Atributos de nível superior do ASFT obrigatórios - AWS Security Hub
AwsAccountIdCreatedAtDescriçãoGeneratorIdIdProductArnRecursosSchemaVersionGravidadeCargoTiposUpdatedAt

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos de nível superior do ASFT obrigatórios

Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são necessários para todas as descobertas no Security Hub CSPM. Para obter mais informações sobre esses atributos, consulte AwsSecurityFindingna Referência da API do AWS Security Hub.

AwsAccountId

O Conta da AWS ID ao qual a descoberta se aplica.

Exemplo

"AwsAccountId": "111111111111"

CreatedAt

Indica quando o possível problema de segurança ou evento capturado por uma descoberta foi criado.

Exemplo

"CreatedAt": "2017-03-22T13:22:13.933Z"

Descrição

A descrição de uma descoberta. Esse campo pode ser um texto padronizado não específico ou detalhes específicos da instância da descoberta.

Para as descobertas de controle geradas pelo Security Hub CSPM, esse campo fornece uma descrição do controle.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."

GeneratorId

O identificador do componente específico da solução (uma unidade discreta de lógica) que gerou uma descoberta.

Para descobertas de controle geradas pelo Security Hub CSPM, esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"GeneratorId": "security-control/Config.1"

Id

O identificador específico do produto para uma descoberta. Para as descobertas de controle geradas pelo Security Hub CSPM, esse campo fornece o Amazon Resource Name (ARN) da descoberta.

Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"

ProductArn

O Amazon Resource Name (ARN) gerado pelo Security Hub CSPM que identifica de forma exclusiva um produto de descoberta de terceiros depois que o produto é registrado no Security Hub CSPM.

O formato desse campo é arn:partition:securityhub:region:account-id:product/company-id/product-id.

  • Para Serviços da AWS que sejam integrados ao Security Hub CSPM, o company-id deve ser "aws“e o product-id deve ser o nome do serviço AWS público. Como AWS os produtos e serviços não estão associados a uma conta, a account-id seção do ARN está vazia. Serviços da AWS que ainda não estão integrados ao CSPM do Security Hub são considerados produtos de terceiros.

  • Para produtos públicos, o company-id e o product-id devem ser os valores de ID especificados no momento do registro.

  • Para os produtos privados, o company-id deve ser o ID da conta. O product-id deve ser a palavra reservada "default" ou o ID que foi especificado no momento do registro.

Exemplo

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Recursos

A Resources matriz de objetos fornece um conjunto de tipos de dados de recursos que descrevem os AWS recursos aos quais a descoberta se refere. Para obter detalhes sobre os campos que um Resources objeto pode conter, incluindo quais campos são obrigatórios, consulte Resourcea Referência da API do AWS Security Hub. Para obter exemplos de Resources objetos específicos Serviços da AWS, consulteObjeto Resources do ASFF.

Exemplo

"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

A versão do esquema para a qual uma descoberta está formatada. O valor desse campo deve ser uma das versões publicadas oficialmente identificadas pela AWS. Na versão atual, a versão do esquema AWS Security Finding Format é2018-10-08.

Exemplo

"SchemaVersion": "2018-10-08"

Gravidade

Define a importância de uma descoberta. Para obter detalhes sobre esse objeto, consulte a SeverityReferência da API AWS Security Hub Cloud Security Posture Management (CSPM).

Severity é ao mesmo tempo um objeto de nível superior em uma descoberta e está aninhado sob o objeto FindingProviderFields.

O valor do Severity objeto de nível superior para uma descoberta deve ser atualizado somente usando a BatchUpdateFindingsAPI.

Para fornecer informações de gravidade, os provedores de descobertas devem atualizar o objeto Severity em FindingProviderFields quando fizerem uma solicitação de API BatchImportFindings.
 Se uma BatchImportFindings solicitação para uma nova descoberta fornecer apenas Label ou fornecer apenasNormalized, o CSPM do Security Hub preencherá automaticamente o valor do outro campo. Os Original campos Product e também podem ser preenchidos.

Se o Finding.Severity objeto de nível superior estiver presente, mas não Finding.FindingProviderFields estiver presente, o Security Hub CSPM cria o FindingProviderFields.Severity objeto e copia o todo Finding.Severity object nele. Isso garante que os detalhes originais fornecidos pelo provedor sejam mantidos na estrutura de FindingProviderFields.Severity, mesmo que o objeto de nível superior Severity seja sobrescrito.

A gravidade da descoberta não considera a criticidade dos ativos envolvidos ou do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica tem maior criticidade do que um recurso associado a testes de não produção. Para capturar informações sobre criticidade do recurso, use o campo Criticality.

Recomendamos usar a seguinte orientação ao traduzir os escores de gravidade nativos dos resultados para o valor de Severity.Label na ASFF.

  • INFORMATIONAL: essa categoria pode incluir uma descoberta para uma verificação PASSED, WARNING ou NOT AVAILABLE ou uma identificação de dados confidenciais.

  • LOW: descobertas que podem resultar em compromissos futuros. Por exemplo, essa categoria pode incluir vulnerabilidades, pontos fracos da configuração e senhas expostas.

  • MEDIUM: as descobertas que indicam um comprometimento ativo, mas nenhuma indicação de que um adversário tenha concluído seus objetivos. Por exemplo, essa categoria pode incluir atividade de malware, atividade de hacking e detecção de comportamento incomum.

  • HIGH ou CRITICAL: descobertas que indicam que um adversário concluiu seus objetivos, como perda ou comprometimento ativo de dados ou uma negação de serviço.

Exemplo

"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}

Cargo

O título de uma descoberta. Esse campo pode conter texto padronizado não específico ou detalhes específicos dessa instância da descoberta.

Para descobertas de controle, esse campo fornece o título do controle. Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Exemplo

"Title": "AWS Config should be enabled"

Tipos

Um ou mais tipos de descobertas no formato de namespace/category/classifier que classificam uma descoberta. Esse campo não faz referência a um padrão se você ativar as descobertas de controle consolidadas.

Typesdeve ser atualizado somente usando a BatchUpdateFindingsAPI.

Os provedores de descobertas que desejam fornecer um valor para Types devem usar o atributo Types sob FindingProviderFields.

Na lista a seguir, os marcadores de nível superior são namespaces, os marcadores de segundo nível são categorias e os marcadores de terceiro nível são classificadores. Recomendamos que os provedores de descobertas usem namespaces definidos para ajudar a classificar e agrupar as descobertas. As categorias e os classificadores definidos também podem ser usados, mas não são obrigatórios. Somente o namespace Verificações de software e configuração tem classificadores definidos.

Você pode definir um caminho parcial paranamespace/category/classifier. Por exemplo, todos os tipos de descoberta a seguir são válidos:

  • TTPs

  • TTPs/Evasão de defesa

  • TTPs/Defense Evasion/CloudTrailStopped

As categorias de táticas, técnicas e procedimentos (TTPs) na lista a seguir se alinham ao MITRE ATT&CK MatrixTM. O spacename de Comportamentos incomuns reflete o comportamento incomum geral, como anomalias estatísticas gerais, e não está alinhado a um TTP específico. No entanto, você pode classificar uma descoberta com comportamentos incomuns e tipos de TTPs descoberta.

Lista de namespaces, categorias e classificadores:

  • Verificações de software e configuração

    • Vulnerabilidades

      • CVE

    • AWS Práticas recomendadas de segurança

      • Acessibilidade de rede

      • Análise de comportamento do tempo de execução

    • Padrões regulatórios e do setor

      • AWS Melhores práticas básicas de segurança

      • Referências do CIS Host Hardening

      • Referência do CIS AWS Foundations

      • PCI-DSS

      • Controles da Cloud Security Alliance

      • Controles ISO 90001

      • Controles ISO 27001

      • Controles ISO 27017

      • Controles ISO 27018

      • SOC 1

      • SOC 2

      • Controles HIPAA (EUA)

      • Controles NIST 800-53 (EUA)

      • Controles da CSF do NIST (EUA)

      • Controles IRAP (Austrália)

      • Controles K-ISMS (Coreia)

      • Controles MTCS (Singapura)

      • Controles FISC (Japão)

      • Controles da Lei Meu Número (Japão)

      • Controles ENS (Espanha)

      • Controles Cyber Essentials Plus (Reino Unido)

      • Controles G-Cloud (Reino Unido)

      • Controles C5 (Alemanha)

      • Controles IT-Grundschutz (Alemanha)

      • Controles GDPR (Europa)

      • Controles TISAX (Europa)

    • Gerenciamento de patches

  • TTPs

    • Acesso inicial

    • Execução

    • Persistência

    • Escalonamento de privilégios

    • Evasão de defesa

    • Acesso credencial

    • Descoberta

    • Movimento lateral

    • Coleta

    • Comando e controle

  • Efeitos

    • Exposição de dados

    • Exfiltração de dados

    • Destruição de dados

    • Negação de serviço

    • Consumo de recursos

  • Comportamentos incomuns

    • Aplicação

    • Fluxo de rede

    • Endereço IP

    • Usuário

    • VM

    • Contêiner

    • Sem servidor

    • Processo

    • Banco de dados

    • Dados

  • Identificação de dados confidenciais

    • PII

    • Senhas

    • Legal

    • Financeiro

    • Segurança

    • Business

Exemplo

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]

UpdatedAt

Indica quando o provedor de descoberta atualizou o registro de descoberta pela última vez.

Esse timestamp reflete a hora em que o registro de descoberta foi atualizado pela última vez ou a mais recente. Consequentemente, ele pode ser diferente do timestamp LastObservedAt, que reflete quando o evento ou vulnerabilidade foi observado pela última vez ou foi observado mais recentemente.

Ao atualizar o registro de descoberta, é necessário atualizar esse timestamp para o timestamp atual. Após a criação de um registro de descoberta, os timestamps CreatedAt e UpdatedAt devem ser o mesmo. Após uma atualização do registro de localização, o valor desse campo deve ser mais recente do que todos os valores anteriores que ele continha.

Observe que UpdatedAt não pode ser atualizado usando a BatchUpdateFindingsoperação. Você pode atualizá-lo somente usando a BatchImportFindingsoperação.

Exemplo

"UpdatedAt": "2017-04-22T13:22:13.933Z"