將問題清單映射到AWS安全問題清單格式 (ASFF) 的指導方針 - AWS Security Hub CSPM
識別資訊Title 和 Description調查結果類型時間戳記SeverityRemediationSourceUrlMalware, Network, Process, ThreatIntelIndicatorsResourcesProductFields合規受限制的欄位

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將問題清單映射到AWS安全問題清單格式 (ASFF) 的指導方針

使用下列準則將您的問題清單映射至 ASFF。如需每個 ASFF 欄位和物件的詳細說明,請參閱AWS Security Hub《 使用者指南》中的AWS安全問題清單格式 (ASFF)

識別資訊

SchemaVersion 始終是 2018-10-08

ProductArn 是AWS Security Hub CSPM指派給您的 ARN。

Id 是 Security Hub CSPM 用來為問題清單編製索引的值。問題清單識別符必須是唯一的,以確保不會覆寫其他問題清單。若要更新問題清單,請使用相同的識別符重新提交問題清單。

GeneratorId 可以與 相同Id,也可以參考離散的邏輯單位,例如 Amazon GuardDuty 偵測器 ID、AWS Config記錄器 ID 或 IAM Access Analyzer ID。

Title 和 Description

Title 應該包含有關受影響資源的一些資訊。 限制Title為 256 個字元,包括空格。

將較長的詳細資訊新增至 Description。 限制Description為 1024 個字元,包括空格。您可以考慮將截斷新增至描述。範例如下:

"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",

調查結果類型

您可以在 中提供問題清單類型資訊FindingProviderFields.Types

Types 應該符合 ASFF 的分類類型

如有需要,您可以指定自訂分類器 (第三個命名空間)。

時間戳記

ASFF 格式包含幾個不同的時間戳記。

CreatedAtUpdatedAt

每次BatchImportFindings呼叫每個問題清單UpdatedAt時,您必須提交 CreatedAt和 。

這些值必須符合 Python 3.8 中的 ISO8601 格式。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
FirstObservedAtLastObservedAt

FirstObservedAt 當您的系統觀察到問題清單時, 和 LastObservedAt 必須相符。如果您不記錄此資訊,則不需要提交這些時間戳記。

這些值符合 Python 3.8 中的 ISO8601 格式。

datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()

Severity

您可以在 FindingProviderFields.Severity 物件中提供嚴重性資訊,其中包含下列欄位。

Original

您系統的嚴重性值。 Original 可以是任何字串,以容納您使用的系統。

Label

問題清單嚴重性的必要 Security Hub CSPM 指標。允許的值如下所示。

  • INFORMATIONAL – 找不到問題。

  • LOW – 問題不需要自行執行動作。

  • MEDIUM – 必須解決問題,但不能緊急解決。

  • HIGH – 問題必須以優先順序處理。

  • CRITICAL – 問題必須立即修復,以防止進一步的傷害。

合規的問題清單應一律Label設定為 INFORMATIONALINFORMATIONAL 問題清單範例是通過安全檢查的問題清單,以及已修復的問題AWS Firewall Manager清單。

客戶通常會依嚴重性排序問題清單,以為其安全營運團隊提供待辦事項清單。將調查結果嚴重性設定為 HIGH或 時,請保守。 CRITICAL

您的整合文件必須包含您的映射原理。

Remediation

Remediation 有兩個元素。這些元素在 Security Hub CSPM 主控台上合併。

Remediation.Recommendation.Text 會顯示在調查結果詳細資訊的修復區段中。其超連結至 的值Remediation.Recommendation.Url

目前,只有來自 Security Hub CSPM 標準、IAM Access Analyzer 和 Firewall Manager 的問題清單會顯示有關如何修復問題清單的文件超連結。

SourceUrl

只有在您可以為主控台提供特定問題清單的深層連結 URL SourceUrl時,才能使用 。否則,請將其從映射中省略。

Security Hub CSPM 不支援此欄位的超連結,但會在 Security Hub CSPM 主控台上公開。

Malware, Network, Process, ThreatIntelIndicators

如適用,請使用 MalwareProcessNetworkThreatIntelIndicators。每個物件都會在 Security Hub CSPM 主控台中公開。在您傳送的問題清單內容中使用這些物件。

例如,如果您偵測到對已知命令和控制節點進行傳出連線的惡意軟體,請在 中提供 EC2 執行個體的詳細資訊Resource.Details.AwsEc2Instance。提供該 EC2 執行個體的相關 MalwareNetwork、 和 ThreatIntelIndicator 物件。

Malware

Malware 是一個清單,最多可接受五個陣列的惡意軟體資訊。讓惡意軟體項目與資源和調查結果相關。

每個項目都有下列欄位。

Name

惡意軟體的名稱。值是最多 64 個字元的字串。

Name 應該來自經過審核的威脅情報或研究者來源。

Path

惡意軟體的路徑。值是最多 512 個字元的字串。 Path 應該是 Linux 或 Windows 系統檔案路徑,但下列情況除外。

  • 如果您針對 YARA 規則掃描 S3 儲存貯體或 EFS 共用中的物件,則 Path是 S3:// 或 HTTPS 物件路徑。

  • 如果您掃描 Git 儲存庫中的檔案,則 Path是 Git URL 或複製路徑。

State

惡意軟體的狀態。允許的值為 OBSERVED | REMOVAL_FAILED | REMOVED

在調查結果標題和描述中,請確定您提供惡意軟體所發生情況的內容。

例如,如果 Malware.StateREMOVED,則調查結果標題和描述應該反映您的產品已移除路徑上的惡意軟體。

如果 Malware.StateOBSERVED,則調查結果標題和描述應該反映您的產品遇到路徑上的此惡意軟體。

Type

指出惡意軟體的類型。允許的值為 ADWARE | BLENDED_THREAT | BOTNET_AGENT | COIN_MINER | EXPLOIT_KIT KEYLOGGER | MACRO | POTENTIALLY_UNWANTED | SPYWARE | RANSOMWARE | REMOTE_ACCESS | ROOTKIT | TROJAN | | | | VIRUS | | WORM

如果您需要額外的 值Type,請聯絡 Security Hub CSPM 團隊。

Network

Network 是單一物件。您無法新增多個網路相關詳細資訊。映射欄位時,請使用下列準則。

目的地和來源資訊

目的地和來源很容易對應 TCP 或 VPC 流程日誌或 WAF 日誌。當您描述有關攻擊問題清單的網路資訊時,它們更難使用。

一般而言,來源是攻擊的來源,但可能有其他來源,如下所示。您應該在文件中解釋來源,並在調查結果標題和描述中加以描述。

  • 對於 EC2 執行個體的 DDoS 攻擊,來源是攻擊者,但真正的 DDoS 攻擊可能會使用數百萬個主機。目的地是 EC2 執行個體的公有 IPv4 地址。 Direction是 IN。

  • 對於觀察到從 EC2 執行個體與已知命令和控制節點通訊的惡意軟體,來源是 EC2 執行個體的 IPV4 地址。目的地是命令和控制節點。 DirectionOUT。您也可以提供 MalwareThreatIntelIndicators

Protocol

Protocol 一律會對應至網際網路指派號碼授權機構 (IANA) 註冊名稱,除非您可以提供特定通訊協定。您應該一律使用此項目,並提供連接埠資訊。

Protocol 獨立於來源和目的地資訊。只有在合理時才提供。

Direction

Direction 一律與AWS網路邊界相對。

  • IN 表示它正在進入 AWS(VPC, 服務)。

  • OUT 表示它正在結束AWS網路邊界。

Process

Process 是單一物件。您無法新增多個程序相關詳細資訊。映射欄位時,請使用下列準則。

Name

Name 應該符合可執行檔的名稱。它最多接受 64 個字元。

Path

Path 是程序可執行檔的檔案系統路徑。它最多接受 512 個字元。

Pid, ParentPid

PidParentPid應該符合 Linux 程序識別符 (PID) 或 Windows 事件 ID。若要區分,請使用 EC2 Amazon Machine Image (AMI) 提供資訊。客戶可能會區分 Windows 和 Linux。

時間戳記 (LaunchedAtTerminatedAt)

如果您無法可靠地擷取此資訊,且其對於毫秒不正確,請勿提供此資訊。

如果客戶依賴時間戳記進行鑑識調查,則沒有時間戳記比具有錯誤的時間戳記更好。

ThreatIntelIndicators

ThreatIntelIndicators 接受最多五個威脅情報物件的陣列。

對於每個項目, Type 位於特定威脅的內容中。允許的值為 DOMAIN | EMAIL_ADDRESS | HASH_MD5 | HASH_SHA1 | HASH_SHA256 | HASH_SHA512 | IPV4_ADDRESS IPV6_ADDRESS | MUTEX | | PROCESS | URL

以下是如何映射威脅情報指標的一些範例:

  • 您找到一個您知道與 Cobalt Strike 相關聯的程序。您從 FireEye 的部落格中了解到這一點。

    Type 設定為 PROCESS。同時為程序建立 Process 物件。

  • 您的郵件篩選條件找到某人從已知惡意網域傳送已知雜湊套件。

    建立兩個ThreatIntelIndicator物件。一個物件適用於 DOMAIN。另一個用於 HASH_SHA1

  • 您使用 Yara 規則 (Loki、Fenrir、Awss3VirusScan、BinaryAlert) 找到惡意軟體。

    建立兩個ThreatIntelIndicator物件。一個用於惡意軟體。另一個用於 HASH_SHA1

Resources

對於 Resources,請盡可能使用我們提供的資源類型和詳細資訊欄位。Security Hub CSPM 會持續將新資源新增至 ASFF。若要接收 ASFF 變更的每月日誌,請聯絡

如果您無法將資訊納入模型化資源類型的詳細資訊欄位中,請將剩餘的詳細資訊映射至 Details.Other

對於未在 ASFF 中建模的資源,請將 Type設定為 Other。如需詳細資訊,請使用 Details.Other

您也可以將 Other 資源類型用於非AWS調查結果。

ProductFields

只有在您無法為 使用其他策劃的欄位Resources或描述性物件,例如 ThreatIntelIndicators、 或 ProductFieldsNetwork,才能使用 Malware

如果您確實使用 ProductFields,則必須提供此決策的嚴格理由。

合規

只有在問題清單與合規相關Compliance時才使用 。

Security Hub CSPM Compliance使用 根據控制項產生的問題清單。

Firewall Manager 使用 Compliance 做為其調查結果,因為它們與合規相關。

受限制的欄位

這些欄位旨在讓客戶追蹤對調查結果的調查。

請勿映射到這些欄位或物件。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

對於這些欄位,映射到 FindingProviderFields 物件中的欄位。請勿映射至最上層欄位。

  • Confidence – 只有在您的服務具有類似功能,或您的調查結果 100% 站立時,才包含可信度分數 (0-99)。

  • Criticality – 關鍵性分數 (0-99) 旨在表達與調查結果相關聯資源的重要性。

  • RelatedFindings – 只有在您可以追蹤與相同資源或問題清單類型相關的問題清單時,才提供相關的問題清單。若要識別相關調查結果,您必須參考已在 Security Hub CSPM 中調查結果的調查結果識別符。