必需的属性 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

必需的属性

所有结果需要以下属性。

AwsAccountId

必填

应用查找结果的 Amazon 账户 ID。

类型:字符串

最大长度:12 位数字

示例

"AwsAccountId": "111111111111"
CreatedAt

必填

指示查找结果捕获的潜在安全问题是何时创建的。

这些区域有:CreatedAt时间戳反映了查找记录的创建时间。因此,它可能与FirstObservedAt时间戳,反映的是首次观察到事件或漏洞的时间。

该时间戳必须在第一代结果中提供,并且不能在随后更新结果时更改此时间戳。

类型:字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 Amazon EventBridge 中配置将结果路由到 S3 存储桶的规则。

Description

必填

结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。

类型:字符串

最大长度:1024

示例

"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."
GeneratorId

必填

生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。在安全结果产品提供的各种解决方案中,该生成器可以称为规则、检查、检测器、插件等。

类型:字符串或 ARN

最大长度:512

示例

"GeneratorId": "acme-vuln-9ab348"
Id

必填

结果的特定于产品的标识符。

类型:字符串或 ARN

最大长度:512 对于字符串值,2048 表示 ARN 值

结果 ID 必须遵守以下限制:

  • ID 在产品中必须保持全局唯一。要强制实现唯一性,您可以将公共 Amazon 区域名称和账户 ID 合并到该标识符中。

  • 无论以前的结果是否不再存在,您都无法 回收标识符。

  • 对于以外的服务AmazonID不能以文字字符串作为前缀”arn:“。

  • 对于 Amazon 服务,ID 必须 为结果的 ARN(如果有)。否则,您可以使用任何其他唯一标识符。

预计这些限制仅适用于在结果产品中保留这些限制,但不需要在结果中保留这些限制。

示例

"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"
ProductArn

必填

Security Hub 生成的 ARN,用于在 Security Hub 注册产品后唯一地标识第三方结果产品。

类型:ARN

此字段的格式为 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 适用于Amazon与 Security Hub 集成的服务,company-id必须是”aws“,以及product-id必须是Amazon公共服务名称。由于Amazon产品和服务与账户无关,account-idARN 的部分为空。Amazon尚未与 Security Hub 集成的服务被视为第三方产品。

  • 对于公共产品,company-idproduct-id 必须为注册时指定的 ID 值。

  • 对于私有产品,company-id 必须为账户 ID。product-id 必须为保留字“default”或注册时指定的 ID。

例如:

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Resources

必填

一组资源数据类型,用于说明结果引用的资源。

类型:资源对象数组

对象的最大数量:32

示例

"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]
SchemaVersion

必填

格式化结果的架构版本。该字段的值必须为 Amazon 确定的官方发布版本之一。

在当前版本中,Amazon Security Finding 格式架构版本为 2018-10-08

类型:字符串

最大长度:10

Format: YYYY-MM-DD

示例

"SchemaVersion": "2018-10-08"
Severity

必填

结果的严重性。

结果中的任何一项Label要么Normalized填充。Label是首选属性。Normalized已不再相关。Security Hub 填充Normalized属性但以其他方式不使用它。如果两个属性都未填充,则结果无效。

Severity应该只对其进行更新BatchUpdateFindings.

要提供严重性信息,查找提供商应使用Severity下面的对象FindingProviderFields. 请参阅 使用 FindingProviderFields

类型:对象

示例

"Severity": { "Label": "CRITICAL", "Original": "8.3" }
Title

必填

结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

类型:字符串

最大长度:256

Types

必填

一个或多个 namespace/category/classifier 格式的结果类型,用于对结果进行分类。

Types应只使用进行更新BatchUpdateFindings.

寻找想为其提供价值的提供商Types应使用Types在属性FindingProviderFields. 请参阅 使用 FindingProviderFields

类型:字符串数组

字符串的最大数量:50

  • namespace必须是预定义的命名空间值集中的值。

    有效值:Software and Configuration Checks | TTPs | Effects | Unusual Behaviors | Sensitive Data Identifications

  • category可能 是任意值,但建议 结果产品使用 中的结果类型分类中的类别TypesASFF 的分类.

  • classifier可能是任意值,但建议结果提供商尽可能使用已发布标准中定义的完全符合标识符。

所有结果类型都需要命名空间,但类别和分类器是可选的。如果指定分类器,您还必须指定类别。

'/字是保留的,不得在类别或分类器中使用。不支持转义“/”字符。

示例

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt

必填

指示查找提供程序上次更新查找记录的时间。

此时间戳反映了查找记录上次或最近更新的时间。因此,它可能与LastObservedAt时间戳,反映的是上次或最近一次观察到事件或漏洞的时间。

更新结果记录时,必须将该时间戳更新为当前时间戳。创建结果记录后,CreatedAtUpdatedAt时间戳必须相同。更新结果记录后,该字段的值必须大于其包含的所有先前值。

请注意,UpdatedAt 不会由 BatchUpdateFindings 中的更改进行更新。它只由 BatchImportFindings 进行更新。

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 CloudWatch Event 中配置将结果路由到 Amazon S3 存储桶的规则。

类型:字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。