将结果映射到AWS安全发现格式(ASFF)的指南 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

将结果映射到AWS安全发现格式(ASFF)的指南

使用以下指南将您的结果映射到ASFF。有关每个ASFF字段和对象的详细描述,请参阅 AWS安全查找格式(ASFF)AWS Security Hub 用户指南.

识别信息

SchemaVersion 始终为 2018-10-08

ProductArn 是ARN AWS Security Hub 分配给您。

Id 是价值 Security Hub 用于索引结果。查找标识符必须唯一,以确保其他结果不会被覆盖。要更新查找,请使用相同标识符重新提交查找。

GeneratorId 可以与 Id 或者可以参考离散逻辑单元,例如 Amazon GuardDuty 检测器ID, AWS Config 记录器ID,或 IAM 访问分析仪ID。

Title $and Description

Title 应包含有关受影响资源的一些信息。Title 不超过256个字符,包括空格。

添加更多详细信息至 DescriptionDescription 限制为1024个字符,包括空格。您可以考虑将截断添加到描述。示例如下:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234", "Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

查找类型

Types 应匹配 ASFF类型分类.

如果需要,可以指定自定义分类器(第三个命名空间)。

时间戳

ASFF格式包括一些不同的时间戳。

CreatedAtUpdatedAt

您必须提交 CreatedAtUpdatedAt 每次打电话时 BatchImportFindings 对于每个发现。

值必须与Python3.8的ISO8601格式匹配。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAtLastObservedAt

FirstObservedAtLastObservedAt 在系统观察到发现时必须匹配。如果您未记录此信息,则无需提交这些时间戳。

值与Python3.8的ISO8601格式匹配。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

对于新发现,您可以在 Severity 对象。

Original

系统的严重性值。Original 可以是任何字符串,以适应您使用的系统。

Label

所需的 Security Hub 发现严重性的指示符。允许的值如下。

  • INFORMATIONAL – 未发现任何问题。

  • LOW – 无需针对问题执行任何操作。

  • MEDIUM – 必须解决问题,但不是紧急的。

  • HIGH – 必须优先解决问题。

  • CRITICAL – 必须立即纠正问题,以防止进一步伤害。

您可以设置 Label 只有当您创建新的发现。对于现有的调查结果,只有客户可以更改 Label.

合规的结果应始终具有 Label 设置为 INFORMATIONAL。示例 INFORMATIONAL 结果是通过的安全检查结果 AWS Firewall Manager 已补救的结果。

客户通常按照其严重程度排序结果,向其安全运营团队提供待办事项列表。将查找严重性设置为 HIGHCRITICAL.

您的整合文件必须包含您的映射理由。

Remediation

Remediation 有两个元素。这些元素与 Security Hub 控制台。

Remediation.Recommendation.Text 显示在 补救 查找详细信息的部分。它与 Remediation.Recommendation.Url.

目前只有来自 Security Hub 标准, IAM 访问分析仪,和 Firewall Manager 显示有关如何修复发现的文档的超链接。

SourceUrl

仅使用 SourceUrl 如果您可以为该特定查找提供控制台的深度链接URL。否则,将其从映射中忽略。

Security Hub 不支持此字段中的超链接,但是 Security Hub 控制台。

Malware, Network, Process, ThreatIntelIndicators

如适用,请使用 MalwareNetworkProcess,或 ThreatIntelIndicators。这些对象中的每个对象都在 Security Hub 控制台。在发现发现的情况下使用这些对象。

例如,如果检测到对已知命令和控制节点进行出站连接的恶意软件,请在中提供EC2实例的详细信息 Resource.Details.AwsEc2Instance。提供相关的 MalwareNetwork,和 ThreatIntelIndicator 该EC2实例的对象。

Malware

Malware 是接受最多五个恶意软件信息的列表。使其与资源和发现相关的恶意软件条目。

每个条目都有以下字段。

Name

恶意软件的名称。该值最多为64个字符。

Name 应来自审查的威胁情报或研究人员。

Path

恶意软件的路径。该值最多为512个字符。Path 应为Linux或Windows系统文件路径,但以下情况除外。

  • 如果您在S3桶中扫描对象或EFS分享的YARA规则,那么 Path S3://或HTTPS对象路径。

  • 如果您扫描了GIT存储库中的文件,那么 Path 是GITURL或克隆路径。

State

恶意软件的状态。允许的值为 OBSERVED || REMOVAL_FAILED || REMOVED.

在查找标题和描述中,确保您提供恶意软件发生的情况。

例如,如果 Malware.StateREMOVED,然后,查找标题和描述应反映您的产品已删除位于Path上的恶意软件。

IFIFIF Malware.StateOBSERVED,然后,查找标题和描述应反映出您的产品在路径上遇到此恶意软件。

Type

表示恶意软件的类型。允许的值为 ADWARE || BLENDED_THREAT || BOTNET_AGENT || COIN_MINER || EXPLOIT_KIT || KEYLOGGER || MACRO || POTENTIALLY_UNWANTED || SPYWARE || RANSOMWARE || REMOTE_ACCESS || ROOTKIT || TROJAN || VIRUS || WORM.

如果您需要其他值 Type,联系 Security Hub 团队。

Network

Network 是单个对象。您无法添加多个网络相关的详细信息。在映射字段时,请使用以下指南。

目的地和源信息

目标和源易于地图TCP或VPC流量日志或WAF日志。当您描述关于攻击的网络信息时,它们更难使用。

通常,源是发起的攻击,但可能有以下列出的其他来源。您应该解释文件中的来源,并在查找标题和描述中描述。

  • 对于EC2实例上的DDos攻击,源是攻击者,但真正的DDos攻击可能使用数百万主机。目标是ec2实例的公共Ipv4地址。Direction 位于。

  • 对于观察到ec2实例与已知命令和控制节点通信的恶意软件,源是ec2实例的Ipv4地址。目标是命令和控制节点。DirectionOUT。您还将提供 MalwareThreatIntelIndicators.

Protocol

Protocol 除非您可以提供特定协议,否则始终映射到已分配的编号权限(IANA)注册名称。您应始终使用此信息并提供端口信息。

Protocol 独立于源信息和目标信息。只有在有意义的情况下才能提供。

Direction

Direction 始终相对于 AWS 网络边界。

  • IN 意味着 AWS (VPC、服务)。

  • OUT 意味着 AWS 网络边界。

Process

Process 是单个对象。您无法添加多个与流程相关的详细信息。在映射字段时,请使用以下指南。

Name

Name 应与可执行文件的名称匹配。最多可接受64个字符。

Path

Path 是流程可执行文件的文件系统路径。最多可接受512个字符。

Pid, ParentPid

PidParentPid 应与Linux过程标识符(PID)或Windows事件ID匹配。要区分,请使用EC2Amazon机器图像(AMI)提供信息。客户可能会在Windows和Linux之间区分。

时间戳(LaunchedAtTerminatedAt)

如果您无法可靠地检索这些信息,并且这些信息不准确,请勿提供。

如果客户依赖于取证调查的时间戳,则没有时间戳优于错误时间戳。

ThreatIntelIndicators

ThreatIntelIndicators 接受多达5个威胁智能对象的阵列。

对于每个条目, Type 在特定威胁的情况下。允许的值为 DOMAIN || EMAIL_ADDRESS || HASH_MD5 || HASH_SHA1 || HASH_SHA256 || HASH_SHA512 || IPV4_ADDRESS || IPV6_ADDRESS || MUTEX || PROCESS || URL.

以下是如何映射威胁情报指标的一些示例:

  • 您找到了一个您知道与CobaltStrike相关的流程。您从FireEye博客中学到了这一点。

    设置 TypePROCESS。同时创建 Process 进程对象。

  • 您的邮件筛选器发现某人从已知的恶意域发送了一个知名的哈希包。

    创建两个 ThreatIntelIndicator 对象。一个对象是 DOMAIN。另一个是 HASH_SHA1.

  • 您发现了YARA规则的恶意软件(Loki、Fenrir、Awss3VirusScan、BinaryAlert)。

    创建两个 ThreatIntelIndicator 对象。一个用于恶意软件。另一个是 HASH_SHA1.

Resources

对于 Resources,尽可能使用我们提供的资源类型和详细信息字段。 Security Hub 不断向ASFF添加新资源。要收到ASFF更改的每月日志,请联系 .

如果您不能适合建模资源类型的详细信息字段中的信息,请将其余详细信息映射到 Details.Other.

对于未在ASFF中建模的资源,设置 TypeOther。有关详细信息,请使用 Details.Other.

您还可以使用 Other 非-资源类型AWS 结果。

ProductFields

仅使用 ProductFields 如果您不能使用其他策划字段 Resources 或描述性对象,例如 ThreatIntelIndicatorsNetwork,或 Malware.

如果您使用 ProductFields,您必须为此决策提供严格的理由。

合规性

仅使用 Compliance 如果您的研究结果与合规性相关。

Security Hub 使用 Compliance 根据控制措施生成的结果。

Firewall Manager 使用 Compliance 因为它们与合规相关。

受限字段

这些字段旨在让客户跟踪其调查结果。

不要映射到这些字段或对象。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

如果您要映射到以下字段,您只能在创建新的查找结果时填写这些字段 Security Hub. 您不能使用 BatchImportFindings 要更改现有查找中这些字段和对象的值。

  • Confidence – 如果您的服务具有类似功能,或者您的发现100%,则只包括信心评分(0-99)。

    Security Hub 不会在 Security Hub 控制台。信心分数只存储在发现中。

  • Criticality – 关键性评分(0-99)旨在表达与发现相关的资源的重要性。

    Security Hub 不会揭示 Security Hub 控制台。关键性分数只存储在发现中。

  • RelatedFindings – 只有当您能够跟踪与相同资源或发现类型相关的结果时,才能提供相关的结果。要识别相关的发现,您必须参考已经中的查找标识符 Security Hub.