必需的顶级 ASFF 属性 - Amazon Security Hub
AwsAccountIdCreatedAt描述GeneratorIdIdProductArn资源SchemaVersion严重性标题类型UpdatedAt
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

必需的顶级 ASFF 属性

Security Hub CSPM 中的所有搜索结果都需要 Amazon 安全调查结果格式 (ASFF) 中的以下顶级属性。有关这些属性的更多信息,请参阅 Sec Amazon urity Hub API 参考AwsSecurityFinding中的。

AwsAccountId

调查结果适用的 Amazon Web Services 账户 ID。

示例

"AwsAccountId": "111111111111"

CreatedAt

表示发现发现的潜在安全问题或事件的创建时间。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"

描述

结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。

对于 Security Hub CSPM 生成的控制结果,此字段提供了对控件的描述。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Description": "This Amazon control checks whether Amazon Config is enabled in the current account and Region."

GeneratorId

生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。

对于 Security Hub CSPM 生成的控制结果,如果您启用合并控制结果,则此字段不会引用标准。

示例

"GeneratorId": "security-control/Config.1"

Id

结果的特定于产品的标识符。对于 Security Hub CSPM 生成的控制结果,此字段提供调查结果的亚马逊资源名称 (ARN)。

如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"

ProductArn

由 Security Hub CSPM 生成的亚马逊资源名称 (ARN),用于在第三方发现产品向 Security Hub CSPM 注册后唯一标识该产品。

此字段的格式为 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 为了 Amazon Web Services 服务 与 Security Hub CSPM 集成,company-id必须aws是 “”,并且product-id必须是 Amazon 公共服务名称。由于 Amazon 产品和服务未与账户关联,所以 ARN 的account-id部分为空。 Amazon Web Services 服务 尚未与 Security Hub CSPM 集成的产品被视为第三方产品。

  • 对于公共产品,company-idproduct-id 必须为注册时指定的 ID 值。

  • 对于私有产品,company-id 必须为账户 ID。product-id 必须为保留字“default”或注册时指定的 ID。

示例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

资源

对象Resources数组提供了一组资源数据类型,这些数据类型描述了调查结果所指的 Amazon 资源。有关Resources对象可能包含的字段(包括哪些字段为必填字段)的详细信息,请参阅 Sec Amazon urity Hub API 参考Resource中的。有关特定Resources对象的示例 Amazon Web Services 服务,请参见Resources ASFF 对象

示例

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

格式化结果的架构版本。该字段的值必须为 Amazon确定的官方发布版本之一。在当前版本中, Amazon 安全调查结果格式架构版本为2018-10-08

示例

"SchemaVersion": "2018-10-08"

严重性

定义调查发现的重要性。有关此对象的详细信息,请参阅 Sec Amazon ur Severityity Hub 云安全状态管理 (CSPM) API 参考中的。

Severity 既是调查发现中的顶级对象,又嵌套在 FindingProviderFields 对象之下。

只能通过使用 BatchUpdateFindingsAPI 来更新查找结果的顶级Severity对象的值。

要提供严重性信息,调查发现提供商在进行 BatchImportFindings API 请求时应更新 FindingProviderFields 下的 Severity 对象。
 如果对新查找结果的BatchImportFindings请求仅提供Label或仅提供Normalized,则 Security Hub CSPM 会自动填充另一个字段的值。 也可以填充ProductOriginal字段。

如果顶级Finding.Severity对象存在但Finding.FindingProviderFields不存在,Security Hub CSPM 会创建该FindingProviderFields.Severity对象并将整个对象复制Finding.Severity object到其中。这样可以确保即使顶级 Severity 对象被覆盖,提供者提供的原始详细信息也会保留在 FindingProviderFields.Severity 结构中。

结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源具有更高的关键性。要捕获有关资源严重性的信息,请使用 Criticality 字段。

我们建议在将调查发现的本机严重性评分转换为 ASFF 中的 Severity.Label 值时使用以下指南。

  • INFORMATIONAL——此类别可能包括 PASSEDWARNINGNOT AVAILABLE 的调查发现或敏感数据标识。

  • LOW——可能导致未来受损的调查发现。例如,此类别可能包括漏洞、配置漏洞和泄露密码。

  • MEDIUM——结果表明遭受活动攻击,但未指示攻击者已达成其目标 例如,此类别可能包括恶意软件活动、黑客活动和异常行为检测。

  • HIGHCRITICAL——指示攻击者达成目标(例如主动数据丢失或泄露、拒绝服务)的调查发现。

示例

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

标题

结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

对于控件调查发现,此字段提供控件的标题。如果您启用整合的控件调查发现,则此字段不会引用标准。

示例

"Title": "Amazon Config should be enabled"

类型

一个或多个 namespace/category/classifier 格式的结果类型,用于对结果进行分类。如果您启用整合的控件调查发现,则此字段不会引用标准。

Types只能使用 BatchUpdateFindingsAPI 进行更新。

调查发现提供商想要为 Types 提供值,应使用 FindingProviderFields 下面的 Types 属性。

在下面的列表中,顶级项目符号是命名空间,二级项目符号是类别,三级项目符号是分类器。我们建议调查发现提供商使用定义的命名空间来帮助对调查发现进行排序和分组。也可以使用定义的类别和分类器,但不是必需的。仅软件和配置检查命名空间定义了分类器。

您可以为定义部分路径namespace/category/classifier。例如,以下调查发现类型均有效:

  • TTPs

  • TTPs/防御闪避

  • TTPs/Defense Evasion/CloudTrailStopped

以下列表中的战术、技巧和程序 (TTPs) 类别与 MITRE ATT&CK Mat rixTM 一致。Unusual Behaviours 命名空间反映一般异常行为,例如一般统计异常,并且与特定 TTP 不一致。但是,您可以同时使用异常行为和发现类型对 TTPs 发现进行分类。

命名空间、类别和分类器列表:

  • Software and Configuration Checks

    • 漏洞

      • CVE

    • Amazon 安全最佳实践

      • 网络可到达性

      • 运行时行为分析

    • 行业和法规标准

      • Amazon 基础安全最佳实践

      • CIS 主机强化基准

      • 独联体 Amazon 基金会基准

      • PCI-DSS

      • 云安全联盟控制

      • ISO 90001 控制

      • ISO 27001 控制

      • ISO 27017 控制

      • ISO 27018 控制

      • SOC 1

      • SOC 2

      • HIPAA 控制(美国)

      • NIST 800-53 控制(美国)

      • NIST CSF 控制(美国)

      • IRAP 控制(澳大利亚)

      • K-ISMS 控制(韩国)

      • MTCS 控制(新加坡)

      • FISC 控制(日本)

      • My Number Act 控制(日本)

      • ENS 控制(西班牙)

      • Cyber​​ Essentials Plus 控制(英国)

      • G-Cloud 控制(英国)

      • C5 控制(德国)

      • IT-Grundschutz 控制(德国)

      • GDP 控制(欧洲)

      • TISAX 控制(欧洲)

    • 补丁管理

  • TTPs

    • 首次访问

    • Execution

    • Persistence

    • 权限提升

    • 躲避防御系统

    • 凭证访问

    • Discovery

    • 横向移动

    • 集合

    • 命令和控制

  • 影响

    • 数据公开

    • 数据泄露

    • 数据销毁

    • 拒绝服务

    • 资源消耗

  • 不寻常的行为

    • 应用程序

    • 网络流量

    • IP 地址

    • 用户

    • VM

    • 容器

    • Serverless(无服务器)

    • 流程

    • 数据库

    • 数据

  • 敏感数据识别

    • PII

    • 密码

    • 法律条款

    • 财务

    • 安全性

    • 业务

示例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]

UpdatedAt

表示调查发现提供商上次更新查找记录的时间。

此时间戳反映了上次或最近一次更新的调查发现记录的时间。因此,它可能与 LastObservedAt 时间戳不同,后者反映的是上次或最近观察到事件或漏洞的时间。

更新结果记录时,必须将该时间戳更新为当前时间戳。创建调查发现记录后,CreatedAtUpdatedAt 时间戳必须相同。更新调查发现记录后,该字段的值必须比它包含的所有先前值更新。

请注意,UpdatedAt无法使用该BatchUpdateFindings操作进行更新。您只能使用BatchImportFindings操作对其进行更新。

示例

"UpdatedAt": "2017-04-22T13:22:13.933Z"