As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Atributos de nível superior do ASFF opcionais
Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são opcionais para descobertas no Security Hub CSPM. Para obter mais informações sobre esses atributos, consulte [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) na *Referência de API do AWS Security Hub*.
## Ação
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) fornece detalhes sobre uma ação que afeta ou que foi executada em um recurso.
**Exemplo**
```
"Action": {
"ActionType": "PORT_PROBE",
"PortProbeAction": {
"PortProbeDetails": [
{
"LocalPortDetails": {
"Port": 80,
"PortName": "HTTP"
},
"LocalIpDetails": {
"IpAddressV4": "192.0.2.0"
},
"RemoteIpDetails": {
"Country": {
"CountryName": "Example Country"
},
"City": {
"CityName": "Example City"
},
"GeoLocation": {
"Lon": 0,
"Lat": 0
},
"Organization": {
"AsnOrg": "ExampleASO",
"Org": "ExampleOrg",
"Isp": "ExampleISP",
"Asn": 64496
}
}
}
],
"Blocked": false
}
}
```
## AwsAccountName
O Conta da AWS nome ao qual a descoberta se aplica.
**Exemplo**
```
"AwsAccountName": "jane-doe-testaccount"
```
## CompanyName
O nome da empresa do produto que gerou a descoberta. Para descobertas baseadas em controle, a empresa é AWS.
O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). A exceção a isso é quando você utiliza uma integração personalizada. Consulte [Integração do CSPM do Security Hub com produtos personalizados](securityhub-custom-providers.md).
Ao usar o console do CSPM do Security Hub para filtrar descobertas pelo nome da empresa, você usa esse atributo. Ao usar o console do CSPM do Security Hub para filtrar descobertas pelo nome da empresa, você usa o atributo `aws/securityhub/CompanyName` em `ProductFields`. O CSPM do Security Hub não sincroniza esses dois atributos.
**Exemplo**
```
"CompanyName": "AWS"
```
## Compliance
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html) normalmente fornece detalhes sobre uma descoberta de controle, como padrões aplicáveis e o status da verificação de controle.
**Exemplo**
```
"Compliance": {
"AssociatedStandards": [
{"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
{"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
{"StandardsId": "standards/nist-800-53/v/5.0.0"}
],
"RelatedRequirements": [
"NIST.800-53.r5 AC-4",
"NIST.800-53.r5 AC-4(21)",
"NIST.800-53.r5 SC-7",
"NIST.800-53.r5 SC-7(11)",
"NIST.800-53.r5 SC-7(16)",
"NIST.800-53.r5 SC-7(21)",
"NIST.800-53.r5 SC-7(4)",
"NIST.800-53.r5 SC-7(5)"
],
"SecurityControlId": "EC2.18",
"SecurityControlParameters":[
{
"Name": "authorizedTcpPorts",
"Value": ["80", "443"]
},
{
"Name": "authorizedUdpPorts",
"Value": ["427"]
}
],
"Status": "NOT_AVAILABLE",
"StatusReasons": [
{
"ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
"Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
}
]
}
```
## Confiança
A probabilidade de que uma descoberta identifique com precisão o comportamento ou o problema que se pretendia identificar.
`Confidence` só deve ser atualizado usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Os provedores de descobertas que desejam fornecer um valor para `Confidence` devem usar o atributo `Confidence` sob `FindingProviderFields`. Consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Confidence` é pontuado em uma base de 0 a 100 usando uma escala de proporção. 0 significa 0% de confiança e 100 significa 100% de confiança. Por exemplo, uma detecção de exfiltração de dados baseada em um desvio estatístico do tráfego de rede tem baixa confiança porque uma exfiltração real não foi verificada.
**Exemplo**
```
"Confidence": 42
```
## Criticidade
O nível de importância atribuído aos recursos associados a uma descoberta.
`Criticality` só deve ser atualizado chamando a operação da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Não atualize este objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
Os provedores de descobertas que desejam fornecer um valor para `Criticality` devem usar o atributo `Criticality` sob `FindingProviderFields`. Consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Criticality` é pontuado em uma base de 0 a 100, usando uma escala de proporção que suporta somente números inteiros completos. Uma pontuação de 0 significa que os recursos subjacentes não têm criticidade e uma pontuação de 100 é reservada para os recursos mais críticos.
Para cada recurso, considere o seguinte ao atribuir `Criticality`:
+ O recurso afetado contém dados confidenciais (por exemplo, um bucket do S3 com PII)?
+ O recurso afetado permite que um adversário aprofunde o acesso ou estenda os recursos dele para realizar outras atividades maliciosas (por exemplo, uma conta sysadmin comprometida)?
+ O recurso é um ativo crítico para os negócios (por exemplo, um sistema comercial importante que, se comprometido, poderia ter um impacto significativo na receita)?
É possível usar as seguintes diretrizes:
+ Um recurso que alimenta sistemas de missão crítica ou contém dados altamente confidenciais pode ser classificado na faixa de 75 a 100.
+ Um recurso que alimenta sistemas importantes (mas não críticos) ou que contém dados moderadamente importantes pode ser pontuado na faixa de 25 a 74.
+ Um recurso que alimenta sistemas sem importância ou contém dados não confidenciais deve ser pontuado na faixa de 0 a 24.
**Exemplo**
```
"Criticality": 99
```
## Detecção
O `Detection` objeto fornece detalhes sobre uma sequência de ataque encontrada no Amazon GuardDuty Extended Threat Detection. GuardDuty gera uma sequência de ataque descobrindo quando vários eventos se alinham a uma atividade potencialmente suspeita. Para receber as descobertas da sequência de GuardDuty ataque no CSPM do AWS Security Hub, você deve ter GuardDuty habilitado em sua conta. Para obter mais informações, consulte [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) no *Guia GuardDuty do usuário da Amazon*.
**Exemplo**
```
"Detection": {
"Sequence": {
"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
"Actors": [{
"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
"Session": {
"Uid": "1234567891",
"MfAStatus": "DISABLED",
"CreatedTime": "1716916944000",
"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
},
"User": {
"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
"Name": "ec2_instance_role_production",
"Type": "AssumedRole",
"Uid": "AROA987654321EXAMPLE:i-b188560f",
"Account": {
"Uid": "AccountId",
"Name": "AccountName"
}
}
}],
"Endpoints": [{
"Id": "EndpointId",
"Ip": "203.0.113.1",
"Domain": "example.com",
"Port": 4040,
"Location": {
"City": "New York",
"Country": "US",
"Lat": 40.7123,
"Lon": -74.0068
},
"AutonomousSystem": {
"Name": "AnyCompany",
"Number": 64496
},
"Connection": {
"Direction": "INBOUND"
}
}],
"Signals": [{
"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
"Title": "Someone ran a penetration test tool on your account.",
"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
"Count": 19,
"FirstSeenAt": 1716916943000,
"SignalIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Data Destruction"
]
},
],
"LastSeenAt": 1716916944000,
"Name": "Test:IAMUser/KaliLinux",
"ResourceIds": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
],
"Type": "FINDING"
}],
"SequenceIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Discovery",
"Exfiltration",
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject",
"s3:GetObject",
"s3:ListBuckets"
"s3:ListObjects"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Cloud Service Discovery",
"Data Destruction"
]
}
]
}
}
```
## FindingProviderFields
`FindingProviderFields` inclui os seguintes atributos:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
Os campos anteriores estão aninhados sob o objeto `FindingProviderFields`, mas têm análogos com o mesmo nome dos campos de nível superior do ASFF. Quando uma nova descoberta é enviada ao CSPM do Security Hub por um provedor de descobertas, o CSPM do Security Hub preenche o objeto `FindingProviderFields` automaticamente se ele estiver vazio, com base nos campos de nível superior correspondentes.
Os provedores de descobertas podem atualizar o valor do campo `FindingProviderFields` usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub. Os provedores de descobertas não podem atualizar esse objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para obter detalhes sobre como o CSPM do Security Hub lida com atualizações de `BatchImportFindings` a `FindingProviderFields` para os atributos de nível superior correspondentes, consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
Os clientes podem atualizar os campos de nível superior usando a operação `BatchUpdateFindings`. Os clientes não podem atualizar `FindingProviderFields`.
**Exemplo**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
## FirstObservedAt
Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi observado pela primeira vez.
Esse timestamp reflete quando o evento ou a vulnerabilidade foi observada pela primeira vez. Consequentemente, ele pode ser diferente do timestamp `CreatedAt`, que reflete quando esse registro de descoberta foi criado.
Para as descobertas de controle que o CSPM do Security Hub gera e atualiza, esse timestamp também pode indicar quando o status de conformidade de um recurso foi alterado mais recentemente. Para outros tipos de descobertas, esse timestamp deve ser imutável entre as atualizações do registro de descoberta, mas pode ser atualizado se um timestamp mais preciso for determinado.
**Exemplo**
```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```
## LastObservedAt
Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi observado mais recentemente pelo produto de descobertas de segurança.
Esse timestamp especifica quando o evento ou a vulnerabilidade foi observado pela última vez ou mais recentemente. Consequentemente, ele pode ser diferente do timestamp `UpdatedAt`, que reflete quando esse registro de descoberta foi atualizado pela última vez ou mais recentemente.
É possível fornecer esse timestamp, mas isso não é obrigatório na primeira observação. Se você preencher esse campo na primeira observação, o timestamp deverá ser igual ao timestamp `FirstObservedAt`. É necessário atualizar esse campo para refletir o último ou o mais recente timestamp observado sempre que uma descoberta for observada.
**Exemplo**
```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```
## Malware
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) fornece uma lista de malwares relacionado a uma descoberta.
**Exemplo**
```
"Malware": [
{
"Name": "Stringler",
"Type": "COIN_MINER",
"Path": "/usr/sbin/stringler",
"State": "OBSERVED"
}
]
```
## Network (retirado)
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html) oferece informações relacionadas à rede sobre uma descoberta.
Esse objeto é retirado. Para fornecer esses dados, você pode mapear os dados para um recurso em `Action` ou usar o objeto `Resources`.
**Exemplo**
```
"Network": {
"Direction": "IN",
"OpenPortRange": {
"Begin": 443,
"End": 443
},
"Protocol": "TCP",
"SourceIpV4": "1.2.3.4",
"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"SourcePort": "42",
"SourceDomain": "example1.com",
"SourceMac": "00:0d:83:b1:c0:8e",
"DestinationIpV4": "2.3.4.5",
"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"DestinationPort": "80",
"DestinationDomain": "example2.com"
}
```
## NetworkPath
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html) fornece informações sobre um caminho de rede relacionado a uma descoberta. Cada entrada em `NetworkPath` representa um componente do caminho.
**Exemplo**
```
"NetworkPath" : [
{
"ComponentId": "abc-01a234bc56d8901ee",
"ComponentType": "AWS::EC2::InternetGateway",
"Egress": {
"Destination": {
"Address": [ "192.0.2.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": ["203.0.113.0/24"]
}
},
"Ingress": {
"Destination": {
"Address": [ "198.51.100.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": [ "203.0.113.0/24" ]
}
}
}
]
```
## Observação
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html) especifica uma nota definida pelo usuário que você pode adicionar a uma descoberta.
Um provedor de descoberta pode fornecer uma nota inicial para uma descoberta, mas não pode adicionar notas depois disso. Uma nota só pode ser atualizada usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemplo**
```
"Note": {
"Text": "Don't forget to check under the mat.",
"UpdatedBy": "jsmith",
"UpdatedAt": "2018-08-31T00:15:09Z"
}
```
## PatchSummary
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html) fornece um resumo do status de conformidade do patch de uma instância em relação a um padrão de conformidade selecionado.
**Exemplo**
```
"PatchSummary" : {
"FailedCount" : 0,
"Id" : "pb-123456789098",
"InstalledCount" : 100,
"InstalledOtherCount" : 1023,
"InstalledPendingReboot" : 0,
"InstalledRejectedCount" : 0,
"MissingCount" : 100,
"Operation" : "Install",
"OperationEndTime" : "2018-09-27T23:39:31Z",
"OperationStartTime" : "2018-09-27T23:37:31Z",
"RebootOption" : "RebootIfNeeded"
}
```
## Processo
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html) fornece detalhes relacionados ao processo sobre a descoberta.
Exemplo:
```
"Process": {
"LaunchedAt": "2018-09-27T22:37:31Z",
"Name": "syslogd",
"ParentPid": 56789,
"Path": "/usr/sbin/syslogd",
"Pid": 12345,
"TerminatedAt": "2018-09-27T23:37:31Z"
}
```
## ProcessedAt
Indica quando o CSPM do Security Hub recebeu uma descoberta e começa a processá-la.
Isso difere de `CreatedAt` e `UpdatedAt`, que são timestamps obrigatórios relacionados à interação do provedor de descobertas com o problema de segurança e a descoberta. O timestamp `ProcessedAt` indica quando o CSPM do Security Hub começa a processar uma descoberta. Uma descoberta aparece na conta do usuário após a conclusão do processamento.
```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```
## ProductFields
Um tipo de dados em que os produtos de descobertas de segurança podem incluir detalhes adicionais específicos da solução que não fazem parte do Formato de descoberta de AWS segurança definido.
Para descobertas geradas por controles do CSPM do Security Hub, `ProductFields` inclui informações sobre o controle. Consulte [Gerando e atualizando descobertas de controle](controls-findings-create-update.md).
Esse campo não deve conter dados redundantes e não deve conter dados que entrem em conflito com os campos do Formato AWS de descoberta de segurança.
O prefixo `aws/` "" representa um namespace reservado somente para AWS produtos e serviços e não deve ser enviado com descobertas de integrações de terceiros.
Embora não seja obrigatório, os produtos devem formatar nomes de campos como `company-id/product-id/field-name`, em que o `company-id` e o `product-id` correspondem aos produtos fornecidos no `ProductArn` da descoberta.
Os campos de referência a `Archival` são usados quando o CSPM do Security Hub arquiva uma descoberta existente. Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
Esse campo também pode incluir informações sobre o padrão que inclui o controle que produziu a descoberta.
**Exemplo**
```
"ProductFields": {
"API", "DeleteTrail",
"ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
"ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
"aws/inspector/AssessmentTargetName": "My prod env",
"aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
"aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
"generico/secure-pro/Action.Type", "AWS_API_CALL",
"generico/secure-pro/Count": "6",
"Service_Name": "cloudtrail.amazonaws.com"
}
```
## ProductName
Oferece o nome do produto que gerou a descoberta. Para descobertas baseadas em controles, o nome do produto é CSPM do Security Hub.
O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). A exceção a isso é quando você utiliza uma integração personalizada. Consulte [Integração do CSPM do Security Hub com produtos personalizados](securityhub-custom-providers.md).
Ao usar o console do CSPM do Security Hub para filtrar as descobertas pelo nome do produto, você usa esse atributo.
Ao usar o console do CSPM do Security Hub para filtrar as descobertas pelo nome do produto, você usa o atributo `aws/securityhub/ProductName` em `ProductFields`.
O CSPM do Security Hub não sincroniza esses dois atributos.
## RecordState
Fornece o registro de uma descoberta.
Por padrão, quando inicialmente geradas por um serviço, as descobertas são consideradas como `ACTIVE`.
O estado `ARCHIVED` indica que uma descoberta deve ser ocultada da exibição. As descobertas arquivadas não são excluídas imediatamente. É possível pesquisar, revisar e gerar relatórios sobre elas. O CSPM do Security Hub arquivará automaticamente as descobertas baseadas em controle se o recurso associado for excluído, se o recurso não existir ou se o controle for desabilitado.
`RecordState` é destinado a provedores de descobertas e só pode ser atualizado por meio da operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html). Você não pode atualizá-lo usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Para rastrear o status de sua investigação sobre uma descoberta, use [`Workflow`](#asff-workflow) em vez de `RecordState`.
Se o estado do registro mudar de `ARCHIVED` para `ACTIVE` e o status do fluxo de trabalho da descoberta for `NOTIFIED` ou `RESOLVED`, o CSPM do Security Hub alterará automaticamente o status do fluxo de trabalho para `NEW`.
**Exemplo**
```
"RecordState": "ACTIVE"
```
## Região
Especifica a Região da AWS partir da qual a descoberta foi gerada.
O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemplo**
```
"Region": "us-west-2"
```
## RelatedFindings
Fornece uma lista de descobertas relacionadas à descoberta atual.
`RelatedFindings` só deve ser atualizado com a operação da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Você não deve atualizar esse objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
Para solicitações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html), os provedores de descobertas devem usar o objeto `RelatedFindings` sob [`FindingProviderFields`](#asff-findingproviderfields).
Para ver as descrições dos atributos `RelatedFindings`, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)na *Referência da API AWS Security Hub *.
**Exemplo**
```
"RelatedFindings": [
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000" },
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```
## RiskAssessment
**Exemplo**
```
"RiskAssessment": {
"Posture": {
"FindingTotal": 4,
"Indicators": [
{
"Type": "Reachability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
},
{
"Type": "Vulnerability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
}
]
}
}
```
## Correção
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) fornece informações sobre etapas de correção recomendadas para lidar com a descoberta.
**Exemplo**
```
"Remediation": {
"Recommendation": {
"Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
}
}
```
## Amostra
Especifica se a descoberta é uma descoberta de amostra.
```
"Sample": true
```
## SourceUrl
O objeto `SourceUrl` fornece um URL que encaminha para uma página sobre a descoberta atual no produto de descoberta.
```
"SourceUrl": "http://sourceurl.com"
```
## ThreatIntelIndicators
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html) fornece detalhes sobre inteligência de ameaças relacionados a uma descoberta.
**Exemplo**
```
"ThreatIntelIndicators": [
{
"Category": "BACKDOOR",
"LastObservedAt": "2018-09-27T23:37:31Z",
"Source": "Threat Intel Weekly",
"SourceUrl": "http://threatintelweekly.org/backdoors/8888",
"Type": "IPV4_ADDRESS",
"Value": "8.8.8.8",
}
]
```
## Ameaças
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html) fornece detalhes sobre a ameaça detectada por uma descoberta.
**Exemplo**
```
"Threats": [{
"FilePaths": [{
"FileName": "b.txt",
"FilePath": "/tmp/b.txt",
"Hash": "sha256",
"ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
}],
"ItemCount": 3,
"Name": "Iot.linux.mirai.vwisi",
"Severity": "HIGH"
}]
```
## UserDefinedFields
Fornece uma lista de pares de string de nome e valor associados à descoberta. Esses são campos personalizados, definidos pelo usuário, que são adicionados a uma descoberta. Esses campos podem ser gerados automaticamente por meio de sua configuração específica.
Os provedores de localização não devem usar esse campo para dados gerados pelo produto. Em vez disso, os provedores de localização podem usar o `ProductFields` campo para dados que não são mapeados para nenhum campo padrão do Formato AWS de Busca de Segurança.
Esses campos só podem ser atualizados usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemplo**
```
"UserDefinedFields": {
"reviewedByCio": "true",
"comeBackToLater": "Check this again on Monday"
}
```
## VerificationState
Fornece a veracidade de uma descoberta. Os produtos de descobertas podem fornecer um valor de `UNKNOWN` para esse campo. Um produto de descobertas deve fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas. Normalmente, esse campo é preenchido por uma determinação ou ação do usuário depois de investigar uma descoberta.
Um provedor de descoberta pode fornecer um valor inicial para esse atributo, mas não pode atualizá-lo depois disso. Esse atributo só pode ser atualizado usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
```
"VerificationState": "Confirmed"
```
## Vulnerabilidades
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) fornece uma lista de vulnerabilidades associadas a uma descoberta.
**Exemplo**
```
"Vulnerabilities" : [
{
"CodeVulnerabilities": [{
"Cwes": [
"CWE-798",
"CWE-799"
],
"FilePath": {
"EndLine": 421,
"FileName": "package-lock.json",
"FilePath": "package-lock.json",
"StartLine": 420
},
"SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
}],
"Cvss": [
{
"BaseScore": 4.7,
"BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"Version": "V3"
},
{
"BaseScore": 4.7,
"BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
"Version": "V2"
}
],
"EpssScore": 0.015,
"ExploitAvailable": "YES",
"FixAvailable": "YES",
"Id": "CVE-2020-12345",
"LastKnownExploitAt": "2020-01-16T00:01:35Z",
"ReferenceUrls":[
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
],
"RelatedVulnerabilities": ["CVE-2020-12345"],
"Vendor": {
"Name": "Alas",
"Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
"VendorCreatedAt":"2020-01-16T00:01:43Z",
"VendorSeverity":"Medium",
"VendorUpdatedAt":"2020-01-16T00:01:43Z"
},
"VulnerablePackages": [
{
"Architecture": "x86_64",
"Epoch": "1",
"FilePath": "/tmp",
"FixedInVersion": "0.14.0",
"Name": "openssl",
"PackageManager": "OS",
"Release": "16.amzn2.0.3",
"Remediation": "Update aws-crt to 0.14.0",
"SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
"SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
"Version": "1.0.2k"
}
]
}
]
```
## Fluxo de trabalho
O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) fornece informações sobre o status da investigação de uma descoberta.
Esse campo é destinado aos clientes para uso com ferramentas de correção, orquestração e emissão de tíquetes. Não se destina a provedores de descoberta.
Você só pode atualizar o campo `Workflow` com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Os clientes também podem atualizá-lo pelo console. Consulte [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md).
**Exemplo**
```
"Workflow": {
"Status": "NEW"
}
```
## WorkflowState (Aposentado)
Esse objeto foi retirado e substituído pelo campo `Status` do objeto`Workflow`.
Esse campo fornece o estado do fluxo de trabalho de uma descoberta. Os produtos de descobertas podem fornecer o valor de `NEW` para esse campo. Um produto de descobertas pode fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas.
**Exemplo**
```
"WorkflowState": "NEW"
```