Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attributi ASFF di primo livello opzionali
I seguenti attributi di primo livello nel AWS Security Finding Format (ASFF) sono opzionali per i risultati in Security Hub CSPM. Per ulteriori informazioni su questi attributi, vedere il riferimento AwsSecurityFindingall'API AWS Security Hub.
Azione
L'Actionoggetto fornisce dettagli su un'azione che influisce o è stata intrapresa su una risorsa.
Esempio
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
Il Account AWS nome a cui si applica il risultato.
Esempio
"AwsAccountName": "jane-doe-testaccount"
CompanyName
Il nome dell'azienda del prodotto che ha generato il risultato. Per i risultati basati sul controllo, la società è. AWS
Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. BatchImportFindingsBatchUpdateFindings L'eccezione è quando si utilizza un'integrazione personalizzata. Consultare Integrazione di Security Hub CSPM con prodotti personalizzati.
Quando si utilizza la console CSPM di Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza questo attributo. Quando si utilizza l'API CSPM Security Hub per filtrare i risultati in base al nome dell'azienda, si utilizza l'aws/securityhub/CompanyNameattributo sotto. ProductFields Security Hub CSPM non sincronizza questi due attributi.
Esempio
"CompanyName": "AWS"
Conformità
L'Complianceoggetto fornisce in genere dettagli su un risultato di controllo, come gli standard applicabili e lo stato del controllo.
Esempio
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Confidence
La probabilità che un risultato identifichi accuratamente il comportamento o il problema che intendeva identificare.
Confidencedeve essere aggiornato solo utilizzando. BatchUpdateFindings
La ricerca di fornitori che desiderano fornire un valore per Confidence dovrebbe utilizzare l'Confidenceattributo sottoFindingProviderFields. Consultare Aggiornamento dei risultati con FindingProviderFields.
Confidenceviene assegnato un punteggio da 0 a 100 utilizzando una scala di rapporti. 0 significa confidenza dello 0% e 100 indica una confidenza del 100 percento. Ad esempio, un rilevamento di un'esfiltrazione di dati basato su una deviazione statistica del traffico di rete ha una bassa affidabilità perché non è stata verificata un'effettiva esfiltrazione.
Esempio
"Confidence": 42
Criticità
Il livello di importanza assegnato alle risorse associate a un risultato.
Criticalitydeve essere aggiornato solo chiamando l'operazione BatchUpdateFindingsAPI. Non aggiornare questo oggetto con BatchImportFindings.
La ricerca di fornitori che desiderano fornire un valore per Criticality deve utilizzare l'Criticalityattributo sottoFindingProviderFields. Consultare Aggiornamento dei risultati con FindingProviderFields.
Criticalityviene assegnato un punteggio da 0 a 100, utilizzando una scala di rapporti che supporta solo numeri interi completi. Un punteggio 0 indica che le risorse sottostanti non presentano criticità, mentre un punteggio 100 è riservato per la maggior parte delle risorse critiche.
Per ogni risorsa, al momento dell'assegnazione, tenete presente quanto segue: Criticality
-
La risorsa interessata contiene dati sensibili (ad esempio, un bucket S3 con PII)?
-
La risorsa interessata consente a un avversario di approfondire il proprio accesso o di estendere le proprie capacità per svolgere attività dannose aggiuntive (ad esempio, un account sysadmin compromesso)?
-
La risorsa è un asset critico per l'azienda (ad esempio, un sistema aziendale chiave che se compromesso potrebbe avere un impatto notevole sui profitti)?
Puoi utilizzare le linee guida seguenti:
-
Una risorsa che alimenta sistemi mission-critical o che contiene dati altamente sensibili può essere valutata nell'intervallo 75-100.
-
Una risorsa che alimenta sistemi importanti (ma non critici) o che contiene dati moderatamente importanti può essere valutata nell'intervallo 25-74.
-
Una risorsa che alimenta sistemi non importanti o che contiene dati non sensibili dovrebbe avere un punteggio compreso tra 0 e 24.
Esempio
"Criticality": 99
Rilevamento
L'Detectionoggetto fornisce dettagli sulla sequenza di attacco rilevata da Amazon GuardDuty Extended Threat Detection. GuardDuty genera una sequenza di attacco che rileva quando più eventi si allineano a un'attività potenzialmente sospetta. Per ricevere i risultati della sequenza di GuardDuty attacco in AWS Security Hub Cloud Security Posture Management (CSPM), devi averlo GuardDuty abilitato nel tuo account. Per ulteriori informazioni, consulta Amazon GuardDuty Extended Threat Detection nella Amazon GuardDuty User Guide.
Esempio
"Detection": { "Sequence": { "Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010", "Actors": [{ "Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891", "Session": { "Uid": "1234567891", "MfAStatus": "DISABLED", "CreatedTime": "1716916944000", "Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket" }, "User": { "CredentialUid": "ASIAIOSFODNN7EXAMPLE", "Name": "ec2_instance_role_production", "Type": "AssumedRole", "Uid": "AROA987654321EXAMPLE:i-b188560f", "Account": { "Uid": "AccountId", "Name": "AccountName" } } }], "Endpoints": [{ "Id": "EndpointId", "Ip": "203.0.113.1", "Domain": "example.com", "Port": 4040, "Location": { "City": "New York", "Country": "US", "Lat": 40.7123, "Lon": -74.0068 }, "AutonomousSystem": { "Name": "AnyCompany", "Number": 64496 }, "Connection": { "Direction": "INBOUND" } }], "Signals": [{ "Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7", "Title": "Someone ran a penetration test tool on your account.", "ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"], "Count": 19, "FirstSeenAt": 1716916943000, "SignalIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Data Destruction" ] }, ], "LastSeenAt": 1716916944000, "Name": "Test:IAMUser/KaliLinux", "ResourceIds": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket" ], "Type": "FINDING" }], "SequenceIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Discovery", "Exfiltration", "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBuckets" "s3:ListObjects" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Cloud Service Discovery", "Data Destruction" ] } ] } }
FindingProviderFields
FindingProviderFieldsinclude i seguenti attributi:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
I campi precedenti sono annidati sotto l'FindingProviderFieldsoggetto, ma hanno analoghi con lo stesso nome dei campi ASFF di primo livello. Quando un nuovo risultato viene inviato a Security Hub CSPM da un provider di ricerca, Security Hub CSPM popola automaticamente l'FindingProviderFieldsoggetto se è vuoto in base ai campi di primo livello corrispondenti.
Finding provider può eseguire l'aggiornamento FindingProviderFields utilizzando il BatchImportFindingsfunzionamento dell'API CSPM Security Hub. I provider di Finding non possono aggiornare questo oggetto con. BatchUpdateFindings
Per i dettagli su come Security Hub CSPM gestisce gli aggiornamenti da FindingProviderFields e BatchImportFindings verso gli attributi di primo livello corrispondenti, vedere. Aggiornamento dei risultati con FindingProviderFields
I clienti possono aggiornare i campi di primo livello utilizzando l'operazione. BatchUpdateFindings I clienti non possono effettuare l'aggiornamentoFindingProviderFields.
Esempio
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indica quando il potenziale problema o evento di sicurezza rilevato da un risultato è stato osservato per la prima volta.
Questo timestamp specifica quando l'evento o la vulnerabilità sono stati osservati per la prima volta. Di conseguenza, può differire dal CreatedAt timestamp, che indica quando è stato creato questo record di risultati.
Questo timestamp dovrebbe essere immutabile tra un aggiornamento e l'altro del record di ricerca, ma può essere aggiornato se viene determinato un timestamp più preciso.
Esempio
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indica quando il potenziale problema o evento di sicurezza rilevato da un risultato è stato osservato più di recente dal prodotto Security Finds.
Questo timestamp specifica quando l'evento o la vulnerabilità sono stati osservati l'ultima volta o l'ultima volta. Di conseguenza, può differire dal UpdatedAt timestamp, che indica quando questo record di risultati è stato aggiornato l'ultima volta o l'ultimo aggiornamento.
È possibile fornire questo timestamp, ma non è richiesto alla prima osservazione. Se compili questo campo alla prima osservazione, il timestamp dovrebbe essere lo stesso del timestamp. FirstObservedAt Aggiornare questo campo per riflettere l'ultimo timestamp o il timestamp osservato più di recente ogni volta che un risultato viene osservato.
Esempio
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
L'oggetto Malware fornisce un elenco di malware relativo a una ricerca.
Esempio
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Rete (ritirata)
L'Networkoggetto fornisce informazioni relative alla rete su un risultato.
Questo oggetto è stato ritirato. Per fornire questi dati, è possibile mappare i dati a una risorsa in Resources o utilizzare l'Actionoggetto.
Esempio
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
L'NetworkPathoggetto fornisce informazioni su un percorso di rete correlato a un risultato. Ogni voce in NetworkPath rappresenta un componente del percorso.
Esempio
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Nota
L'Noteoggetto specifica una nota definita dall'utente che è possibile aggiungere a un risultato.
Un provider di risultati può fornire una nota iniziale per una ricerca, ma non può aggiungere note successivamente. È possibile aggiornare una nota solo utilizzando. BatchUpdateFindings
Esempio
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
L'PatchSummaryoggetto fornisce un riepilogo dello stato di conformità della patch per un'istanza rispetto a uno standard di conformità selezionato.
Esempio
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Processo
L'Processoggetto fornisce dettagli relativi al processo relativi a un risultato.
Esempio:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Indica quando Security Hub CSPM ha ricevuto un risultato e ha iniziato a elaborarlo.
Ciò differisce da CreatedAt eUpdatedAt, che sono timestamp obbligatori relativi all'interazione del fornitore dei risultati con il problema e la scoperta di sicurezza. Il ProcessedAt timestamp indica quando Security Hub CSPM inizia a elaborare un risultato. Una volta completata l'elaborazione, viene visualizzato un risultato nell'account di un utente.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Un tipo di dati in cui i prodotti per i risultati della sicurezza possono includere dettagli aggiuntivi specifici della soluzione che non fanno parte del AWS Security Finding Format definito.
Per i risultati generati dai controlli CSPM di Security Hub, ProductFields include informazioni sul controllo. Consultare Generazione e aggiornamento dei risultati di controllo.
Questo campo non deve contenere dati ridondanti e non deve contenere dati in conflitto con i campi del AWS Security Finding Format.
Il prefisso aws/ "" rappresenta uno spazio dei nomi riservato solo a AWS prodotti e servizi e non deve essere associato ai risultati di integrazioni di terze parti.
Anche se non richiesto, i nomi di campo dei prodotti devono avere il formato company-id/product-id/field-name, in cui company-id e product-id corrispondono a quelli forniti nella ProductArn del risultato.
I campi di riferimento Archival vengono utilizzati quando Security Hub CSPM archivia un risultato esistente. Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.
Questo campo può includere anche informazioni sullo standard che include il controllo che ha prodotto il risultato.
Esempio
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Fornisce il nome del prodotto che ha generato il risultato. Per i risultati basati sul controllo, il nome del prodotto è Security Hub CSPM.
Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. BatchImportFindingsBatchUpdateFindings L'eccezione è quando si utilizza un'integrazione personalizzata. Consultare Integrazione di Security Hub CSPM con prodotti personalizzati.
Quando si utilizza la console CSPM di Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza questo attributo.
Quando si utilizza l'API CSPM Security Hub per filtrare i risultati in base al nome del prodotto, si utilizza l'aws/securityhub/ProductNameattributo sotto. ProductFields
Security Hub CSPM non sincronizza questi due attributi.
RecordState
Fornisce lo stato di registrazione di un risultato.
Per impostazione predefinita, i risultati inizialmente generati da un servizio sono considerati ACTIVE.
Lo stato ARCHIVED indica che un risultato deve essere nascosto dalla vista. I risultati archiviati non vengono eliminati immediatamente. Puoi cercarli, esaminarli e riferirli. Security Hub CSPM archivia automaticamente i risultati basati sul controllo se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato.
RecordStateè destinato alla ricerca di fornitori e può essere aggiornato solo utilizzando l'operazione. BatchImportFindings Non è possibile aggiornarlo utilizzando l'BatchUpdateFindingsoperazione.
Per tenere traccia dello stato della tua indagine su un risultato, usa Workflowinvece diRecordState.
Se lo stato del record cambia da ARCHIVED a ACTIVE e lo stato del flusso di lavoro del risultato è NOTIFIED oRESOLVED, Security Hub CSPM modifica automaticamente lo stato del flusso di lavoro in. NEW
Esempio
"RecordState": "ACTIVE"
Regione
Speciifica il risultato Regione AWS da cui è stato generato il risultato.
Security Hub CSPM compila automaticamente questo attributo per ogni risultato. Non è possibile aggiornarlo utilizzando o. BatchImportFindingsBatchUpdateFindings
Esempio
"Region": "us-west-2"
RelatedFindings
Fornisce un elenco di risultati correlati al risultato corrente.
RelatedFindingsdeve essere aggiornato solo con l'operazione BatchUpdateFindingsAPI. Non dovresti aggiornare questo oggetto con BatchImportFindings.
Per BatchImportFindingsle richieste, i provider di ricerca devono utilizzare l'RelatedFindingsoggetto sotto FindingProviderFields.
Per visualizzare le descrizioni degli RelatedFindings attributi, consulta il riferimento RelatedFindingall'AWS API Security Hub Cloud Security Posture Management (CSPM).
Esempio
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
RiskAssessment
Esempio
"RiskAssessment": { "Posture": { "FindingTotal": 4, "Indicators": [ { "Type": "Reachability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] }, { "Type": "Vulnerability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] } ] } }
Correzione
L'oggetto Remediation fornisce informazioni sulle procedure di correzione consigliate per risolvere la ricerca.
Esempio
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub Cloud Security Posture Management (CSPM) documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Project N.E.M.O.
Specifica se il risultato è un risultato di esempio.
"Sample": true
SourceUrl
L'SourceUrloggetto fornisce un URL che rimanda a una pagina relativa alla scoperta corrente del prodotto oggetto della ricerca.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
L'ThreatIntelIndicatoroggetto fornisce dettagli di intelligence sulle minacce correlati a una scoperta.
Esempio
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Minacce
L'Threatsoggetto fornisce dettagli sulla minaccia rilevata da un risultato.
Esempio
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Fornisce un elenco di coppie di stringhe nome-valore associate al risultato. Si tratta di campi personalizzati, definiti dall'utente che vengono aggiunti a un risultato. Questi campi possono essere generati automaticamente tramite una configurazione specifica.
I fornitori di servizi di ricerca non devono utilizzare questo campo per i dati generati dal prodotto. Invece, i provider di ricerca possono utilizzare il ProductFields campo per i dati che non sono mappati a nessun campo standard del AWS Security Finding Format.
Questi campi possono essere aggiornati solo utilizzando BatchUpdateFindings.
Esempio
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Fornisce la veridicità di un risultato. I prodotti Findings possono fornire un valore di UNKNOWN per questo campo. Un prodotto dei risultati dovrebbe fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati. Questo campo viene in genere compilato in base alla determinazione o all'azione dell'utente dopo l'analisi di un risultato.
Un provider di risultati può fornire un valore iniziale per questo attributo, ma non può aggiornarlo successivamente. È possibile aggiornare questo attributo solo utilizzando. BatchUpdateFindings
"VerificationState": "Confirmed"
Vulnerabilità
L'Vulnerabilitiesoggetto fornisce un elenco di vulnerabilità associate a un risultato.
Esempio
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flusso di lavoro
L' oggetto Workflow fornisce informazioni sullo stato dell'indagine su un risultato.
Questo campo è destinato ai clienti da utilizzare con strumenti di correzione, orchestrazione e ticketing. Non è destinato per provider di risultati.
Puoi aggiornare il campo solo con. Workflow BatchUpdateFindings I clienti possono anche aggiornarlo dalla console. Consultare Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM.
Esempio
"Workflow": { "Status": "NEW" }
WorkflowState (Ritirato)
Questo oggetto è stato ritirato ed è stato sostituito dal Status campo dell'Workflowoggetto.
Questo campo fornisce lo stato del flusso di lavoro di un risultato. I prodotti dei risultati sono in grado di fornire il valore di NEW per questo campo. Un prodotto dei risultati è in grado di fornire un valore per questo campo se esiste un analogo significativo nel sistema del prodotto dei risultati.
Esempio
"WorkflowState": "NEW"
