本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 必需的顶级 ASFF 属性
Security Hub CSPM 中的所有搜索结果都需要 AWS 安全调查结果格式 (ASFF) 中的以下顶级属性。有关这些属性的更多信息,请参阅《AWS Security Hub API 参考》**中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)。
## AwsAccountId
调查结果适用的 AWS 账户 ID。
**示例**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
表示调查发现捕获到的潜在安全问题或事件的创建时间。
**示例**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## 说明
结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。
对于 Security Hub CSPM 生成的控件调查发现,此字段提供控件的描述。
如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings),则此字段不会引用标准。
**示例**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。
对于 Security Hub CSPM 生成的控件调查发现,如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings),则此字段不会引用标准。
**示例**
```
"GeneratorId": "security-control/Config.1"
```
## Id
结果的特定于产品的标识符。对于 Security Hub CSPM 生成的控件调查发现,此字段提供调查发现的 Amazon 资源名称(ARN)。
如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings),则此字段不会引用标准。
**示例**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
由 Security Hub CSPM 生成的 Amazon 资源名称(ARN),用于在产品注册到 Security Hub CSPM 后唯一标识第三方调查发现产品。
此字段的格式为 `arn:partition:securityhub:region:account-id:product/company-id/product-id`。
+ 为了 AWS 服务 与 Security Hub CSPM 集成,`company-id`必须`aws`是 “”,并且`product-id`必须是 AWS 公共服务名称。由于 AWS 产品和服务未与账户关联,所以 ARN 的`account-id`部分为空。 AWS 服务 尚未与 Security Hub CSPM 集成的产品被视为第三方产品。
+ 对于公共产品,`company-id` 和 `product-id` 必须为注册时指定的 ID 值。
+ 对于私有产品,`company-id` 必须为账户 ID。`product-id` 必须为保留字“default”或注册时指定的 ID。
**示例**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## 资源
对象`Resources`数组提供了一组资源数据类型,这些数据类型描述了调查结果所指的 AWS 资源。有关 `Resources` 对象可能包含的字段的详细信息(包括哪些字段是必需的),请参阅《AWS Security Hub API 参考》**中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)。有关特定`Resources`对象的示例 AWS 服务,请参见[Resources ASFF 对象](asff-resources.md)。
**示例**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
格式化结果的架构版本。该字段的值必须为 AWS确定的官方发布版本之一。在当前版本中, AWS 安全调查结果格式架构版本为`2018-10-08`。
**示例**
```
"SchemaVersion": "2018-10-08"
```
## 严重性
定义调查发现的重要性。有关此对象的详细信息,请参阅 *AWS Security Hub API 参考*中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)。
`Severity` 既是调查发现中的顶级对象,又嵌套在 `FindingProviderFields` 对象之下。
只能使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API 来更新调查发现的顶级 `Severity` 对象的值。
要提供严重性信息,调查发现提供商在进行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) API 请求时应更新 `FindingProviderFields` 下的 `Severity` 对象。
如果对新调查发现的 `BatchImportFindings` 请求仅提供 `Label` 或仅提供 `Normalized`,则 Security Hub CSPM 会自动填充其他字段的值。可能还会填充 `Product` 和 `Original` 字段。
如果顶级 `Finding.Severity` 对象存在但 `Finding.FindingProviderFields` 不存在,Security Hub CSPM 会创建 `FindingProviderFields.Severity` 对象并将整个 `Finding.Severity object` 复制到其中。这样可以确保即使顶级 `Severity` 对象被覆盖,提供者提供的原始详细信息也会保留在 `FindingProviderFields.Severity` 结构中。
结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源具有更高的关键性。要捕获有关资源严重性的信息,请使用 `Criticality` 字段。
我们建议在将调查发现的本机严重性评分转换为 ASFF 中的 `Severity.Label` 值时使用以下指南。
+ `INFORMATIONAL`——此类别可能包括 `PASSED`、`WARNING`、`NOT AVAILABLE` 的调查发现或敏感数据标识。
+ `LOW`——可能导致未来受损的调查发现。例如,此类别可能包括漏洞、配置隐患和泄露密码。
+ `MEDIUM`——结果表明遭受活动攻击,但未指示攻击者已达成其目标 例如,此类别可能包括恶意软件活动、黑客活动和异常行为检测。
+ `HIGH` 或 `CRITICAL`——指示攻击者达成目标(例如主动数据丢失或泄露、拒绝服务)的调查发现。
**示例**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## 标题
结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。
对于控件调查发现,此字段提供控件的标题。如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings),则此字段不会引用标准。
**示例**
```
"Title": "AWS Config should be enabled"
```
## 类型
一个或多个 `namespace/category/classifier` 格式的结果类型,用于对结果进行分类。如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings),则此字段不会引用标准。
只能使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API 来更新 `Types`。
调查发现提供商想要为 `Types` 提供值,应使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html) 下面的 `Types` 属性。
在下面的列表中,顶级项目符号是命名空间,二级项目符号是类别,三级项目符号是分类器。我们建议调查发现提供商使用定义的命名空间来帮助对调查发现进行排序和分组。也可以使用定义的类别和分类器,但不是必需的。仅软件和配置检查命名空间定义了分类器。
您可以为定义部分路径namespace/category/classifier。例如,以下调查发现类型均有效:
+ TTPs
+ TTPs/防御闪避
+ TTPs/Defense Evasion/CloudTrailStopped
以下列表中的战术、技巧和程序 (TTPs) 类别与 [MITRE ATT&CK Mat](https://attack.mitre.org/matrices/enterprise/) rixTM 一致。Unusual Behaviours 命名空间反映一般异常行为,例如一般统计异常,并且与特定 TTP 不一致。但是,您可以同时使用异常行为和发现类型对 TTPs 发现进行分类。
**命名空间、类别和分类器列表:**
+ Software and Configuration Checks
+ 漏洞
+ CVE
+ AWS 安全最佳实践
+ 网络可到达性
+ 运行时行为分析
+ 行业和法规标准
+ AWS 基础安全最佳实践
+ CIS 主机强化基准
+ 独联体 AWS 基金会基准
+ PCI-DSS
+ 云安全联盟控制
+ ISO 90001 控制
+ ISO 27001 控制
+ ISO 27017 控制
+ ISO 27018 控制
+ SOC 1
+ SOC 2
+ HIPAA 控制(美国)
+ NIST 800-53 控制(美国)
+ NIST CSF 控制(美国)
+ IRAP 控制(澳大利亚)
+ K-ISMS 控制(韩国)
+ MTCS 控制(新加坡)
+ FISC 控制(日本)
+ My Number Act 控制(日本)
+ ENS 控制(西班牙)
+ Cyber Essentials Plus 控制(英国)
+ G-Cloud 控制(英国)
+ C5 控制(德国)
+ IT-Grundschutz 控制(德国)
+ GDP 控制(欧洲)
+ TISAX 控制(欧洲)
+ 补丁管理
+ TTPs
+ 首次访问
+ Execution
+ Persistence
+ 权限提升
+ 躲避防御系统
+ 凭证访问
+ Discovery
+ 横向移动
+ 集合
+ 命令和控制
+ 影响
+ 数据公开
+ 数据泄露
+ 数据销毁
+ 拒绝服务
+ 资源消耗
+ 不寻常的行为
+ 应用程序
+ 网络流量
+ IP 地址
+ 用户
+ VM
+ Container
+ Serverless(无服务器)
+ 流程
+ 数据库
+ 数据
+ 敏感数据识别
+ PII
+ 密码
+ 法律条款
+ 财务
+ 安全性
+ 商业
**示例**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
表示调查发现提供商上次更新查找记录的时间。
此时间戳反映了上次或最近一次更新的调查发现记录的时间。因此,它可能与 `LastObservedAt` 时间戳不同,后者反映的是上次或最近观察到事件或漏洞的时间。
更新结果记录时,必须将该时间戳更新为当前时间戳。创建调查发现记录后,`CreatedAt` 和 `UpdatedAt` 时间戳必须相同。更新调查发现记录后,该字段的值必须比它包含的所有先前值更新。
请注意,`UpdatedAt` 无法使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作进行更新。您只能使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作更新它。
**示例**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```