本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可选的顶级ASFF属性
在 Amazon 安全调查结果格式 (ASFF) 中,这些顶级属性是可选的。有关这些属性的更多信息,请参阅 “Amazon Security Hub API参考” AwsSecurityFinding中的。
操作
该 Action
对象提供有关影响资源或已对资源采取的操作的详细信息。
示例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
调查结果适用的 Amazon Web Services 账户 名称。
示例
"AwsAccountName": "jane-doe-testaccount"
CompanyName
生成调查发现的产品的公司名称。对于基于控制的调查结果,该公司是。 Amazon
Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindings
或 BatchUpdateFindings
对其进行更新。使用自定义集成是此规则的例外。请参阅 将 Security Hub 与定制产品集成。
当您使用 Security Hub 控制台按公司名称筛选调查发现时,您可以使用此属性。当您使用 Security Hub API 按公司名称筛选结果时,将使用下面的aws/securityhub/CompanyName
属性ProductFields
。Security Hub 不会同步这两个属性。
示例
"CompanyName": "Amazon"
合规
该Compliance
对象通常提供有关控制结果的详细信息,例如适用的标准和控制检查的状态。
示例
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because Amazon Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
置信度
调查发现能够准确识别其理应识别的行为或问题的可能性。
Confidence
只能使用 BatchUpdateFindings
进行更新。
调查发现提供商想要为 Confidence
提供值,应使用 FindingProviderFields
下面的 Confidence
属性。请参阅 使用更新调查结果 FindingProviderFields。
使用比例刻度按 0-100 分对 Confidence
进行评分。 0 表示置信度为 0%,100 表示置信度为 100%。例如,基于网络流量统计偏差的数据泄露检测的置信度较低,因为实际的泄露尚未得到验证。
示例
"Confidence": 42
严重性
分配给与调查发现关联的资源的重要性级别。
Criticality
只能通过调用BatchUpdateFindings
API操作进行更新。不要使用 BatchImportFindings
更新此对象。
调查发现提供商想要为 Criticality
提供值,应使用 FindingProviderFields
下面的 Criticality
属性。请参阅 使用更新调查结果 FindingProviderFields。
使用仅支持全整型的比例刻度以 0-100 为基础对 Criticality
进行评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。
对于每种资源,在分配 Criticality
时请考虑以下几点:
-
受影响的资源是否包含敏感数据(例如,带有 S3 存储桶PII)?
-
受影响的资源是否使攻击者能够加深访问或扩展其能力以执行其他恶意活动(例如,受损的系统管理员账户)?
-
资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?
您可以使用以下准则:
-
对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75–100。
-
对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25–74。
-
对于支持非重要系统或包含非敏感数据的资源,评分范围应 为 0–24。
示例
"Criticality": 99
FindingProviderFields
FindingProviderFields
包括以下属性:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
前面的字段嵌套在FindingProviderFields
对象下,但与顶级ASFF字段同名。当查找结果提供者将新发现发送到 Security Hub 时,如果FindingProviderFields
对象为空,Security Hub 会根据相应的顶级字段自动填充该对象。
查找提供者FindingProviderFields
可以通过使用 Security Hub 的BatchImportFindings
操作进行更新API。查找提供者无法使用更新此对象BatchUpdateFindings
。
有关 Security Hub 如何处理由 BatchImportFindings
到 FindingProviderFields
,再到相应顶级属性的更新的详细信息,请参阅 使用更新调查结果 FindingProviderFields。
客户可以使用BatchUpdateFindings
操作更新顶级字段。客户无法更新FindingProviderFields
。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
表示调查发现捕获到的潜在安全问题的首次观察时间。
此时间戳反映了首次观察到事件或漏洞的时间。因此,它可能与 CreatedAt
时间戳不同,后者反映了该调查发现记录的创建时间。
该时间戳在调查发现记录的更新之间应该是不可变的,但如果确定了更准确的时间戳,则可以更新。
示例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
表示安全调查发现产品最近一次观察到由调查发现捕获的潜在安全问题的时间。
此时间戳反映了上次或最近观察到事件或漏洞的时间。因此,它可能与 UpdatedAt
时间戳不同,后者反映了该调查发现记录的最后一次更新时间或最近更新的时间。
您可以提供此时间戳,但在首次观察时不需要此时间戳。如果您在首次观察时提供此字段,则此时间戳应与 FirstObservedAt
时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。
示例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
恶意软件
Malware
对象提供与结果相关的恶意软件列表。
示例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
网络(已停用)
Network
对象提供有关调查发现的网络相关信息。
此对象已停用。要提供此数据,您可以将数据映射到 Resources
中的资源,也可以使用 Action
对象。
示例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
NetworkPath
对象提供与调查发现相关的网络路径的相关信息。NetworkPath
中的每个条目都代表路径的一个组成部分。
示例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
备注
Note
对象指定了用户定义的注释,您可以将其添加到调查发现中。
结果提供商可以为结果提供初始注释,但不能在此之后添加注释。您只能使用 BatchUpdateFindings
更新注释。
示例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
PatchSummary
对象根据所选合规性标准提供实例的补丁合规性状态摘要。
示例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
流程
Process
对象提供有关调查发现的过程相关详细信息。
例如:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
指示 Security Hub 何时收到调查发现并开始对其进行处理。
与 CreatedAt
和 UpdatedAt
不同,这二者是必需的时间戳,与发现提供商与安全问题和调查发现的交互有关。ProcessedAt
时间戳指示 Security Hub 何时开始处理调查发现。处理完成后,调查发现会出现在用户的账户中。
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
一种数据类型,其中安全调查结果产品可以包含其他特定于解决方案的详细信息,这些详细信息不是定义 Amazon 的安全调查结果格式的一部分。
有关由 Security Hub 控件生成的调查发现,ProductFields
包括有关控件的信息。请参阅 生成和更新控件调查发现。
此字段不应包含冗余数据,也不得包含与 Amazon 安全调查结果格式字段冲突的数据。
“aws/
” 前缀仅代表为 Amazon 产品和服务保留的命名空间,不得与第三方集成的发现一起提交。
虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name
,其中 company-id
和 product-id
与结果的 ProductArn
中提供的名称匹配。
当 Security Hub 存档现有调查发现时,将使用引用 Archival
的字段。例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。
此字段还可能包含有关标准的信息,标准中包括产生调查发现的控件。
示例
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an
ARCHIVED
state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
提供生成调查发现的产品的名称。对于基于控件的调查发现,产品名称为 Security Hub。
Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindings
或 BatchUpdateFindings
对其进行更新。使用自定义集成是此规则的例外。请参阅 将 Security Hub 与定制产品集成。
当您使用 Security Hub 控制台按产品名称筛选结果时,您可以使用此属性。
当您使用 Security Hub API 按产品名称筛选结果时,您可以使用下面的aws/securityhub/ProductName
属性ProductFields
。
Security Hub 不会同步这两个属性。
RecordState
提供调查发现的记录状态。
默认情况下,在最初由服务生成时,结果被视为 ACTIVE
。
ARCHIVED
状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以搜索、查看和报告这些结果。如果关联的资源被删除、资源不存在或控件被禁用,Security Hub 会自动存档基于控件的调查发现。
RecordState
适用于调查发现提供商,并且只能通过 BatchImportFindings
进行更新。您无法使用 BatchUpdateFindings
对其进行更新。
要跟踪调查发现的状态,请使用 Workflow 而不是 RecordState
。
如果记录状态从 ARCHIVED
变为 ACTIVE
,且调查发现的工作流程状态为 NOTIFIED
或 RESOLVED
,则 Security Hub 会自动将工作流程状态设置为 NEW
。
示例
"RecordState": "ACTIVE"
区域
指定生成查找结果 Amazon Web Services 区域 的依据。
Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindings
或 BatchUpdateFindings
对其进行更新。
示例
"Region": "us-west-2"
RelatedFindings
提供与当前发现相关的调查发现列表。
RelatedFindings
只能使用BatchUpdateFindings
API操作进行更新。您不应使用 BatchImportFindings
更新此对象。
对于 BatchImportFindings
请求,调查发现提供商应使用 FindingProviderFields 下面的 RelatedFindings
对象。
要查看RelatedFindings
属性的描述,请参阅 “Amazon Security Hub API参考” RelatedFinding
中的。
示例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
修复
Remediation
对象提供有关为解决结果问题而建议的修复步骤的信息。
示例
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the Amazon Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
样本
指定调查发现是否为调查发现样本。
"Sample": true
SourceUrl
该SourceUrl
对象提供URL的,可链接到有关查找结果产品中当前查找结果的页面。
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
ThreatIntelIndicator
对象提供与调查发现相关的威胁情报详细信息。
示例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
威胁
这些区域有:Threats对象提供有关调查结果检测到的威胁的详细信息。
示例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
提供与调查发现关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。这些字段可以通过特定配置自动生成。
调查发现提供商不应将此字段用于产品生成的数据。相反,查找提供者可以将该ProductFields
字段用于未映射到任何标准 Amazon 安全查找格式字段的数据。
这些字段只能使用 BatchUpdateFindings
进行更新。
示例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
提供调查发现的准确性。结果产品可以提供 UNKNOWN
作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应该为该字段提供值。该字段通常由用户在对调查发现进行调查后做出的决定或操作填充。
结果提供商可以为此属性提供初始值,但在此之后无法更新它。您只能使用 BatchUpdateFindings
来更新此属性。
"VerificationState": "Confirmed"
漏洞
这些区域有:Vulnerabilitiesobject 提供了与发现结果相关的漏洞列表。
示例
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:Amazon-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
工作流
Workflow
对象提供有关结果调查状态的信息。
此字段专供客户与修复、编排和票务工具配合使用。它不适用于结果提供商。
您只能使用 BatchUpdateFindings
更新 Workflow
字段。客户还可以从控制台更新它。请参阅 设置 Security Hub 发现的工作流程状态。
示例
"Workflow": { "Status": "NEW" }
WorkflowState (已退休)
此对象已停用,已被 Workflow
对象的 Status
字段所取代。
此字段提供调查发现的工作流程状态。结果产品可以提供 NEW
作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。
示例
"WorkflowState": "NEW"