可选的顶级ASFF属性 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可选的顶级ASFF属性

在 Amazon 安全调查结果格式 (ASFF) 中,这些顶级属性是可选的。有关这些属性的更多信息,请参阅 “Amazon Security Hub API参考AwsSecurityFinding中的。

操作

Action 对象提供有关影响资源或已对资源采取的操作的详细信息。

示例

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }

AwsAccountName

调查结果适用的 Amazon Web Services 账户 名称。

示例

"AwsAccountName": "jane-doe-testaccount"

CompanyName

生成调查发现的产品的公司名称。对于基于控制的调查结果,该公司是。 Amazon

Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindingsBatchUpdateFindings 对其进行更新。使用自定义集成是此规则的例外。请参阅 将 Security Hub 与定制产品集成

当您使用 Security Hub 控制台按公司名称筛选调查发现时,您可以使用此属性。当您使用 Security Hub API 按公司名称筛选结果时,将使用下面的aws/securityhub/CompanyName属性ProductFields。Security Hub 不会同步这两个属性。

示例

"CompanyName": "Amazon"

合规

Compliance对象通常提供有关控制结果的详细信息,例如适用的标准和控制检查的状态。

示例

"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because Amazon Config sent Security Hub a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }

置信度

调查发现能够准确识别其理应识别的行为或问题的可能性。

Confidence 只能使用 BatchUpdateFindings 进行更新。

调查发现提供商想要为 Confidence 提供值,应使用 FindingProviderFields 下面的 Confidence 属性。请参阅 使用更新调查结果 FindingProviderFields

使用比例刻度按 0-100 分对 Confidence 进行评分。 0 表示置信度为 0%,100 表示置信度为 100%。例如,基于网络流量统计偏差的数据泄露检测的置信度较低,因为实际的泄露尚未得到验证。

示例

"Confidence": 42

严重性

分配给与调查发现关联的资源的重要性级别。

Criticality只能通过调用BatchUpdateFindingsAPI操作进行更新。不要使用 BatchImportFindings 更新此对象。

调查发现提供商想要为 Criticality 提供值,应使用 FindingProviderFields 下面的 Criticality 属性。请参阅 使用更新调查结果 FindingProviderFields

使用仅支持全整型的比例刻度以 0-100 为基础对 Criticality 进行评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。

对于每种资源,在分配 Criticality 时请考虑以下几点:

  • 受影响的资源是否包含敏感数据(例如,带有 S3 存储桶PII)?

  • 受影响的资源是否使攻击者能够加深访问或扩展其能力以执行其他恶意活动(例如,受损的系统管理员账户)?

  • 资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?

您可以使用以下准则:

  • 对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75–100。

  • 对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25–74。

  • 对于支持非重要系统或包含非敏感数据的资源,评分范围应 为 0–24。

示例

"Criticality": 99

FindingProviderFields

FindingProviderFields 包括以下属性:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

前面的字段嵌套在FindingProviderFields对象下,但与顶级ASFF字段同名。当查找结果提供者将新发现发送到 Security Hub 时,如果FindingProviderFields对象为空,Security Hub 会根据相应的顶级字段自动填充该对象。

查找提供者FindingProviderFields可以通过使用 Security Hub 的BatchImportFindings操作进行更新API。查找提供者无法使用更新此对象BatchUpdateFindings

有关 Security Hub 如何处理由 BatchImportFindingsFindingProviderFields,再到相应顶级属性的更新的详细信息,请参阅 使用更新调查结果 FindingProviderFields

客户可以使用BatchUpdateFindings操作更新顶级字段。客户无法更新FindingProviderFields

示例

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

FirstObservedAt

表示调查发现捕获到的潜在安全问题的首次观察时间。

此时间戳反映了首次观察到事件或漏洞的时间。因此,它可能与 CreatedAt 时间戳不同,后者反映了该调查发现记录的创建时间。

该时间戳在调查发现记录的更新之间应该是不可变的,但如果确定了更准确的时间戳,则可以更新。

示例

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

表示安全调查发现产品最近一次观察到由调查发现捕获的潜在安全问题的时间。

此时间戳反映了上次或最近观察到事件或漏洞的时间。因此,它可能与 UpdatedAt 时间戳不同,后者反映了该调查发现记录的最后一次更新时间或最近更新的时间。

您可以提供此时间戳,但在首次观察时不需要此时间戳。如果您在首次观察时提供此字段,则此时间戳应与 FirstObservedAt 时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。

示例

"LastObservedAt": "2017-03-23T13:22:13.933Z"

恶意软件

Malware 对象提供与结果相关的恶意软件列表。

示例

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

网络(已停用)

Network 对象提供有关调查发现的网络相关信息。

此对象已停用。要提供此数据,您可以将数据映射到 Resources 中的资源,也可以使用 Action 对象。

示例

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }

NetworkPath

NetworkPath 对象提供与调查发现相关的网络路径的相关信息。NetworkPath 中的每个条目都代表路径的一个组成部分。

示例

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]

备注

Note 对象指定了用户定义的注释,您可以将其添加到调查发现中。

结果提供商可以为结果提供初始注释,但不能在此之后添加注释。您只能使用 BatchUpdateFindings 更新注释。

示例

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

PatchSummary

PatchSummary 对象根据所选合规性标准提供实例的补丁合规性状态摘要。

示例

"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }

流程

Process 对象提供有关调查发现的过程相关详细信息。

例如:

"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }

ProcessedAt

指示 Security Hub 何时收到调查发现并开始对其进行处理。

CreatedAtUpdatedAt 不同,这二者是必需的时间戳,与发现提供商与安全问题和调查发现的交互有关。ProcessedAt 时间戳指示 Security Hub 何时开始处理调查发现。处理完成后,调查发现会出现在用户的账户中。

"ProcessedAt": "2023-03-23T13:22:13.933Z"

ProductFields

一种数据类型,其中安全调查结果产品可以包含其他特定于解决方案的详细信息,这些详细信息不是定义 Amazon 的安全调查结果格式的一部分。

有关由 Security Hub 控件生成的调查发现,ProductFields 包括有关控件的信息。请参阅 生成和更新控件调查发现

此字段不应包含冗余数据,也不得包含与 Amazon 安全调查结果格式字段冲突的数据。

aws/” 前缀仅代表为 Amazon 产品和服务保留的命名空间,不得与第三方集成的发现一起提交。

虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name,其中 company-idproduct-id 与结果的 ProductArn 中提供的名称匹配。

当 Security Hub 存档现有调查发现时,将使用引用 Archival 的字段。例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。

此字段还可能包含有关标准的信息,标准中包括产生调查发现的控件。

示例

"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }

ProductName

提供生成调查发现的产品的名称。对于基于控件的调查发现,产品名称为 Security Hub。

Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindingsBatchUpdateFindings 对其进行更新。使用自定义集成是此规则的例外。请参阅 将 Security Hub 与定制产品集成

当您使用 Security Hub 控制台按产品名称筛选结果时,您可以使用此属性。

当您使用 Security Hub API 按产品名称筛选结果时,您可以使用下面的aws/securityhub/ProductName属性ProductFields

Security Hub 不会同步这两个属性。

RecordState

提供调查发现的记录状态。

默认情况下,在最初由服务生成时,结果被视为 ACTIVE

ARCHIVED 状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以搜索、查看和报告这些结果。如果关联的资源被删除、资源不存在或控件被禁用,Security Hub 会自动存档基于控件的调查发现。

RecordState 适用于调查发现提供商,并且只能通过 BatchImportFindings 进行更新。您无法使用 BatchUpdateFindings 对其进行更新。

要跟踪调查发现的状态,请使用 Workflow 而不是 RecordState

如果记录状态从 ARCHIVED 变为 ACTIVE,且调查发现的工作流程状态为 NOTIFIEDRESOLVED,则 Security Hub 会自动将工作流程状态设置为 NEW

示例

"RecordState": "ACTIVE"

区域

指定生成查找结果 Amazon Web Services 区域 的依据。

Security Hub 会为每个调查发现自动填充此属性。您无法使用 BatchImportFindingsBatchUpdateFindings 对其进行更新。

示例

"Region": "us-west-2"

RelatedFindings

提供与当前发现相关的调查发现列表。

RelatedFindings只能使用BatchUpdateFindingsAPI操作进行更新。您不应使用 BatchImportFindings 更新此对象。

对于 BatchImportFindings 请求,调查发现提供商应使用 FindingProviderFields 下面的 RelatedFindings 对象。

要查看RelatedFindings属性的描述,请参阅 “Amazon Security Hub API参考RelatedFinding中的。

示例

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

修复

Remediation 对象提供有关为解决结果问题而建议的修复步骤的信息。

示例

"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the Amazon Security Hub documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }

样本

指定调查发现是否为调查发现样本。

"Sample": true

SourceUrl

SourceUrl对象提供URL的,可链接到有关查找结果产品中当前查找结果的页面。

"SourceUrl": "http://sourceurl.com"

ThreatIntelIndicators

ThreatIntelIndicator 对象提供与调查发现相关的威胁情报详细信息。

示例

"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]

威胁

这些区域有:Threats对象提供有关调查结果检测到的威胁的详细信息。

示例

"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]

UserDefinedFields

提供与调查发现关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。这些字段可以通过特定配置自动生成。

调查发现提供商不应将此字段用于产品生成的数据。相反,查找提供者可以将该ProductFields字段用于未映射到任何标准 Amazon 安全查找格式字段的数据。

这些字段只能使用 BatchUpdateFindings 进行更新。

示例

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }

VerificationState

提供调查发现的准确性。结果产品可以提供 UNKNOWN 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应该为该字段提供值。该字段通常由用户在对调查发现进行调查后做出的决定或操作填充。

结果提供商可以为此属性提供初始值,但在此之后无法更新它。您只能使用 BatchUpdateFindings 来更新此属性。

"VerificationState": "Confirmed"

漏洞

这些区域有:Vulnerabilitiesobject 提供了与发现结果相关的漏洞列表。

示例

"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:Amazon-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]

工作流

Workflow 对象提供有关结果调查状态的信息。

此字段专供客户与修复、编排和票务工具配合使用。它不适用于结果提供商。

您只能使用 BatchUpdateFindings 更新 Workflow 字段。客户还可以从控制台更新它。请参阅 设置 Security Hub 发现的工作流程状态

示例

"Workflow": { "Status": "NEW" }

WorkflowState (已退休)

此对象已停用,已被 Workflow 对象的 Status 字段所取代。

此字段提供调查发现的工作流程状态。结果产品可以提供 NEW 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。

示例

"WorkflowState": "NEW"