本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
必需的属性
所有结果需要以下属性。
AwsAccountId
-
必填
应用查找结果的 Amazon 账户 ID。
类型:字符串
最大长度:12 位数字
示例
"AwsAccountId": "111111111111"
CreatedAt
-
必填
指示查找结果捕获的潜在安全问题是何时创建的。
这些区域有:
CreatedAt
时间戳反映了查找记录的创建时间。因此,它可能与FirstObservedAt
时间戳,反映的是首次观察到事件或漏洞的时间。该时间戳必须在第一代结果中提供,并且不能在随后更新结果时更改此时间戳。
类型:字符串
格式:使用
date-time
在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。 示例
"CreatedAt": "2017-03-22T13:22:13.933Z"
注意 结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 Amazon EventBridge 中配置将结果路由到 S3 存储桶的规则。
Description
-
必填
结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。
类型:字符串
最大长度:1024
示例
"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."
GeneratorId
-
必填
生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。在安全结果产品提供的各种解决方案中,该生成器可以称为规则、检查、检测器、插件等。
类型:字符串或 ARN
最大长度:512
示例
"GeneratorId": "acme-vuln-9ab348"
Id
-
必填
结果的特定于产品的标识符。
类型:字符串或 ARN
最大长度:512 对于字符串值,2048 表示 ARN 值
结果 ID 必须遵守以下限制:
-
ID 在产品中必须保持全局唯一。要强制实现唯一性,您可以将公共 Amazon 区域名称和账户 ID 合并到该标识符中。
-
无论以前的结果是否不再存在,您都无法 回收标识符。
-
对于以外的服务AmazonID不能以文字字符串作为前缀”
arn:
“。 -
对于 Amazon 服务,ID 必须 为结果的 ARN(如果有)。否则,您可以使用任何其他唯一标识符。
预计这些限制仅适用于在结果产品中保留这些限制,但不需要在结果中保留这些限制。
示例
"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"
-
ProductArn
-
必填
Security Hub 生成的 ARN,用于在 Security Hub 注册产品后唯一地标识第三方结果产品。
类型:ARN
此字段的格式为
arn:
。partition
:securityhub:region
:account-id
:product/company-id
/product-id
-
适用于Amazon与 Security Hub 集成的服务,
company-id
必须是”aws
“,以及product-id
必须是Amazon公共服务名称。由于Amazon产品和服务与账户无关,account-id
ARN 的部分为空。Amazon尚未与 Security Hub 集成的服务被视为第三方产品。 -
对于公共产品,
company-id
和product-id
必须为注册时指定的 ID 值。 -
对于私有产品,
company-id
必须为账户 ID。product-id
必须为保留字“default”或注册时指定的 ID。
例如:
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
-
- Resources
-
必填
一组资源数据类型,用于说明结果引用的资源。
类型:资源对象数组
对象的最大数量:32
示例
"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]
SchemaVersion
-
必填
格式化结果的架构版本。该字段的值必须为 Amazon 确定的官方发布版本之一。
在当前版本中,Amazon Security Finding 格式架构版本为
2018-10-08
。类型:字符串
最大长度:10
Format:
YYYY-MM-DD
示例
"SchemaVersion": "2018-10-08"
- Severity
-
必填
结果的严重性。
结果中的任何一项
Label
要么Normalized
填充。Label
是首选属性。Normalized
已不再相关。Security Hub 填充Normalized
属性但以其他方式不使用它。如果两个属性都未填充,则结果无效。Severity
应该只对其进行更新BatchUpdateFindings
.要提供严重性信息,查找提供商应使用
Severity
下面的对象FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:对象
示例
"Severity": { "Label": "CRITICAL", "Original": "8.3" }
Title
-
必填
结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。
类型:字符串
最大长度:256
Types
-
必填
一个或多个
格式的结果类型,用于对结果进行分类。namespace
/category
/classifier
Types
应只使用进行更新BatchUpdateFindings
.寻找想为其提供价值的提供商
Types
应使用Types
在属性FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:字符串数组
字符串的最大数量:50
-
必须是预定义的命名空间值集中的值。namespace
有效值:
Software and Configuration Checks
|TTPs
|Effects
|Unusual Behaviors
|Sensitive Data Identifications
-
可能 是任意值,但建议 结果产品使用 中的结果类型分类中的类别TypesASFF 的分类.category
-
可能是任意值,但建议结果提供商尽可能使用已发布标准中定义的完全符合标识符。classifier
所有结果类型都需要命名空间,但类别和分类器是可选的。如果指定分类器,您还必须指定类别。
'
/
字是保留的,不得在类别或分类器中使用。不支持转义“/
”字符。示例
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
-
UpdatedAt
-
必填
指示查找提供程序上次更新查找记录的时间。
此时间戳反映了查找记录上次或最近更新的时间。因此,它可能与
LastObservedAt
时间戳,反映的是上次或最近一次观察到事件或漏洞的时间。更新结果记录时,必须将该时间戳更新为当前时间戳。创建结果记录后,
CreatedAt
和UpdatedAt
时间戳必须相同。更新结果记录后,该字段的值必须大于其包含的所有先前值。请注意,
UpdatedAt
不会由BatchUpdateFindings
中的更改进行更新。它只由BatchImportFindings
进行更新。结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 CloudWatch Event 中配置将结果路由到 Amazon S3 存储桶的规则。
类型:字符串
格式:使用
date-time
在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。