필수 최상위 ASFF 속성 - AWS 보안 허브

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

필수 최상위 ASFF 속성

Security Hub의 모든 결과에는 AWS Security Finding Format(ASFF)의 다음과 같은 최상위 속성이 필요합니다. 이러한 필수 속성에 대한 자세한 내용은 섹션을 참조하세요. AwsSecurityFinding AWS Security Hub API 참조 의 .

AwsAccountId

조사 결과가 적용되는 AWS 계정 ID입니다.

"AwsAccountId": "111111111111"

CreatedAt

결과로 캡처된 잠재적 보안 문제가 생성된 시기를 나타냅니다.

"CreatedAt": "2017-03-22T13:22:13.933Z"
참고

Security Hub는 가장 최근 업데이트로부터 90일 후 또는 업데이트가 발생하지 않는 경우 생성 날짜로부터 90일 후에 조사 결과를 삭제합니다. 조사 결과를 90일 이상 저장하려면 Amazon에서 조사 결과를 S3 버킷으로 라우팅 EventBridge 하는 규칙을 구성할 수 있습니다.

설명

결과에 대한 설명입니다. 이 필드는 일반적인 표준 문안 텍스트이거나 결과의 인스턴스에만 해당하는 세부 정보일 수 있습니다.

Security Hub가 생성하는 제어 조사 결과의 경우 이 필드는 제어에 대한 설명을 제공합니다.

통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

결과를 생성한 솔루션별 구성 요소(로직의 개별 단위)에 대한 식별자입니다.

Security Hub가 생성하는 제어 조사 결과의 경우 통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

"GeneratorId": "security-control/Config.1"

Id

결과의 제품별 식별자입니다. Security Hub가 생성하는 제어 조사 결과의 경우 이 필드는 조사 결과의 Amazon 리소스 이름(ARN)을 제공합니다.

통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "

ProductArn

Security Hub에 제품이 등록된 후 타사 조사 결과 제품을 고유하게 식별하는 Security Hub에서 생성된 Amazon 리소스 이름(ARN)입니다.

이 필드의 형식은 arn:partition:securityhub:region:account-id:product/company-id/product-id입니다.

  • Security Hub와 통합된 AWS 서비스의 경우 는 “awscompany-id이고 는 AWS 퍼블릭 서비스 이름이어야 product-id 합니다. AWS 제품 및 서비스는 계정과 연결되어 있지 않으므로 의 account-id 섹션ARN은 비어 있습니다. Security Hub와 아직 통합되지 않은 AWS 서비스는 타사 제품으로 간주됩니다.

  • 퍼블릭 제품의 경우 company-idproduct-id는 등록 시 지정된 ID 값이어야 합니다.

  • 프라이빗 제품의 경우 company-id가 계정 ID여야 합니다. product-id는 예약어 "default" 또는 등록 시 지정된 ID여야 합니다.

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

리소스

Resources 객체는 조사 결과가 참조하는 리소스를 설명하는 AWS 리소스 데이터 유형 세트를 제공합니다.

"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]

SchemaVersion

결과의 형식을 지정할 스키마 버전입니다. 이 필드의 값은 AWS로 식별되는 공식적으로 게시된 버전 중 하나여야 합니다. 현재 릴리스에서 AWS Security Finding Format 스키마 버전은 입니다2018-10-08.

"SchemaVersion": "2018-10-08"

심각도

결과의 중요성을 정의합니다. 이 객체에 대한 자세한 내용은 참조Severity의 섹션을 참조하세요. AWS Security Hub API

Severity는 결과의 최상위 객체이자 FindingProviderFields 객체 아래에 중첩되어 있습니다.

결과에 대한 최상위 Severity 객체의 값은 BatchUpdateFindings 에서만 업데이트해야 합니다API.

심각도 정보를 제공하려면 검색 공급자가 BatchImportFindings API 요청 FindingProviderFields 시 의 Severity 객체를 업데이트해야 합니다. 
 새 결과에 대한 BatchImportFindings 요청이 만 Label 제공하거나 만 제공하는 경우 NormalizedSecurity Hub는 다른 필드의 값을 자동으로 채웁니다. 
ProductOriginal 필드도 채워질 수 있습니다.

최상위 Finding.Severity 객체가 있지만 존재하지 않는 경우 Security HubFinding.FindingProviderFieldsFindingProviderFields.Severity 객체를 생성하고 전체 객체를 복사Finding.Severity object합니다. 이렇게 하면 최상위 Severity 객체를 덮어쓰더라도 공급자 제공 원본 세부 정보가 FindingProviderFields.Severity 구조 내에 유지됩니다.

결과의 심각도는 관련 자산 또는 기본 리소스의 중요성을 고려하지 않습니다. 중요성은 결과와 관련된 리소스의 중요도 수준으로 정의됩니다. 예를 들어 미션 크리티컬 애플리케이션과 관련된 리소스는 비프로덕션 테스트와 관련된 리소스보다 중요도가 더 높습니다. 리소스 중요성에 대한 정보를 캡처하려면 Criticality 필드를 사용합니다.

조사 결과의 기본 심각도 점수를 Severity.Label의 값으로 변환할 때는 다음 지침을 사용하는 것이 좋습니다ASFF.

  • INFORMATIONAL – 이 범주에는 PASSED, WARNING, 또는 NOT AVAILABLE 검사 결과 또는 민감한 데이터 식별에 대한 결과가 포함될 수 있습니다.

  • LOW – 향후 손상으로 이어질 수 있는 조사 결과. 예를 들어 이 범주에는 취약성, 구성 약점, 노출된 비밀번호가 포함될 수 있습니다.

  • MEDIUM – 활성 상태의 손상과 관련이 있지만 공격자가 목적을 달성했다는 증거는 없는 조사 결과. 예를 들어, 이 범주에는 맬웨어 활동, 해킹 활동 및 비정상적인 동작 감지가 포함될 수 있습니다.

  • HIGH 또는 CRITICAL – 데이터 손실, 위반 행위 또는 서비스 거부 등 공격자의 목적 달성을 나타내는 조사 결과.

"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }

Title

결과의 제목입니다. 이 필드는 일반적인 표준 문안 텍스트이거나 결과의 이 인스턴스에만 해당하는 세부 정보를 포함할 수 있습니다.

제어 조사 결과의 경우 이 필드는 제어의 제목을 제공합니다.

통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

"Title": "AWS Config should be enabled"

타입

결과를 분류하는 namespace/category/classifier 형식으로 구성된 하나 이상의 결과 유형입니다. 통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

TypesBatchUpdateFindings를 사용해서만 업데이트해야 합니다.

Types에 대한 값을 입력하고자 하는 결과 공급자는 FindingProviderFields 아래의 Types 속성을 사용해야 합니다.

다음 목록에서 1단계 글머리 기호는 네임스페이스이고 2단계 글머리 기호는 범주이며 3단계 글머리 기호는 분류자입니다. 조사 결과 공급자는 정의된 네임스페이스를 사용하여 조사 결과를 정렬하고 그룹화하는 것이 좋습니다. 정의된 범주와 분류자를 사용할 수도 있지만 필수는 아닙니다. 소프트웨어 및 구성 점검 네임스페이스에만 분류자가 정의되어 있습니다.

에 대한 부분 경로를 정의할 수 있습니다namespace/category/classifier. 예를 들어 다음 결과 유형은 모두 유효합니다.

  • TTPs

  • TTPs/방어 회피

  • TTPs/Defense Evasion/CloudTrailStopped

다음 목록의 전술, 기법 및 절차(TTPs) 범주는 MITRE ATT&CK MatrixTM 에 부합합니다. 비정상적인 동작 네임스페이스는 일반적인 통계 이상과 같은 일반적인 비정상적인 동작을 반영하며 특정 와 일치하지 않습니다TTP. 그러나 특이한 행동과 결과 유형으로 TTPs 결과를 분류할 수 있습니다.

네임스페이스, 범주, 분류자 목록:

  • 소프트웨어 및 구성 점검

    • 취약성

      • CVE

    • AWS 보안 모범 사례

      • 네트워크 연결성

      • 실행 시간 행동 분석

    • 산업 및 규제 표준

      • AWS 기본 보안 모범 사례

      • CIS 호스트 강화 벤치마크

      • CIS AWS 파운데이션 벤치마크

      • PCI-DSS

      • Cloud Security Alliance(CSA) 규제

      • ISO 90001 컨트롤

      • ISO 27001 컨트롤

      • ISO 27017 컨트롤

      • ISO 27018 컨트롤

      • SOC 1

      • SOC 2

      • HIPAA 컨트롤(USA)

      • NIST 800-53 컨트롤(USA)

      • NIST CSF 컨트롤(USA)

      • IRAP 컨트롤(호주)

      • K-ISMS 컨트롤(한국)

      • MTCS 컨트롤(싱가포르)

      • FISC 제어(일본)

      • My Number Act 규제(일본)

      • ENS 컨트롤(스페인)

      • Cyber Essentials Plus 규제(영국)

      • G-Cloud 규제(영국)

      • C5 규제(독일)

      • IT-Grundschutz 규제(독일)

      • GDPR 컨트롤(유럽)

      • TISAX 컨트롤(유럽)

    • 패치 관리

  • TTPs

    • 초기 액세스

    • Execution

    • Persistence

    • 권한 에스컬레이션

    • 방어 회피

    • 자격 증명 액세스

    • Discovery

    • 수평 이동

    • 수집

    • 명령 및 제어

  • 효과

    • 데이터 노출

    • 데이터 유출

    • 데이터 폐기

    • 서비스 거부 공격

    • 리소스 소비

  • 비정상 동작

    • 애플리케이션

    • 네트워크 흐름

    • IP 주소

    • User

    • VM

    • 컨테이너

    • Serverless

    • 프로세스

    • 데이터베이스

    • 데이터

  • 민감한 데이터 식별

    • PII

    • 암호

    • 법적 고지

    • 금융

    • 보안

    • 업무

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]

UpdatedAt

결과 공급자가 결과 레코드를 마지막으로 업데이트한 시기를 나타냅니다.

이 타임스탬프는 검색 결과 레코드가 마지막으로 업데이트되었거나 가장 최근에 업데이트된 시간을 반영합니다. 따라서 이벤트 또는 취약성이 마지막으로 관찰된 시점 또는 가장 최근에 관찰된 시점을 반영하는 LastObservedAt 타임스탬프와 다를 수 있습니다.

결과 레코드를 업데이트할 때 이 타임스탬프를 현재 타임스탬프로 업데이트해야 합니다. 결과 레코드를 생성하면 CreatedAtUpdatedAt 타임스탬프는 같아야 합니다. 결과 레코드를 업데이트한 후 이 필드의 값은 이전에 포함했던 모든 값보다 최근이어야 합니다.

BatchUpdateFindings API 작업을 사용하면 업데이트할 수 UpdatedAt 없습니다. BatchImportFindings를 사용해야만 업데이트할 수 있습니다.

"UpdatedAt": "2017-04-22T13:22:13.933Z"
참고

Security Hub는 가장 최근 업데이트로부터 90일 후 또는 업데이트가 발생하지 않는 경우 생성 날짜로부터 90일 후에 조사 결과를 삭제합니다. 조사 결과를 90일 이상 저장하려면 Amazon에서 조사 결과를 S3 버킷으로 라우팅 EventBridge 하는 규칙을 구성할 수 있습니다.