Atributos de nivel superior opcionales del ASFF
Los siguientes atributos de nivel superior del formato de resultados de seguridad de AWS (ASFF) son opcionales para los resultados en el CSPM de Security Hub. Para obtener más información sobre estos atributos, consulte AwsSecurityFinding en la Referencia de la API de AWS Security Hub.
Acción
El objeto Action proporciona detalles sobre una acción que afecta a un recurso o que se realizó respecto a este.
Ejemplo
"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }
AwsAccountName
El nombre de Cuenta de AWS al que se aplica el resultado.
Ejemplo
"AwsAccountName": "jane-doe-testaccount"
CompanyName
El nombre de la empresa del producto que generó el resultado. En el caso de los resultados basados en el control, la empresa es AWS.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Integración del CSPM de Security Hub con productos personalizados.
Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de empresa, se utiliza este atributo. Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de empresa, utiliza el atributo aws/securityhub/CompanyName dentro de ProductFields. El CSPM de Security Hub no sincroniza esos dos atributos.
Ejemplo
"CompanyName": "AWS"
Conformidad
El objeto Compliance normalmente proporciona detalles sobre un resultado de control, como los estándares aplicables y el estado de la comprobación de control.
Ejemplo
"Compliance": { "AssociatedStandards": [ {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}, {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"}, {"StandardsId": "standards/nist-800-53/v/5.0.0"} ], "RelatedRequirements": [ "NIST.800-53.r5 AC-4", "NIST.800-53.r5 AC-4(21)", "NIST.800-53.r5 SC-7", "NIST.800-53.r5 SC-7(11)", "NIST.800-53.r5 SC-7(16)", "NIST.800-53.r5 SC-7(21)", "NIST.800-53.r5 SC-7(4)", "NIST.800-53.r5 SC-7(5)" ], "SecurityControlId": "EC2.18", "SecurityControlParameters":[ { "Name": "authorizedTcpPorts", "Value": ["80", "443"] }, { "Name": "authorizedUdpPorts", "Value": ["427"] } ], "Status": "NOT_AVAILABLE", "StatusReasons": [ { "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE", "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation." } ] }
Confianza
La probabilidad de que un resultado identifique de forma precisa el comportamiento o problema que se pretendía identificar.
Confidence solo debe actualizarse mediante BatchUpdateFindings.
Los proveedores de resultados que deseen proporcionar un valor para Confidence deben utilizar el atributo Confidence en FindingProviderFields. Consulte Actualizar los resultados mediante FindingProviderFields.
Confidence recibe una puntuación de 0-100 en base a una escala de proporción, donde 0 significa 0 por cien de confianza y 100 significa 100 por cien de confianza. Por ejemplo, una detección de filtración de datos en base a una desviación estadística del tráfico de red tiene una confianza mucho más baja porque no se ha verificado una filtración real.
Ejemplo
"Confidence": 42
Criticidad
El nivel de importancia que se asigna a los recursos asociados con el resultado.
Criticality solo debe actualizarse llamando a la operación de la API BatchUpdateFindings. No actualice este objeto con BatchImportFindings.
Los proveedores de resultados que deseen proporcionar un valor para Criticality deben utilizar el atributo Criticality en FindingProviderFields. Consulte Actualizar los resultados mediante FindingProviderFields.
Criticality se puntúa de 0-100, mediante una escala de proporción que solo admite números enteros. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.
Para cada recurso, tenga en cuenta lo siguiente al asignar Criticality:
-
¿Contiene el recurso afectado información confidencial (por ejemplo, un bucket de S3 con PII)?
-
¿Permite el recurso afectado que un adversario profundice su acceso o amplíe sus capacidades de llevar a cabo actividades malintencionadas adicionales (por ejemplo, cuenta sysadmin en peligro)?
-
¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?
Puede utilizar las siguientes directrices:
-
Un recurso que habilita sistemas esenciales o que contiene un alto nivel de información confidencial puede puntuar en el intervalo de 75-100.
-
Un recurso que habilita sistemas importantes (pero no esenciales) o que contiene datos moderadamente importantes puede puntuar en el intervalo de 25-75.
-
Un recurso que habilita sistemas no importantes o que no contienen información confidencial debe puntuar en el intervalo de 0-24.
Ejemplo
"Criticality": 99
Detección
El objeto Detection proporciona detalles sobre un resultado de secuencia de ataque de la detección extendida de amenazas de Amazon GuardDuty. GuardDuty genera un resultado de secuencia de ataque cuando varios eventos coinciden con una actividad potencialmente sospechosa. Para recibir resultados de secuencia de ataque de GuardDuty en el CSPM de AWS Security Hub, debe tener GuardDuty habilitado en la cuenta. Para obtener más información, consulte Detección extendida de amenazas de Amazon GuardDuty en la Guía del usuario de Amazon GuardDuty.
Ejemplo
"Detection": { "Sequence": { "Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010", "Actors": [{ "Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891", "Session": { "Uid": "1234567891", "MfAStatus": "DISABLED", "CreatedTime": "1716916944000", "Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket" }, "User": { "CredentialUid": "ASIAIOSFODNN7EXAMPLE", "Name": "ec2_instance_role_production", "Type": "AssumedRole", "Uid": "AROA987654321EXAMPLE:i-b188560f", "Account": { "Uid": "AccountId", "Name": "AccountName" } } }], "Endpoints": [{ "Id": "EndpointId", "Ip": "203.0.113.1", "Domain": "example.com", "Port": 4040, "Location": { "City": "New York", "Country": "US", "Lat": 40.7123, "Lon": -74.0068 }, "AutonomousSystem": { "Name": "AnyCompany", "Number": 64496 }, "Connection": { "Direction": "INBOUND" } }], "Signals": [{ "Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7", "Title": "Someone ran a penetration test tool on your account.", "ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"], "Count": 19, "FirstSeenAt": 1716916943000, "SignalIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Data Destruction" ] }, ], "LastSeenAt": 1716916944000, "Name": "Test:IAMUser/KaliLinux", "ResourceIds": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket" ], "Type": "FINDING" }], "SequenceIndicators": [ { "Key": "ATTACK_TACTIC", "Title": "Attack Tactic", "Values": [ "Discovery", "Exfiltration", "Impact" ] }, { "Key": "HIGH_RISK_API", "Title": "High Risk Api", "Values": [ "s3:DeleteObject", "s3:GetObject", "s3:ListBuckets" "s3:ListObjects" ] }, { "Key": "ATTACK_TECHNIQUE", "Title": "Attack Technique", "Values": [ "Cloud Service Discovery", "Data Destruction" ] } ] } }
FindingProviderFields
FindingProviderFields incluye los siguientes atributos:
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
Los campos anteriores están anidados debajo del objeto FindingProviderFields, pero tienen análogos del mismo nombre que los campos del ASFF de nivel superior. Cuando un proveedor envía un nuevo resultado al CSPM de Security Hub, el CSPM de Security Hub completa automáticamente el objeto FindingProviderFields si está vacío, según los campos de nivel superior correspondientes.
Los proveedores de resultados pueden actualizar FindingProviderFields mediante la operación BatchImportFindings de la API del CSPM de Security Hub. Los proveedores de resultados no pueden actualizar este objeto mediante BatchUpdateFindings.
Para obtener detalles sobre cómo el CSPM de Security Hub maneja las actualizaciones desde BatchImportFindings hacia FindingProviderFields y hacia los atributos de nivel superior correspondientes, consulte Actualizar los resultados mediante FindingProviderFields.
Los clientes pueden actualizar los campos de nivel superior mediante la operación BatchUpdateFindings. Los clientes no pueden actualizar FindingProviderFields.
Ejemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
FirstObservedAt
Indica el momento en que se observó por primera vez el posible problema o evento de seguridad que aparece en el resultado.
Esta marca de tiempo indica cuándo se observó por primera vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo CreatedAt, la cual refleja cuándo se creó este registro del resultado.
En el caso de los resultados de controles que genera y actualiza el CSPM de Security Hub, esta marca de tiempo también puede indicar cuándo cambió por última vez el estado de cumplimiento de un recurso. Para otros tipos de resultados, esta marca de tiempo debe permanecer inmutable entre las actualizaciones del registro del resultado, pero puede actualizarse si se determina una marca de tiempo más precisa.
Ejemplo
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt
Indica el momento en que el producto de resultados de seguridad observó por última vez el posible problema o evento capturado por un resultado.
Esta marca de tiempo indica cuándo se observó por última vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo UpdatedAt, que refleja cuándo se actualizó este registro de resultados por última vez.
Puede proporcionar esta marca temporal, pero no es necesaria tras la primera observación. Si completa este campo en la primera observación, la marca de tiempo debe coincidir con la marca de tiempo FirstObservedAt. Debe actualizar este campo para reflejar la marca temporal observada más recientemente o por última vez cada vez se observa un resultado.
Ejemplo
"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware
El objeto Malware proporciona una lista de malware relacionada con un resultado.
Ejemplo
"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Network (Retired)
El objeto Network brinda información relacionada con la red de un resultado.
Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso en Resources o utilizar el objeto Action.
Ejemplo
"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath
El objeto NetworkPath proporciona información sobre una ruta de red relacionada con un resultado. Cada entrada en NetworkPath representa un componente de la ruta.
Ejemplo
"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]
Nota
El objeto Note especifica una nota definida por el usuario que se puede añadir a un resultado.
Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puede actualizar una nota con BatchUpdateFindings.
Ejemplo
"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary
El objeto PatchSummary proporciona un resumen del estado de conformidad del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.
Ejemplo
"PatchSummary" : { "FailedCount" : 0, "Id" : "pb-123456789098", "InstalledCount" : 100, "InstalledOtherCount" : 1023, "InstalledPendingReboot" : 0, "InstalledRejectedCount" : 0, "MissingCount" : 100, "Operation" : "Install", "OperationEndTime" : "2018-09-27T23:39:31Z", "OperationStartTime" : "2018-09-27T23:37:31Z", "RebootOption" : "RebootIfNeeded" }
Proceso
El objeto Process proporciona detalles relacionados con el proceso acerca del resultado.
Ejemplo:
"Process": { "LaunchedAt": "2018-09-27T22:37:31Z", "Name": "syslogd", "ParentPid": 56789, "Path": "/usr/sbin/syslogd", "Pid": 12345, "TerminatedAt": "2018-09-27T23:37:31Z" }
ProcessedAt
Indica el momento en que el CSPM de Security Hub recibió un resultado y comenzó a procesarlo.
Esto difiere de CreatedAt y UpdatedAt, que son marcas de tiempo obligatorias relacionadas con la interacción del proveedor del resultado con el problema de seguridad y con el propio resultado. La marca de tiempo ProcessedAt señala cuándo el CSPM de Security Hub inicia el procesamiento de un resultado. Un resultado aparece en la cuenta del usuario después de que el procesamiento finaliza.
"ProcessedAt": "2023-03-23T13:22:13.933Z"
ProductFields
Un tipo de datos donde los productos de resultados de seguridad pueden incluir detalles específicos de soluciones adicionales que no forman parte de Formato de resultados de seguridad de AWS definido.
En el caso de los resultados generados por los controles del CSPM de Security Hub, ProductFields incluye información sobre el control. Consulte Generación y actualización de los resultados de control.
Este campo no debe contener datos redundantes y no debe contener datos que estén en conflicto con los campos de AWS Security Finding Format.
El prefijo “aws/” representa un espacio de nombres reservado para productos y servicios de AWS solo y no debe enviarse con resultados de integraciones de terceros.
Aunque no es necesario, los productos deben formatear los nombres de los campos como company-id/product-id/field-name, donde el company-id y el product-id coinciden con los suministrados en el ProductArn del hallazgo.
Los campos que hacen referencia a Archival se usan cuando el CSPM de Security Hub archiva un resultado existente. Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando desactiva un control o un estándar y cuando activa o desactiva los resultados consolidados de controles.
Este campo también puede incluir información sobre el estándar que incluye el control que produjo el resultado.
Ejemplo
"ProductFields": { "API", "DeleteTrail", "ArchivalReasons:0/Description": "The finding is in anARCHIVEDstate because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.", "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures", "generico/secure-pro/Action.Type", "AWS_API_CALL", "generico/secure-pro/Count": "6", "Service_Name": "cloudtrail.amazonaws.com" }
ProductName
Proporciona el nombre del producto que generó el resultado. En el caso de los resultados basados en controles, el nombre del producto es CSPM de Security Hub.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings. La excepción a esto es cuando se utiliza una integración personalizada. Consulte Integración del CSPM de Security Hub con productos personalizados.
Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza este atributo.
Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza el atributo aws/securityhub/ProductName dentro de ProductFields.
El CSPM de Security Hub no sincroniza esos dos atributos.
RecordState
El estado de registro de un a resultado.
De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran ACTIVE.
El estado ARCHIVED indica que un hallazgo estará oculto a la vista. Los resultados archivados no se eliminan de inmediato. Puede buscar, examinar e informar sobre ellos. El CSPM de Security Hub archiva automáticamente los resultados basados en controles cuando el recurso asociado se elimina, el recurso no existe o el control está desactivado.
RecordState está destinado a los proveedores de resultados y solo se puede actualizar mediante la operación BatchImportFindings. No puede actualizarlo mediante la operación BatchUpdateFindings.
Para hacer un seguimiento del estado de la investigación sobre un resultado, utilice Workflow en lugar de RecordState.
Si el estado del registro cambia de ARCHIVED a ACTIVE y el estado del flujo de trabajo del resultado es NOTIFIED o RESOLVED, el CSPM de Security Hub cambia automáticamente el estado del flujo de trabajo a NEW.
Ejemplo
"RecordState": "ACTIVE"
Región
Especifica la Región de AWS desde dónde se generó el resultado.
El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante BatchImportFindings o BatchUpdateFindings.
Ejemplo
"Region": "us-west-2"
RelatedFindings
Proporciona una lista de resultados relacionados con el resultado actual.
RelatedFindings solo debe actualizarse con la operación de la API BatchUpdateFindings. No debe actualizar este objeto con BatchImportFindings.
Para las solicitudes BatchImportFindings, los proveedores de resultados deben utilizar el objeto RelatedFindings en FindingProviderFields.
Para ver las descripciones de los atributos RelatedFindings, consulte RelatedFinding en la referencia de la API de AWS Security Hub .
Ejemplo
"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Evaluación del riesgo
Ejemplo
"RiskAssessment": { "Posture": { "FindingTotal": 4, "Indicators": [ { "Type": "Reachability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] }, { "Type": "Vulnerability", "Findings": [ { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" }, { "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "Title": "Finding title" } ] } ] } }
Corrección
El objeto Remediation proporciona información sobre los pasos de remediación recomendados para abordar el resultado.
Ejemplo
"Remediation": { "Recommendation": { "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.", "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation" } }
Muestra
Especifica si el resultado es un resultado de muestra.
"Sample": true
SourceUrl
El objeto SourceUrl brinda una URL que enlaza a una página sobre el resultado actual en el producto de resultados.
"SourceUrl": "http://sourceurl.com"
ThreatIntelIndicators
El objeto ThreatIntelIndicator brinda detalles de información de amenazas que están relacionados con un resultado.
Ejemplo
"ThreatIntelIndicators": [ { "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888", "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", } ]
Amenazas
El objeto Threats proporciona detalles sobre la amenaza detectada por un resultado.
Ejemplo
"Threats": [{ "FilePaths": [{ "FileName": "b.txt", "FilePath": "/tmp/b.txt", "Hash": "sha256", "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f" }], "ItemCount": 3, "Name": "Iot.linux.mirai.vwisi", "Severity": "HIGH" }]
UserDefinedFields
Una lista de pares de cadenas de nombre/valor que están asociados con el resultado. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar de forma automática a través de su configuración específica.
Los proveedores de resultados no deben utilizar este campo para los datos que genera el producto. En cambio, los proveedores de resultados pueden utilizar el campo ProductFields para los datos que no se corresponden con ningún campo de Formato de resultados de seguridad de AWS estándar.
Estos campos solo se pueden actualizar con BatchUpdateFindings.
Ejemplo
"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState
Brinda la veracidad de un resultado. Los productos de resultados pueden proporcionar el valor UNKNOWN para este campo. Un producto de resultados puede proporcionar este valor para este campo si hay un valor analógico significativo en el sistema del producto de resultados. Este campo suele ser rellenado por una determinación o acción del usuario después de que haya investigado un resultado.
Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante BatchUpdateFindings.
"VerificationState": "Confirmed"
Vulnerabilidades
El objeto Vulnerabilities proporciona una lista de vulnerabilidades asociadas a un resultado.
Ejemplo
"Vulnerabilities" : [ { "CodeVulnerabilities": [{ "Cwes": [ "CWE-798", "CWE-799" ], "FilePath": { "EndLine": 421, "FileName": "package-lock.json", "FilePath": "package-lock.json", "StartLine": 420 }, "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114" }], "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "EpssScore": 0.015, "ExploitAvailable": "YES", "FixAvailable": "YES", "Id": "CVE-2020-12345", "LastKnownExploitAt": "2020-01-16T00:01:35Z", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "FilePath": "/tmp", "FixedInVersion": "0.14.0", "Name": "openssl", "PackageManager": "OS", "Release": "16.amzn2.0.3", "Remediation": "Update aws-crt to 0.14.0", "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id", "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001", "Version": "1.0.2k" } ] } ]
Flujo de trabajo
El objeto Workflow proporciona información sobre el estado de la investigación de un resultado.
Este campo está pensado para que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.
Solo puede actualizar el campo Workflow con BatchUpdateFindings. Los clientes también pueden actualizarlo desde la consola. Consulte Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub.
Ejemplo
"Workflow": { "Status": "NEW" }
WorkflowState (retirado)
Este objeto está retirado y se ha sustituido por el campo Status del objeto Workflow.
Este campo proporciona el estado del flujo de trabajo de un resultado. Los productos de hallazgos puede proporcionar el valor NEW para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.
Ejemplo
"WorkflowState": "NEW"
