Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Optionale ASFF-Attribute der obersten Ebene
Die folgenden Attribute der obersten Ebene im AWS Security Finding Format (ASFF) sind für Ergebnisse in Security Hub CSPM optional. Weitere Informationen zu diesen Attributen finden Sie AwsSecurityFindingin der AWS Security Hub API-Referenz.
Aktion
Das ActionObjekt enthält Details zu einer Aktion, die sich auf eine Ressource auswirkt oder auf einer Ressource ausgeführt wurde.
Beispiel
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
Der AWS-Konto Name, auf den sich das Ergebnis bezieht.
Beispiel
"AwsAccountName": "jane-doe-testaccount"
CompanyName
Der Name des Unternehmens für das Produkt, das zu dem Ergebnis geführt hat. Bei auf Kontrollen beruhenden Ergebnissen lautet das Unternehmen. AWS
Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. BatchImportFindingsBatchUpdateFindings Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Integration von Security Hub CSPM mit kundenspezifischen Produkten.
Wenn Sie die Security Hub CSPM-Konsole verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie dieses Attribut. Wenn Sie die Security Hub CSPM-API verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie das aws/securityhub/CompanyName Attribut unter. ProductFields Security Hub CSPM synchronisiert diese beiden Attribute nicht.
Beispiel
"CompanyName": "AWS"
Compliance
Das ComplianceObjekt enthält in der Regel Details zu einem Kontrollergebnis, wie z. B. geltende Standards und den Status der Kontrollprüfung.
Beispiel
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Wahrscheinlichkeit
Die Wahrscheinlichkeit, dass ein Ergebnis das Verhalten oder das Problem, das identifiziert werden sollte, genau identifiziert.
Confidencesollte nur mit aktualisiert werden BatchUpdateFindings.
Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Confidence sollten Sie das Confidence Attribut unter verwendenFindingProviderFields. Siehe Aktualisierung der Ergebnisse mit FindingProviderFields.
Confidencewird anhand einer Verhältnisskala auf einer Basis von 0—100 bewertet. 0 bedeutet 0 Prozent Konfidenz, und 100 bedeutet 100 Prozent Konfidenz. Beispielsweise hat eine Erkennung einer Datenexfiltration, die auf einer statistischen Abweichung des Netzwerkverkehrs basiert, eine geringe Zuverlässigkeit, da eine tatsächliche Exfiltration nicht verifiziert wurde.
Beispiel
"Confidence": 42
Kritikalität
Der Grad der Wichtigkeit, der den Ressourcen zugewiesen wird, die mit einem Ergebnis verknüpft sind.
Criticalitysollte nur durch Aufrufen der BatchUpdateFindingsAPI-Operation aktualisiert werden. Aktualisieren Sie dieses Objekt nicht mit BatchImportFindings.
Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, Criticality sollten Sie das Criticality Attribut unter verwendenFindingProviderFields. Siehe Aktualisierung der Ergebnisse mit FindingProviderFields.
Criticalitywird auf einer Basis von 0—100 bewertet, wobei eine Verhältnisskala verwendet wird, die nur ganze Zahlen unterstützt. Ein Wert von 0 bedeutet, dass die zugrunde liegenden Ressourcen keine Kritikalität haben, und der Wert 100 ist den wichtigsten Ressourcen vorbehalten.
Beachten Sie bei der Zuweisung für jede Ressource Folgendes: Criticality
-
Enthält die betroffene Ressource sensible Daten (z. B. einen S3-Bucket mit PII)?
-
Ermöglicht die betroffene Ressource einem Angreifer, seinen Zugriff zu vertiefen oder seine Fähigkeiten zur Ausführung zusätzlicher bösartiger Aktivitäten auszuweiten (z. B. ein kompromittiertes Systemadministratorkonto)?
-
Ist die Ressource ein geschäftskritisches Asset (z. B. ein wesentliches Unternehmenssystem, dessen Kompromittierung bedeutende Umsatzeinbußen verursachen könnte)?
Sie können die folgenden Richtlinien verwenden:
-
Eine Ressource, die geschäftskritische Systeme mit Strom versorgt oder hochsensible Daten enthält, kann im Bereich von 75 bis 100 bewertet werden.
-
Eine Ressource, die wichtige (aber nicht kritische Systeme) mit Strom versorgt oder mäßig wichtige Daten enthält, kann im Bereich 25—74 bewertet werden.
-
Eine Ressource, die unwichtige Systeme unterstützt oder unsensible Daten enthält, sollte im Bereich von 0—24 bewertet werden.
Beispiel
"Criticality": 99
Erkennung
Das Detection Objekt enthält Details zu einer Angriffssequenz, die von Amazon GuardDuty Extended Threat Detection gefunden wurde. GuardDuty generiert eine Erkennung der Angriffssequenz, wenn mehrere Ereignisse auf eine potenziell verdächtige Aktivität zurückzuführen sind. Um Informationen zur GuardDuty Angriffssequenz in AWS Security Hub Cloud Security Posture Management (CSPM) zu erhalten, müssen Sie die GuardDuty Aktivierung in Ihrem Konto aktiviert haben. Weitere Informationen finden Sie unter Amazon GuardDuty Extended Threat Detection im GuardDuty Amazon-Benutzerhandbuch.
Beispiel
"Detection": { "Sequence": { "Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010", "Actors": [{ "Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891", "Session": { "Uid": "1234567891", "MfAStatus": "DISABLED", "CreatedTime": "1716916944000", "Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket" }, "User": { "CredentialUid": "ASIAIOSFODNN7EXAMPLE", "Name": "ec2_instance_role_production", "Type": "AssumedRole", "Uid": "AROA987654321EXAMPLE:i-b188560f", "Account": { "Uid": "AccountId", "Name": "AccountName" } } }], "Endpoints": [{ "Id": "EndpointId", "Ip": "203.0.113.1", "Domain": "example.com", "Port": 4040, "Location": { "City": "New York", "Country": "US", "Lat": 40.7123, "Lon": -74.0068 }, "AutonomousSystem": { "Name": "AnyCompany", "Number": 64496 }, "Connection": { "Direction": "INBOUND" } }], "Signals": [{ "Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7", "Title": "Someone ran a penetration test tool on your account.", "ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"], "Count": 19, "FirstSeenAt": 1716916943000, "SignalIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Data Destruction" ] }, ], "LastSeenAt": 1716916944000, "Name": "Test:IAMUser/KaliLinux", "ResourceIds": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket" ], "Type": "FINDING" }], "SequenceIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Discovery", "Exfiltration", "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBuckets" "s3:ListObjects" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Cloud Service Discovery", "Data Destruction" ] } ] } }
FindingProviderFields
FindingProviderFieldsumfasst die folgenden Attribute:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
Die obigen Felder sind unter dem FindingProviderFields Objekt verschachtelt, haben jedoch Entsprechungen mit demselben Namen wie ASFF-Felder der obersten Ebene. Wenn ein neuer Befund von einem Suchprovider an Security Hub CSPM gesendet wird, füllt Security Hub CSPM das FindingProviderFields Objekt automatisch auf, wenn es aufgrund der entsprechenden Felder der obersten Ebene leer ist.
Finding Provider können Updates FindingProviderFields mithilfe der BatchImportFindingsSecurity Hub CSPM-API aktualisieren. Die Suche nach Anbietern kann dieses Objekt nicht mit aktualisieren. BatchUpdateFindings
Einzelheiten darüber, wie Security Hub CSPM Updates von BatchImportFindings zu FindingProviderFields und zu den entsprechenden Attributen der obersten Ebene verarbeitet, finden Sie unter. Aktualisierung der Ergebnisse mit FindingProviderFields
Kunden können die Felder der obersten Ebene mithilfe des Vorgangs aktualisieren. BatchUpdateFindings Kunden können nicht aktualisierenFindingProviderFields.
Beispiel
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Gibt an, wann das potenzielle Sicherheitsproblem oder das Ereignis, das durch einen Befund erfasst wurde, zum ersten Mal beobachtet wurde.
Dieser Zeitstempel gibt an, wann das Ereignis oder die Sicherheitsanfälligkeit zum ersten Mal beobachtet wurde. Folglich kann er vom CreatedAt Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz erstellt wurde.
Dieser Zeitstempel sollte zwischen Aktualisierungen des Ergebnisdatensatzes unveränderlich sein, kann aber aktualisiert werden, wenn ein genauerer Zeitstempel bestimmt wird.
Beispiel
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Gibt an, wann das potenzielle Sicherheitsproblem oder Ereignis, das durch einen Befund erfasst wurde, zuletzt vom Produkt mit Sicherheitsergebnissen beobachtet wurde.
Dieser Zeitstempel gibt an, wann das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde. Folglich kann er vom UpdatedAt Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz zuletzt oder zuletzt aktualisiert wurde.
Sie können diesen Zeitstempel angeben, er ist jedoch bei der ersten Beobachtung nicht erforderlich. Wenn Sie dieses Feld bei der ersten Beobachtung ausfüllen, sollte der Zeitstempel mit dem Zeitstempel identisch sein. FirstObservedAt Sie sollten dieses Feld immer wieder aktualisieren, sodass immer der Zeitstempel der letzten Beobachtung des Fundes angegeben wird.
Beispiel
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Schadsoftware
Das Objekt Malware stellt eine Liste der Malware zur Verfügung, die mit einem Fund zusammenhängt.
Beispiel
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Netzwerk (im Ruhestand)
Das NetworkObjekt stellt netzwerkbezogene Informationen zu einem Befund bereit.
Dieses Objekt ist ausgemustert. Um diese Daten bereitzustellen, können Sie die Daten entweder einer Ressource in zuordnen Resources oder das Action Objekt verwenden.
Beispiel
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
Das NetworkPathObjekt stellt Informationen über einen Netzwerkpfad bereit, der mit einem Befund zusammenhängt. Jeder Eintrag in NetworkPath steht für eine Komponente des Pfads.
Beispiel
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Hinweis
Das NoteObjekt gibt eine benutzerdefinierte Notiz an, die Sie zu einem Ergebnis hinzufügen können.
Ein Ergebnisanbieter kann eine erste Notiz für ein Ergebnis bereitstellen, aber danach können keine Notizen hinzugefügt werden. Sie können eine Notiz nur mit BatchUpdateFindingsaktualisieren.
Beispiel
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
Das PatchSummaryObjekt bietet eine Zusammenfassung des Patch-Konformitätsstatus einer Instanz anhand eines ausgewählten Konformitätsstandards.
Beispiel
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Prozess
Das ProcessObjekt stellt prozessbezogene Details zu einem Ergebnis bereit.
Beispiel:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Zeigt an, wann Security Hub CSPM ein Ergebnis erhalten hat und mit dessen Verarbeitung begonnen hat.
Dies unterscheidet sich von CreatedAt undUpdatedAt, bei denen es sich um erforderliche Zeitstempel handelt, die sich auf die Interaktion des Ermittlungsanbieters mit dem Sicherheitsproblem und dem Ergebnis beziehen. Der ProcessedAt Zeitstempel gibt an, wann Security Hub CSPM mit der Verarbeitung eines Ergebnisses beginnt. Nach Abschluss der Verarbeitung wird ein Ergebnis im Konto eines Benutzers angezeigt.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Ein Datentyp, bei dem Produkte mit Sicherheitsergebnissen zusätzliche lösungsspezifische Details enthalten können, die nicht Teil des definierten AWS Sicherheitsfindungsformats sind.
ProductFieldsEnthält Informationen zur Kontrolle für Ergebnisse, die von Security Hub CSPM-Kontrollen generiert wurden. Siehe Generierung und Aktualisierung von Kontrollbefunden.
Dieses Feld sollte keine redundanten Daten enthalten und darf keine Daten enthalten, die mit Feldern im AWS Security Finding Format in Konflikt stehen.
Das Präfix aws/ "" steht für einen reservierten Namespace, der nur für AWS Produkte und Dienstleistungen reserviert ist und darf nicht zusammen mit Ergebnissen aus Integrationen von Drittanbietern eingereicht werden.
Auch wenn dies nicht unbedingt erforderlich ist, sollten Produkte Feldnamen wir folgt formatieren: company-id/product-id/field-name. Dabei sollten die company-id und product-id den Angaben im ProductArn des Fundes entsprechen.
Die Felder, auf die verwiesen wird, Archival werden verwendet, wenn Security Hub CSPM ein vorhandenes Ergebnis archiviert. Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie konsolidierte Kontrollergebnisse ein- oder ausschalten.
Dieses Feld kann auch Informationen über den Standard enthalten, der die Kontrolle beinhaltet, die zu dem Ergebnis geführt hat.
Beispiel
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Gibt den Namen des Produkts an, das den Befund generiert hat. Für Ergebnisse, die auf Kontrollen basieren, lautet der Produktname Security Hub CSPM.
Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. BatchImportFindingsBatchUpdateFindings Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe Integration von Security Hub CSPM mit kundenspezifischen Produkten.
Wenn Sie die Security Hub CSPM-Konsole verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie dieses Attribut.
Wenn Sie die Security Hub CSPM-API verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie das aws/securityhub/ProductName Attribut unter. ProductFields
Security Hub CSPM synchronisiert diese beiden Attribute nicht.
RecordState
Stellt den Datensatzstatus eines Ergebnisses bereit.
Standardmäßig werden Funde als ACTIVE erachtet, wenn sie anfangs von einem Service generiert werden.
Der Status ARCHIVED gibt an, dass ein Fund nicht mehr sichtbar sein sollte. Archivierte Ergebnisse werden nicht sofort gelöscht. Sie können sie suchen, überprüfen und darüber berichten. Security Hub CSPM archiviert automatisch kontrollbasierte Ergebnisse, wenn die zugehörige Ressource gelöscht wird, die Ressource nicht existiert oder die Kontrolle deaktiviert ist.
RecordStateist für die Suche nach Anbietern vorgesehen und kann nur mithilfe dieses Vorgangs aktualisiert werden. BatchImportFindings Sie können es nicht mithilfe des BatchUpdateFindingsVorgangs aktualisieren.
Um den Status Ihrer Untersuchung zu einem Ergebnis nachzuverfolgen, verwenden Sie WorkflowstattRecordState.
Wenn sich der Datensatzstatus von ARCHIVED zu ACTIVE ändert und der Workflow-Status des Ergebnisses NOTIFIED oder lautetRESOLVED, ändert Security Hub CSPM den Workflow-Status automatisch in. NEW
Beispiel
"RecordState": "ACTIVE"
Region
Gibt das an, AWS-Region aus dem das Ergebnis generiert wurde.
Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. BatchImportFindingsBatchUpdateFindings
Beispiel
"Region": "us-west-2"
RelatedFindings
Stellt eine Liste von Ergebnissen bereit, die sich auf das aktuelle Ergebnis beziehen.
RelatedFindingssollte nur mit der BatchUpdateFindingsAPI-Operation aktualisiert werden. Sie sollten dieses Objekt nicht mit aktualisieren BatchImportFindings.
Für BatchImportFindingsAnfragen sollte die Suche nach Anbietern das RelatedFindings Objekt unter verwenden FindingProviderFields.
Beschreibungen der RelatedFindings Attribute finden Sie RelatedFindingin der AWS Security Hub Cloud Security Posture Management (CSPM) API-Referenz.
Beispiel
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
RiskAssessment
Beispiel
"RiskAssessment": { "Posture": { "FindingTotal": 4, "Indicators": [ { "Type": "Reachability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] }, { "Type": "Vulnerability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] } ] } }
Abhilfe
Das Objekt Remediation enthält Informationen zu empfohlenen Behebungsschritten für das Problem.
Beispiel
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub Cloud Security Posture Management (CSPM) documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Beispiel
Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt.
"Sample": true
SourceUrl
Das SourceUrl Objekt stellt eine URL bereit, die auf eine Seite verweist, die sich mit dem aktuellen Ergebnis im gefundenen Produkt befasst.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
Das ThreatIntelIndicatorObjekt stellt Bedrohungsinformationen bereit, die sich auf einen Befund beziehen.
Beispiel
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Bedrohungen
Das ThreatsObjekt enthält Details zu der Bedrohung, die durch einen Befund erkannt wurde.
Beispiel
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Stellt eine Liste von Zeichenfolgenpaaren aus Name und Wert bereit, die dem Befund zugeordnet sind. Dies sind individuelle, benutzerdefinierte Felder, die einem Fund hinzugefügt werden. Diese Felder können anhand Ihrer spezifischen Konfiguration automatisch generiert werden.
Bei der Suche nach Anbietern sollte dieses Feld nicht für Daten verwendet werden, die das Produkt generiert. Stattdessen kann das ProductFields Feld bei der Suche nach Anbietern für Daten verwendet werden, die keinem Standardfeld im Format für AWS Sicherheitssuche zugeordnet sind.
Diese Felder können nur mit BatchUpdateFindings aktualisiert werden.
Beispiel
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Stellt den Wahrheitsgehalt eines Ergebnisses sicher. Finds-Produkte können UNKNOWN für dieses Feld einen Wert von angeben. Ein Ergebnisprodukt sollte einen Wert für dieses Feld liefern, wenn das System des Ergebnisprodukts ein aussagekräftiges Analogon enthält. Dieses Feld wird in der Regel durch eine Benutzerentscheidung oder eine Aktion nach der Untersuchung eines Ergebnisses gefüllt.
Ein Ergebnisanbieter kann einen Anfangswert für dieses Attribut bereitstellen, es danach aber nicht aktualisieren. Sie können dieses Attribut nur aktualisieren, indem Sie BatchUpdateFindings.
"VerificationState": "Confirmed"
Schwachstellen
Das VulnerabilitiesObjekt enthält eine Liste von Sicherheitslücken, die mit einem Befund verknüpft sind.
Beispiel
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Workflow
Das Workflow-Objekt bietet Informationen über den Status der Untersuchung zu einem Ergebnis.
Dieses Feld ist für Kunden zur Verwendung mit Tools zur Problembehebung, Orchestrierung und Ticketausstellung vorgesehen. Es ist nicht für die Suche nach Anbietern bestimmt.
Sie können das Feld nur mit aktualisieren. Workflow BatchUpdateFindings Kunden können ihn auch über die Konsole aktualisieren. Siehe Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen.
Beispiel
"Workflow": { "Status": "NEW" }
WorkflowState (Im Ruhestand)
Dieses Objekt ist ausgemustert und wurde durch das Status Feld des Workflow Objekts ersetzt.
Dieses Feld gibt den Workflow-Status eines Ergebnisses an. Funde generierende Produkte können in diesem Feld den Wert NEW angeben. Ein Funde generierendes Produkte kann einen Wert in diesem Feld angeben, wenn es ein aussagekräftiges Analogon im System des Produkts gibt.
Beispiel
"WorkflowState": "NEW"
