本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
必需的属性
所有结果需要以下属性。
AwsAccountId-
必填
应用查找结果的 Amazon 账户 ID。
类型:字符串
最大长度:12 位数字
示例
"AwsAccountId": "111111111111" CreatedAt-
必填
指示查找结果捕获的潜在安全问题是何时创建的。
这些区域有:
CreatedAt时间戳反映了查找记录的创建时间。因此,它可能与FirstObservedAt时间戳,反映的是首次观察到事件或漏洞的时间。该时间戳必须在第一代结果中提供,并且不能在随后更新结果时更改此时间戳。
类型:字符串
格式:使用
date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。 示例
"CreatedAt": "2017-03-22T13:22:13.933Z"注意 结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 Amazon EventBridge 中配置将结果路由到 S3 存储桶的规则。
Description-
必填
结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。
类型:字符串
最大长度:1024
示例
"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability." GeneratorId-
必填
生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。在安全结果产品提供的各种解决方案中,该生成器可以称为规则、检查、检测器、插件等。
类型:字符串或 ARN
最大长度:512
示例
"GeneratorId": "acme-vuln-9ab348" Id-
必填
结果的特定于产品的标识符。
类型:字符串或 ARN
最大长度:512 对于字符串值,2048 表示 ARN 值
结果 ID 必须遵守以下限制:
-
ID 在产品中必须保持全局唯一。要强制实现唯一性,您可以将公共 Amazon 区域名称和账户 ID 合并到该标识符中。
-
无论以前的结果是否不再存在,您都无法 回收标识符。
-
对于以外的服务AmazonID不能以文字字符串作为前缀”
arn:“。 -
对于 Amazon 服务,ID 必须 为结果的 ARN(如果有)。否则,您可以使用任何其他唯一标识符。
预计这些限制仅适用于在结果产品中保留这些限制,但不需要在结果中保留这些限制。
示例
"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef" -
ProductArn-
必填
Security Hub 生成的 ARN,用于在 Security Hub 注册产品后唯一地标识第三方结果产品。
类型:ARN
此字段的格式为
arn:。partition:securityhub:region:account-id:product/company-id/product-id-
适用于Amazon与 Security Hub 集成的服务,
company-id必须是”aws“,以及product-id必须是Amazon公共服务名称。由于Amazon产品和服务与账户无关,account-idARN 的部分为空。Amazon尚未与 Security Hub 集成的服务被视为第三方产品。 -
对于公共产品,
company-id和product-id必须为注册时指定的 ID 值。 -
对于私有产品,
company-id必须为账户 ID。product-id必须为保留字“default”或注册时指定的 ID。
例如:
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro" -
- Resources
-
必填
一组资源数据类型,用于说明结果引用的资源。
类型:资源对象数组
对象的最大数量:32
示例
"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ] SchemaVersion-
必填
格式化结果的架构版本。该字段的值必须为 Amazon 确定的官方发布版本之一。
在当前版本中,Amazon Security Finding 格式架构版本为
2018-10-08。类型:字符串
最大长度:10
Format:
YYYY-MM-DD示例
"SchemaVersion": "2018-10-08" - Severity
-
必填
结果的严重性。
结果中的任何一项
Label要么Normalized填充。Label是首选属性。Normalized已不再相关。Security Hub 填充Normalized属性但以其他方式不使用它。如果两个属性都未填充,则结果无效。Severity应该只对其进行更新BatchUpdateFindings.要提供严重性信息,查找提供商应使用
Severity下面的对象FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:对象
示例
"Severity": { "Label": "CRITICAL", "Original": "8.3" } Title-
必填
结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。
类型:字符串
最大长度:256
Types-
必填
一个或多个
namespace/category/classifierTypes应只使用进行更新BatchUpdateFindings.寻找想为其提供价值的提供商
Types应使用Types在属性FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:字符串数组
字符串的最大数量:50
-
namespace有效值:
Software and Configuration Checks|TTPs|Effects|Unusual Behaviors|Sensitive Data Identifications -
category -
classifier
所有结果类型都需要命名空间,但类别和分类器是可选的。如果指定分类器,您还必须指定类别。
'
/字是保留的,不得在类别或分类器中使用。不支持转义“/”字符。示例
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] -
UpdatedAt-
必填
指示查找提供程序上次更新查找记录的时间。
此时间戳反映了查找记录上次或最近更新的时间。因此,它可能与
LastObservedAt时间戳,反映的是上次或最近一次观察到事件或漏洞的时间。更新结果记录时,必须将该时间戳更新为当前时间戳。创建结果记录后,
CreatedAt和UpdatedAt时间戳必须相同。更新结果记录后,该字段的值必须大于其包含的所有先前值。请注意,
UpdatedAt不会由BatchUpdateFindings中的更改进行更新。它只由BatchImportFindings进行更新。结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 CloudWatch Event 中配置将结果路由到 Amazon S3 存储桶的规则。
类型:字符串
格式:使用
date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。