As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Atributos de nível superior do ASFT obrigatórios
Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são necessários para todas as descobertas no Security Hub CSPM. Para obter mais informações sobre esses atributos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) na *Referência de API do AWS Security Hub*.
## AwsAccountId
O Conta da AWS ID ao qual a descoberta se aplica.
**Exemplo**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi criado.
**Exemplo**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## Description
A descrição de uma descoberta. Esse campo pode ser um texto padronizado não específico ou detalhes específicos da instância da descoberta.
Para as descobertas de controle geradas pelo CSPM do Security Hub, esse campo fornece uma descrição do controle.
Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
**Exemplo**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
O identificador do componente específico da solução (uma unidade discreta de lógica) que gerou uma descoberta.
Para as descobertas de controle que o CSPM do Security Hub gera, esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
**Exemplo**
```
"GeneratorId": "security-control/Config.1"
```
## Id
O identificador específico do produto para uma descoberta. Para descobertas de controle geradas pelo CSPM do Security Hub, esse campo fornece o nome do recurso da Amazon (ARN) da descoberta.
Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
**Exemplo**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
O nome do recurso da Amazon (ARN) gerado pelo CSPM do Security Hub que identifica exclusivamente um produto de descobertas de terceiros depois que o produto é registrado no CSPM do Security Hub.
O formato desse campo é `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Para Serviços da AWS que sejam integrados ao Security Hub CSPM, o `company-id` deve ser "`aws`“e o `product-id` deve ser o nome do serviço AWS público. Como AWS os produtos e serviços não estão associados a uma conta, a `account-id` seção do ARN está vazia. Serviços da AWS que ainda não estão integrados ao CSPM do Security Hub são considerados produtos de terceiros.
+ Para produtos públicos, o `company-id` e o `product-id` devem ser os valores de ID especificados no momento do registro.
+ Para os produtos privados, o `company-id` deve ser o ID da conta. O `product-id` deve ser a palavra reservada "default" ou o ID que foi especificado no momento do registro.
**Exemplo**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## Recursos
A `Resources` matriz de objetos fornece um conjunto de tipos de dados de recursos que descrevem os AWS recursos aos quais a descoberta se refere. Para obter detalhes sobre os campos que um objeto `Resources` pode conter, incluindo quais campos são obrigatórios, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html) na *Referência de API do AWS Security Hub*. Para obter exemplos de `Resources` objetos específicos Serviços da AWS, consulte[Objeto Resources do ASFF](asff-resources.md).
**Exemplo**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
A versão do esquema para a qual uma descoberta está formatada. O valor desse campo deve ser uma das versões publicadas oficialmente identificadas pela AWS. Na versão atual, a versão do esquema AWS Security Finding Format é`2018-10-08`.
**Exemplo**
```
"SchemaVersion": "2018-10-08"
```
## Gravidade
Define a importância de uma descoberta. Para obter detalhes sobre esse objeto, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html) na *Referência da API AWS Security Hub *.
`Severity` é ao mesmo tempo um objeto de nível superior em uma descoberta e está aninhado sob o objeto `FindingProviderFields`.
O valor do objeto `Severity` de nível superior para uma descoberta deve ser atualizado somente por meio da API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para fornecer informações de gravidade, os provedores de descobertas devem atualizar o objeto `Severity` em `FindingProviderFields` quando fizerem uma solicitação de API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html).
Se uma solicitação de `BatchImportFindings` para uma nova descoberta fornecer apenas `Label` ou apenas `Normalized`, o CSPM do Security Hub preencherá automaticamente o valor do outro campo. Os campos `Product` e `Original` também podem estar preenchidos.
Se o objeto de nível superior `Finding.Severity` estiver presente, mas `Finding.FindingProviderFields` não estiver presente, o CSPM do Security Hub criará o objeto `FindingProviderFields.Severity` e copiará para ele o `Finding.Severity object` todo. Isso garante que os detalhes originais fornecidos pelo provedor sejam mantidos na estrutura de `FindingProviderFields.Severity`, mesmo que o objeto de nível superior `Severity` seja sobrescrito.
A gravidade da descoberta não considera a criticidade dos ativos envolvidos ou do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica tem maior criticidade do que um recurso associado a testes de não produção. Para capturar informações sobre criticidade do recurso, use o campo `Criticality`.
Recomendamos usar a seguinte orientação ao traduzir os escores de gravidade nativos dos resultados para o valor de `Severity.Label` na ASFF.
+ `INFORMATIONAL`: essa categoria pode incluir uma descoberta para uma verificação `PASSED`, `WARNING` ou `NOT AVAILABLE` ou uma identificação de dados sensíveis.
+ `LOW`: descobertas que podem resultar em compromissos futuros. Por exemplo, essa categoria pode incluir vulnerabilidades, pontos fracos da configuração e senhas expostas.
+ `MEDIUM`: as descobertas que indicam um comprometimento ativo, mas nenhuma indicação de que um adversário tenha concluído seus objetivos. Por exemplo, essa categoria pode incluir atividade de malware, atividade de hacking e detecção de comportamento incomum.
+ `HIGH` ou `CRITICAL`: descobertas que indicam que um adversário concluiu seus objetivos, como perda ou comprometimento ativo de dados ou uma negação de serviço.
**Exemplo**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## Título
O título de uma descoberta. Esse campo pode conter texto padronizado não específico ou detalhes específicos dessa instância da descoberta.
Para descobertas de controle, esse campo fornece o título do controle. Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
**Exemplo**
```
"Title": "AWS Config should be enabled"
```
## Tipos
Um ou mais tipos de descobertas no formato de `namespace/category/classifier` que classificam uma descoberta. Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
`Types` deve ser atualizado somente por meio da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Os provedores de descobertas que desejam fornecer um valor para `Types` devem usar o atributo `Types` sob [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).
Na lista a seguir, os marcadores de nível superior são namespaces, os marcadores de segundo nível são categorias e os marcadores de terceiro nível são classificadores. Recomendamos que os provedores de descobertas usem namespaces definidos para ajudar a classificar e agrupar as descobertas. As categorias e os classificadores definidos também podem ser usados, mas não são obrigatórios. Somente o namespace Verificações de software e configuração tem classificadores definidos.
Você pode definir um caminho parcial paranamespace/category/classifier. Por exemplo, todos os tipos de descoberta a seguir são válidos:
+ TTPs
+ TTPs/Evasão de defesa
+ TTPs/Defense Evasion/CloudTrailStopped
As categorias de táticas, técnicas e procedimentos (TTPs) na lista a seguir se alinham ao [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/) MatrixTM. O spacename de Comportamentos incomuns reflete o comportamento incomum geral, como anomalias estatísticas gerais, e não está alinhado a um TTP específico. No entanto, você pode classificar uma descoberta com comportamentos incomuns e tipos de TTPs descoberta.
**Lista de namespaces, categorias e classificadores:**
+ Verificações de software e configuração
+ Vulnerabilidades
+ CVE
+ AWS Melhores práticas de segurança
+ Acessibilidade de rede
+ Análise de comportamento do tempo de execução
+ Padrões regulatórios e do setor
+ AWS Melhores práticas básicas de segurança
+ Referências do CIS Host Hardening
+ Referência do CIS AWS Foundations
+ PCI-DSS
+ Controles da Cloud Security Alliance
+ Controles ISO 90001
+ Controles ISO 27001
+ Controles ISO 27017
+ Controles ISO 27018
+ SOC 1
+ SOC 2
+ Controles HIPAA (EUA)
+ Controles NIST 800-53 (EUA)
+ Controles da CSF do NIST (EUA)
+ Controles IRAP (Austrália)
+ Controles K-ISMS (Coreia)
+ Controles MTCS (Singapura)
+ Controles FISC (Japão)
+ Controles da Lei Meu Número (Japão)
+ Controles ENS (Espanha)
+ Controles Cyber Essentials Plus (Reino Unido)
+ Controles G-Cloud (Reino Unido)
+ Controles C5 (Alemanha)
+ Controles IT-Grundschutz (Alemanha)
+ Controles GDPR (Europa)
+ Controles TISAX (Europa)
+ Gerenciamento de patches
+ TTPs
+ Acesso inicial
+ Execução
+ Persistência
+ Escalonamento de privilégios
+ Evasão de defesa
+ Acesso credencial
+ Descoberta
+ Movimento lateral
+ Coleta
+ Comando e controle
+ Efeitos
+ Exposição de dados
+ Exfiltração de dados
+ Destruição de dados
+ Negação de serviço
+ Consumo de recursos
+ Comportamentos incomuns
+ Aplicação
+ Fluxo de rede
+ IP address (endereço de IP)
+ Usuário
+ VM
+ Contêiner
+ Sem servidor
+ Processo
+ Banco de dados
+ Dados
+ Identificação de dados confidenciais
+ PII
+ Senhas
+ Legal
+ Financeiro
+ Segurança
+ Negócios
**Exemplo**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
Indica quando o provedor de descoberta atualizou o registro de descoberta pela última vez.
Esse timestamp reflete a hora em que o registro de descoberta foi atualizado pela última vez ou a mais recente. Consequentemente, ele pode ser diferente do timestamp `LastObservedAt`, que reflete quando o evento ou vulnerabilidade foi observado pela última vez ou foi observado mais recentemente.
Ao atualizar o registro de descoberta, é necessário atualizar esse timestamp para o timestamp atual. Após a criação de um registro de descoberta, os timestamps `CreatedAt` e `UpdatedAt` devem ser o mesmo. Após uma atualização do registro de localização, o valor desse campo deve ser mais recente do que todos os valores anteriores que ele continha.
Observe que `UpdatedAt` não pode ser atualizado usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) da API. Você só pode atualizá-lo usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
**Exemplo**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```