Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

必需的属性

Security Hub 中的所有结果都需要以下属性。有关这些必填属性的更多信息，请参阅 Amazon Security HubAPI 参考AwsSecurityFinding中的。

AwsAccountId

应用查找结果的 Amazon 账户 ID。

示例

"AwsAccountId": "111111111111"

CreatedAt

表示调查结果捕获的潜在安全问题的创建时间。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"

描述

结果说明。该字段可以是非特定的样板文本，也可以是特定于结果实例的详细信息。

示例

"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."

GeneratorId

生成结果的特定于解决方案的组件（离散的逻辑单元）的标识符。

示例

"GeneratorId": "acme-vuln-9ab348"

Id

结果的特定于产品的标识符。

示例

"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"

ProductArn

由 Security Hub 生成的亚马逊资源名称 (ARN)，用于在第三方发现产品注册到Security Hub 后唯一标识该产品。

此字段的格式为 arn:partition:securityhub:region:account-id:product/company-id/product-id。

示例

// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN

    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

资源

该Resources对象提供了一组资源数据类型，Amazon用于描述调查结果所引用的资源。

示例

"Resources": [
 	{
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:111122223333:instance/i-1234567890abcdef0",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]

SchemaVersion

格式化结果的架构版本。该字段的值必须为 Amazon 确定的官方发布版本之一。在当前版本中，Amazon Security Finding 格式架构版本为 2018-10-08。

示例

"SchemaVersion": "2018-10-08"

严重性

定义调查结果的重要性。有关此对象的详细信息，请参阅 Amazon Security HubAPI 参考Severity中的。

要指定严重性，调查结果中必须填充Label或Normalized字段。 Label是首选属性。如果两个属性均未填充，则该查找结果无效。

要提供严重性信息，查找提供者应在发出 BatchImportFindingsAPI 请求FindingProviderFields时使用下方的Severity对象。如果BatchImportFindings请求新查找结果仅提供 Label或仅提供Normalized，则 Security Hub 会自动填充另一个字段的值。

调查结果的Severity对象值只能通过 BatchUpdateFindingsAPI 操作更新。

结果严重性不考虑涉及的资产或底层资源的严重性。严重性将定义为与结果关联的资源的重要性级别。例如，与关键任务应用程序关联的资源比与非生产测试相关的资源具有更高的关键性。要捕获有关资源严重性的信息，请使用 Criticality 字段。

我们建议在将调查结果的原生严重性分数转换为 ASFFSeverity.Label 中的值时使用以下指南。

示例

"Severity": {
    "Label": "CRITICAL",
    "Original": "8.3"
				}

Title

结果的标题。该字段可以包含非特定的样板文本，也可以包含特定于结果实例的详细信息。

示例

"Title": "S3.13 S3 buckets should have lifecycle policies configured"

类型

一个或多个 namespace/category/classifier 格式的结果类型，用于对结果进行分类。有关命名空间、分类器和类别的列表，请参阅TypesASFF 的分类法。

Types应仅使用更新BatchUpdateFindings。

查找想要为提供值的提供者Types应使用下面的Types属性FindingProviderFields。

示例

"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
				]

UpdatedAt

指示查找条件提供者上次更新查找结果记录的时间。

此时间戳反映了上次或最近更新查找记录的时间。因此，它可能不同于LastObservedAt时间戳，后者反映上次或最近观察到事件或漏洞的时间。

更新结果记录时，必须将该时间戳更新为当前时间戳。创建查找记录后，CreatedAt和UpdatedAt时间戳必须相同。更新查找结果记录后，此字段的值必须比它包含的所有先前值都要新。

请注意，UpdatedAt无法使用 BatchUpdateFindingsAPI 操作进行更新。您只能使用对其进行更新BatchImportFindings。

示例

"UpdatedAt": "2017-04-22T13:22:13.933Z"