを含むリソースは、25~74 の範囲で採点することができます。
-
重要でないシステムに電力を供給しているリソースや、機密でないデータを含むリソースは、0~24 の範囲で採点する必要があります。
例
"Criticality": 99
FindingProviderFields
FindingProviderFields には次の属性が含まれます。
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
上記のフィールドは FindingProviderFields オブジェクトの下にネストされますが、最上位の ASFF フィールドと同じ名前のアナログがあります。検出結果プロバイダーによって新しい検出結果が Security Hub に送信されると、対応する最上位フィールドに基づいてFindingProviderFields オブジェクトが空の場合に自動的に入力されます。
検出プロバイダーは、Security Hub API の BatchImportFindings オペレーションを使用して FindingProviderFields を更新できます。検出結果プロバイダーは、このオブジェクトを BatchUpdateFindings で更新できません。
Security Hub が BatchImportFindings から FindingProviderFields および対応する最上位属性への更新を処理する方法についての詳細は、「FindingProviderFields での結果の更新」を参照してください。
お客様は、 BatchUpdateFindings オペレーションを使用して最上位フィールドを更新できます。お客様は FindingProviderFields を更新できません。
例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
結果によってキャプチャされた潜在的なセキュリティ問題が最初に検出された時期を示します。
このタイムスタンプは、イベントまたは脆弱性が最初に検出された時刻を反映しています。したがって、この結果記録が作成された時間を反映する CreatedAt タイムスタンプとは異なる可能性があります。
このタイムスタンプは、結果記録が次に更新されるまでイミュータブルである必要がありますが、より正確なタイムスタンプがあると判別された場合は更新できます。
例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
結果でキャプチャされた潜在的なセキュリティ上の問題が、セキュリティ検出製品によって最後に検出された日時を示します。
このタイムスタンプは、イベントまたは脆弱性が最後にまたは最近検出された時刻を反映します。したがって、これはこの結果記録が最後に更新された日時または最近更新された日時が反映される UpdatedAt タイムスタンプとは異なる可能性があります。
このタイムスタンプを提供することもできますが、最初の観測時には必要ありません。最初の観測時にこのフィールドを指定する場合は、タイムスタンプが FirstObservedAt タイムスタンプと同じである必要があります。結果が観測されるたびに、最後に検出されたタイムスタンプを反映するようにこのフィールドを更新する必要があります。
例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
Malware オブジェクトは、検出結果に関連するマルウェアのリストを提供します。
例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Network (廃止)
Network オブジェクトは、結果に関するネットワーク関連情報を提供します。
このオブジェクトは廃止されました。このデータを提供するには、Resources 内のリソースにデータをマッピングするか、Action オブジェクトを使用できます。
例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
NetworkPath オブジェクトは、結果に関連するネットワークパスに関する情報を提供します。NetworkPath 内の各エントリは、パスのコンポーネントを表しています。
例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
注記
Note オブジェクトは、結果に追加できるユーザー定義のメモを指定します。
結果プロバイダーは、結果に対しる最初のメモは提供できますが、それ以降にメモを追加することはできません。メモは BatchUpdateFindings を使用してのみ更新できます。
例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
PatchSummary オブジェクトは、選択したコンプライアンス標準に対するインスタンスのパッチコンプライアンス状態についての概要を提供します。
例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
プロセス
Process オブジェクトは、結果に関するプロセス関連の詳細を提供します。
例:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Security Hub が検出結果を受信し、処理を開始するタイミングを示します。
これは CreatedAt および UpdatedAt とは異なります。これらは、検出結果プロバイダーのセキュリティ問題や検出結果のやり取りに関係する必須のタイムスタンプです。ProcessedAt タイムスタンプは、Security Hub が検出結果の処理を開始する時刻を示します。処理が完了すると、検出結果がユーザーのアカウントに表示されます。
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
定義済みの AWS Security Finding 形式の一部ではないソリューションに固有の詳細をセキュリティ検出製品に追加で含めることができるデータ型です。
Security Hub コントロールによって生成された結果の場合、ProductFields にコントロールに関する情報が含まれています。「コントロールの結果を生成および更新する」を参照してください。
このフィールドには冗長データを含めないでください。また、AWS Security Finding 形式フィールドと競合するデータを含めることはできません。
プレフィックス「aws/」は、AWS 製品およびサービス専用の予約された名前空間を表します。このプレフィックスを、サードパーティー製品からの結果とともに送信しないでください。
必須ではありませんが、製品はフィールド名を company-id/product-id/field-name のフォーマットにすることが推奨されます。ここにある、company-id と product-id は、結果の ProductArn にあるものと一致します。
参照するフィールド Archival は、Security Hub が既存の結果をアーカイブするときに使用されます。例えば、統制または標準を無効にしたり、統合統制結果を有効または無効にしたりすると、Security Hub は既存の結果をアーカイブします。
このフィールドには、検出結果を生成したコントロールを含む標準に関する情報が含まれる場合もあります。
例
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
結果を生成した製品の名前を提供します。コントロールベースの結果の場合、製品名は Security Hub になります。
Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。カスタム統合を使用している場合は例外です。「Security Hub とカスタム製品の統合」を参照してください。
Security Hub コンソールを使用して製品名で結果をフィルタリングする場合は、この属性を使用します。
Security Hub API を使用して製品名で結果をフィルタリングする場合は、ProductFields の aws/securityhub/ProductName 属性を使用します。
Security Hub は、これら 2 つの属性を同期しません。
RecordState
結果のレコード状態を提供します。
デフォルトでは、サービスによって最初に生成されたときの結果は ACTIVE と見なされます。
ARCHIVED 状態は、結果がビューで非表示になるべきであることを示します。アーカイブされた結果はすぐに削除されません。検索やレビュー、レポートを行うことができます。関連付けられたリソースが削除された場合、リソースが存在しない場合、またはコントロールが無効になっている場合、Security Hub でコントロールベースの結果が自動的にアーカイブされます。
RecordState は結果プロバイダー専用であり、BatchImportFindings によってのみ更新できます。これは BatchUpdateFindings を使用して更新することはできません。
結果に対する調査状態を追跡する場合は、RecordState ではなく Workflow を使用してください。
レコードの状態が ARCHIVED から ACTIVE に変更され、結果のワークフローステータスが NOTIFIED または RESOLVED の場合、Security Hub はワークフローステータスを自動的に NEW に設定します。
例
"RecordState": "ACTIVE"
リージョン
結果が生成された AWS リージョンを指定します。
Security Hub は、各結果に対してこの属性を自動的に入力します。BatchImportFindings または BatchUpdateFindings を使用して更新することはできません。
例
"Region": "us-west-2"
RelatedFindings
現在の結果に関連する結果のリストを提供します。
RelatedFindings は、BatchUpdateFindings API オペレーションでのみ更新してください。このオブジェクトは BatchImportFindings で更新しないでください。
BatchImportFindings リクエストの場合、結果プロバイダーは FindingProviderFields の RelatedFindings オブジェクトを使用する必要があります。
RelatedFindings 属性の詳細については、AWS Security Hub APIリファレンスの「RelatedFinding」を参照してください。
例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
修正
Remediation オブジェクトは、結果に対処するために推奨される修復ステップに関する情報を提供します。
例
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
サンプル
結果がサンプルの結果かどうかを指定します。
"Sample": true
SourceUrl
SourceUrl オブジェクトは、検出製品内の現在の結果に関するページにリンクする URL を提供します。
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
ThreatIntelIndicator オブジェクトは、結果に関連する脅威インテリジェンスの詳細を提供します。
例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
脅威
Threats オブジェクトは、結果によって検出された脅威の詳細を表示します。
例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
結果に関連付けられている名前と値の文字列ペアのリストを提供します。結果に追加されるカスタムのユーザー定義フィールドです。これらのフィールドは、特定の設定で自動生成されることがあります。
結果プロバイダーでは、このフィールドを製品で生成されるデータに使用しないでください。代わりに、結果プロバイダーでは ProductFields フィールドを、標準の AWS Security Finding 形式フィールドにマッピングされいないデータに使用できます。
これらのフィールドは、BatchUpdateFindings を使用してのみ更新できます。
例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
結果の正確性を提供します。結果プロバイダーは、このフィールドに値 UNKNOWN を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供する必要があります。このフィールドは一般的に、結果調査後のユーザーの決定またはアクションに従って入力されます。
結果プロバイダーはこの属性の初期値を提供できますが、それ以降は更新できません。この属性は、BatchUpdateFindings を使用してのみ更新できます。
"VerificationState": "Confirmed"
脆弱性
Vulnerabilities オブジェクトは、結果に関連付けられている脆弱性のリストを提供します。
例
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
ワークフロー
Workflow オブジェクトは、結果の調査ステータスに関する情報を提供します。
このフィールドは、お客様が修復、オーケストレーション、チケット発行ツールで使用することを目的としています。結果の提供元を見つけるためのものではありません。
Workflow フィールドは BatchUpdateFindings でのみ更新できます。お客様は、コンソールから更新することもできます。「Security Hub 検出結果のワークフローステータスの設定」を参照してください。
例
"Workflow": { "Status": "NEW" }
WorkflowState (廃止)
このオブジェクトは廃止され、Workflow オブジェクトの Status フィールドによって置き換えられています。
このフィールドは、結果のワークフローステータスを提供します。検出製品は、このフィールドに値 NEW を設定できます。検出製品のシステムに意味のあるアナログが存在する場合、検出製品はこの値を提供することができます。
例
"WorkflowState": "NEW"
