AWS Security Hub 임포트 매핑

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 04월 02일
  • 소요 시간: 14분

    • AWS Security Hub 데이터 매핑 테이블.

    AWS Security Hub 호스트 취약성 임포트

    데이터가 sn_vul_aws_security_hub_host_vuln_import 테이블로 로드됩니다.

    유형 설명
    activity_id 정수 활동 식별자
    activity_name 문자열 활동 이름
    category_name 문자열 범주 이름
    category_uid 정수 범주 고유 식별자
    class_name 문자열 클래스 이름
    class_uid 정수 클래스 고유 식별자
    클라우드 문자열 클라우드 제공자 정보(JSON)
    finding_info 문자열 정보 찾기(JSON)
    메타데이터 문자열 메타데이터(JSON)
    정정 객체 정정 정보
    자원 문자열 자원 상세 정보(JSON)
    심각도 문자열 심각도 수준
    severity_id 정수 심각도 식별자
    상태 문자열 결과 상태
    status_id 정수 상태 식별자
    시간 정수 타임스탬프(epoch)
    time_dt 문자열 타임스탬프(datetime 문자열)
    type_name 문자열 유형 이름
    type_uid 정수 유형 고유 식별자
    매핑되지 않음 문자열 매핑되지 않은 필드
    취약성 문자열 취약성 데이터(JSON)
    sys_domain 도메인 도메인 분리를 위한 도메인

    심각도 및 상태 매핑

    표 1. AWS Security Hub 심각도 매핑
    AWS Security Hub 심각도 ServiceNow 심각도 값 ServiceNow 심각도 레이블
    중요 1 심각
    높음 2 높음
    보통 3 보통
    낮음 4 낮음
    정보성 4 낮음
    알 수 없음 5 없음
    치명적 1 심각
    기타 5 없음
    표 2. 탐지 상태 매핑
    AWS Security Hub 상태 ServiceNow 탐지 상태 값 ServiceNow 탐지 상태 레이블 메모
    신규 0 오픈
    진행 중 0 오픈
    해결 일시 1 고정
    억제됨 0 오픈 is_ignored=true로 설정
    보관됨 1 고정
    알 수 없음 0 오픈
    기타 0 오픈
    표 3. NVD 항목 필드 매핑 [sn_vul_nvd_entry]
    AWS Security Hub 필드 ServiceNow 필드 설명
    취약성.cve.uid ID CVE 식별자
    "AWS" 소스 AWS 소스를 나타내는 정적 값
    (참조) aws_cvd_details 사용자 지정 열 참조 sn_vul_aws_cvd_attributes
    표 4. CVD 속성 필드 매핑 [sn_vul_aws_cvd_attributes]
    AWS Security Hub 필드 ServiceNow 필드 설명
    cvss[].scoringVector v2_vector_string 버전 2.x 및 소스가 루트 수준과 일치하는 경우
    cvss[].baseScore 점수 버전 2.x인 경우
    cvss[].baseScore v3_base_score 버전 3.x인 경우
    cvss[].scoringVector v3_vector_string 버전 3.x인 경우
    cvss[].baseScore v4_base_score 버전 4.x인 경우
    cvss[].scoringVector v4_vector_string 버전 4.x인 경우
    vulnerabilities.is_exploit_available 익스플로잇 익스플로잇 가용성
    취약성.CVE.EPSS.점수 epss_score EPSS 확률 점수
    vulnerabilities.is_fix_available fix_available 가용성 수정
    취약성.심각도 source_severity 치명적/심각→높음, 높음→높음, 중간→중간, 낮음/정보 제공→낮음, 알 수 없음/기타→없음
    vulnerabilities.exploit_last_seen_time_dt last_known_exploit_at 마지막으로 알려진 익스플로잇 날짜
    표 5. 타사 취약성 항목 필드 매핑 [sn_vul_third_party_entry]
    AWS Security Hub 필드 ServiceNow 필드 설명
    취약성.cve.uid ID CVE 식별자
    CVSS 심각도 심각도 CVSS 심각도
    CVSS base_score 점수 / v2_base_score / v3_base_score / v4_base_score 버전에 따른 기본 점수
    CVSS vector_string v2_vector_string/v3_vector_string/v4_vector_string 버전에 따른 벡터 문자열
    취약성.CVE.설명 요약 취약성 설명
    vulnerabilities.cve.modified_time_dt last_modified 마지막으로 수정한 날짜
    vulnerabilities.cve.created_time_dt date_published 게시 날짜
    vulnerabilities.is_exploit_available 익스플로잇 익스플로잇 가용성
    취약성.심각도 source_severity 소스 심각도
    취약성.CVE.EPSS.점수 epss_score EPSS 확률 점수
    vulnerabilities.is_fix_available patch_available 패치 가용성
    vulnerabilities.exploit_last_seen_time_dt last_known_exploit_at 마지막으로 알려진 익스플로잇 날짜
    표 6. 탐지 필드 매핑 [sn_vul_detection]
    AWS Security Hub 필드 ServiceNow 필드 설명
    취약성[0].cve.uid 취약성 취약성 항목에 대한 참조
    finding_info.title short_description 제목 찾기
    finding_info.desc 설명 찾기 설명
    finding_info.desc 증명 증명으로서의 설명 찾기
    finding_info.first_seen_time_dt first_found 처음 발견됨 타임스탬프
    finding_info.last_seen_time_dt last_found 마지막으로 표시된 타임스탬프
    상태 source_status 신규/진행 중/알 수 없음/기타→열기, 해결됨→종결됨, 억제됨→열기( is_ignored=true), 보관됨→종결됨
    심각도 source_severity 소스 심각도 수준
    affected_packages[].fixed_in_version fixed_version 영향을 받는 패키지의 수정된 버전
    finding_info.uid detection_key 고유 탐지 키
    표 7. 검색된 항목 필드 매핑 [sn_sec_cmn_src_ci]
    AWS Security Hub 필드 ServiceNow 필드 설명
    resources.uid source_id 소스 식별자
    resources.uid resource_id 자원 식별자
    자원.지역 cloud_region AWS 영역
    resources.owner.account.uid cloud_account AWS 계정 ID
    자원.유형 cloud_resource_type 클라우드 자원 유형
    "AWS" cloud_service_provider 정적 값: AWS
    "클라우드" asset_category 정적 값: 클라우드
    자원 source_data 원시 소스 데이터
    표 8. 취약한 항목 필드 매핑
    AWS Security Hub 필드 ServiceNow 필드 설명
    status_id 상태 상태 ID의 상태
    상태 상태 상태 값
    심각도 source_severity 소스 심각도
    (참조) 취약성 sn_vul_entry에 대한 참조
    (참조) src_ci sn_sec_cmn_src_ci에 대한 참조
    표 9. 호스트 취약성 변환 스크립트
    스크립트 타이밍 스크립트 이름 설명
    onStart AWSSecurityHubHostVulnerabilitiesProcessor.onStart Security Hub 호스트 찾기에 대한 프로세서를 초기화합니다.
    onBefore AWSSecurityHubHostVulnerabilitiesProcessor.onBefore 임포트한 각 기록을 처리합니다. VIT, 탐지 및 검색된 항목을 생성하거나 업데이트합니다.
    완료 시 AWSSecurityHubHostVulnerabilitiesProcessor.onComplete 임포트 및 로그 요약 통계를 마무리합니다.

    AWS Security Hub 컨테이너 취약성 임포트

    데이터가 sn_vul_aws_security_hub_container_vuln_import 테이블로 로드됩니다.

    유형 설명
    activity_id 정수 활동 식별자
    activity_name 문자열 활동 이름
    category_name 문자열 범주 이름
    category_uid 정수 범주 고유 식별자
    class_name 문자열 클래스 이름
    class_uid 정수 클래스 고유 식별자
    클라우드 문자열 클라우드 제공자 정보(JSON)
    finding_info 문자열 정보 찾기(JSON)
    메타데이터 문자열 메타데이터(JSON)
    정정 객체 정정 정보
    자원 문자열 자원 상세 정보(JSON)
    심각도 문자열 심각도 수준
    severity_id 정수 심각도 식별자
    상태 문자열 결과 상태
    status_id 정수 상태 식별자
    시간 정수 타임스탬프(epoch)
    time_dt 문자열 타임스탬프(datetime 문자열)
    type_name 문자열 유형 이름
    type_uid 정수 유형 고유 식별자
    매핑되지 않음 문자열 매핑되지 않은 필드
    취약성 문자열 취약성 데이터(JSON)
    sys_domain 도메인 도메인 분리를 위한 도메인

    컨테이너 취약성 필드 매핑

    표 10. 검색된 컨테이너 이미지 필드 매핑 [sn_vul_container_image]
    AWS Security Hub 필드 ServiceNow 필드 설명
    resources[0].name image_name 컨테이너 이미지 이름
    resources[0].image.hash.value image_digest 이미지 다이제스트 해시
    resources[0].image.uid image_id 이미지 고유 식별자
    resources[0].image.tag repository_entry 이미지 태그
    resources[0].registry_uid 레지스트리 컨테이너 레지스트리 UID
    cloud.provider cloud_provider 클라우드 제공자
    cloud.region cloud_region AWS 영역
    cloud.account.uid cloud_account AWS 계정 ID
    resources[0].repository_name 리포지토리 리포지토리 이름
    표 11. 컨테이너 이미지 찾기 필드 매핑
    AWS Security Hub 필드 ServiceNow 필드 설명
    상태 상태 상태 찾기
    심각도 심각도 심각도 찾기
    finding_info.desc 증명 증명으로서의 설명 찾기
    finding_info.first_seen_time_dt first_found 처음 발견됨 타임스탬프
    finding_info.last_seen_time_dt last_found 마지막으로 표시된 타임스탬프
    상태 상태 결과 상태
    vulnerabilities.affected_packages[].path 경로 패키지 파일 경로
    표 12. 컨테이너 이미지 패키지 필드 매핑
    AWS Security Hub 필드 ServiceNow 필드 설명
    vulnerabilities.affected_packages[].name 이름 패키지 이름
    vulnerabilities.affected_packages[].version 버전 패키지 버전
    vulnerabilities.affected_packages[].path 경로 패키지 파일 경로
    표 13. 컨테이너 취약한 항목 필드 매핑(CVIT)
    AWS Security Hub 필드 ServiceNow 필드 설명
    firstObservedAt first_found_dt_tm 처음 발견된 날짜 및 시간
    lastObservedAt last_found_dt_tm 마지막으로 발견된 날짜 및 시간
    상태 상태 상태
    직위 short_description 간단한 설명
    설명 설명 설명
    취약성[0].cve.uid 취약성 취약성에 대한 참조
    표 14. 컨테이너 취약성 변환 스크립트
    스크립트 타이밍 스크립트 이름 설명
    onStart AWSSecurityHubContainerVulnerabilitiesProcessor.onStart Security Hub 컨테이너 찾기에 대한 프로세서를 초기화합니다.
    onBefore AWSSecurityHubContainerVulnerabilitiesProcessor.onBefore 임포트한 각 컨테이너 찾기를 처리합니다. CVIT, 컨테이너 이미지 및 결과를 생성하거나 업데이트합니다.
    완료 시 AWSSecurityHubContainerVulnerabilitiesProcessor.onComplete 컨테이너 임포트 및 로그 요약 통계를 마무리합니다.

    AWS Security Hub 테스트 결과 임포트

    데이터가 sn_vul_aws_security_hub_test_results_import 테이블로 로드됩니다.

    유형 설명
    activity_id 정수 활동 식별자
    activity_name 문자열 활동 이름
    category_name 문자열 범주 이름
    category_uid 정수 범주 고유 식별자
    class_name 문자열 클래스 이름
    class_uid 정수 클래스 고유 식별자
    클라우드 문자열 클라우드 제공자 정보(JSON)
    준수 문자열 준수 정보(JSON)
    finding_info 문자열 정보 찾기(JSON)
    메타데이터 문자열 메타데이터(JSON)
    정정 객체 정정 정보
    자원 문자열 자원 상세 정보(JSON)
    심각도 문자열 심각도 수준
    severity_id 정수 심각도 식별자
    상태 문자열 결과 상태
    status_id 정수 상태 식별자
    시간 정수 타임스탬프(epoch)
    time_dt 문자열 타임스탬프(datetime 문자열)
    type_name 문자열 유형 이름
    type_uid 정수 유형 고유 식별자
    vendor_attributes 문자열 벤더별 속성(JSON)
    sys_domain 도메인 도메인 분리를 위한 도메인

    테스트 결과 필드 매핑

    표 15. 권한이 부여된 소스 필드 매핑 [sn_vulc_auth_src]
    AWS Security Hub 필드 ServiceNow 필드 설명
    "AWS" 소스 정적 소스 값
    규정 준수.표준 source_id 준수 표준 식별자
    규정 준수.표준 short_description 표시에 사용됨
    표 16. 인용 필드 매핑 [sn_vulc_citation]
    AWS Security Hub 필드 ServiceNow 필드 설명
    (참조) 제어 sn_vulc_test에 대한 참조
    "AWS" 소스 정적 소스 값
    규정 준수.통제 section_name 통제 섹션 이름
    규정 준수.통제 섹션 통제 섹션
    (참조) auth_src sn_vulc_auth_src 참조
    표 17. 테스트 필드 매핑 [sn_vulc_test]
    AWS Security Hub 필드 ServiceNow 필드 설명
    "AWS" 소스 정적 소스 값
    finding_info.title short_description 테스트에 대한 간단한 설명
    finding_info.desc 설명 테스트 설명
    finding_info.uid source_id 소스 식별자
    finding_info.types source_category 소스 범주
    finding_info.created_time_dt source_created 소스 작성 날짜
    finding_info.modified_time_dt source_updated 소스 업데이트 날짜
    심각도 source_criticality 소스 중요도
    remediation.desc 정정 정정 설명
    표 18. 테스트 결과 필드 매핑 [sn_vulc_result]
    AWS Security Hub 필드 ServiceNow 필드 설명
    finding_info.first_seen_time_dt first_seen 처음 표시된 날짜
    finding_info.last_seen_time_dt last_seen 마지막으로 표시된 날짜
    규정 준수.상태 결과 준수 결과: 통과, 실패, 경고 또는 알 수 없음
    vendor_attributes.심각도 risk_score 벤더의 위험 점수
    time_dt last_found_dt_time 마지막으로 발견된 날짜 및 시간
    finding_info.desc 설명 결과 설명
    (참조) 제어 sn_vulc_test에 대한 참조
    표 19. 테스트 결과 CI 필드 매핑 [sn_sec_cmn_src_ci]
    AWS Security Hub 필드 ServiceNow 필드 설명
    resources.uid source_id 소스 식별자
    resources.uid resource_id 자원 식별자
    자원.지역 cloud_region AWS 영역
    resources.owner.account.uid cloud_account AWS 계정 ID
    자원.유형 cloud_resource_type 클라우드 자원 유형
    cloud.provider cloud_service_provider 클라우드 서비스 제공자
    "클라우드" asset_category 정적 값: 클라우드
    자원 source_data 원시 소스 데이터
    표 20. 테스트 결과 변환 스크립트
    스크립트 타이밍 스크립트 이름 설명
    onStart AWSSecurityHubTestResultsProcessor.onStart 테스트 결과에 대한 프로세서를 초기화합니다.
    onBefore AWSSecurityHubTestResultsProcessor.onBefore 임포트한 각 구성 찾기를 처리합니다. 테스트, 테스트 결과 및 CI를 생성하거나 업데이트합니다.
    완료 시 AWSSecurityHubTestResultsProcessor.onComplete 테스트 결과 임포트를 마무리하고 요약 통계를 로깅합니다.