本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選用的頂層 ASFF 屬性
這些最上層屬性在 AWS 安全調查結果格式 (ASFF) 中是選用的。如需這些屬性的詳細資訊,請參閱 AWS Security Hub API 參考中的 AwsSecurityFinding。
動作
Action
物件提供有關影響 資源或對資源採取之動作的詳細資訊。
範例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
調查結果套用 AWS 帳戶 到的名稱。
範例
"AwsAccountName": "jane-doe-testaccount"
CompanyName
產生調查結果之產品的公司名稱。對於以控制項為基礎的調查結果,公司是 AWS。
Security Hub 會自動為每個調查結果填入此屬性。您無法使用 BatchImportFindings
或 進行更新BatchUpdateFindings
。例外狀況是當您使用自訂整合時。請參閱 將 Security Hub 與自訂產品整合。
當您使用 Security Hub 主控台依公司名稱篩選問題清單時,請使用此屬性。當您使用 Security Hub API 依公司名稱篩選問題清單時,請使用 下的 aws/securityhub/CompanyName
屬性ProductFields
。Security Hub 不會同步這兩個屬性。
範例
"CompanyName": "AWS"
合規
Compliance
物件通常會提供有關控制項調查結果的詳細資訊,例如適用的標準和控制項檢查的狀態。
範例
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
可信度
調查結果準確識別其意圖識別的行為或問題的可能性。
Confidence
應該只使用 更新BatchUpdateFindings
。
尋找想要提供 值的提供者時,Confidence
應使用 Confidence
下的 屬性FindingProviderFields
。請參閱 使用 更新問題清單 FindingProviderFields。
Confidence
是以 0–100 為基準,使用比率比例來評分。0 表示 0% 可信度,100 表示 100% 可信度。例如,基於網路流量統計偏差的資料外洩偵測具有低可信度,因為尚未驗證實際的外洩。
範例
"Confidence": 42
重要性
指派給與問題清單相關聯資源的重要性層級。
Criticality
應僅透過呼叫 BatchUpdateFindings
API 操作來更新。請勿使用 更新此物件BatchImportFindings
。
尋找想要提供 值的提供者時,Criticality
應使用 Criticality
下的 屬性FindingProviderFields
。請參閱 使用 更新問題清單 FindingProviderFields。
Criticality
是以 0–100 為基準,使用僅支援完整整數的比率擴展來評分。0 分表示不重要的基礎資源,100 分預留給最重要的資源。
對於每個資源,指派 時請考慮下列事項Criticality
:
-
受影響的資源是否包含敏感資料 (例如具有 PII 的 S3 儲存貯體)?
-
受影響的資源是否可讓對手加深其存取權或擴展其能力,以執行其他惡意活動 (例如,遭入侵的 sysadmin 帳戶)?
-
此資源是否為企業重要資產 (例如,若遭入侵可能造成重大收益損失的業務系統)?
您可使用下列準則:
-
支援任務關鍵系統或包含高度敏感資料的資源可以在 75–100 範圍內評分。
-
可在 25–74 範圍內對重要 (但非關鍵系統) 或包含中等重要資料的資源進行評分。
-
支援不重要系統或包含非敏感資料的資源應在 0–24 範圍內評分。
範例
"Criticality": 99
偵測
Detection
物件提供來自 Amazon GuardDuty 延伸威脅偵測之攻擊序列調查結果的詳細資訊。當多個事件與潛在可疑活動一致時,GuardDuty 會產生攻擊序列調查結果。若要在 中接收 GuardDuty 攻擊序列調查結果 AWS Security Hub,您必須在帳戶中啟用 GuardDuty。如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 Amazon GuardDuty 延伸威脅偵測。 Amazon GuardDuty
範例
"Detection": { "Sequence": { "Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010", "Actors": [{ "Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891", "Session": { "Uid": "1234567891", "MfAStatus": "DISABLED", "CreatedTime": "1716916944000", "Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket" }, "User": { "CredentialUid": "ASIAIOSFODNN7EXAMPLE", "Name": "ec2_instance_role_production", "Type": "AssumedRole", "Uid": "AROA987654321EXAMPLE:i-b188560f", "Account": { "Uid": "AccountId", "Name": "AccountName" } } }], "Endpoints": [{ "Id": "EndpointId", "Ip": "203.0.113.1", "Domain": "example.com", "Port": 4040, "Location": { "City": "New York", "Country": "US", "Lat": 40.7123, "Lon": -74.0068 }, "AutonomousSystem": { "Name": "AnyCompany", "Number": 64496 }, "Connection": { "Direction": "INBOUND" } }], "Signals": [{ "Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7", "Title": "Someone ran a penetration test tool on your account.", "ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"], "Count": 19, "FirstSeenAt": 1716916943000, "SignalIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Data Destruction" ] }, ], "LastSeenAt": 1716916944000, "Name": "Test:IAMUser/KaliLinux", "ResourceIds": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket" ], "Type": "FINDING" }], "SequenceIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Discovery", "Exfiltration", "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBuckets" "s3:ListObjects" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Cloud Service Discovery", "Data Destruction" ] } ] } }
FindingProviderFields
FindingProviderFields
包含下列屬性:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
上述欄位會巢狀在FindingProviderFields
物件下,但具有與最上層 ASFF 欄位同名的類比。當問題清單提供者將新問題清單傳送到 Security Hub 時,如果FindingProviderFields
物件根據對應的頂層欄位為空,Security Hub 會自動填入物件。
尋找提供者可以使用 Security Hub API FindingProviderFields
的操作進行更新BatchImportFindings
。尋找提供者無法使用 更新此物件BatchUpdateFindings
。
如需 Security Hub 如何處理從 BatchImportFindings
更新至 FindingProviderFields
和對應頂層屬性的詳細資訊,請參閱 使用 更新問題清單 FindingProviderFields。
客戶可以使用 BatchUpdateFindings
操作更新最上層欄位。客戶無法更新 FindingProviderFields
。
範例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
指出第一次觀察到問題清單所擷取的潛在安全問題。
此時間戳記反映了第一次觀察到事件或漏洞的時間。因此,它可能與CreatedAt
時間戳記不同,其反映了建立此調查結果記錄的時間。
此時間戳記在問題清單記錄的更新之間應不可變,但如果確定更準確的時間戳記,則可以更新。
範例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
指出安全調查結果產品最近何時觀察到問題清單所擷取的潛在安全問題。
此時間戳記反映事件或漏洞上次或最近觀察到的時間。因此,它可能與UpdatedAt
時間戳記不同,時間戳記會反映此調查結果記錄上次或最近更新的時間。
您可以提供此時間戳記,但在第一次觀察時不需要。如果您在第一次觀察時提供此欄位,時間戳記應與FirstObservedAt
時間戳記相同。您應該更新此欄位,以在每次觀察到問題清單時,反映上次或最近觀察到的時間戳記。
範例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
惡意軟體
Malware
物件提供與問題清單相關的惡意程式清單。
範例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
網路 (已淘汰)
Network
物件提供有關問題清單的網路相關資訊。
此物件已淘汰。若要提供此資料,您可以將資料對應至 中的資源Resources
,或使用 Action
物件。
範例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
NetworkPath
物件提供與問題清單相關的網路路徑資訊。中的每個項目都NetworkPath
代表路徑的元件。
範例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
注意
Note
物件會指定使用者定義的備註,您可以將其新增至問題清單。
問題清單提供者可以提供問題清單的初始備註,但之後便無法新增備註。您只能使用 更新備註BatchUpdateFindings
。
範例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
PatchSummary
物件會根據選取的合規標準,提供執行個體的修補程式合規狀態摘要。
範例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
流程
Process
物件提供有關問題清單的程序相關詳細資訊。
範例:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
指出 Security Hub 收到問題清單並開始處理的時間。
這與 CreatedAt
和 不同UpdatedAt
,這是與調查結果提供者與安全問題和調查結果互動相關的必要時間戳記。時間戳記指出 Security Hub ProcessedAt
何時開始處理問題清單。處理完成後,問題清單會出現在使用者帳戶中。
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
一種資料類型,其中安全調查結果產品可以包含不屬於已定義 AWS 安全調查結果格式的其他解決方案特定詳細資訊。
對於 Security Hub 控制項產生的問題清單, ProductFields
包含控制項的相關資訊。請參閱 產生和更新控制問題清單。
此欄位不應包含備援資料,且不得包含與 AWS Security Finding Format 欄位衝突的資料。
「aws/
」字首僅代表 AWS 產品和服務的預留命名空間,不得與第三方整合的結果一起提交。
雖然非必要,但產品應該將欄位名稱格式化為 company-id/product-id/field-name
,其中 company-id
和 product-id
符合問題清單 ProductArn
所提供的內容。
當 Security Hub 封存現有的調查結果時,Archival
會使用參考欄位。例如,Security Hub 會在您停用控制項或標準時,以及開啟或關閉合併的控制項問題清單時封存現有的問題清單。
此欄位也可能包含標準的相關資訊,其中包含產生調查結果的控制項。
範例
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an
ARCHIVED
state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
提供產生調查結果的產品名稱。對於以控制項為基礎的調查結果,產品名稱為 Security Hub。
Security Hub 會自動為每個調查結果填入此屬性。您無法使用 BatchImportFindings
或 進行更新BatchUpdateFindings
。例外狀況是當您使用自訂整合時。請參閱 將 Security Hub 與自訂產品整合。
當您使用 Security Hub 主控台依產品名稱篩選問題清單時,請使用此屬性。
當您使用 Security Hub API 依產品名稱篩選問題清單時,請使用 下的 aws/securityhub/ProductName
屬性ProductFields
。
Security Hub 不會同步這兩個屬性。
RecordState
提供調查結果的記錄狀態。
根據預設,會將服務一開始產生的問題清單視為 ACTIVE
。
ARCHIVED
狀態表示問題清單應被隱藏看不到。封存的問題清單不會立即刪除。您可以搜尋、檢閱和報告這些項目。如果關聯的資源已刪除、資源不存在或控制項已停用,Security Hub 會自動封存以控制項為基礎的問題清單。
RecordState
旨在尋找提供者,並且只能由 更新BatchImportFindings
。您無法使用 更新它BatchUpdateFindings
。
若要追蹤調查問題清單的狀態,請使用 Workflow而非 RecordState
。
如果記錄狀態從 變更為 ARCHIVED
ACTIVE
,且調查結果的工作流程狀態為 NOTIFIED
或 RESOLVED
,則 Security Hub 會自動將工作流程狀態設定為 NEW
。
範例
"RecordState": "ACTIVE"
區域
指定從中產生調查結果的 AWS 區域 。
Security Hub 會自動為每個調查結果填入此屬性。您無法使用 BatchImportFindings
或 進行更新BatchUpdateFindings
。
範例
"Region": "us-west-2"
RelatedFindings
提供與目前問題清單相關的問題清單。
RelatedFindings
應僅更新 BatchUpdateFindings
API 操作。您不應該使用 更新此物件BatchImportFindings
。
對於BatchImportFindings
請求,尋找提供者應使用 下的 RelatedFindings
物件FindingProviderFields。
若要檢視RelatedFindings
屬性的說明,請參閱 AWS Security Hub API 參考RelatedFinding
中的 。
範例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
修補
Remediation
物件可提供處理問題清單的建議修補步驟資訊。
範例
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
樣本
指定問題清單是否為範例問題清單。
"Sample": true
SourceUrl
SourceUrl
物件提供 URL,可連結至有關問題清單產品中目前問題清單的頁面。
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
ThreatIntelIndicator
物件提供與調查結果相關的威脅情報詳細資訊。
範例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
威脅
Threats 物件提供有關調查結果偵測到之威脅的詳細資訊。
範例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
提供與調查結果相關聯的名稱值字串對清單。這些是新增到問題清單的自訂使用者定義欄位。這些欄位可以透過您的特定組態自動產生。
尋找提供者不應將此欄位用於產品產生的資料。反之,問題清單提供者可以將 ProductFields
欄位用於未對應至任何標準 AWS 安全問題清單格式欄位的資料。
這些欄位只能使用 BatchUpdateFindings
更新。
範例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
提供調查結果的真實性。調查結果產品可為UNKNOWN
此欄位提供 的值。如果問題清單產品系統中有有意義的類比,問題清單產品應提供此欄位的值。調查問題清單後,通常會由使用者判斷或動作填入此欄位。
問題清單提供者可以提供此屬性的初始值,但之後便無法更新該值。您只能使用 更新此屬性BatchUpdateFindings
。
"VerificationState": "Confirmed"
漏洞
Vulnerabilities 物件提供與問題清單相關聯的漏洞清單。
範例
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
工作流程
Workflow
物件會提供關於問題清單調查狀態的相關資訊。
此欄位旨在供客戶搭配修復、協調和票證工具使用。這不適用於問題清單提供者。
您只能使用 更新 Workflow
欄位BatchUpdateFindings
。客戶也只能從主控台進行更新。請參閱 設定 Security Hub 調查結果的工作流程狀態。
範例
"Workflow": { "Status": "NEW" }
WorkflowState (已淘汰)
此物件已淘汰,並已由Workflow
物件Status
的欄位取代。
此欄位提供調查結果的工作流程狀態。問題清單產品可針對此欄位提供 NEW
值。如果問題清單產品系統中有意義的類比,問題清單產品可針對此欄位提供值。
範例
"WorkflowState": "NEW"