本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
必需的属性
Security Hub 中的所有结果都需要以下属性。有关这些必填属性的更多信息,请参阅 Amazon Security HubAPI 参考AwsSecurityFinding中的。
AwsAccountId
应用查找结果的 Amazon 账户 ID。
示例
"AwsAccountId": "111111111111"
CreatedAt
表示调查结果捕获的潜在安全问题的创建时间。
示例
"CreatedAt": "2017-03-22T13:22:13.933Z"
注意
Security Hub 在最近更新后 90 天或创建后 90 天或创建后 90 天(如果未发生更新)后。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将发现结果路由到您的 S3 存储桶。
描述
结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。
示例
"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."
GeneratorId
生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。
示例
"GeneratorId": "acme-vuln-9ab348"
Id
结果的特定于产品的标识符。
示例
"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"
ProductArn
由 Security Hub 生成的亚马逊资源名称 (ARN),用于在第三方发现产品注册到Security Hub 后唯一标识该产品。
此字段的格式为 arn:。partition:securityhub:region:account-id:product/company-id/product-id
-
对于与 Security Hub 集成的Amazon服务,
company-id必须aws为 “”,并且product-id必须是Amazon公共服务名称。由于Amazon产品和服务未与账户关联,因此 ARN 的account-id部分为空。 Amazon尚未与 Security Hub 集成的服务被视为第三方产品。 -
对于公共产品,
company-id和product-id必须为注册时指定的 ID 值。 -
对于私有产品,
company-id必须为账户 ID。product-id必须为保留字“default”或注册时指定的 ID。
示例
// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
资源
该Resources对象提供了一组资源数据类型,Amazon用于描述调查结果所引用的资源。
示例
"Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:111122223333:instance/i-1234567890abcdef0", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": true }, "Details": { "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn", "ImageId": "ami-79fd7eee", "IpV4Addresses": ["1.1.1.1"], "IpV6Addresses": ["2001:db8:1234:1a2b::123"], "KeyName": "testkey", "LaunchedAt": "2018-09-29T01:25:54Z", "MetadataOptions": { "HttpEndpoint": "enabled", "HttpProtocolIpv6": "enabled", "HttpPutResponseHopLimit": 1, "HttpTokens": "optional", "InstanceMetadataTags": "disabled" } }, "NetworkInterfaces": [ { "NetworkInterfaceId": "eni-e5aa89a3" } ], "SubnetId": "PublicSubnet", "Type": "i3.xlarge", "VirtualizationType": "hvm", "VpcId": "TestVPCIpv6" } ]
SchemaVersion
格式化结果的架构版本。该字段的值必须为 Amazon 确定的官方发布版本之一。在当前版本中,Amazon Security Finding 格式架构版本为 2018-10-08。
示例
"SchemaVersion": "2018-10-08"
严重性
定义调查结果的重要性。有关此对象的详细信息,请参阅 Amazon Security HubAPI 参考Severity中的。
要指定严重性,调查结果中必须填充Label或Normalized字段。 Label是首选属性。如果两个属性均未填充,则该查找结果无效。
要提供严重性信息,查找提供者应在发出 BatchImportFindingsAPI 请求FindingProviderFields时使用下方的Severity对象。如果BatchImportFindings请求新查找结果仅提供
Label或仅提供Normalized,则 Security Hub 会自动填充另一个字段的值。
调查结果的Severity对象值只能通过 BatchUpdateFindingsAPI 操作更新。
结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如,与关键任务应用程序关联的资源比与非生产测试相关的资源具有更高的关键性。要捕获有关资源严重性的信息,请使用 Criticality 字段。
我们建议在将调查结果的原生严重性分数转换为 ASFFSeverity.Label 中的值时使用以下指南。
-
INFORMATIONAL— 此类别可能包括对PASSEDWARNING、或NOT AVAILABLE支票的调查结果或敏感数据识别。 -
LOW— 可能导致future 妥协的发现。例如,此类别可能包括漏洞、配置缺陷和暴露的密码。 -
MEDIUM— 调查结果表明存在积极的妥协,但没有迹象表明对手完成了目标。例如,此类别可能包括恶意软件活动、黑客活动和异常行为检测。 -
HIGH或CRITICAL— 表明对手已完成其目标的调查结果,例如主动数据丢失或泄露或拒绝服务。
示例
"Severity": { "Label": "CRITICAL", "Original": "8.3" }
Title
结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。
示例
"Title": "S3.13 S3 buckets should have lifecycle policies configured"
类型
一个或多个 namespace/category/classifier
Types应仅使用更新BatchUpdateFindings。
查找想要为提供值的提供者Types应使用下面的Types属性FindingProviderFields。
示例
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt
指示查找条件提供者上次更新查找结果记录的时间。
此时间戳反映了上次或最近更新查找记录的时间。因此,它可能不同于LastObservedAt时间戳,后者反映上次或最近观察到事件或漏洞的时间。
更新结果记录时,必须将该时间戳更新为当前时间戳。创建查找记录后,CreatedAt和UpdatedAt时间戳必须相同。更新查找结果记录后,此字段的值必须比它包含的所有先前值都要新。
请注意,UpdatedAt无法使用 BatchUpdateFindingsAPI 操作进行更新。您只能使用对其进行更新BatchImportFindings。
示例
"UpdatedAt": "2017-04-22T13:22:13.933Z"
注意
Security Hub 在最近更新后 90 天或创建后 90 天或创建后 90 天(如果未发生更新)后。要将发现的存储时间超过 90 天,您可以在 Amazon 中配置一条规则 EventBridge ,将发现结果路由到您的 S3 存储桶。