AWS Security Hub Häufig gestellte Fragen für Partner - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Security Hub Häufig gestellte Fragen für Partner

Im Folgenden finden Sie häufig gestellte Fragen zum Einrichten und Verwalten einer Integration mit AWS Security Hub.

  1. Was sind die Vorteile der Security Hub Hub-Integration?

    • Kundenzufriedenheit — Der Hauptgrund für die Integration mit Security Hub ist, dass Sie Kundenanfragen dazu haben.

      Security Hub ist das Sicherheits- und Compliance-Center für AWS Kunden. Es ist als erste Anlaufstelle konzipiert, an die sich AWS Sicherheits- und Compliance-Experten täglich wenden, um sich über ihren Sicherheits- und Compliance-Status zu informieren.

      Hören Sie Ihren Kunden zu. Sie werden Ihnen sagen, ob sie Ihre Ergebnisse im Security Hub sehen möchten.

    • Entdeckungsmöglichkeiten — Wir bewerben Partner mit zertifizierten Integrationen in der Security Hub Hub-Konsole, einschließlich Links zu ihren AWS Marketplace Angeboten. Dies ist eine hervorragende Möglichkeit für Kunden, neue Sicherheitsprodukte zu entdecken.

    • Marketingmöglichkeiten — Anbieter mit zugelassenen Integrationen können an Webinaren teilnehmen, Pressemitteilungen herausgeben, Übersichtsblätter erstellen und ihren Kunden ihre Integrationen vorführen. AWS

  2. Welche Arten von Partnern gibt es?

    • Partner, die Ergebnisse an Security Hub senden

    • Partner, die Ergebnisse von Security Hub erhalten

    • Partner, die Ergebnisse sowohl senden als auch empfangen

    • Beratungspartner, die Kunden bei der Einrichtung, Anpassung und Verwendung von Security Hub in ihrer Umgebung unterstützen

  3. Wie funktioniert eine Partnerintegration mit Security Hub auf hohem Niveau?

    Sie sammeln Ergebnisse in einem Kundenkonto oder in Ihrem eigenen AWS Konto und wandeln das Format der Ergebnisse in das AWS Security Finding Format (ASFF) um. Anschließend übertragen Sie diese Ergebnisse an den entsprechenden regionalen Security Hub Hub-Endpunkt.

    Sie können CloudWatch Ereignisse auch verwenden, um Ergebnisse von Security Hub zu erhalten.

  4. Was sind die grundlegenden Schritte für den Abschluss einer Integration mit Security Hub?

    1. Reichen Sie Ihre Partner-Manifestinformationen ein.

    2. Erhalten Sie ein Produkt ARNs zur Verwendung mit Security Hub, wenn Sie Ergebnisse an Security Hub senden möchten.

    3. Ordnen Sie Ihre Ergebnisse ASFF zu. Siehe Richtlinien für die Zuordnung von Ergebnissen zum AWS Security Finding Format (ASFF).

    4. Definieren Sie Ihre Architektur für das Senden von Ergebnissen an und das Empfangen von Ergebnissen von Security Hub. Folgen Sie den Grundsätzen, die unter beschrieben sind. Grundsätze für die Erstellung und Aktualisierung von Ergebnissen

    5. Erstellen Sie ein Bereitstellungs-Framework für Kunden. AWS CloudFormation Skripte können diesem Zweck beispielsweise dienen.

    6. Dokumentieren Sie Ihr Setup und stellen Sie Ihren Kunden Konfigurationsanweisungen zur Verfügung.

    7. Definieren Sie alle benutzerdefinierten Erkenntnisse (Korrelationsregeln), die Kunden für Ihr Produkt verwenden können.

    8. Demonstrieren Sie dem Security Hub Hub-Team Ihre Integration.

    9. Reichen Sie Marketinginformationen zur Genehmigung ein (Sprache der Website, Pressemitteilung, Architekturfolie, Video, Übersichtsblatt).

  5. Wie wird das Partnermanifest eingereicht? Und für AWS Dienste, die Ergebnisse an Security Hub senden?

    Um die Manifestinformationen an das Security Hub Hub-Team zu senden, verwenden Sie .

    Das Produkt wird Ihnen ARNs innerhalb von sieben Kalendertagen ausgestellt.

  6. Welche Arten von Ergebnissen sollte ich an Security Hub senden?

    Die Preisgestaltung von Security Hub basiert teilweise auf der Anzahl der aufgenommenen Ergebnisse. Aus diesem Grund sollten Sie davon absehen, Ergebnisse zu versenden, die für Kunden keinen Mehrwert bieten.

    Beispielsweise senden einige Anbieter von Vulnerability Management nur Ergebnisse mit einem Common Vulnerability Scoring System (CVSS) -Score von 3 oder mehr von möglichen 10 Punkten.

  7. Was sind die verschiedenen Methoden für mich, um Ergebnisse an Security Hub zu senden?

    Dies sind die wichtigsten Ansätze:

    • Mithilfe der BatchImportFindingsOperation senden Sie Ergebnisse von ihrem eigenen AWS Konto aus.

    • Mithilfe des BatchImportFindingsVorgangs senden Sie Ergebnisse aus dem Kundenkonto heraus. Sie könnten Ansätze zur Rollenübernahme verwenden, diese Ansätze sind jedoch nicht erforderlich.

    Allgemeine Richtlinien zur Verwendung finden Sie unter BatchImportFindings. Richtlinien für die Verwendung der BatchImportFindings API

  8. Wie sammle ich meine Ergebnisse und übertrage sie an einen regionalen Security Hub Hub-Endpunkt?

    Partner haben dafür unterschiedliche Ansätze verwendet, da dies stark von der Architektur Ihrer Lösung abhängt.

    Einige Partner erstellen beispielsweise eine Python-App, die als AWS CloudFormation Skript bereitgestellt werden kann. Das Skript sammelt die Ergebnisse des Partners aus der Kundenumgebung, wandelt sie in ASFF um und sendet sie an den regionalen Endpunkt von Security Hub.

    Andere Partner entwickeln einen umfassenden Assistenten, mit dem der Kunde seine Ergebnisse mit nur einem Klick an Security Hub weiterleiten kann.

  9. Woher weiß ich, wann ich anfangen muss, Ergebnisse an Security Hub zu senden?

    Security Hub unterstützt die teilweise Batch-Autorisierung für den BatchImportFindingsAPI-Vorgang, sodass Sie alle Ihre Ergebnisse für alle Ihre Kunden an Security Hub senden können.

    Wenn einige Ihrer Kunden Security Hub noch nicht abonniert haben, nimmt Security Hub diese Ergebnisse nicht auf. Es nimmt nur autorisierte Ergebnisse auf, die im Batch enthalten sind.

  10. Welche Schritte muss ich ausführen, um Ergebnisse an die Security Hub Hub-Instanz eines Kunden zu senden?

    1. Stellen Sie sicher, dass die richtigen IAM-Richtlinien vorhanden sind.

    2. Aktivieren Sie ein Produktabonnement (Ressourcenrichtlinien) für die Konten. Verwenden Sie entweder den EnableImportFindingsForProductAPI-Vorgang oder die Seite Integrationen. Der Kunde kann dies tun, oder Sie können kontoübergreifende Rollen verwenden, um im Namen des Kunden zu handeln.

    3. Stellen Sie sicher, dass es sich bei dem Ergebnis um den öffentlichen ARN Ihres Produkts handelt. ProductArn

    4. Stellen Sie sicher, dass es sich bei dem Ergebnis um die Konto-ID des Kunden handelt. AwsAccountId

    5. Stellen Sie sicher, dass Ihre Ergebnisse keine fehlerhaften Daten gemäß dem AWS Security Finding Format (ASFF) enthalten. Beispielsweise sind Pflichtfelder ausgefüllt und es gibt keine ungültigen Werte.

    6. Senden Sie die Ergebnisse stapelweise an den richtigen regionalen Endpunkt.

  11. Welche IAM-Berechtigungen müssen vorhanden sein, damit ich Ergebnisse senden kann?

    IAM-Richtlinien müssen für den IAM-Benutzer oder die IAM-Rolle konfiguriert werden, der oder die andere API-Aufrufe aufruft BatchImportFindings.

    Der einfachste Test besteht darin, dies von einem Administratorkonto aus durchzuführen. Sie können diese auf action: ‘securityhub:BatchImportFindings’ und resource: <productArn and/or productSubscriptionArn> beschränken.

    Ressourcen in demselben Konto können mit IAM-Richtlinien konfiguriert werden, ohne dass Ressourcenrichtlinien erforderlich sind.

    Um auszuschließen, dass der Anrufer von Probleme mit der IAM-Richtlinie hat BatchImportFindings, legen Sie die IAM-Richtlinie für den Anrufer wie folgt fest:

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    Vergewissern Sie sich, dass es keine Deny Richtlinien für den Anrufer gibt. Nachdem Sie es damit zum Laufen gebracht haben, können Sie die Richtlinie auf Folgendes beschränken:

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. Was ist ein Produktabonnement?

    Um Erkenntnisse aus einem bestimmten Partnerprodukt zu erhalten, muss der Kunde (oder der Partner mit kundenübergreifenden Rollen, der im Namen des Kunden arbeitet) ein Produktabonnement abschließen. Dazu verwenden sie von der Konsole aus die Seite Integrationen. Um dies von der API aus zu tun, verwenden sie die EnableImportFindingsForProductAPI-Operation.

    Das Produktabonnement erstellt eine Ressourcenrichtlinie, die den Empfang oder Versand der Ergebnisse des Partners durch den Kunden autorisiert. Details hierzu finden Sie unter Anwendungsfälle für die Integration und erforderliche Berechtigungen.

    Security Hub bietet die folgenden Arten von Ressourcenrichtlinien für Partner:

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    Während des Partner-Onboarding-Prozesses können Sie entweder eine oder beide Arten von Richtlinien anfordern.

    Mit BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT können Sie Ergebnisse nur von dem Konto an Security Hub senden, das in Ihrem Produkt-ARN aufgeführt ist.

    Mit BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT können Sie nur Ergebnisse von dem Kundenkonto senden, das Sie abonniert hat.

  13. Angenommen, ein Kunde hat ein Administratorkonto erstellt und einige Mitgliedskonten hinzugefügt. Muss der Kunde jedes Mitgliedskonto bei mir abonnieren? Oder abonniert der Kunde nur über das Administratorkonto, und ich kann dann Ergebnisse zu Ressourcen in allen Mitgliedskonten senden?

    Bei dieser Frage wird gefragt, ob die Berechtigungen für alle Mitgliedskonten auf der Grundlage der Registrierung des Administratorkontos erstellt wurden.

    Der Kunde muss für jedes Konto ein Produktabonnement abschließen. Sie können dies programmgesteuert über die API tun.

  14. Was ist mein Produkt-ARN?

    Ihr Produkt-ARN ist Ihre eindeutige Kennung, die Security Hub für Sie generiert und die Sie verwenden, um Ergebnisse einzureichen. Sie erhalten für jedes Produkt, das Sie in Security Hub integrieren, einen Produkt-ARN. Der richtige Produkt-ARN muss in jedem Ergebnis enthalten sein, das Sie an Security Hub senden. Ergebnisse ohne das Produkt ARN werden gelöscht. Das Produkt ARN verwendet das folgende Format:

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    Ein Beispiel:

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Sie erhalten einen Produkt-ARN für jede Region, in der Security Hub bereitgestellt wird. Die Konto-ID, das Unternehmen und die Produktnamen werden durch die von Ihnen eingereichten Partnermanifeste bestimmt. Sie ändern niemals die Informationen, die mit Ihrem Produkt-ARN verknüpft sind, mit Ausnahme des Regionalcodes. Der Regionalcode muss mit der Region übereinstimmen, für die Sie Ergebnisse einreichen.

    Ein häufiger Fehler besteht darin, die Konto-ID so zu ändern, dass sie dem Konto entspricht, von dem aus Sie gerade arbeiten. Die Konto-ID ändert sich nicht. Im Rahmen der Einreichung des Manifests reichen Sie eine Konto-ID für Ihr Privatkonto ein. Diese Konto-ID ist mit Ihrem Produkt-ARN ARN.

    Wenn Security Hub in neuen Regionen eingeführt wird, verwendet es automatisch die Standard-Regionscodes, um Ihr Produkt ARNs für diese Regionen zu generieren.

    Jedes Konto wird außerdem automatisch mit einem privaten Produkt-ARN ARN. Sie können diesen ARN verwenden, um den Import von Ergebnissen in Ihrem eigenen Entwicklungskonto zu testen, bevor Sie Ihren offiziellen öffentlichen Produkt-ARN erhalten.

  15. Welches Format sollte verwendet werden, um Ergebnisse an Security Hub zu senden?

    Die Ergebnisse müssen im AWS Security Finding Format (ASFF) bereitgestellt werden. Einzelheiten finden Sie unter AWS Security Finding Format (ASFF) im AWS Security Hub Benutzerhandbuch.

    Es wird erwartet, dass alle Informationen in Ihren systemeigenen Ergebnissen vollständig in der ASFF wiedergegeben werden. Benutzerdefinierte Felder wie ProductFields und Resource.Details.Other ermöglichen es Ihnen, Daten zuzuordnen, die nicht genau in die vordefinierten Felder passen.

  16. Welcher regionale Endpunkt ist der richtige zu verwendende?

    Sie müssen die Ergebnisse an den regionalen Security Hub Hub-Endpunkt senden, der mit dem Kundenkonto verknüpft ist.

  17. Wo finde ich die Liste der regionalen Endpunkte?

    Sehen Sie sich die Liste der Security Hub Hub-Endpunkte an.

  18. Kann ich regionsübergreifende Ergebnisse einreichen?

    Security Hub unterstützt noch nicht die regionsübergreifende Übermittlung von Ergebnissen für native AWS Dienste wie Amazon GuardDuty, Amazon Macie und Amazon Inspector. Wenn Ihr Kunde dies zulässt, hindert Sie Security Hub nicht daran, Ergebnisse aus verschiedenen Regionen einzureichen.

    In diesem Sinne können Sie einen regionalen Endpunkt von überall aus aufrufen, und die Ressourceninformationen des ASFF müssen nicht mit der Region des Endpunkts übereinstimmen. Sie ProductArn müssen jedoch mit der Region des Endpunkts übereinstimmen.

  19. Welche Regeln und Richtlinien gelten für den Versand von Befundstapeln?

    Sie können bis zu 100 Ergebnisse oder 240 KB in einem einzigen Anruf von BatchImportFindingsstapeln. Stellen Sie eine Warteschlange auf und stapeln Sie so viele Ergebnisse wie möglich bis zu diesem Limit.

    Sie können eine Reihe von Ergebnissen aus verschiedenen Konten stapeln. Wenn jedoch eines der Konten im Stapel nicht bei Security Hub abonniert ist, schlägt der gesamte Batch fehl. Dies ist eine Einschränkung des API Gateway Gateway-Baseline-Autorisierungsmodells.

    Siehe Richtlinien für die Verwendung der BatchImportFindings API.

  20. Kann ich Updates zu Ergebnissen senden, die ich erstellt habe?

    Ja, wenn Sie ein Ergebnis mit demselben Produkt-ARN und derselben Ergebnis-ID einreichen, werden die vorherigen Daten für dieses Ergebnis überschrieben. Beachten Sie, dass alle Daten überschrieben werden. Sie sollten daher ein vollständiges Ergebnis einreichen.

    Den Kunden werden sowohl neue Ergebnisse als auch Aktualisierungen der Ergebnisse in Rechnung gestellt.

  21. Kann ich Updates zu Ergebnissen senden, die von einer anderen Person erstellt wurden?

    Ja, wenn der Kunde Ihnen Zugriff auf den BatchUpdateFindingsAPI-Vorgang gewährt, können Sie mit diesem Vorgang bestimmte Felder aktualisieren. Dieser Vorgang ist für die Nutzung durch Kunden SIEMs, Ticketsysteme und SOAR-Plattformen (Security Orchestration, Automation and Response) konzipiert.

  22. Wie veralten die Ergebnisse?

    Security Hub veraltert Ergebnisse 90 Tage nach dem letzten Aktualisierungsdatum. Nach Ablauf dieser Zeit werden die veralteten Ergebnisse aus dem Security Hub-Cluster gelöscht. OpenSearch

    Wenn Sie ein Ergebnis mit derselben Ergebnis-ID aktualisieren und es veraltet ist, wird ein neues Ergebnis in Security Hub erstellt.

    Kunden können CloudWatch Events verwenden, um Ergebnisse aus Security Hub zu übertragen. Auf diese Weise können alle Ergebnisse an Ziele nach Wahl des Kunden gesendet werden.

    Im Allgemeinen empfiehlt Security Hub, dass Sie alle 90 Tage neue Ergebnisse erstellen und die Ergebnisse nicht für immer aktualisieren.

  23. Welche Drosselungen führt Security Hub ein?

    Security Hub drosselt GetFindings API-Aufrufe, da der empfohlene Ansatz für den Zugriff auf Ergebnisse die Verwendung von CloudWatch Ereignissen ist.

    Security Hub implementiert keine weitere Drosselung für interne Dienste, Partner oder Kunden, die über die durch API Gateway- und Lambda-Aufrufe erzwungenen Einschränkungen hinausgehen.

  24. Wie hoch ist die Aktualität, Latenz SLAs oder Erwartungen bei Ergebnissen, die von Quelldiensten an Security Hub gesendet werden?

    Ziel ist es, sowohl für erste Ergebnisse als auch für Aktualisierungen der Ergebnisse so nahe wie möglich in Echtzeit zu sein. Sie sollten die Ergebnisse innerhalb von fünf Minuten nach ihrer Erstellung an Security Hub senden.

  25. Wie kann ich Ergebnisse von Security Hub erhalten?

    Verwenden Sie eine der folgenden Methoden, um Ergebnisse zu erhalten.

    • Alle Ergebnisse werden automatisch an CloudWatch Events gesendet. Ein Kunde kann spezifische Regeln für CloudWatch Ereignisse erstellen, um Ergebnisse an bestimmte Ziele zu senden, z. B. an ein SIEM oder einen S3-Bucket. Diese Funktion ersetzte den alten GetFindings API-Betrieb.

    • Verwenden Sie CloudWatch Ereignisse für benutzerdefinierte Aktionen. Security Hub ermöglicht es Kunden, bestimmte Ergebnisse oder Gruppen von Ergebnissen aus der Konsole auszuwählen und entsprechende Maßnahmen zu ergreifen. Sie können die Ergebnisse beispielsweise an ein SIEM, ein Ticketsystem, eine Chat-Plattform oder einen Workflow zur Problembehebung senden. Dies wäre Teil eines Alert-Triage-Workflows, den ein Kunde innerhalb von Security Hub durchführt. Diese Aktionen werden als benutzerdefinierte Aktionen bezeichnet.

      Wenn ein Benutzer eine benutzerdefinierte Aktion auswählt, wird ein CloudWatch Ereignis für diese spezifischen Ergebnisse erstellt. Sie könnten diese Funktion nutzen und Regeln und Ziele für CloudWatch Ereignisse erstellen, die ein Kunde als Teil einer benutzerdefinierten Aktion verwenden kann. Beachten Sie, dass diese Funktion nicht verwendet wird, um automatisch alle Ergebnisse eines bestimmten Typs oder einer bestimmten Klasse an CloudWatch Events zu senden. Es ist Sache eines Benutzers, aufgrund bestimmter Ergebnisse Maßnahmen zu ergreifen.

      Sie können die API-Operationen für benutzerdefinierte Aktionen verwendenCreateActionTarget, um z. B. automatisch verfügbare Aktionen für Ihr Produkt zu erstellen (z. B. mithilfe von AWS CloudFormation Vorlagen). Sie würden auch API-Operationen für CloudWatch Ereignisregeln verwenden, um entsprechende CloudWatch Ereignisregeln zu erstellen, die der benutzerdefinierten Aktion zugeordnet sind. Mithilfe von AWS CloudFormation Vorlagen können Sie auch Regeln für CloudWatch Ereignisse erstellen, um automatisch alle Ergebnisse oder alle Ergebnisse mit bestimmten Merkmalen aus Security Hub aufzunehmen.

  26. Was sind die Voraussetzungen für einen Managed Security Service Provider (MSSP), um ein Security Hub-Partner zu werden?

    Sie müssen nachweisen, wie Security Hub im Rahmen Ihrer Servicebereitstellung für Kunden verwendet wird.

    Sie sollten über eine Benutzerdokumentation verfügen, die Ihre Verwendung von Security Hub erklärt.

    Wenn es sich bei dem MSSP um einen Suchdienstleister handelt, muss er nachweisen, dass er die Ergebnisse an Security Hub gesendet hat.

    Wenn der MSSP nur Ergebnisse von Security Hub erhält, muss er mindestens über eine AWS CloudFormation Vorlage verfügen, um die entsprechenden CloudWatch Event-Regeln einzurichten.

  27. Was sind die Voraussetzungen, damit ein APN-Beratungspartner, der kein MSSP ist, ein Security Hub-Partner werden kann?

    Wenn Sie ein APN-Beratungspartner sind, können Sie ein Security Hub-Partner werden. Sie sollten zwei private Fallstudien darüber einreichen, wie Sie einem bestimmten Kunden dabei geholfen haben, Folgendes zu tun.

    • Richten Sie Security Hub mit IAM-Berechtigungen ein, die der Kunde benötigt.

    • Mithilfe der Konfigurationsanweisungen auf der Partnerseite in der Konsole können Sie bereits integrierte ISV-Lösungen (Independent Software Vendor) mit Security Hub verbinden.

    • Unterstützen Sie Kunden mit maßgeschneiderten Produktintegrationen.

    • Gewinnen Sie maßgeschneiderte Erkenntnisse, die für die Kundenbedürfnisse und Datensätze relevant sind.

    • Erstellen Sie benutzerdefinierte Aktionen.

    • Erstellen Sie Playbooks zur Problembehebung.

    • Erstellen Sie Schnellstarts, die den Compliance-Standards von Security Hub entsprechen. Diese müssen vom Security Hub Hub-Team validiert werden.

    Fallstudien müssen nicht öffentlich zugänglich sein.

  28. Welche Anforderungen gelten für die Implementierung meiner Integration mit Security Hub bei meinen Kunden?

    Die Integrationsarchitekturen zwischen Security Hub und Partnerprodukten unterscheiden sich von Partner zu Partner in Bezug auf die Art und Weise, wie die Lösung dieses Partners betrieben wird. Sie sollten sicherstellen, dass der Einrichtungsprozess für die Integration nicht länger als 15 Minuten dauert.

    Wenn Sie Integrationssoftware in der AWS Kundenumgebung einsetzen, sollten Sie AWS CloudFormation Vorlagen nutzen, um die Integration zu vereinfachen. Einige Partner haben eine Ein-Klick-Integration eingeführt, die dringend empfohlen wird.

  29. Was sind meine Dokumentationsanforderungen?

    Sie müssen einen Link zur Dokumentation bereitstellen, in der der Integrations- und Einrichtungsprozess zwischen Ihrem Produkt und Security Hub beschrieben wird, einschließlich Ihrer Verwendung von AWS CloudFormation Vorlagen.

    Diese Dokumentation sollte auch Informationen über Ihre Verwendung von ASFF enthalten. Insbesondere sollten darin die ASFF-Suchttypen aufgeführt sein, die Sie für Ihre verschiedenen Ergebnisse verwenden. Wenn Sie über Standarddefinitionen für Erkenntnisse verfügen, empfehlen wir, dass Sie diese auch hier angeben.

    Erwägen Sie die Aufnahme weiterer potenzieller Informationen:

    • Ihr Anwendungsfall für die Integration mit Security Hub

    • Durchschnittliches Volumen der gesendeten Ergebnisse

    • Ihre Integrationsarchitektur

    • Die Regionen, die Sie unterstützen und die Sie nicht unterstützen

    • Latenz zwischen dem Zeitpunkt, an dem Ergebnisse erstellt werden, und dem Zeitpunkt, zu dem sie an Security Hub gesendet werden

    • Ob Sie die Ergebnisse aktualisieren

  30. Was sind benutzerdefinierte Erkenntnisse?

    Sie werden ermutigt, benutzerdefinierte Erkenntnisse für Ihre Ergebnisse zu definieren. Bei Erkenntnissen handelt es sich um einfache Korrelationsregeln, anhand derer ein Kunde priorisieren kann, welche Ergebnisse und Ressourcen am dringendsten Aufmerksamkeit und Maßnahmen erfordern.

    Security Hub verfügt über einen CreateInsight API-Betrieb. Sie können benutzerdefinierte Einblicke in einem Kundenkonto als Teil Ihrer AWS CloudFormation Vorlage erstellen. Diese Erkenntnisse werden auf der Kundenkonsole angezeigt.

  31. Kann ich Dashboard-Widgets einreichen?

    Nein, derzeit nicht. Sie können nur verwaltete Insights erstellen.

  32. Was ist Ihr Preismodell?

    Sehen Sie sich die Preisinformationen für Security Hub an.

  33. Wie reiche ich die Ergebnisse im Rahmen des endgültigen Genehmigungsprozesses für meine Integration an das Security Hub-Demo-Konto ein?

    Senden Sie die Ergebnisse an das Security Hub-Demo-Konto mit dem von Ihnen bereitgestellten Produkt-ARN und geben Sie us-west-2 als Region ein. Die Ergebnisse sollten die Demo-Kontonummer im AwsAccountId Bereich ASFF enthalten. Um die Demo-Kontonummer zu erhalten, wenden Sie sich an das Security Hub Hub-Team.

    Senden Sie uns keine sensiblen Daten oder persönlich identifizierbaren Informationen. Diese Daten werden für öffentliche Demos verwendet. Wenn Sie uns diese Daten senden, autorisieren Sie uns, sie für Demos zu verwenden.

  34. Welche Fehler- oder Erfolgsmeldungen werden angezeigt? BatchImportFindings

    Security Hub bietet eine Antwort zur Autorisierung und eine Antwort für BatchImportFindings. Weitere klare Erfolgs-, Misserfolgs- und Fehlermeldungen sind in Entwicklung.

  35. Für welche Fehlerbehandlung ist der Quelldienst verantwortlich?

    Die Quelldienste sind für die gesamte Fehlerbehandlung verantwortlich. Sie müssen mit Fehlermeldungen, Wiederholungsversuchen, Drosselungen und Alarmen umgehen. Sie müssen auch Feedback oder Fehlermeldungen verarbeiten, die über den Security Hub-Feedback-Mechanismus gesendet werden.

  36. Was sind einige Lösungen für häufig auftretende Probleme?

    An AuthorizerConfigurationException wird entweder durch eine Fehlbildung AwsAccountId oder ProductArn verursacht.

    Beachten Sie bei der Fehlerbehebung Folgendes:

    • AwsAccountIdmuss genau aus 12 Ziffern bestehen.

    • ProductArnmuss das folgende Format haben: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>

      Die Konto-ID ändert sich nicht von der, die das Security Hub Hub-Team in dem Produkt enthalten hat ARNs , das es Ihnen zur Verfügung gestellt hat.

    AccessDeniedExceptionwird verursacht, wenn ein Ergebnis an oder von einem falschen Konto gesendet wird oder wenn das Konto kein Konto hatProductSubscription. Die Fehlermeldung enthält einen ARN mit dem Ressourcentyp product oderproduct-subscription. Dieser Fehler tritt nur bei kontoübergreifenden Anrufen auf. Wenn Sie BatchImportFindingsmit Ihrem eigenen Konto für dasselbe Konto in AwsAccountId und anrufenProductArn, verwendet der Vorgang IAM-Richtlinien und hat nichts damit zu tun. ProductSubscriptions

    Vergewissern Sie sich, dass es sich bei dem von Ihnen verwendeten Kundenkonto und Produktkonto um die tatsächlich registrierten Konten handelt. Einige Partner haben eine Kontonummer für das Produkt aus dem Produkt-ARN verwendet, versuchen aber, ein völlig anderes Konto für den Anruf zu verwenden BatchImportFindings. In anderen Fällen haben sie Konten ProductSubscriptions für andere Kunden oder sogar für ihr eigenes Produktkonto erstellt. Sie haben kein Kundenkonto erstelltProductSubscriptions, in das sie die Ergebnisse importieren wollten.

  37. An wen sende ich Fragen, Kommentare und Bugs?

  38. In welche Region sende ich Ergebnisse für Artikel im Zusammenhang mit globalen AWS Dienstleistungen? Wohin sende ich beispielsweise Ergebnisse im Zusammenhang mit IAM?

    Senden Sie Ergebnisse an dieselbe Region, in der der Befund entdeckt wurde. Bei einem Dienst wie IAM wird Ihre Lösung wahrscheinlich in mehreren Regionen auf dasselbe IAM-Problem stoßen. In diesem Fall wird der Befund an alle Regionen gesendet, in denen das Problem festgestellt wurde.

    Wenn der Kunde Security Hub in drei Regionen betreibt und in allen drei Regionen dasselbe IAM-Problem festgestellt wird, senden Sie das Ergebnis an alle drei Regionen.

    Wenn ein Problem behoben ist, senden Sie die Aktualisierung des Ergebnisses an alle Regionen, in die Sie das ursprüngliche Ergebnis gesendet haben.