本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可选顶级 ASFF 属性
在 Security Hub CSPM 中查找结果时, Amazon 安全调查结果格式 (ASFF) 中的以下顶级属性是可选的。有关这些属性的更多信息,请参阅 Sec Amazon urity Hub API 参考AwsSecurityFinding中的。
操作
该Action对象提供有关影响资源或已对资源采取的操作的详细信息。
示例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
调查结果适用的 Amazon Web Services 账户 名称。
示例
"AwsAccountName": "jane-doe-testaccount"
CompanyName
生成调查发现的产品的公司名称。对于基于控制的调查结果,该公司是。 Amazon
Security Hub CSPM 会为每个发现自动填充此属性。您无法使用 BatchImportFindings 或 BatchUpdateFindings 对其进行更新。使用自定义集成是此规则的例外。请参阅将 Security Hub CSPM 与定制产品集成。
当您使用 Security Hub CSPM 控制台按公司名称筛选结果时,您可以使用此属性。当你使用 Security Hub CSPM API 按公司名称筛选结果时,你可以使用下面的aws/securityhub/CompanyName属性。ProductFieldsSecurity Hub CSPM 不会同步这两个属性。
示例
"CompanyName": "Amazon"
合规
Compliance 对象通常会提供有关控件调查发现的详细信息,例如适用的标准和控件检查的状态。
示例
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because Amazon Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
置信度
调查发现能够准确识别其理应识别的行为或问题的可能性。
Confidence 只能使用 BatchUpdateFindings 进行更新。
调查发现提供商想要为 Confidence 提供值,应使用 FindingProviderFields 下面的 Confidence 属性。请参阅使用 FindingProviderFields 更新调查发现。
使用比例刻度按 0-100 分对 Confidence 进行评分。 0 表示置信度为 0%,100 表示置信度为 100%。例如,基于网络流量统计偏差的数据泄露检测的置信度较低,因为实际的泄露尚未得到验证。
示例
"Confidence": 42
严重性
分配给与调查发现关联的资源的重要性级别。
Criticality 只能通过调用 BatchUpdateFindings API 操作进行更新。不要使用 BatchImportFindings 更新此对象。
调查发现提供商想要为 Criticality 提供值,应使用 FindingProviderFields 下面的 Criticality 属性。请参阅使用 FindingProviderFields 更新调查发现。
使用仅支持全整型的比例刻度以 0-100 为基础对 Criticality 进行评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。
对于每种资源,在分配 Criticality 时请考虑以下几点:
-
受影响的资源是否包含敏感数据(例如,具有 PII 的 S3 存储桶)?
-
受影响的资源是否使攻击者能够加深访问或扩展其能力以执行其他恶意活动(例如,受损的系统管理员账户)?
-
资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?
您可以使用以下准则:
-
对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75–100。
-
对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25–74。
-
对于支持非重要系统或包含非敏感数据的资源,评分范围应 为 0–24。
示例
"Criticality": 99
检测
该Detection对象提供有关从 Amazon GuardDuty 扩展威胁检测中发现的攻击序列的详细信息。 GuardDuty 当多个事件与潜在的可疑活动对应时,生成攻击序列查找结果。要在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中接收 GuardDuty 攻击序列发现,您必须已在账户中 GuardDuty 启用。有关更多信息,请参阅《亚马逊 GuardDuty 用户指南》中的 Amazon GuardDuty 扩展威胁检测。
示例
"Detection": { "Sequence": { "Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010", "Actors": [{ "Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891", "Session": { "Uid": "1234567891", "MfAStatus": "DISABLED", "CreatedTime": "1716916944000", "Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket" }, "User": { "CredentialUid": "ASIAIOSFODNN7EXAMPLE", "Name": "ec2_instance_role_production", "Type": "AssumedRole", "Uid": "AROA987654321EXAMPLE:i-b188560f", "Account": { "Uid": "AccountId", "Name": "AccountName" } } }], "Endpoints": [{ "Id": "EndpointId", "Ip": "203.0.113.1", "Domain": "example.com", "Port": 4040, "Location": { "City": "New York", "Country": "US", "Lat": 40.7123, "Lon": -74.0068 }, "AutonomousSystem": { "Name": "AnyCompany", "Number": 64496 }, "Connection": { "Direction": "INBOUND" } }], "Signals": [{ "Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7", "Title": "Someone ran a penetration test tool on your account.", "ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"], "Count": 19, "FirstSeenAt": 1716916943000, "SignalIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Data Destruction" ] }, ], "LastSeenAt": 1716916944000, "Name": "Test:IAMUser/KaliLinux", "ResourceIds": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket" ], "Type": "FINDING" }], "SequenceIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Discovery", "Exfiltration", "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBuckets" "s3:ListObjects" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Cloud Service Discovery", "Data Destruction" ] } ] } }
FindingProviderFields
FindingProviderFields 包括以下属性:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
前面的字段都嵌套在 FindingProviderFields 对象下,但具有与顶级 ASFF 字段相同的名称。当查找提供者将新发现发送到 Security Hub CSPM 时,如果对象为空,Security Hub CSPM 会根据相应的顶级字段自动填充该FindingProviderFields对象。
查找提供者FindingProviderFields可以通过使用 Security Hub CSPM API 的BatchImportFindings操作进行更新。调查发现提供者无法使用 BatchUpdateFindings 更新此对象。
有关 Security Hub CSPM 如何处理相应顶级属性的更新FindingProviderFields以及BatchImportFindings对相应顶级属性的更新的详细信息,请参阅。使用 FindingProviderFields 更新调查发现
客户可以使用 BatchUpdateFindings 操作更新顶级字段。客户无法更新 FindingProviderFields。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
表示首次观察到发现的潜在安全问题或事件的时间。
此时间戳指定了首次观察到事件或漏洞的时间。因此,它可能与CreatedAt时间戳不同,后者反映了该查找记录的创建时间。
该时间戳在调查发现记录的更新之间应该是不可变的,但如果确定了更准确的时间戳,则可以更新。
示例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
表示安全调查结果产品最近何时观察到调查结果捕获的潜在安全问题或事件。
此时间戳指定上次或最近观察到事件或漏洞的时间。因此,它可能与 UpdatedAt 时间戳不同,后者反映了该调查发现记录的最后一次更新时间或最近更新的时间。
您可以提供此时间戳,但在首次观察时不需要此时间戳。如果您在第一次观察时填充此字段,则时间戳应与时间戳相同。FirstObservedAt每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。
示例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
恶意软件
Malware 对象提供与结果相关的恶意软件列表。
示例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
网络(已停用)
Network 对象提供有关调查发现的网络相关信息。
此对象已停用。要提供此数据,您可以将数据映射到 Resources 中的资源,也可以使用 Action 对象。
示例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
NetworkPath 对象提供与调查发现相关的网络路径的相关信息。NetworkPath 中的每个条目都代表路径的一个组成部分。
示例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
注意
Note 对象指定了用户定义的注释,您可以将其添加到调查发现中。
结果提供商可以为结果提供初始注释,但不能在此之后添加注释。您只能使用 BatchUpdateFindings 更新注释。
示例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
PatchSummary 对象根据所选合规性标准提供实例的补丁合规性状态摘要。
示例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
流程
Process 对象提供有关调查发现的过程相关详细信息。
示例:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
指示 Security Hub CSPM 何时收到调查结果并开始对其进行处理。
这与CreatedAt和不同UpdatedAt,后者是与查找提供者与安全问题和发现的互动相关的必需时间戳。ProcessedAt时间戳指示 Security Hub CSPM 何时开始处理调查结果。处理完成后,查找结果会显示在用户的帐户中。
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
一种数据类型,其中安全调查结果产品可以包含其他特定于解决方案的详细信息,这些详细信息不是定义 Amazon 的安全调查结果格式的一部分。
有关由 Security Hub CSPM 控件生成的调查结果,请ProductFields包括有关该控件的信息。请参阅生成和更新控件调查发现。
此字段不应包含冗余数据,也不得包含与 Amazon 安全调查结果格式字段冲突的数据。
“aws/” 前缀仅代表为 Amazon 产品和服务保留的命名空间,不得与第三方集成的发现一起提交。
虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name,其中 company-id 和 product-id 与结果的 ProductArn 中提供的名称匹配。
当 Security Hub CSPM 存档现有发现时,将使用引Archival用的字段。例如,当您禁用控件或标准以及打开或关闭合并控制结果时,Security Hub CSPM 会存档现有发现。
此字段还可能包含有关标准的信息,标准中包括产生调查发现的控件。
示例
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
提供生成调查发现的产品的名称。对于基于控制的发现,产品名称为 Security Hub CSPM。
Security Hub CSPM 会为每个发现自动填充此属性。您无法使用 BatchImportFindings 或 BatchUpdateFindings 对其进行更新。使用自定义集成是此规则的例外。请参阅将 Security Hub CSPM 与定制产品集成。
当您使用 Security Hub CSPM 控制台按产品名称筛选结果时,您可以使用此属性。
当你使用 Security Hub CSPM API 按产品名称筛选结果时,你可以使用下面的aws/securityhub/ProductName属性。ProductFields
Security Hub CSPM 不会同步这两个属性。
RecordState
提供调查发现的记录状态。
默认情况下,在最初由服务生成时,结果被视为 ACTIVE。
ARCHIVED 状态表示应从视图中隐藏结果。存档的调查结果不会立即删除。您可以搜索、查看和报告这些结果。如果关联资源被删除、资源不存在或控件被禁用,Security Hub CSPM 会自动存档基于控制的结果。
RecordState用于查找提供者,并且只能通过使用BatchImportFindings操作进行更新。您无法使用该BatchUpdateFindings操作对其进行更新。
要跟踪调查发现的状态,请使用 Workflow 而不是 RecordState。
如果记录状态从变为ACTIVE,且调查结果的工作流程状态ARCHIVED为NOTIFIED或RESOLVED,则 Security Hub CSPM 会自动将工作流程状态更改为。NEW
示例
"RecordState": "ACTIVE"
区域
指定生成查找结果 Amazon Web Services 区域 的依据。
Security Hub CSPM 会为每个发现自动填充此属性。您无法使用 BatchImportFindings 或 BatchUpdateFindings 对其进行更新。
示例
"Region": "us-west-2"
RelatedFindings
提供与当前发现相关的调查发现列表。
RelatedFindings 只能使用 BatchUpdateFindings API 操作进行更新。您不应使用 BatchImportFindings 更新此对象。
对于 BatchImportFindings 请求,调查发现提供商应使用 FindingProviderFields 下面的 RelatedFindings 对象。
要查看RelatedFindings属性的描述,请参阅 Sec Amazon ur RelatedFindingity Hub 云安全状态管理 (CSPM) API 参考中的。
示例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
RiskAssessment
示例
"RiskAssessment": { "Posture": { "FindingTotal": 4, "Indicators": [ { "Type": "Reachability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] }, { "Type": "Vulnerability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] } ] } }
修复
Remediation 对象提供有关为解决结果问题而建议的修复步骤的信息。
示例
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the Amazon Security Hub Cloud Security Posture Management (CSPM) documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
样本
指定调查发现是否为调查发现样本。
"Sample": true
SourceUrl
SourceUrl 对象提供一个 URL,指向有关调查发现产品中当前调查发现的页面
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
ThreatIntelIndicator 对象提供与调查发现相关的威胁情报详细信息。
示例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
威胁
Threats 对象提供调查发现所检测到的威胁的详细信息。
示例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
提供与调查发现关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。这些字段可以通过特定配置自动生成。
调查发现提供商不应将此字段用于产品生成的数据。相反,查找提供者可以将该ProductFields字段用于未映射到任何标准 Amazon 安全查找格式字段的数据。
这些字段只能使用 BatchUpdateFindings 进行更新。
示例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
提供调查发现的准确性。结果产品可以提供 UNKNOWN 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应该为该字段提供值。该字段通常由用户在对调查发现进行调查后做出的决定或操作填充。
结果提供商可以为此属性提供初始值,但在此之后无法更新它。您只能使用 BatchUpdateFindings 来更新此属性。
"VerificationState": "Confirmed"
漏洞
Vulnerabilities 对象提供与调查发现相关的漏洞列表。
示例
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:Amazon-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
工作流
Workflow 对象提供有关结果调查状态的信息。
此字段专供客户与修复、编排和票务工具配合使用。它不适用于结果提供商。
您只能使用 BatchUpdateFindings 更新 Workflow 字段。客户还可以从控制台更新它。请参阅在 Security Hub CSPM 中设置发现结果的工作流程状态。
示例
"Workflow": { "Status": "NEW" }
WorkflowState (已退休)
此对象已停用,已被 Workflow 对象的 Status 字段所取代。
此字段提供调查发现的工作流程状态。结果产品可以提供 NEW 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。
示例
"WorkflowState": "NEW"