Attributs ASFF de haut niveau requis - AWS Security Hub
AwsAccountIdCreatedAtDescriptionGeneratorIdIdProductArnRessourcesSchemaVersionSévéritéTitleTypesUpdatedAt

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attributs ASFF de haut niveau requis

Les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) sont obligatoires pour tous les résultats dans Security Hub CSPM. Pour plus d'informations sur ces attributs, consultez AwsSecurityFindingle AWS Security Hub API Reference.

AwsAccountId

L' Compte AWS identifiant auquel s'applique le résultat.

Exemple

"AwsAccountId": "111111111111"

CreatedAt

Indique à quel moment le problème ou l'événement de sécurité potentiel détecté par une découverte a été créé.

Exemple

"CreatedAt": "2017-03-22T13:22:13.933Z"

Description

Description de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à l'instance de la conclusion.

Pour les résultats de contrôle générés par Security Hub CSPM, ce champ fournit une description du contrôle.

Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Exemple

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

Identifiant de la solution de composant spécifique (une unité de logique discrète) ayant généré une conclusion.

Pour les résultats de contrôle générés par Security Hub CSPM, ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Exemple

"GeneratorId": "security-control/Config.1"

Id

Identifiant du produit pour une conclusion. Pour les résultats de contrôle générés par Security Hub CSPM, ce champ fournit l'Amazon Resource Name (ARN) du résultat.

Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Exemple

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"

ProductArn

L'Amazon Resource Name (ARN) généré par Security Hub CSPM qui identifie de manière unique un produit tiers trouve un produit après son enregistrement auprès de Security Hub CSPM.

Le format de ce champ est arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Pour Services AWS que cela soit intégré à Security Hub CSPM, le nom du service public company-id doit être aws « » et le product-id nom du service AWS public. Comme AWS les produits et services ne sont associés à aucun compte, la account-id section de l'ARN est vide. Services AWS qui ne sont pas encore intégrés à Security Hub CSPM sont considérés comme des produits tiers.

  • Pour les produits publics, company-id et product-id doivent être les valeurs d'ID spécifiées au moment de l'inscription.

  • Pour les produits privés, company-id doit être l'ID de compte. Le product-id doit être le mot réservé « par défaut » ou l'ID qui a été spécifié au moment de l'inscription.

Exemple

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Ressources

Le Resources tableau d'objets fournit un ensemble de types de données de ressources qui décrivent les AWS ressources auxquelles le résultat fait référence. Pour en savoir plus sur les champs qu'un Resources objet peut contenir, y compris les champs obligatoires, consultez le document Resourcede référence AWS de l'API Security Hub. Pour des exemples d'Resourcesobjets spécifiques Services AWS, voirResourcesObjet ASFF.

Exemple

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

La version de schéma pour laquelle une conclusion est mise en forme. La valeur de ce champ doit être l'une des versions publiées officiellement identifiée par AWS. Dans la version actuelle, la version du schéma AWS Security Finding Format est2018-10-08.

Exemple

"SchemaVersion": "2018-10-08"

Sévérité

Définit l'importance d'une découverte. Pour plus de détails sur cet objet, consultez Severityla référence AWS de l'API Security Posture Management (CSPM) Security Hub Cloud.

Severityest à la fois un objet de premier niveau dans une recherche et imbriqué sous l'FindingProviderFieldsobjet.

La valeur de l'Severityobjet de niveau supérieur pour une recherche ne doit être mise à jour qu'à l'aide de l'BatchUpdateFindingsAPI.

Pour fournir des informations de gravité, les fournisseurs de recherche doivent mettre à jour l'Severityobjet sous FindingProviderFields lors de l'envoi d'une demande d'BatchImportFindingsAPI.
 Si une BatchImportFindings demande de nouvelle recherche fournit uniquement Label ou uniquement des informationsNormalized, Security Hub CSPM renseigne automatiquement la valeur de l'autre champ. Les Original champs Product et peuvent également être remplis.

Si l'Finding.Severityobjet de niveau supérieur est présent mais Finding.FindingProviderFields absent, Security Hub CSPM crée l'FindingProviderFields.Severityobjet et y copie l'intégralitéFinding.Severity object. Cela garantit que les informations d'origine fournies par le fournisseur sont conservées dans la FindingProviderFields.Severity structure, même si l'Severityobjet de niveau supérieur est remplacé.

La gravité du résultat ne tient pas compte de la sévérité des actifs en cause ou de la ressource sous-jacente. La sévérité est définie comme le niveau d'importance des ressources associées au résultat Par exemple, une ressource associée à une application critique présente une criticité plus élevée qu'une ressource associée à des tests hors production. Pour saisir des informations sur la sévérité des ressources, utilisez le champ Criticality.

Nous vous recommandons d'utiliser les conseils suivants pour traduire les scores de gravité natifs des résultats en valeur de Severity.Label dans l'ASFF.

  • INFORMATIONAL— Cette catégorie peut inclure une recherche concernant une PASSEDWARNING, une NOT AVAILABLE vérification ou une identification de données sensibles.

  • LOW— Des résultats susceptibles d'entraîner de futurs compromis. Par exemple, cette catégorie peut inclure des vulnérabilités, des faiblesses de configuration et des mots de passe exposés.

  • MEDIUM— Des résultats qui indiquent un compromis actif, mais rien n'indique qu'un adversaire ait atteint ses objectifs. Par exemple, cette catégorie peut inclure les activités malveillantes, les activités de piratage et la détection de comportements inhabituels.

  • HIGHou CRITICAL — Des résultats indiquant qu'un adversaire a atteint ses objectifs, tels qu'une perte active ou une compromission de données ou un déni de service.

Exemple

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Title

Titre de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à cette instance de la conclusion.

Pour les résultats du contrôle, ce champ fournit le titre du contrôle. Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Exemple

"Title": "AWS Config should be enabled"

Types

Un ou plusieurs types de résultats au format namespace/category/classifier qui classent un résultat. Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Typesdoit être mis à jour uniquement à l'aide de l'BatchUpdateFindingsAPI.

La recherche de fournisseurs qui souhaitent fournir une valeur pour Types doit utiliser l'Typesattribut ci-dessous FindingProviderFields.

Dans la liste suivante, les puces de premier niveau sont des espaces de noms, les puces de deuxième niveau sont des catégories et les puces de troisième niveau sont des classificateurs. Nous recommandons aux fournisseurs de recherche d'utiliser des espaces de noms définis pour faciliter le tri et le regroupement des résultats. Les catégories et classificateurs définis peuvent également être utilisés, mais ne sont pas obligatoires. Seul l'espace de noms Vérifications de logiciels et de configuration contient des classificateurs définis.

Vous pouvez définir un chemin partiel pournamespace/category/classifier. Par exemple, les types de recherche suivants sont tous valides :

  • TTPs

  • TTPs/Évasion défensive

  • TTPs/Defense Evasion/CloudTrailStopped

Les catégories de tactiques, techniques et procédures (TTPs) de la liste suivante correspondent à la MatrixTM MITRE ATT&CK. L'espace de noms Unusual Behaviors reflète les comportements inhabituels généraux, tels que les anomalies statistiques générales, et n'est pas aligné sur un TTP spécifique. Toutefois, vous pouvez classer un résultat en utilisant à la fois des comportements inhabituels et des types de TTPs résultats.

Liste des espaces de noms, des catégories et des classificateurs :

  • Vérifications de logiciels et de configuration

    • Vulnérabilités

      • CVE

    • AWS Bonnes pratiques en matière de sécurité

      • Joignabilité de réseau

      • Analyse du comportement d'exécution

    • Secteur d'activité et normes réglementaires

      • AWS Bonnes pratiques fondamentales en matière de sécurité

      • CIS Host Hardening Benchmarks

      • Indice de référence AWS des fondations du CIS

      • PCI-DSS

      • Contrôles de la Cloud Security Alliance

      • Contrôles ISO 90001

      • Contrôles ISO 27001

      • Contrôles ISO 27017

      • Contrôles ISO 27018

      • SOC 1

      • SOC 2

      • Contrôles HIPAA (États-Unis)

      • Contrôles NIST 800-53 (États-Unis)

      • Contrôles NIST PPC (États-Unis)

      • Contrôles IRAP (Australie)

      • Contrôles K-ISMS (Corée)

      • Contrôles MTCS (Singapour)

      • Contrôles FISC (Japon)

      • Contrôles de la loi My Number Act (Japon)

      • Contrôles ENS (Espagne)

      • Contrôles Cyber Essentials Plus (Royaume-Uni)

      • Contrôles G-Cloud (Royaume-Uni)

      • Contrôles C5 (Allemagne)

      • Contrôles IT-Grundschutz (Allemagne)

      • Contrôles PIBR (Europe)

      • Contrôles TISAX (Europe)

    • Gestion des correctifs

  • TTPs

    • Accès initial

    • Exécution

    • Persistance

    • Escalade de privilèges

    • Évasion de défense

    • Accès via les informations d'identification

    • Découverte

    • Mouvement latéral

    • Collection

    • Commande et contrôle

  • Effets

    • Exposition de données

    • Exfiltration de données

    • Destruction des données

    • Protection contre les attaques par déni de service

    • Consommation des ressources

  • Comportements inhabituels

    • Application

    • Débit réseau

    • Adresse IP

    • Utilisateur

    • MV

    • Conteneur

    • sans serveur

    • Processus

    • Base de données

    • Données

  • Définition des données sensibles

    • PII

    • Mots de passe

    • Juridique

    • Services financiers

    • Sécurité

    • Entreprise

Exemple

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]

UpdatedAt

Indique quand le fournisseur de recherche a mis à jour l'enregistrement de recherche pour la dernière fois.

Cet horodatage indique l'heure à laquelle l'enregistrement des résultats a été mis à jour pour la dernière fois ou le plus récemment. Par conséquent, il peut être différent de l'LastObservedAthorodatage, qui indique la date à laquelle l'événement ou la vulnérabilité a été observé pour la dernière fois ou le plus récemment.

Lorsque vous mettez à jour l'enregistrement de la conclusion, vous devez mettre à jour cet horodatage avec l'horodatage actuel. Lors de la création d'un enregistrement de recherche, les UpdatedAt horodatages CreatedAt et doivent être identiques. Après une mise à jour de l'enregistrement des résultats, la valeur de ce champ doit être plus récente que toutes les valeurs précédentes qu'il contenait.

Notez que cette BatchUpdateFindingsopération UpdatedAt ne peut pas être mise à jour. Vous ne pouvez le mettre à jour qu'en utilisant l'BatchImportFindingsopération.

Exemple

"UpdatedAt": "2017-04-22T13:22:13.933Z"