必要的頂層ASFF屬性 - AWS Security Hub
AwsAccountIdCreatedAt描述GeneratorIdIdProductArn資源SchemaVersion嚴重性Title類型UpdatedAt

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要的頂層ASFF屬性

AWS Security Hub 中的所有調查結果都需要 Security Finding 格式 (ASFF) 中的下列頂層屬性。如需這些必要屬性的詳細資訊,請參閱 AwsSecurityFindingAWS Security Hub API參考 中。

AwsAccountId

調查結果套用的 AWS 帳戶 ID。

範例

"AwsAccountId": "111111111111"

CreatedAt

指示建立調查結果所擷取的潛在安全問題的時間。

範例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

Security Hub 會在最近的更新後 90 天或建立日期後 90 天刪除調查結果,如果沒有進行更新,則會刪除調查結果。若要儲存調查結果超過 90 天,您可以在 Amazon 中設定規則 EventBridge ,將調查結果路由至 S3 儲存貯體。

描述

問題清單的描述。此欄位可以是非特定的範例文字或問題清單執行個體的特定詳細資訊。

對於 Security Hub 產生的控制項調查結果,此欄位提供控制項的說明。

如果您開啟合併控制調查結果 ,則此欄位不會參考標準。

範例

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

產生問題清單的解決方案特定元件 (邏輯分散式單位) 識別符。

對於 Security Hub 產生的控制調查結果,如果您開啟合併的控制調查結果 ,則此欄位不會參考標準。

範例

"GeneratorId": "security-control/Config.1"

Id

問題清單的產品特定識別符。對於 Security Hub 產生的控制調查結果,此欄位會提供調查結果的 Amazon Resource Name (ARN)。

如果您開啟合併的控制調查結果 ,則此欄位不會參考標準。

範例

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956

"

ProductArn

Security Hub 產生的 Amazon Resource Name (ARN),可在產品向 Security Hub 註冊後唯一識別第三方調查結果產品。

此欄位的格式為 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 對於與 Security Hub 整合 AWS 的服務, company-id 必須是 "aws",而 product-id 必須是 AWS 公有服務名稱。由於 AWS 產品和服務未與 帳戶建立關聯,因此 的 account-id區段ARN為空白。尚未與 Security Hub 整合 AWS 的服務會被視為第三方產品。

  • 針對公有產品,company-idproduct-id 必須是註冊時指定的 ID 值。

  • 針對私有產品,company-id 必須是帳戶 ID。product-id 必須是預留的 "default" 字詞,或註冊時指定的 ID。

範例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

資源

Resources 物件提供一組資源資料類型,描述調查結果所指 AWS 的資源。

範例

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

要格式化問題清單的結構描述版本。此欄位的值必須是 AWS識別的正式發佈版本之一。在目前版本中, AWS 安全調查結果格式結構描述版本為 2018-10-08

範例

"SchemaVersion": "2018-10-08"

嚴重性

定義調查結果的重要性。如需此物件的詳細資訊,請參閱 參考 Severity中的 。 AWS Security Hub API

Severity 同時是調查結果中的頂層物件,並巢狀在FindingProviderFields物件下。

調查結果的頂層Severity物件值只能由 BatchUpdateFindings 更新API。

若要提供嚴重性資訊,尋找提供者應在提出BatchImportFindingsAPI請求FindingProviderFields時更新 下的Severity物件。
 如果新調查結果的BatchImportFindings請求僅提供 Label或僅提供 Normalized,則 Security Hub 會自動填入其他欄位的值。 
也可以填入 ProductOriginal 欄位。

如果頂層Finding.Severity物件存在但Finding.FindingProviderFields不存在,Security Hub 會建立FindingProviderFields.Severity物件並將整個Finding.Severity object物件複製到其中。這可確保原始供應商提供的詳細資訊保留在FindingProviderFields.Severity結構中,即使覆寫頂層Severity物件也是如此。

問題清單嚴重性不會將牽涉之資產或基礎資源的重要性納入考量。重要性的定義是與問題清單相關聯之資源的重要性層級。例如,與任務關鍵型應用程式相關聯的資源,其重要性高於與非生產測試相關聯的資源。如果要擷取資源重要性的資訊,請使用 Criticality 欄位。

我們建議您在將調查結果的原生嚴重性分數轉換為 Severity.Label中的 值時,使用下列指引ASFF。

  • INFORMATIONAL – 此類別可能包括 PASSEDWARNINGNOT AVAILABLE檢查的調查結果或敏感資料識別。

  • LOW – 可能導致未來入侵的調查結果。例如,此類別可能包含漏洞、組態弱點和公開密碼。

  • MEDIUM – 指出主動入侵,但未指出對手已完成其目標的調查結果。例如,此類別可能包含惡意軟體活動、駭客活動和異常行為偵測。

  • HIGHCRITICAL – 指出對手完成其目標的調查結果,例如主動資料遺失或入侵,或是拒絕服務。

範例

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

問題清單的標題。此欄位可以包含非特定的範例文字或此問題清單執行個體的特定詳細資訊。

對於控制項調查結果,此欄位提供控制項的標題。

如果您開啟合併控制調查結果 ,則此欄位不會參考標準。

範例

"Title": "AWS Config should be enabled"

類型

一或多個格式為 namespace/category/classifier 的問題清單類型,可分類問題清單。如果您開啟合併控制調查結果 ,則此欄位不會參考標準。

Types 應僅使用 更新BatchUpdateFindings

尋找要為 提供值的提供者時,Types應使用 Types 下的 屬性FindingProviderFields

在下列清單中,最上層項目符號是命名空間,第二層項目符號是類別,而第三層項目符號是分類器。我們建議尋找提供者使用定義的命名空間來協助排序和分組調查結果。定義的類別和分類器也可以使用,但並非必要。只有軟體和組態檢查命名空間有定義的分類器。

您可以為 定義部分路徑namespace/category/classifier。例如,下列調查結果類型都有效:

  • TTPs

  • TTPs/Defense Evasion

  • TTPs/Defense Evasion/CloudTrailStopped

下列清單中的策略、技術和程序 (TTPs) 類別與 MITRE ATT&CK MatrixTM 相符。異常行為命名空間反映一般異常行為,例如一般統計異常,並且與特定 不一致TTP。不過,您可以使用異常行為和調查結果類型來分類TTPs調查結果。

命名空間、類別和分類器的清單:

  • 軟體和組態檢查

    • 漏洞

      • CVE

    • AWS 安全最佳實務

      • 網路連線能力

      • 執行時間行為分析

    • 產業和法規標準

      • AWS 基礎安全最佳實務

      • CIS 主機強化基準

      • CIS AWS 基礎基準

      • PCI-DSS

      • 雲端安全性聯盟控制

      • ISO 90001 控制項

      • ISO 27001 控制項

      • ISO 27017 控制項

      • ISO 27018 控制項

      • SOC 1

      • SOC 2

      • HIPAA 控制項 (USA)

      • NIST 800-53 控制項 (USA)

      • NIST CSF 控制項 (USA)

      • IRAP 控制項 (澳洲)

      • K-ISMS 控制項 (韓國)

      • MTCS 控制項 (新加坡)

      • FISC 控制項 (日本)

      • 個人編號法案控制 (日本)

      • ENS 控制項 (西班牙)

      • Cyber Essentials Plus 控制 (英國)

      • G-Cloud 控制 (英國)

      • C5 控制 (德國)

      • IT-Grundschutz 控制 (德國)

      • GDPR 控制項 (歐洲)

      • TISAX 控制項 (歐洲)

    • 修補管理

  • TTPs

    • 初始存取

    • 執行

    • Persistence

    • 權限提升

    • 防禦逃脫

    • 登入資料存取

    • 探索

    • 水平擴散

    • 收集

    • 命令和控制

  • 效果

    • 資料曝光

    • 資料外洩

    • 資料銷毀

    • 拒絕服務

    • 資源耗用

  • 異常行為

    • 應用程式

    • 網路流程

    • IP 地址

    • 使用者

    • VM

    • 容器

    • 無伺服器

    • 流程

    • 資料庫

    • 資料

  • 敏感資料識別

    • PII

    • 密碼

    • 法律聲明

    • 金融

    • 安全

    • 商業

範例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

指示調查結果提供者上次更新調查結果記錄的時間。

此時間戳記反映調查結果記錄上次或最近更新的時間。因此,它可能與LastObservedAt時間戳記不同,時間戳記會反映事件或漏洞上次或最近觀察到的時間。

更新問題清單記錄時,您必須將此時間戳記更新為目前的時間戳記。建立調查結果記錄時, CreatedAtUpdatedAt時間戳記必須相同。更新調查結果記錄後,此欄位的值必須比先前包含的所有值更新。

請注意, UpdatedAt無法使用 BatchUpdateFindingsAPI操作更新。您只能使用 更新它BatchImportFindings

範例

"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意

Security Hub 會在最近的更新後 90 天或建立日期後 90 天刪除調查結果,如果沒有進行更新,則會刪除調查結果。若要儲存調查結果超過 90 天,您可以在 Amazon 中設定規則 EventBridge ,將調查結果路由至 S3 儲存貯體。