Atributos de nível superior ASFF obrigatórios - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos de nível superior ASFF obrigatórios

Os seguintes atributos de nível superior no Formato de AWS Descoberta de Segurança (ASFF) são obrigatórios para todas as descobertas no Security Hub. Para obter mais informações sobre esses atributos obrigatórios, consulte AwsSecurityFindingna AWS Security Hub APIReferência.

AwsAccountId

O Conta da AWS ID ao qual a descoberta se aplica.

Exemplo

"AwsAccountId": "111111111111"

CreatedAt

Indica quando o possível problema de segurança detectado por uma descoberta foi criado.

Exemplo

"CreatedAt": "2017-03-22T13:22:13.933Z"
nota

O Security Hub exclui descobertas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não houver atualização. Para armazenar descobertas por mais de 90 dias, você pode configurar uma regra na Amazon EventBridge que encaminha as descobertas para o seu bucket do S3.

Descrição

A descrição de uma descoberta. Esse campo pode ser um texto padronizado não específico ou detalhes específicos da instância da descoberta.

Para as descobertas de controle geradas pelo Security Hub, esse campo fornece uma descrição do controle.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

O identificador do componente específico da solução (uma unidade discreta de lógica) que gerou uma descoberta.

Para as descobertas de controle que o Security Hub gera, esse campo não faz referência a um padrão se você ativar as constatações de controle consolidadas.

Exemplo

"GeneratorId": "security-control/Config.1"

Id

O identificador específico do produto para uma descoberta. Para as descobertas de controle geradas pelo Security Hub, esse campo fornece o Amazon Resource Name (ARN) da descoberta.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 "

ProductArn

O Amazon Resource Name (ARN) gerado pelo Security Hub que identifica de forma exclusiva um produto de descoberta de terceiros depois que o produto é registrado no Security Hub.

O formato desse campo é arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Para AWS serviços integrados ao Security Hub, o company-id deve ser "aws“e o product-id deve ser o nome do serviço AWS público. Como AWS os produtos e serviços não estão associados a uma conta, a account-id seção do ARN está vazia. AWS serviços que ainda não estão integrados ao Security Hub são considerados produtos de terceiros.

  • Para produtos públicos, o company-id e o product-id devem ser os valores de ID especificados no momento do registro.

  • Para os produtos privados, o company-id deve ser o ID da conta. O product-id deve ser a palavra reservada "default" ou o ID que foi especificado no momento do registro.

Exemplo

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Recursos

O Resourcesobjeto fornece um conjunto de tipos de dados de recursos que descrevem os AWS recursos aos quais a descoberta se refere.

Exemplo

"Resources": [ { "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0", "ApplicationName": "SampleApp", "DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10 } } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } } }, "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]

SchemaVersion

A versão do esquema para a qual uma descoberta está formatada. O valor desse campo deve ser uma das versões publicadas oficialmente identificadas pela AWS. Na versão atual, a versão do esquema AWS Security Finding Format é2018-10-08.

Exemplo

"SchemaVersion": "2018-10-08"

Gravidade

Define a importância de uma descoberta. Para obter detalhes sobre esse objeto, consulte Severityna AWS Security Hub APIReferência.

Severity é ao mesmo tempo um objeto de nível superior em uma descoberta e está aninhado sob o objeto FindingProviderFields.

O valor do Severity objeto de nível superior para uma descoberta só deve ser atualizado pelo BatchUpdateFindingsAPI.

Para fornecer informações de severidade, os provedores de busca devem atualizar o Severity objeto abaixo FindingProviderFields ao fazer uma BatchImportFindingsAPIsolicitação.
 Se uma solicitação de BatchImportFindings para uma nova descoberta fornecer apenas Label ou apenas Normalized, o Security Hub preencherá automaticamente o valor do outro campo. Os campos Product e Original também podem estar preenchidos.

Se o objeto de nível superior Finding.Severity estiver presente, mas Finding.FindingProviderFields não estiver presente, o Security Hub criará o objeto FindingProviderFields.Severity e copiará para ele o Finding.Severity object todo. Isso garante que os detalhes originais fornecidos pelo provedor sejam mantidos na estrutura de FindingProviderFields.Severity, mesmo que o objeto de nível superior Severity seja sobrescrito.

A gravidade da descoberta não considera a criticidade dos ativos envolvidos ou do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica tem maior criticidade do que um recurso associado a testes de não produção. Para capturar informações sobre criticidade do recurso, use o campo Criticality.

Recomendamos usar a seguinte orientação ao traduzir as pontuações de severidade nativas dos resultados para o valor de Severity.Label no. ASFF

  • INFORMATIONAL: essa categoria pode incluir uma descoberta para uma verificação PASSED, WARNING ou NOT AVAILABLE ou uma identificação de dados confidenciais.

  • LOW: descobertas que podem resultar em compromissos futuros. Por exemplo, essa categoria pode incluir vulnerabilidades, pontos fracos da configuração e senhas expostas.

  • MEDIUM: as descobertas que indicam um comprometimento ativo, mas nenhuma indicação de que um adversário tenha concluído seus objetivos. Por exemplo, essa categoria pode incluir atividade de malware, atividade de hacking e detecção de comportamento incomum.

  • HIGH ou CRITICAL: descobertas que indicam que um adversário concluiu seus objetivos, como perda ou comprometimento ativo de dados ou uma negação de serviço.

Exemplo

"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" }

Cargo

O título de uma descoberta. Esse campo pode conter texto padronizado não específico ou detalhes específicos dessa instância da descoberta.

Para descobertas de controle, esse campo fornece o título do controle.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Title": "AWS Config should be enabled"

Tipos

Um ou mais tipos de descobertas no formato de namespace/category/classifier que classificam uma descoberta. Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Types só deve ser atualizado usando BatchUpdateFindings.

Os provedores de descobertas que desejam fornecer um valor para Types devem usar o atributo Types sob FindingProviderFields.

Na lista a seguir, os marcadores de nível superior são namespaces, os marcadores de segundo nível são categorias e os marcadores de terceiro nível são classificadores. Recomendamos que os provedores de descobertas usem namespaces definidos para ajudar a classificar e agrupar as descobertas. As categorias e os classificadores definidos também podem ser usados, mas não são obrigatórios. Somente o namespace Verificações de software e configuração tem classificadores definidos.

Você pode definir um caminho parcial paranamespace/category/classifier. Por exemplo, todos os tipos de descoberta a seguir são válidos:

  • TTPs

  • TTPs/Evasão de defesa

  • TTPs/Defense Evasion/CloudTrailStopped

As categorias de táticas, técnicas e procedimentos (TTPs) na lista a seguir se alinham ao MITREATT&CK MatrixTM. O namespace Unusual Behaviors reflete um comportamento geral incomum, como anomalias estatísticas gerais, e não está alinhado com um específico. TTP No entanto, você pode classificar uma descoberta com comportamentos incomuns e tipos de TTPs descoberta.

Lista de namespaces, categorias e classificadores:

  • Verificações de software e configuração

    • Vulnerabilidades

      • CVE

    • AWS Melhores práticas de segurança

      • Acessibilidade de rede

      • Análise de comportamento do tempo de execução

    • Padrões regulatórios e do setor

      • AWS Melhores práticas básicas de segurança

      • CISBenchmarks de endurecimento de hospedeiros

      • CIS AWS Referência de fundações

      • PCI-DSS

      • Controles da Cloud Security Alliance

      • ISOControles 90001

      • ISOControles 27001

      • ISOControles 27017

      • ISOControles 27018

      • SOC1

      • SOC 2

      • HIPAAControles (USA)

      • NISTControles 800-53 () USA

      • NISTCSFControles (USA)

      • IRAPControls (Austrália)

      • K- ISMS Controls (Coreia)

      • MTCSControls (Singapura)

      • FISCControls (Japão)

      • Controles da Lei Meu Número (Japão)

      • ENSControls (Espanha)

      • Controles Cyber Essentials Plus (Reino Unido)

      • Controles G-Cloud (Reino Unido)

      • Controles C5 (Alemanha)

      • Controles IT-Grundschutz (Alemanha)

      • GDPRControles (Europa)

      • TISAXControles (Europa)

    • Gerenciamento de patches

  • TTPs

    • Acesso inicial

    • Execução

    • Persistência

    • Escalonamento de privilégios

    • Evasão de defesa

    • Acesso credencial

    • Descoberta

    • Movimento lateral

    • Coleta

    • Comando e controle

  • Efeitos

    • Exposição de dados

    • Exfiltração de dados

    • Destruição de dados

    • Negação de serviço

    • Consumo de recursos

  • Comportamentos incomuns

    • Aplicativo

    • Fluxo de rede

    • Endereço IP

    • Usuário

    • VM

    • Contêiner

    • Sem servidor

    • Processo

    • Banco de dados

    • Dados

  • Identificação de dados confidenciais

    • PII

    • Senhas

    • Legal

    • Financeiro

    • Segurança

    • Business

Exemplo

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]

UpdatedAt

Indica quando o provedor de descoberta atualizou o registro de descoberta pela última vez.

Esse timestamp reflete a hora em que o registro de descoberta foi atualizado pela última vez ou a mais recente. Consequentemente, ele pode ser diferente do timestamp LastObservedAt, que reflete quando o evento ou vulnerabilidade foi observado pela última vez ou foi observado mais recentemente.

Ao atualizar o registro de descoberta, é necessário atualizar esse timestamp para o timestamp atual. Após a criação de um registro de descoberta, os timestamps CreatedAt e UpdatedAt devem ser o mesmo. Após uma atualização do registro de localização, o valor desse campo deve ser mais recente do que todos os valores anteriores que ele continha.

Observe que UpdatedAt não pode ser atualizado usando a BatchUpdateFindingsAPIoperação. Você só pode atualizá-lo usando BatchImportFindings.

Exemplo

"UpdatedAt": "2017-04-22T13:22:13.933Z"
nota

O Security Hub exclui descobertas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não houver atualização. Para armazenar descobertas por mais de 90 dias, você pode configurar uma regra na Amazon EventBridge que encaminha as descobertas para o seu bucket do S3.