Atributos opcionais de nível superior ASFF

Esses atributos de nível superior são opcionais no Formato AWS de descoberta de segurança (ASFF). Para obter mais informações sobre esses atributos, consulte AwsSecurityFindingna AWS Security Hub APIReferência.

Ação

O objeto Action fornece detalhes sobre uma ação que afeta ou que foi executada em um recurso.

Exemplo


"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}

AwsAccountName

O Conta da AWS nome ao qual a descoberta se aplica.

Exemplo


"AwsAccountName": "jane-doe-testaccount"

CompanyName

O nome da empresa do produto que gerou a descoberta. Para descobertas baseadas em controle, a empresa é AWS.

O Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando BatchImportFindings ou BatchUpdateFindings. A exceção a isso é quando você utiliza uma integração personalizada. Consulte Integrando o Security Hub com produtos personalizados.

Ao usar o console do Security Hub para filtrar as descobertas pelo nome da empresa, você usa esse atributo. Ao usar o Security Hub API para filtrar as descobertas pelo nome da empresa, você usa o aws/securityhub/CompanyName atributo abaixoProductFields. O Security Hub não sincroniza esses dois atributos.

Exemplo


"CompanyName": "AWS"

Conformidade

O Complianceobjeto normalmente fornece detalhes sobre uma descoberta de controle, como padrões aplicáveis e o status da verificação de controle.

Exemplo


"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}

Confiança

A probabilidade de que uma descoberta identifique com precisão o comportamento ou o problema que se pretendia identificar.

Confidence só deve ser atualizado usando BatchUpdateFindings.

Os provedores de descobertas que desejam fornecer um valor para Confidence devem usar o atributo Confidence sob FindingProviderFields. Consulte Atualizando as descobertas com FindingProviderFields.

Confidence é pontuado em uma base de 0 a 100 usando uma escala de proporção. 0 significa 0% de confiança e 100 significa 100% de confiança. Por exemplo, uma detecção de exfiltração de dados baseada em um desvio estatístico do tráfego de rede tem baixa confiança porque uma exfiltração real não foi verificada.

Exemplo


"Confidence": 42

Criticidade

O nível de importância atribuído aos recursos associados a uma descoberta.

Criticalitysó deve ser atualizado chamando a BatchUpdateFindingsAPIoperação. Não atualize este objeto com BatchImportFindings.

Os provedores de descobertas que desejam fornecer um valor para Criticality devem usar o atributo Criticality sob FindingProviderFields. Consulte Atualizando as descobertas com FindingProviderFields.

Criticality é pontuado em uma base de 0 a 100, usando uma escala de proporção que suporta somente números inteiros completos. Uma pontuação de 0 significa que os recursos subjacentes não têm criticidade e uma pontuação de 100 é reservada para os recursos mais críticos.

Para cada recurso, considere o seguinte ao atribuir Criticality:

O recurso afetado contém dados confidenciais (por exemplo, um bucket S3 comPII)?
O recurso afetado permite que um adversário aprofunde o acesso ou estenda os recursos dele para realizar outras atividades maliciosas (por exemplo, uma conta sysadmin comprometida)?
O recurso é um ativo crítico para os negócios (por exemplo, um sistema comercial importante que, se comprometido, poderia ter um impacto significativo na receita)?

É possível usar as seguintes diretrizes:

Um recurso que alimenta sistemas de missão crítica ou contém dados altamente confidenciais pode ser classificado na faixa de 75 a 100.
Um recurso que alimenta sistemas importantes (mas não críticos) ou que contém dados moderadamente importantes pode ser pontuado na faixa de 25 a 74.
Um recurso que alimenta sistemas sem importância ou contém dados não confidenciais deve ser pontuado na faixa de 0 a 24.

Exemplo


"Criticality": 99

FindingProviderFields

FindingProviderFields inclui os seguintes atributos:

Confidence
Criticality
RelatedFindings
Severity
Types

Os campos anteriores estão aninhados sob o FindingProviderFields objeto, mas têm análogos com o mesmo nome dos campos de nível superior. ASFF Quando uma nova descoberta é enviada ao Security Hub por um provedor de descoberta, o Security Hub preenche o FindingProviderFields objeto automaticamente se ele estiver vazio com base nos campos de nível superior correspondentes.

A localização de provedores pode ser atualizada FindingProviderFields usando a BatchImportFindingsoperação do Security HubAPI. Encontrar provedores não pode atualizar esse objeto com BatchUpdateFindings.

Para obter detalhes sobre como o Security Hub lida com atualizações de BatchImportFindings a FindingProviderFields para os atributos de nível superior correspondentes, consulte Atualizando as descobertas com FindingProviderFields.

Os clientes podem atualizar os campos de nível superior usando a BatchUpdateFindings operação. Os clientes não podem atualizarFindingProviderFields.

Exemplo


"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

FirstObservedAt

Indica quando o possível problema de segurança detectado por uma descoberta foi observado pela primeira vez.

Esse timestamp reflete a hora em que o evento ou a vulnerabilidade foi observado pela primeira vez. Consequentemente, ele pode ser diferente do timestamp CreatedAt, que reflete a hora em que esse registro de descoberta foi criado.

Este timestamp deve ser imutável entre as atualizações do registro de descoberta, mas pode ser atualizado se um timestamp mais preciso tiver sido determinado.

Exemplo


"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

Indica quando o possível problema de segurança detectado por uma descoberta foi observado mais recentemente pelo produto de descobertas de segurança.

Esse timestamp reflete a hora em que o evento ou a vulnerabilidade foi observado pela última vez ou mais recentemente. Consequentemente, ele pode ser diferente do timestamp UpdatedAt, que reflete quando esse registro de descoberta foi atualizado pela última vez ou mais recentemente.

Você pode fornecer esse timestamp, mas isso não é obrigatório na primeira observação. Se você fornecer este campo na primeira observação, o timestamp deverá ser igual ao FirstObservedAt. Você deve atualizar esse campo para refletir o último ou o mais recente timestamp observado sempre que uma descoberta for observada.

Exemplo


"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware

O objeto Malware fornece uma lista de malware relacionado a uma descoberta.

Exemplo


"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]

Network (retirado)

O objeto Network oferece informações relacionadas à rede sobre uma descoberta.

Esse objeto é retirado. Para fornecer esses dados, você pode mapear os dados para um recurso em Action ou usar o objeto Resources.

Exemplo


"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}

NetworkPath

O objeto NetworkPath fornece informações sobre um caminho de rede relacionado a uma descoberta. Cada entrada em NetworkPath representa um componente do caminho.

Exemplo


"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]

Observação

O objeto Note especifica uma nota definida pelo usuário que você pode adicionar a uma descoberta.

Um provedor de descoberta pode fornecer uma nota inicial para uma descoberta, mas não pode adicionar notas depois disso. Uma nota só pode ser atualizada usando BatchUpdateFindings.

Exemplo


"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}

PatchSummary

O objeto PatchSummary fornece um resumo do status de conformidade do patch de uma instância em relação a um padrão de conformidade selecionado.

Exemplo


"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}

Processo

O objeto Process fornece detalhes relacionados ao processo sobre a descoberta.

Exemplo:


"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}

ProcessedAt

Indica quando o Security Hub recebeu uma descoberta e começa a processá-la.

Isso difere de CreatedAt e UpdatedAt, que são timestamps obrigatórios relacionados à interação do provedor de busca com o problema de segurança e a descoberta. O timestamp ProcessedAt indica quando o Security Hub começa a processar uma descoberta. Uma descoberta aparece na conta do usuário após a conclusão do processamento.


"ProcessedAt": "2023-03-23T13:22:13.933Z"

ProductFields

Um tipo de dados em que os produtos de descobertas de segurança podem incluir detalhes adicionais específicos da solução que não fazem parte do Formato de descoberta de AWS segurança definido.

Para descobertas geradas pelos controles do Security Hub, ProductFields inclui informações sobre o controle. Consulte Gerando e atualizando descobertas de controle.

Esse campo não deve conter dados redundantes e não deve conter dados que entrem em conflito com os campos do Formato AWS de descoberta de segurança.

O prefixo aws/ "" representa um namespace reservado somente para AWS produtos e serviços e não deve ser enviado com descobertas de integrações de terceiros.

Embora não seja obrigatório, os produtos devem formatar nomes de campos como company-id/product-id/field-name, em que o company-id e o product-id correspondem aos produtos fornecidos no ProductArn da descoberta.

Os campos de referência a Archival são usados quando o Security Hub arquiva uma descoberta existente. Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.

Esse campo também pode incluir informações sobre o padrão que inclui o controle que produziu a descoberta.

Exemplo


"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}

ProductName

Oferece o nome do produto que gerou a descoberta. Para descobertas baseadas em controle, o nome do produto é Security Hub.

Ao usar o console do Security Hub para filtrar as descobertas pelo nome do produto, você usa esse atributo.

Ao usar o Security Hub API para filtrar descobertas por nome de produto, você usa o aws/securityhub/ProductName atributo abaixoProductFields.

O Security Hub não sincroniza esses dois atributos.

RecordState

Fornece o registro de uma descoberta.

Por padrão, quando inicialmente geradas por um serviço, as descobertas são consideradas como ACTIVE.

O estado ARCHIVED indica que uma descoberta deve ser ocultada da exibição. As descobertas arquivadas não são excluídas imediatamente. É possível pesquisar, revisar e gerar relatórios sobre elas. O Security Hub arquiva automaticamente as constatações baseadas em controle se o recurso associado for excluído, se o recurso não existir ou se o controle for desativado.

RecordState é destinado a provedores de descobertas e só pode ser atualizado por BatchImportFindings. Você não pode atualizá-lo usando BatchUpdateFindings.

Para rastrear o status de sua investigação sobre uma descoberta, use Workflow em vez de RecordState.

Se o estado do registro mudar de ARCHIVED para ACTIVE e o status do fluxo de trabalho da descoberta for NOTIFIED ou RESOLVED, o Security Hub definirá automaticamente o status do fluxo de trabalho como NEW.

Exemplo


"RecordState": "ACTIVE"

Região

Especifica a Região da AWS partir da qual a descoberta foi gerada.

O Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando BatchImportFindings ou BatchUpdateFindings.

Exemplo


"Region": "us-west-2"

RelatedFindings

Fornece uma lista de descobertas relacionadas à descoberta atual.

RelatedFindingssó deve ser atualizado com a BatchUpdateFindingsAPIoperação. Você não deve atualizar esse objeto com BatchImportFindings.

Para solicitações BatchImportFindings, os provedores de descobertas devem usar o objeto RelatedFindings sob FindingProviderFields.

Para ver as descrições dos RelatedFindings atributos, consulte RelatedFindingna AWS Security Hub APIReferência.

Exemplo


"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]

Correção

O objeto Remediation fornece informações sobre etapas de correção recomendadas para resolver a descoberta.

Exemplo


"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}

Amostra

Especifica se a descoberta é uma descoberta de amostra.


"Sample": true

SourceUrl

O SourceUrl objeto fornece um URL link para uma página sobre a descoberta atual no produto encontrado.


"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

O objeto ThreatIntelIndicator fornece detalhes sobre inteligência de ameaças relacionados a uma descoberta.

Exemplo


"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]

Ameaças

A ThreatsO objeto fornece detalhes sobre a ameaça detectada por uma descoberta.

Exemplo


"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]

UserDefinedFields

Fornece uma lista de pares de string de nome e valor associados à descoberta. Esses são campos personalizados, definidos pelo usuário, que são adicionados a uma descoberta. Esses campos podem ser gerados automaticamente por meio de sua configuração específica.

Os provedores de localização não devem usar esse campo para dados gerados pelo produto. Em vez disso, os provedores de localização podem usar o ProductFields campo para dados que não são mapeados para nenhum campo padrão do Formato AWS de Busca de Segurança.

Esses campos só podem ser atualizados usando BatchUpdateFindings.

Exemplo


"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}

VerificationState

Fornece a veracidade de uma descoberta. Os produtos de descobertas podem fornecer um valor de UNKNOWN para esse campo. Um produto de descobertas deve fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas. Normalmente, esse campo é preenchido por uma determinação ou ação do usuário depois de investigar uma descoberta.

Um provedor de descoberta pode fornecer um valor inicial para esse atributo, mas não pode atualizá-lo depois disso. Esse atributo só pode ser atualizado usando BatchUpdateFindings.


"VerificationState": "Confirmed"

Vulnerabilidades

A VulnerabilitiesO objeto fornece uma lista de vulnerabilidades associadas a uma descoberta.

Exemplo


"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]

Fluxo de trabalho

O objeto Workflow fornece informações sobre o status da investigação de uma descoberta.

Esse campo é destinado aos clientes para uso com ferramentas de remediação, orquestração e emissão de tíquetes. Não se destina a provedores de descoberta.

Você só pode atualizar o campo Workflow com BatchUpdateFindings. Os clientes também podem atualizá-lo pelo console. Consulte Definindo o status do fluxo de trabalho das descobertas do Security Hub.

Exemplo


"Workflow": {
    "Status": "NEW"
}

WorkflowState (Aposentado)

Esse objeto foi retirado e substituído pelo campo Status do objetoWorkflow.

Esse campo fornece o estado do fluxo de trabalho de uma descoberta. Os produtos de descobertas podem fornecer o valor de NEW para esse campo. Um produto de descobertas pode fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas.

Exemplo


"WorkflowState": "NEW"

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atributos de nível superior ASFF obrigatórios

Resources ASFFobjeto