本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 必要的頂層 ASFF 屬性
安全性 AWS 問題清單格式 (ASFF) 中的下列頂層屬性是 Security Hub CSPM 中所有問題清單的必要項目。如需這些屬性的詳細資訊,請參閱 *AWS Security Hub API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)中的 。
## AwsAccountId
調查結果套用的 AWS 帳戶 ID。
**範例**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
指出問題清單擷取的潛在安全問題或事件建立的時間。
**範例**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## Description
問題清單的描述。此欄位可以是非特定的範例文字或問題清單執行個體的特定詳細資訊。
對於 Security Hub CSPM 產生的控制項調查結果,此欄位提供控制項的說明。
如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings),則此欄位不會參考標準。
**範例**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
產生問題清單的解決方案特定元件 (邏輯分散式單位) 識別符。
對於 Security Hub CSPM 產生的控制調查結果,如果您開啟[合併的控制調查結果](controls-findings-create-update.md#consolidated-control-findings),則此欄位不會參考標準。
**範例**
```
"GeneratorId": "security-control/Config.1"
```
## Id
問題清單的產品特定識別符。對於 Security Hub CSPM 產生的控制調查結果,此欄位會提供調查結果的 Amazon Resource Name (ARN)。
如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings),則此欄位不會參考標準。
**範例**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
Security Hub CSPM 產生的 Amazon Resource Name (ARN),可在產品向 Security Hub CSPM 註冊後唯一識別第三方調查結果產品。
此欄位的格式為 `arn:partition:securityhub:region:account-id:product/company-id/product-id`。
+ 對於與 Security Hub CSPM 整合 AWS 服務 的 , `company-id` 必須是 "`aws`",而 `product-id`必須是 AWS 公有服務名稱。由於 AWS 產品和服務未與 帳戶相關聯,因此 ARN 的 `account-id`區段為空白。尚未與 Security Hub CSPM 整合 AWS 服務 的 會被視為第三方產品。
+ 針對公有產品,`company-id` 和 `product-id` 必須是註冊時指定的 ID 值。
+ 針對私有產品,`company-id` 必須是帳戶 ID。`product-id` 必須是預留的 "default" 字詞,或註冊時指定的 ID。
**範例**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## Resources
物件`Resources`陣列提供一組資源資料類型,描述調查結果所參考 AWS 的資源。如需`Resources`物件可能包含之欄位的詳細資訊,包括需要哪些欄位,請參閱 *AWS Security Hub API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)中的 。如需特定 `Resources` 物件的範例 AWS 服務,請參閱 [Resources ASFF 物件](asff-resources.md)。
**範例**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
要格式化問題清單的結構描述版本。此欄位的值必須是 AWS識別的正式發佈版本之一。在目前版本中, AWS 安全調查結果格式結構描述版本為 `2018-10-08`。
**範例**
```
"SchemaVersion": "2018-10-08"
```
## 嚴重性
定義問題清單的重要性。如需此物件的詳細資訊,請參閱《 *AWS Security Hub API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)》中的 。
`Severity` 是調查結果中最上層的物件,並巢狀在`FindingProviderFields`物件下。
只能使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API 更新調查結果的最上層`Severity`物件的值。
若要提供嚴重性資訊,問題清單提供者應在提出 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) API 請求`FindingProviderFields`時更新 下的`Severity`物件。
如果新調查結果的`BatchImportFindings`請求僅提供 `Label`或僅提供 `Normalized`,Security Hub CSPM 會自動填入另一個欄位的值。
也可以填入 `Product`和 `Original` 欄位。
如果頂層`Finding.Severity`物件存在但`Finding.FindingProviderFields`不存在,Security Hub CSPM 會建立`FindingProviderFields.Severity`物件並將整個物件複製到`Finding.Severity object`其中。這可確保原始供應商提供的詳細資訊會保留在`FindingProviderFields.Severity`結構中,即使覆寫頂層`Severity`物件也是如此。
問題清單嚴重性不會將牽涉之資產或基礎資源的重要性納入考量。重要性的定義是與問題清單相關聯之資源的重要性層級。例如,與關鍵任務應用程式相關聯的資源,其重要性高於與非生產測試相關聯的資源。如果要擷取資源重要性的資訊,請使用 `Criticality` 欄位。
我們建議您在將問題清單的原生嚴重性分數轉譯為 ASFF `Severity.Label`中的 值時,使用下列指引。
+ `INFORMATIONAL` – 此類別可能包括 `PASSED`、 `WARNING`或 `NOT AVAILABLE`檢查的調查結果或敏感資料識別。
+ `LOW` – 可能導致未來入侵的問題清單。例如,此類別可能包含漏洞、組態弱點和公開密碼。
+ `MEDIUM` – 指出主動入侵,但未指出對手完成其目標的調查結果。例如,此類別可能包含惡意軟體活動、駭客活動和異常行為偵測。
+ `HIGH` 或 `CRITICAL` – 指出對手完成其目標的調查結果,例如作用中的資料遺失或入侵,或是拒絕服務。
**範例**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## Title
問題清單的標題。此欄位可以包含非特定的範例文字或此問題清單執行個體的特定詳細資訊。
對於控制項調查結果,此欄位提供控制項的標題。如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings),則此欄位不會參考標準。
**範例**
```
"Title": "AWS Config should be enabled"
```
## 類型
一或多個格式為 `namespace/category/classifier` 的問題清單類型,可分類問題清單。如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings),則此欄位不會參考標準。
`Types` 應僅使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) API 更新。
尋找想要提供 值的提供者時,`Types`應使用 `Types` 下的 屬性[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html)。
在下列清單中,最上層項目符號是命名空間,第二層項目符號是類別,第三層項目符號是分類器。我們建議調查結果提供者使用定義的命名空間來協助排序和分組調查結果。定義的類別和分類器也可以使用,但不是必要的。只有軟體和組態檢查命名空間有定義的分類器。
您可以定義namespace/category/classifier的部分路徑。例如,下列調查結果類型都是有效的:
+ TTP
+ TTPs/Defense Evasion
+ TTPs/Defense Evasion/CloudTrailStopped
下列清單中的策略、技術和程序 (TTPs) 類別符合 [MITRE ATT&CK MatrixTM](https://attack.mitre.org/matrices/enterprise/)。異常行為命名空間反映一般異常行為,例如一般統計異常,且與特定 TTP 不相符。不過,您可使用異常行為和 TTP 問題清單類型來分類問題清單。
**命名空間、類別和分類器的清單:**
+ 軟體和組態檢查
+ 漏洞
+ CVE
+ AWS 安全最佳實務
+ 網路連線能力
+ 執行時間行為分析
+ 產業和法規標準
+ AWS 基礎安全最佳實務
+ CIS 主機強化基準
+ CIS AWS Foundations 基準
+ PCI-DSS
+ 雲端安全性聯盟控制
+ ISO 90001 控制
+ ISO 27001 控制
+ ISO 27017 控制
+ ISO 27018 控制
+ SOC 1
+ SOC 2
+ HIPAA 控制 (美國)
+ NIST 800-53 控制 (美國)
+ NIST CSF 控制 (美國)
+ IRAP 控制 (澳大利亞)
+ K-ISMS 控制 (韓國)
+ MTCS 控制 (新加坡)
+ FISC 控制 (日本)
+ 個人編號法案控制 (日本)
+ ENS 控制 (西班牙)
+ Cyber Essentials Plus 控制 (英國)
+ G-Cloud 控制 (英國)
+ C5 控制 (德國)
+ IT-Grundschutz 控制 (德國)
+ GDPR 控制 (歐洲)
+ TISAX 控制 (歐洲)
+ 修補管理
+ TTP
+ 初始存取
+ 執行
+ Persistence
+ 權限提升
+ 防禦逃脫
+ 登入資料存取
+ 探索
+ 水平擴散
+ 收集
+ 命令和控制
+ 效果
+ 資料曝光
+ 資料外洩
+ 資料銷毀
+ 拒絕服務
+ 資源耗用
+ 異常行為
+ 應用程式
+ 網路流程
+ IP 位址
+ 使用者
+ VM
+ 容器
+ 無伺服器
+ 流程
+ 資料庫
+ 資料
+ 敏感資料識別
+ PII
+ 密碼
+ 法律聲明
+ 金融
+ 安全
+ 商業
**範例**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
指出調查結果提供者上次更新調查結果記錄的時間。
此時間戳記反映調查結果記錄上次或最近更新的時間。因此,它可能與`LastObservedAt`時間戳記不同,時間戳記會反映事件或漏洞上次或最近觀察到的時間。
更新問題清單記錄時,您必須將此時間戳記更新為目前的時間戳記。建立問題清單記錄時, `CreatedAt`和 `UpdatedAt`時間戳記必須相同。更新調查結果記錄後,此欄位的值必須比包含的所有先前值更新。
請注意, `UpdatedAt`無法使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作更新。您只能使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)操作進行更新。
**範例**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```