本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可选的顶级属性
这些顶级属性在Amazon安全查找格式中是可选的。有关这些属性的更多信息,请参阅 Amazon Security HubAPI 参考AwsSecurityFinding中的。
操作
该Action对象提供有关影响资源或对资源采取的操作的详细信息。
示例
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
CompanyName
生成调查结果的产品的公司名称。对于基于控制的发现,该公司是Amazon。
Security Hub 会自动为每个查找结果填充此属性。您无法使用BatchImportFindings或对其进行更新BatchUpdateFindings。例外情况是当你使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub。
当您使用 Security Hub 控制台按公司名称筛选发现结果时,应使用此属性。当您使用 Security Hub API 按公司名称筛选发现结果时,请使用下面的aws/securityhub/CompanyName属性ProductFields。Security Hub 不同步这两个属性。
示例
"CompanyName": "Amazon"
Compliance
该Compliance对象提供查找与控件相关的详细信息。只有从 Security Hub 控件生成的发现结果才会返回此属性。
示例
"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }
信心
调查结果准确识别其要识别的行为或问题的可能性。
Confidence应仅使用更新BatchUpdateFindings。
查找想要为提供值的提供者Confidence应使用下面的Confidence属性FindingProviderFields。请参阅 使用 FindingProviderFields。
Confidence使用比率等级以 0—100 为基础进行评分。0 表示 0% 的置信度,100 表示 100% 的置信度。例如,基于网络流量统计偏差的数据泄露检测的置信度很低,因为实际的泄露尚未得到验证。
示例
"Confidence": 42
临界性
分配给与调查结果相关的资源的重要性级别。
Criticality只能通过调用 BatchUpdateFindingsAPI 操作进行更新。不要用更新这个对象BatchImportFindings。
查找想要为提供值的提供者Criticality应使用下面的Criticality属性FindingProviderFields。请参阅 使用 FindingProviderFields。
Criticality使用仅支持全整数的比率等级,以 0—100 为基础进行评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。
对于每种资源,在分配时要考虑以下几点Criticality:
-
受影响的资源是否包含敏感数据(例如,带有 PII 的 S3 存储桶)?
-
受影响的资源是否使攻击者能够加深其访问权限或扩展其能力以进行其他恶意活动(例如,被盗的 sysadmin 帐户)?
-
资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?
您可以使用以下准则:
-
为关键任务系统提供支持或包含高度敏感数据的资源可以在 75—100 范围内进行评分。
-
为重要(但不是关键系统)提供动力或包含中等重要数据的资源可以在25—74的范围内进行评分。
-
为不重要系统供电或包含非敏感数据的资源应在 0—24 范围内进行评分。
示例
"Criticality": 99
FindingProviderFields
FindingProviderFields包含以下属性:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
您可以使用 BatchImportFindingsAPI 操作进行更新FindingProviderFields。您无法使用对其进行更新BatchUpdateFindings。
有关 Security Hub 如何处理来自BatchImportFindings对应顶级属性的更新FindingProviderFields和对应顶级属性的更新的详细信息,请参阅使用 FindingProviderFields。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
表示首次观察到调查结果发现的潜在安全问题的时间。
该时间戳反映了首次观察到事件或漏洞的时间。因此,它可能不同于CreatedAt时间戳,后者反映了创建此查找记录的时间。
此时间戳在两次更新查找记录之间应该是不可变的,但是如果确定了更准确的时间戳,则可以更新。
示例
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
表示安全发现产品最近观察到调查结果发现的潜在安全问题的时间。
该时间戳反映了上次或最近观察到事件或漏洞的时间。因此,它可能与UpdatedAt时间戳不同,时间戳反映了此发现记录的最后更新时间或最近更新时间。
您可以提供此时间戳,但在首次观察时不是必需的。如果您在第一次观察时提供此字段,则时间戳应与FirstObservedAt时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。
示例
"LastObservedAt": "2017-03-23T13:22:13.933Z"
恶意软件
Malware 对象提供与结果相关的恶意软件列表。
示例
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
网络(已停用)
该Network对象提供有关调查结果的网络相关信息。
此对象将停用。要提供这些数据,您可以将数据映射到中的资源Resources,也可以使用Action对象。
示例
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
该NetworkPath对象提供与调查结果相关的网络路径的相关信息。中的每个条目NetworkPath代表路径的一个组成部分。
示例
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
注意
该Note对象指定了用户定义的注释,您可以将其添加到调查结果中。
结果提供商可以为结果提供初始注释,但不能在此之后添加注释。您只能使用更新笔记BatchUpdateFindings。
示例
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
该PatchSummary对象根据选定的合规性标准提供实例的补丁合规性状态摘要。
示例
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
过程
该Process对象提供与查找结果相关的流程相关详细信息。
示例:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProductFields
一种数据类型,其中安全发现产品可以包含其他特定于解决方案的详细信息,这些详细信息不属于已定义Amazon的安全调查结果格式。
对于由 Security Hub 控件生成的调查结果,ProductFields包括有关控件的信息。请参阅 生成和更新控制结果。
该字段不应包含冗余数据,并且不能包含与 Amazon Security Finding 格式字段冲突的数据。
“aws/” 前缀仅代表Amazon产品和服务的保留命名空间,不得与第三方集成的结果一起提交。
虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name,其中 company-id 和 product-id 与结果的 ProductArn 中提供的名称匹配。
示例
"ProductFields": { "API", "DeleteTrail", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
提供生成调查结果的产品的名称。对于基于控制的发现,产品名称为 Security Hub。
Security Hub 会自动为每个查找结果填充此属性。您无法使用BatchImportFindings或对其进行更新BatchUpdateFindings。例外情况是当你使用自定义集成时。请参阅 使用自定义产品集成将结果发送到AmazonSecurity Hub。
当您使用 Security Hub 控制台按产品名称筛选查找结果时,应使用此属性。
当您使用 Security Hub API 按产品名称筛选发现结果时,请使用下面的aws/securityhub/ProductName属性ProductFields。
Security Hub 不同步这两个属性。
RecordState
提供调查结果的记录状态。
默认情况下,在最初由服务生成时,结果被视为 ACTIVE。
ARCHIVED 状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以对它们进行搜索、查看和报告。如果关联资源被删除、资源不存在或控件被禁用,Security Hub 会自动存档基于控制的调查结果。
RecordState旨在寻找提供商,只能由更新BatchImportFindings。您无法使用对其进行更新BatchUpdateFindings。
要跟踪调查结果的状态,请使用Workflow而不是RecordState。
如果记录状态从ARCHIVED更改为ACTIVE,并且查找结果的工作流状态为NOTIFIED或RESOLVED,则 Security Hub 会自动将工作流状态设置为NEW。
示例
"RecordState": "ACTIVE"
区域
指定Amazon Web Services 区域生成查找结果的来源。
Security Hub 会自动为每个查找结果填充此属性。您无法使用BatchImportFindings或对其进行更新BatchUpdateFindings。
示例
"Region": "us-west-2"
RelatedFindings
提供与当前调查结果相关的发现结果列表。
RelatedFindings应仅BatchUpdateFindings通过 API 操作进行更新。你不应该用更新这个对象BatchImportFindings。
对于BatchImportFindings请求,查找提供者应使用下方的RelatedFindings对象FindingProviderFields。
要查看RelatedFindings属性的描述,请参阅 Amazon Security HubAPI 参考RelatedFinding中的。
示例
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
修复
Remediation 对象提供有关为解决结果问题而建议的修复步骤的信息。
示例
"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }
示例
指定该调查结果是否为样本调查结果。
"Sample": true
SourceUrl
该SourceUrl对象提供一个 URL,该网址链接到有关查找产品中当前发现的页面。
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
该ThreatIntelIndicator对象提供与调查结果相关的威胁情报详细信息。
示例
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
威胁
该Threats对象提供有关调查结果检测到的威胁的详细信息。
示例
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
提供与结果关联的名称-值字符串对的列表。这些是添加到结果的自定义用户定义字段。这些字段可以通过您的特定配置自动生成。
查找提供商不应将此字段用于产品生成的数据。相反,查找提供者可以将该ProductFields字段用于未映射到任何标准Amazon安全查找格式字段的数据。
这些字段只能使用 BatchUpdateFindings 进行更新。
示例
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
提供调查结果的真实性。调查结果产品可以UNKNOWN为该字段提供值。如果发现产品的系统中存在有意义的类似物,则发现产品应为该字段提供值。此字段通常由用户调查结果后的决定或操作填充。
结果提供商可以为此属性提供初始值,但在此之后无法更新它。您只能使用更新此属性BatchUpdateFindings。
"VerificationState": "Confirmed"
漏洞
该Vulnerabilities对象提供与调查结果相关的漏洞列表。
示例
"Vulnerabilities" : [ { "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "FixAvailable": "YES", "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "Version": "1.0.2k" } ] } ]
工作流程
Workflow 对象提供有关结果调查状态的信息。
此字段供客户与补救、协调和票务工具一起使用。它不适用于结果提供商。
您只能使用更新该Workflow字段BatchUpdateFindings。客户还可以从控制台更新它。请参阅 设置结果的工作流状态。
示例
"Workflow": { "Status": "NEW" }
WorkflowState (已退休)
此对象已停用,已被该Workflow对象的Status字段所取代。
此字段提供查找结果的工作流状态。结果产品可以提供 NEW 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。
示例
"WorkflowState": "NEW"