其他顶级属性 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

其他顶级属性

Action

可选

提供有关影响资源或对资源执行的操作的详细信息。

类型:对象

CompanyName

可选

生成结果的产品的公司名称。对于基于控制的调查结果,该公司Amazon.

Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新BatchImportFindings要么BatchUpdateFindings. 例外情况是您使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub

当您使用 Security Hub 控制台按公司名称筛选查找结果时,您可以使用此属性。

当您使用 Security Hub API 按公司名称过滤查结果时,您可以使用aws/securityhub/CompanyNameProductFields.

Security Hub 不同步这两个属性。

类型:字符串

Compliance

可选

与控制相关的结果详细信息。仅针对从控制生成的结果返回。

类型:对象

示例

"Compliance": {
    "RelatedRequirements": ["Req1", "Req2"],
    "Status": "PASSED",
    "StatusReasons": [
        {
            "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT";
            "Description": "CloudWatch alarms do not exist in the account"
        }
    ]
}
Confidence

可选

结果的置信度。置信度的定义是结果准确识别其旨在识别的行为或问题的可能性。

Confidence应只使用进行更新BatchUpdateFindings.

寻找想为其提供价值的提供商Confidence应使用ConfidenceFindingProviderFields. 请参阅 使用 FindingProviderFields

类型:整数

最小值:0

最大值:100

使用比例刻度对置信度进行评分 (0—100),0 表示置信度为 0%,100 表示置信度为 100%,100 表示置信度为 100%。

但是,基于网络流量的统计偏差的数据泄漏检测具有低得多的置信度 - 因为尚未验证实际的泄漏。

示例

"Confidence": 42
Criticality

可选

分配给与结果关联的资源的重要性级别。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。

Criticality应该只对其进行更新BatchUpdateFindings. 它不应该更新BatchImportFindings.

寻找想为其提供价值的提供商Criticality应使用CriticalityFindingProviderFields. 请参阅 使用 FindingProviderFields

类型:整数

最小值:0

最大值:100

使用仅支持全整型的比例刻度,在 0—100 的范围内对严重性评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。

概括来说,评估重要程度时,您需要考虑以下因素:

  • 哪些发现会影响比其他资源更重要的资源?

  • 与其他资源相比,这些资源的关键性有多大?

对于每个资源,请考虑以下事项:

  • 受影响的资源是否包含敏感数据(例如,包含 PII 的 S3 存储桶)?

  • 受影响的资源是否使攻击者能够提升访问权限或扩展执行其他恶意活动的能力(例如,泄露的 sysadmin 帐户)?

  • 资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?

您可以使用以下准则:

  • 对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75—100。

  • 对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25—75。

  • 对于支持不重要系统或包含非敏感数据的资源,评分范围应为 0—24。

示例

"Criticality": 99
FindingProviderFields

可选

InBatchImportFindings请求,查找提供商使用FindingProviderFields为只能更新的属性提供值BatchUpdateFindings.FindingProviderFields包括以下属性:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

FindingProviderFields只能由更新BatchImportFindings. 无法通过BatchUpdateFindings.

有关 Security Hub 如何处理来源更新的详细信息BatchImportFindingsFindingProviderFields以及对应的顶级属性,请参阅使用 FindingProviderFields.

类型:对象

示例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
FirstObservedAt

可选

指示何时首次观察到调查结果捕获的潜在安全问题。

此时间戳反映的是首次观察到事件或漏洞的时间。因此,它可能与CreatedAt时间戳,反映了此查找记录的创建时间。

该时间戳应在结果记录的更新之间不可变,但如果确定更准确的时间戳,则可以更新。

Type: 字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。

示例

"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt

可选

指示安全结果产品最近观察到结果捕获的潜在安全问题的时间。

该时间戳反映的是上次或最近一次观察到事件或漏洞的时间。因此,它可能与UpdatedAt时间戳,反映了此查找记录上次或最近更新的时间。

您可以提供该时间戳,但在首次观察时,该时间戳不是必需的。如果在这种情况下提供该字段,则该时间戳应与 FirstObservedAt 时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。

类型:字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。

示例

"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware

可选

与结果相关的恶意软件的列表。

类型:恶意软件对象

对象的最大数量:5

示例

"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
Network(已弃用)

可选

有关结果的网络相关信息的详情。

此对象已弃用。要提供此数据,请将数据映射到中的资源Resources,或者使用Action对象。

类型:对象

示例

"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
NetworkPath

可选

与发现相关的网络路径。

中的每个条目NetworkPath表示路径的一个组成部分。

类型:对象数组

Note

可选

添加到结果中的用户定义的备注。

结果提供商可以为结果提供初始注释,但不能在此之后添加注释。

注释只能使用 BatchUpdateFindings 进行更新。

类型:对象

示例

"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
PatchSummary

可选

提供补丁合规性的摘要。

类型:对象

Process

可选

有关结果的进程相关信息的详情。

类型:对象

例如:

"Process": {
    "Name": "syslogd",
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "ParentPid": 56789,
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
ProductFields

可选

一种数据类型,其中安全结果产品可以包含不属于已定义的其他特定于解决方案的详细信息。AmazonSecurity Fider 格式。

对于 Security Hub 控件生成的调查结果,ProductFields包括有关控件的信息。请参阅 生成和更新控制结果

类型:键值对映射射

最大对数:50

最大密钥长度:128

最大值长度:2048

该字段不应包含冗余数据,并且不能包含与 Amazon Security Finding 格式字段冲突的数据。

该”aws/“prefix 表示保留的命名空间Amazon仅限产品和服务,不得与来自第三方集成的结果一起提交。

虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name,其中 company-idproduct-id 与结果的 ProductArn 中提供的名称匹配。

字段名称可能包含以下字符:A-Z、a-z、0-9、空白和.: +\ = @ _/-(连字符)。

示例

"ProductFields": {
    "generico/secure-pro/Count": "6",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "API", "DeleteTrail",
    "Service_Name": "cloudtrail.amazonaws.com",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures"
}
ProductName

可选

生成结果的产品的名称。对于基于控制的结果,产品名称为 Security Hub。

Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新BatchImportFindings要么BatchUpdateFindings. 例外情况是您使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub

当您使用 Security Hub 控制台按产品名称筛选查找结果时,可以使用此属性。

当您使用 Security Hub API 按产品名称筛选查找结果时,您可以使用aws/securityhub/ProductNameProductFields.

Security Hub 不同步这两个属性。

类型:字符串

RecordState

可选

结果的记录状态。

默认情况下,在最初由服务生成时,结果被视为 ACTIVE

ARCHIVED 状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以搜索、查看和报告这些结果。

RecordState用于查找提供商,并且只能由以下方式更新,BatchImportFindings. 它无法使用BatchUpdateFindings.

要跟踪您对结果的调查状态,请勿使用RecordState. 请改用 Workflow

查找提供商会更新记录状态。如果删除关联的资源、资源不存在或控件已禁用,则 Security Hub 还会自动存档基于控件的结果。

如果记录状态更改为ARCHIVEDACTIVE,并且查找结果的工作流状态为NOTIFIED要么RESOLVED,然后 Security Hub 会自动将工作流状态设置为NEW.

类型:枚举

有效值ACTIVE | ARCHIVED

示例

"RecordState": "ACTIVE"
Region

可选

Region 在其中生成结果的区域。

Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新BatchImportFindings要么BatchUpdateFindings.

类型:字符串

RelatedFindings

可选

相关结果的列表。

RelatedFindings应只使用进行更新BatchUpdateFindings. 它不应该使用BatchImportFindings.

要提供相关调查结果的列表,查找提供商应使用RelatedFindings下面的对象FindingProviderFields. 请参阅 使用 FindingProviderFields

类型:数组RelatedFinding对象

对象的最大数量:10

示例

"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
Remediation

可选

结果的修复方案。

类型:对象

示例

"Remediation": {
    "Recommendation": {
        "Text": "Run sudo yum update and cross your fingers and toes.",
        "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html"
    }
}
Sample

可选

结果是示例结果。

类型:Boolean

SourceUrl

可选

一个链接 URL,指向有关结果产品中当前结果的页面。

类型:URL

ThreatIntelIndicators

可选

与结果相关的威胁情报详细信息。

类型:一组威胁情报指示器对象

对象的最大数量:5

示例

"ThreatIntelIndicators": [
  {
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888"
  }
]
UserDefinedFields

可选

与结果关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。可以通过您的特定配置自动生成这些字段。

结果产品不得 将该字段用于产品生成的数据。相反,调查结果产品可以使用ProductFields不映射到任何标准的数据的字段AmazonSecurity Format 字段。

这些字段只能使用 BatchUpdateFindings 进行更新。

类型:键值对映射射

对的最大数量:50

格式:密钥名称只能包含字母、数字和以下特殊字符:-_=+@ . /:

示例

"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
VerificationState

可选

结果的准确性。结果产品可以提供 UNKNOWN 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应提供该值。该字段通常由用户确定或在调查结果后采取操作填充。

结果提供商可以为此属性提供初始值,但在此之后无法更新它。此属性只能使用 BatchUpdateFindings 进行更新。

类型:枚举

有效值

  • UNKNOWN— 除非用户更改,否则这是对安全结果的默认配置。

  • TRUE_POSITIVE— 确认安全结果后,由用户设置该值。

  • FALSE_POSITIVE— 如果安全结果已被确定为误报,则用户设置此值。

  • BENIGN_POSITIVE— 用户将该值设置为的特殊情况TRUE_POSITIVE当结果不构成任何威胁和/或符合预期时,或符合预期的情况。

Vulnerabilities

可选

适用于调查结果的漏洞列表。

类型:对象数组

Workflow

可选

提供有关结果调查状态的信息。

工作流程状态不适用于结果提供商。工作流程状态只能使用 BatchUpdateFindings 进行更新。客户还可以从控制台更新它。请参阅 设置结果的工作流程状态

类型: 对象

示例

Workflow: {
    "Status": "NEW"
}
WorkflowState(已弃用)

可选

此字段正在被替换为Status的字段Workflow对象。

结果的工作流程状态。结果产品可以提供 NEW 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。

类型:枚举

有效值

  • NEW— 这可能与中的结果关联Active记录状态。这是任何新结果的默认工作流程状态。

  • ASSIGNED— 这可能与中的结果关联Active记录状态。已确认结果并将其提供给某人进行审核或解决。

  • IN_PROGRESS— 这可能与中的结果关联Active记录状态。团队成员正在积极调查结果。

  • RESOLVED— 这可能与中的结果关联Archived记录状态。这不同于DEFERRED结果。如果再次出现该结果(由本地服务更新)或有任何新结果与此匹配,则以活动的新结果形式向客户提供该结果。

  • DEFERRED— 这可能与中的结果关联Archived记录状态。这意味着,与此结果匹配的任何其他结果都不会在一段时间内显示或无限期显示。

    客户认为该结果不适用,或 这是客户不希望包含在活动数据集中的已知问题。

  • DUPLICATE— 这可能与中的结果关联Archived记录状态。这意味着该结果与另一个结果完全相同。

示例

"WorkflowState": "NEW"