必需的顶级ASFF属性 - AWS Security Hub
AwsAccountIdCreatedAt描述GeneratorIdIdProductArn资源SchemaVersion严重性Title类型UpdatedAt

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

必需的顶级ASFF属性

Sec AWS urity Hub 中的所有查找结果都必须具备以下安全调查结果格式 (ASFF) 中的顶级属性。有关这些必需属性的更多信息,请参见 AwsSecurityFindingAWS Security Hub API参考资料中。

AwsAccountId

调查结果适用的 AWS 账户 ID。

示例

"AwsAccountId": "111111111111"

CreatedAt

表示调查发现捕获到的潜在安全问题的创建时间。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

Security Hub 会在最近更新后 90 天或创建日期后 90 天(如果没有发生更新)删除结果。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将结果路由到您的 S3 存储桶。

描述

结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。

对于 Security Hub 生成的控件调查发现,此字段提供了对控件的描述。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。

对于 Security Hub 生成的控件调查发现,如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"GeneratorId": "security-control/Config.1"

Id

结果的特定于产品的标识符。对于 Security Hub 生成的控制结果,此字段提供调查结果的亚马逊资源名称 (ARN)。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

由 Security Hub 生成的亚马逊资源名称 (ARN),用于在第三方发现产品向 Security Hub 注册后唯一标识该产品。

此字段的格式为 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 对于与 Security Hub 集成的 AWS 服务,company-id必须aws是 “”,并且product-id必须是 AWS 公共服务名称。由于 AWS 产品和服务未与账户关联,因此该account-id部分ARN为空。 AWS 尚未与 Security Hub 集成的服务被视为第三方产品。

  • 对于公共产品,company-idproduct-id 必须为注册时指定的 ID 值。

  • 对于私有产品,company-id 必须为账户 ID。product-id 必须为保留字“default”或注册时指定的 ID。

示例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

资源

Resources对象提供了一组资源数据类型,这些数据类型描述了调查结果所指的 AWS 资源。

示例

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

格式化结果的架构版本。该字段的值必须为 AWS确定的官方发布版本之一。在当前版本中, AWS 安全调查结果格式架构版本为2018-10-08

示例

"SchemaVersion": "2018-10-08"

严重性

定义调查发现的重要性。有关此对象的详细信息,请参阅 “AWS Security Hub API参考Severity中的。

Severity 既是调查发现中的顶级对象,又嵌套在 FindingProviderFields 对象之下。

查找结果的顶级Severity对象的值只能由更新BatchUpdateFindingsAPI。

要提供严重性信息,查找提供者应在BatchImportFindingsAPI发出请求FindingProviderFields时更新下方的Severity对象。
 如果对新调查发现的 BatchImportFindings 请求仅提供 Label 或仅提供 Normalized,则 Security Hub 会自动填充另一个字段的值。可能还会填充 ProductOriginal 字段。

如果顶级 Finding.Severity 对象存在但 Finding.FindingProviderFields 不存在,Security Hub 会创建 FindingProviderFields.Severity 对象并将整个 Finding.Severity object 复制到其中。这样可以确保即使顶级 Severity 对象被覆盖,提供者提供的原始详细信息也会保留在 FindingProviderFields.Severity 结构中。

结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源具有更高的关键性。要捕获有关资源严重性的信息,请使用 Criticality 字段。

我们建议在将调查结果的原生严重性分数转换为Severity.Label中的值时使用以下指南。ASFF

  • INFORMATIONAL——此类别可能包括 PASSEDWARNINGNOT AVAILABLE 的调查发现或敏感数据标识。

  • LOW——可能导致未来受损的调查发现。例如,此类别可能包括漏洞、配置漏洞和泄露密码。

  • MEDIUM——结果表明遭受活动攻击,但未指示攻击者已达成其目标 例如,此类别可能包括恶意软件活动、黑客活动和异常行为检测。

  • HIGHCRITICAL——指示攻击者达成目标(例如主动数据丢失或泄露、拒绝服务)的调查发现。

示例

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

对于控件调查发现,此字段提供控件的标题。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Title": "AWS Config should be enabled"

类型

一个或多个 namespace/category/classifier 格式的结果类型,用于对结果进行分类。如果您启用整合的控件调查发现,则此字段不会引用标准。

Types 只能使用 BatchUpdateFindings 进行更新。

调查发现提供商想要为 Types 提供值,应使用 FindingProviderFields 下面的 Types 属性。

在下面的列表中,顶级项目符号是命名空间,二级项目符号是类别,三级项目符号是分类器。我们建议调查发现提供商使用定义的命名空间来帮助对调查发现进行排序和分组。也可以使用定义的类别和分类器,但不是必需的。仅软件和配置检查命名空间定义了分类器。

您可以为定义部分路径namespace/category/classifier。例如,以下调查发现类型均有效:

  • TTPs

  • TTPs/防御闪避

  • TTPs/Defense Evasion/CloudTrailStopped

以下列表中的战术、技术和程序 (TTPs) 类别与 MITREATT&CK MatrixT M 一致。异常行为命名空间反映了一般的异常行为,例如一般的统计异常,并且与特定行为不一致。TTP但是,您可以同时使用异常行为和发现类型对TTPs发现进行分类。

命名空间、类别和分类器列表:

  • Software and Configuration Checks

    • 漏洞

      • CVE

    • AWS 安全最佳实践

      • 网络可到达性

      • 运行时行为分析

    • 行业和法规标准

      • AWS 基础安全最佳实践

      • CIS主机强化基准

      • CIS AWS 基金会基准

      • PCI-DSS

      • 云安全联盟控制

      • ISO90001 控件

      • ISO27001 控件

      • ISO27017 控件

      • ISO27018 控件

      • SOC1

      • SOC 2

      • HIPAA控件 (USA)

      • NIST800-53 控件 () USA

      • NISTCSF控件 (USA)

      • IRAP控制(澳大利亚)

      • K-ISMS 控制(韩国)

      • MTCS控制(新加坡)

      • FISC控制(日本)

      • My Number Act 控制(日本)

      • ENS控制(西班牙)

      • Cyber​​ Essentials Plus 控制(英国)

      • G-Cloud 控制(英国)

      • C5 控制(德国)

      • IT-Grundschutz 控制(德国)

      • GDPR控制(欧洲)

      • TISAX控制(欧洲)

    • 补丁管理

  • TTPs

    • 首次访问

    • Execution

    • Persistence

    • 权限提升

    • 躲避防御系统

    • 凭证访问

    • Discovery

    • 横向移动

    • 集合

    • 命令和控制

  • 影响

    • 数据公开

    • 数据泄露

    • 数据销毁

    • 拒绝服务

    • 资源消耗

  • 不寻常的行为

    • 应用程序

    • 网络流量

    • IP 地址

    • 用户

    • VM

    • 容器

    • Serverless(无服务器)

    • 流程

    • 数据库

    • 数据

  • 敏感数据识别

    • PII

    • 密码

    • 法律条款

    • 财务

    • 安全性

    • 业务

示例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

表示调查发现提供商上次更新查找记录的时间。

此时间戳反映了上次或最近一次更新的调查发现记录的时间。因此,它可能与 LastObservedAt 时间戳不同,后者反映的是上次或最近观察到事件或漏洞的时间。

更新结果记录时,必须将该时间戳更新为当前时间戳。创建调查发现记录后,CreatedAtUpdatedAt 时间戳必须相同。更新调查发现记录后,该字段的值必须比它包含的所有先前值更新。

请注意,UpdatedAt无法使用该BatchUpdateFindingsAPI操作进行更新。您只能使用 BatchImportFindings 对其进行更新。

示例

"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意

Security Hub 会在最近更新后 90 天或创建日期后 90 天(如果没有发生更新)删除结果。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将结果路由到您的 S3 存储桶。