本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
其他顶级属性
- Action
-
可选
提供有关影响资源或对资源执行的操作的详细信息。
类型:对象
CompanyName
-
可选
生成结果的产品的公司名称。对于基于控制的调查结果,该公司Amazon.
Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新
BatchImportFindings
要么BatchUpdateFindings
. 例外情况是您使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub。当您使用 Security Hub 控制台按公司名称筛选查找结果时,您可以使用此属性。
当您使用 Security Hub API 按公司名称过滤查结果时,您可以使用
aws/securityhub/CompanyName
在ProductFields
.Security Hub 不同步这两个属性。
类型:字符串
- Compliance
-
可选
与控制相关的结果详细信息。仅针对从控制生成的结果返回。
类型:对象
示例
"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT"; "Description": "CloudWatch alarms do not exist in the account" } ] }
Confidence
-
可选
结果的置信度。置信度的定义是结果准确识别其旨在识别的行为或问题的可能性。
Confidence
应只使用进行更新BatchUpdateFindings
.寻找想为其提供价值的提供商
Confidence
应使用Confidence
在FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:整数
最小值:0
最大值:100
使用比例刻度对置信度进行评分 (0—100),0 表示置信度为 0%,100 表示置信度为 100%,100 表示置信度为 100%。
但是,基于网络流量的统计偏差的数据泄漏检测具有低得多的置信度 - 因为尚未验证实际的泄漏。
示例
"Confidence": 42
Criticality
-
可选
分配给与结果关联的资源的重要性级别。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。
Criticality
应该只对其进行更新BatchUpdateFindings
. 它不应该更新BatchImportFindings
.寻找想为其提供价值的提供商
Criticality
应使用Criticality
在FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:整数
最小值:0
最大值:100
使用仅支持全整型的比例刻度,在 0—100 的范围内对严重性评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。
概括来说,评估重要程度时,您需要考虑以下因素:
-
哪些发现会影响比其他资源更重要的资源?
-
与其他资源相比,这些资源的关键性有多大?
对于每个资源,请考虑以下事项:
-
受影响的资源是否包含敏感数据(例如,包含 PII 的 S3 存储桶)?
-
受影响的资源是否使攻击者能够提升访问权限或扩展执行其他恶意活动的能力(例如,泄露的 sysadmin 帐户)?
-
资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?
您可以使用以下准则:
-
对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75—100。
-
对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25—75。
-
对于支持不重要系统或包含非敏感数据的资源,评分范围应为 0—24。
示例
"Criticality": 99
-
- FindingProviderFields
-
可选
In
BatchImportFindings
请求,查找提供商使用FindingProviderFields
为只能更新的属性提供值BatchUpdateFindings
.FindingProviderFields
包括以下属性:-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
FindingProviderFields
只能由更新BatchImportFindings
. 无法通过BatchUpdateFindings
.有关 Security Hub 如何处理来源更新的详细信息
BatchImportFindings
到FindingProviderFields
以及对应的顶级属性,请参阅使用 FindingProviderFields.类型:对象
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
-
FirstObservedAt
-
可选
指示何时首次观察到调查结果捕获的潜在安全问题。
此时间戳反映的是首次观察到事件或漏洞的时间。因此,它可能与
CreatedAt
时间戳,反映了此查找记录的创建时间。该时间戳应在结果记录的更新之间不可变,但如果确定更准确的时间戳,则可以更新。
Type: 字符串
格式:使用
date-time
在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。 示例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
-
可选
指示安全结果产品最近观察到结果捕获的潜在安全问题的时间。
该时间戳反映的是上次或最近一次观察到事件或漏洞的时间。因此,它可能与
UpdatedAt
时间戳,反映了此查找记录上次或最近更新的时间。您可以提供该时间戳,但在首次观察时,该时间戳不是必需的。如果在这种情况下提供该字段,则该时间戳应与
FirstObservedAt
时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。类型:字符串
格式:使用
date-time
在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。 示例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
- Malware
-
可选
与结果相关的恶意软件的列表。
类型:恶意软件对象
对象的最大数量:5
示例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
- Network(已弃用)
-
可选
有关结果的网络相关信息的详情。
此对象已弃用。要提供此数据,请将数据映射到中的资源
Resources
,或者使用Action
对象。类型:对象
示例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
- NetworkPath
-
可选
与发现相关的网络路径。
中的每个条目
NetworkPath
表示路径的一个组成部分。类型:对象数组
- Note
-
可选
添加到结果中的用户定义的备注。
结果提供商可以为结果提供初始注释,但不能在此之后添加注释。
注释只能使用
BatchUpdateFindings
进行更新。类型:对象
示例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
- PatchSummary
-
可选
提供补丁合规性的摘要。
类型:对象
- Process
-
可选
有关结果的进程相关信息的详情。
类型:对象
例如:
"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z" }
ProductFields
-
可选
一种数据类型,其中安全结果产品可以包含不属于已定义的其他特定于解决方案的详细信息。AmazonSecurity Fider 格式。
对于 Security Hub 控件生成的调查结果,
ProductFields
包括有关控件的信息。请参阅 生成和更新控制结果。类型:键值对映射射
最大对数:50
最大密钥长度:128
最大值长度:2048
该字段不应包含冗余数据,并且不能包含与 Amazon Security Finding 格式字段冲突的数据。
该”
aws/
“prefix 表示保留的命名空间Amazon仅限产品和服务,不得与来自第三方集成的结果一起提交。虽然不是必需的,但产品应将字段名称格式化为
company-id/product-id/field-name
,其中company-id
和product-id
与结果的ProductArn
中提供的名称匹配。字段名称可能包含以下字符:A-Z、a-z、0-9、空白和.: +\ = @ _/-(连字符)。
示例
"ProductFields": { "generico/secure-pro/Count": "6", "generico/secure-pro/Action.Type", "AWS_API_CALL", "API", "DeleteTrail", "Service_Name": "cloudtrail.amazonaws.com", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures" }
ProductName
-
可选
生成结果的产品的名称。对于基于控制的结果,产品名称为 Security Hub。
Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新
BatchImportFindings
要么BatchUpdateFindings
. 例外情况是您使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub。当您使用 Security Hub 控制台按产品名称筛选查找结果时,可以使用此属性。
当您使用 Security Hub API 按产品名称筛选查找结果时,您可以使用
aws/securityhub/ProductName
在ProductFields
.Security Hub 不同步这两个属性。
类型:字符串
RecordState
-
可选
结果的记录状态。
默认情况下,在最初由服务生成时,结果被视为
ACTIVE
。ARCHIVED
状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以搜索、查看和报告这些结果。RecordState
用于查找提供商,并且只能由以下方式更新,BatchImportFindings
. 它无法使用BatchUpdateFindings
.要跟踪您对结果的调查状态,请勿使用
RecordState
. 请改用 Workflow。查找提供商会更新记录状态。如果删除关联的资源、资源不存在或控件已禁用,则 Security Hub 还会自动存档基于控件的结果。
如果记录状态更改为
ARCHIVED
到ACTIVE
,并且查找结果的工作流状态为NOTIFIED
要么RESOLVED
,然后 Security Hub 会自动将工作流状态设置为NEW
.类型:枚举
有效值:
ACTIVE
|ARCHIVED
示例
"RecordState": "ACTIVE"
Region
-
可选
Region 在其中生成结果的区域。
Security Hub 会为每个查找结果自动填充此属性。您无法使用对其进行更新
BatchImportFindings
要么BatchUpdateFindings
.类型:字符串
- RelatedFindings
-
可选
相关结果的列表。
RelatedFindings
应只使用进行更新BatchUpdateFindings
. 它不应该使用BatchImportFindings
.要提供相关调查结果的列表,查找提供商应使用
RelatedFindings
下面的对象FindingProviderFields. 请参阅 使用 FindingProviderFields。类型:数组
RelatedFinding
对象对象的最大数量:10
示例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
- Remediation
-
可选
结果的修复方案。
类型:对象
示例
"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }
Sample
-
可选
结果是示例结果。
类型:Boolean
SourceUrl
-
可选
一个链接 URL,指向有关结果产品中当前结果的页面。
类型:URL
- ThreatIntelIndicators
-
可选
与结果相关的威胁情报详细信息。
类型:一组威胁情报指示器对象
对象的最大数量:5
示例
"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" } ]
UserDefinedFields
-
可选
与结果关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。可以通过您的特定配置自动生成这些字段。
结果产品不得 将该字段用于产品生成的数据。相反,调查结果产品可以使用
ProductFields
不映射到任何标准的数据的字段AmazonSecurity Format 字段。这些字段只能使用
BatchUpdateFindings
进行更新。类型:键值对映射射
对的最大数量:50
格式:密钥名称只能包含字母、数字和以下特殊字符:-_=+@ . /:
示例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
-
可选
结果的准确性。结果产品可以提供
UNKNOWN
作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应提供该值。该字段通常由用户确定或在调查结果后采取操作填充。结果提供商可以为此属性提供初始值,但在此之后无法更新它。此属性只能使用
BatchUpdateFindings
进行更新。类型:枚举
有效值:
-
UNKNOWN
— 除非用户更改,否则这是对安全结果的默认配置。 -
TRUE_POSITIVE
— 确认安全结果后,由用户设置该值。 -
FALSE_POSITIVE
— 如果安全结果已被确定为误报,则用户设置此值。 -
BENIGN_POSITIVE
— 用户将该值设置为的特殊情况TRUE_POSITIVE
当结果不构成任何威胁和/或符合预期时,或符合预期的情况。
-
- Vulnerabilities
-
可选
适用于调查结果的漏洞列表。
类型:对象数组
- Workflow
-
可选
提供有关结果调查状态的信息。
工作流程状态不适用于结果提供商。工作流程状态只能使用
BatchUpdateFindings
进行更新。客户还可以从控制台更新它。请参阅 设置结果的工作流程状态。类型: 对象
示例
Workflow: { "Status": "NEW" }
WorkflowState
(已弃用)-
可选
此字段正在被替换为
Status
的字段Workflow
对象。结果的工作流程状态。结果产品可以提供
NEW
作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。类型:枚举
有效值:
-
NEW
— 这可能与中的结果关联Active
记录状态。这是任何新结果的默认工作流程状态。 -
ASSIGNED
— 这可能与中的结果关联Active
记录状态。已确认结果并将其提供给某人进行审核或解决。 -
IN_PROGRESS
— 这可能与中的结果关联Active
记录状态。团队成员正在积极调查结果。 -
RESOLVED
— 这可能与中的结果关联Archived
记录状态。这不同于DEFERRED
结果。如果再次出现该结果(由本地服务更新)或有任何新结果与此匹配,则以活动的新结果形式向客户提供该结果。 -
DEFERRED
— 这可能与中的结果关联Archived
记录状态。这意味着,与此结果匹配的任何其他结果都不会在一段时间内显示或无限期显示。客户认为该结果不适用,或 这是客户不希望包含在活动数据集中的已知问题。
-
DUPLICATE
— 这可能与中的结果关联Archived
记录状态。这意味着该结果与另一个结果完全相同。
示例
"WorkflowState": "NEW"
-