Checkliste für die Produktbereitschaft - AWS Security Hub
ASFFFF-ZuordnungEinrichtung und Funktion der IntegrationDokumentation-ProduktkarteninformationenMarketing-Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Checkliste für die Produktbereitschaft

DieAWS Security Hubund APN-Partnerteams verwenden diese Checkliste, um zu überprüfen, dass die Integration startbereit ist.

ASFFFF-Zuordnung

Diese Fragen beziehen sich auf die Abbildung Ihres Ergebnisses auf dieAWSSecurity Finding Format (ASFF)

Werden alle Erkennungsdaten des Partners in ASFF abgebildet?

Ordnen Sie alle Ihre Ergebnisse auf irgendeine Weise dem ASFF zu.

Verwenden Sie kuratierte Felder wie modellierte Ressourcentypen,Network,Malware, oderThreatIntelIndicatorsaus.

Ordnen Sie alles andere inResource.Details.OtheroderProductFieldsentsprechend.

Verwendet der PartnerResource.DetailsFelder, wieAwsEc2instance,AwsS3Bucket, undContainer? Verwendet der PartnerResource.Details.Otherum Ressourcendetails zu definieren, die nicht im ASFF modelliert sind?

Verwenden Sie nach Möglichkeit die bereitgestellten Felder für kuratierte Ressourcen wie EC2-Instances, S3-Buckets und Sicherheitsgruppen in Ihren Ergebnissen.

Ordnen Sie andere Informationen in Bezug auf Ressourcen zuResource.Details.Othernur wenn es keine direkte Übereinstimmung gibt.

Ordnet der Partner Werte zuUserDefinedFields?

Verwenden Sie nicht UserDefinedFields.

Erwägen Sie, ein anderes kuratiertes Feld zu verwenden, z.Resource.Details.OtheroderProductFieldsaus.

Ordnet der Partner Informationen inProductFieldsdas könnte anderen ASFF-Feldern zugeordnet werden?

Verwenden Sie nurProductFieldsfür produktspezifische Informationen wie Versionsinformationen, produktspezifische Schweregrade oder andere Informationen, die nicht in ein kuratiertes Feld abgebildet werden können oderResources.Details.Otheraus.

Importiert der Partner seine eigenen Zeitstempel fürFirstObservedAt?

DieFirstObservedAttimestamp soll den Zeitpunkt aufzeichnen, zu dem ein Befund im Produkt beobachtet wurde. Ordnen Sie dieses Feld wenn möglich zu.

Stellt der Partner eindeutige Werte zur Verfügung, die für jeden Finding-Bezeichner generiert wurden, mit Ausnahme von Ergebnissen, die er aktualisieren möchte?

Alle Ergebnisse im Security Hub werden auf den Finding-Bezeichner (Id-Attribut). Dieser Wert muss immer eindeutig sein, um sicherzustellen, dass die Ergebnisse nicht versehentlich aktualisiert werden.

Sie sollten auch den Bezeichnungsstatus für die Suche beibehalten, um die Ergebnisse zu aktualisieren.

Bietet der Partner einen Wert, der Ergebnisse einer Generator-ID zuordnet?

GeneratorIDsollte nicht den gleichen Wert wie die Finden-ID haben.

GeneratorIDsollte in der Lage sein, Ergebnisse logisch mit dem zu verknüpfen, was sie generiert hat.

Dies kann eine Unterkomponente innerhalb eines Produkts (Produkt A - Vulnerability vs Produkt A - EDR) oder etwas ähnliches sein.

Verwendet der Partner die erforderlichen Suchtypen Namespaces auf eine Weise, die für sein Produkt relevant ist? Verwendet der Partner die empfohlenen Suchtypkategorien oder Klassifikatoren in seinen Suchtypen?

Die Taxonomie des Erkennungstyps sollte den Ergebnissen, die das Produkt generiert, genau abbilden.

Die Namespaces der ersten Ebene, die imAWSSecurity Finding-Format ist erforderlich.

Sie können benutzerdefinierte Werte für die Namespaces der zweiten und dritten Ebene (Kategorien oder Klassifizierer) verwenden.

Erfasst der Partner Informationen zum Netzwerkfluss imNetworkFelder, wenn sie Netzwerkdaten haben?

Wenn Ihr Produkt erfasstNetFlowInformationen, ordnen Sie es demNetworkfield.

Erfasst der Partner Informationen (PID) imProcessFelder, wenn sie Prozessdaten haben?

Wenn Ihr Produkt Prozessinformationen erfasst, ordnen Sie es demProcessfield.

Erfasst der Partner Malware-Informationen imMalware-Feldern, wenn sie Malware-Daten haben?

Wenn Ihr Produkt Malware-Informationen erfasst, ordnen Sie es demMalwarefield.

Erfasst der Partner Threat Intelligence-Informationen imThreatIntelIndicatorsFelder, wenn sie Threat Intelligence-Daten haben?

Wenn Ihr Produkt Informationen über Bedrohungsinformationen erfasst, ordnen Sie es demThreatIntelIndicatorsfield.

Gibt der Partner eine Vertrauensbewertung für Ergebnisse an? Wenn ja, wird eine Begründung gegeben?

Wenn Sie dieses Feld verwenden, geben Sie eine Begründung in Ihrer Dokumentation und Ihrem Manifest an.

Verwendet der Partner eine kanonische ID oder einen ARN für die Ressourcen-ID bei der Suche?

Bei der IdentifizierungAWS-Ressourcen ist es am besten, den ARN zu verwenden. Wenn kein ARN verfügbar ist, verwenden Sie die kanonische Ressourcen-ID.

Einrichtung und Funktion der Integration

Diese Fragen beziehen sich auf das Setup undday-to-dayFunktion der Integration.

Bietet der Partner eineinfrastructure-as-code(iAC) -Vorlage zur Bereitstellung der Integration mit Security Hub, wie Terraform,AWS CloudFormation, oderAWS Cloud Development Kit (AWS CDK)?

Für Integrationen, die Ergebnisse aus dem Kundenkonto senden oder verwendenCloudWatchEreignisse, um Ergebnisse zu konsumieren, ist eine Form von iAC-Vorlage erforderlich.

AWS CloudFormationwird bevorzugt, aberAWS CDKoder Terraform kann auch verwendet werden.

Hat das Partnerprodukt ein Ein-Klick-Setup auf seiner Konsole für die Integration mit Security Hub?

Einige Partnerprodukte verwenden einen Toggle oder einen ähnlichen Mechanismus in ihrem Produkt, um die Integration zu aktivieren. Dies kann zur automatischen Bereitstellung von Ressourcen und Berechtigungen führen. Wenn Sie Ergebnisse aus einem Produktkonto senden, ist die Einrichtung mit einem Klick die bevorzugte Methode.

Sendet der Partner nur Wertfindungen?

Im Allgemeinen sollten Sie nur Erkenntnisse mit Sicherheitswert an Security Hub Hub-Kunden senden.

Security Hub ist kein allgemeines Tool zur Protokollverwaltung. Sie sollten nicht jedes mögliche Protokoll an Security Hub senden.

Hat der Partner eine Schätzung abgegeben, wie viele Erkenntnisse er pro Tag pro Kunde und mit welcher Häufigkeit (Durchschnitt und Burst) senden wird?

Zur Berechnung der Belastung des Security Hub wird eine Anzahl eindeutiger Ergebnisse verwendet. Ein eindeutiger Befund ist definiert als ein Ergebnis mit einer anderen ASFF-Zuordnung als einer anderen Erkenntnis.

Wenn zum Beispiel nur eine Befund aufgefüllt istThreatIntelndicatorsund ein anderer bevölkerte nurResources.Details.AWSEc2Instance, das sind zwei einzigartige Erkenntnisse.

Hat der Partner eine anmutige Art, 4xx- und 5xx-Fehler so zu behandeln, dass sie nicht gedrosselt werden und alle Ergebnisse zu einem späteren Zeitpunkt gesendet werden können?

Derzeit gibt es eine Burst-Rate von 30 bis 50 TPS auf derBatchImportFindingsAPI-Operation. Wenn 4xx- oder 5xx-Fehler zurückgegeben werden, müssen Sie den Status dieser fehlgeschlagenen Ergebnisse beibehalten, damit Sie sie später vollständig wiederholen können. Sie können dies durch eine Warteschlange für tote Briefe oder eine andere tunAWSMessaging-Services wie Amazon SNS oder Amazon SQS.

Behält der Partner den Stand seiner Ergebnisse bei, damit er weiß, dass er Erkenntnisse archiviert, die nicht mehr vorhanden sind?

Wenn Sie vorhaben, die Ergebnisse durch Überschreiben der ursprünglichen Finding-ID zu aktualisieren, müssen Sie über einen Mechanismus verfügen, um den Status beizubehalten, damit die richtigen Informationen für die korrekte Suche aktualisiert werden.

Wenn Sie Ergebnisse angeben, verwenden Sie nicht dieBatchUpdateFindingsOperation, um Ergebnisse zu aktualisieren. Dieser Vorgang sollte nur von Kunden genutzt werden. Du benutzt nurBatchUpdateFindingswenn Sie Ergebnisse untersuchen und Maßnahmen ergreifen.

Behandelt der Partner Wiederholungen auf eine Weise, die keine Kompromisse eingeht, die zuvor erfolgreiche Ergebnisse gesendet wurden?

Sie sollten über einen Mechanismus verfügen, um die ursprünglichen Find-IDs im Fehlerfall beizubehalten, damit Sie erfolgreiche Ergebnisse nicht fälschlicherweise duplizieren oder überschreiben.

Aktualisiert der Partner die Ergebnisse durch Aufruf derBatchImportFindingsBetrieb mit der Finding-ID der bestehenden Findings?

Um eine Suche zu aktualisieren, müssen Sie die vorhandene Suche überschreiben, indem Sie dieselbe Suchkennung übermitteln.

DieBatchUpdateFindings-Betrieb sollte nur von Kunden genutzt werden.

Aktualisiert der Partner Ergebnisse mit demBatchUpdateFindingsAPI?

Wenn Sie Maßnahmen zu Ergebnissen ergreifen, können Sie dieBatchUpdateFindingsOperation, um bestimmte Felder zu aktualisieren.

Gibt der Partner Informationen über die Latenzzeit zwischen dem Zeitpunkt der Erstellung eines Findens und dem Zeitpunkt, an dem er von seinem Produkt an Security Hub gesendet wird?

Sie sollten die Latenz minimieren, um sicherzustellen, dass Kunden die Ergebnisse im Security Hub so schnell wie möglich sehen.

Diese Informationen sind im Manifest erforderlich.

Wenn die Architektur des Partners Ergebnisse von einem Kundenkonto an Security Hub senden soll, haben sie dies erfolgreich demonstriert? Wenn die Architektur des Partners Ergebnisse von ihrem eigenen Konto an Security Hub senden soll, haben sie dies erfolgreich demonstriert?

Während des Tests müssen die Ergebnisse erfolgreich von einem Konto gesendet werden, das sich von dem Konto unterscheidet, das sich von dem für das Produkt ARN bereitgestellten Konto unterscheidet.

Das Senden eines Ergebnisses aus dem Konto des ARN-Eigentümers des Produkts kann bestimmte Fehlerausnahmen von den API-Vorgängen umgehen.

Bietet der Partner Security Hub eine Heartbeat-Findung?

Um zu zeigen, dass Ihre Integration ordnungsgemäß funktioniert, sollten Sie eine Heartbeat-Findung senden. Die Heartbeat-Findung wird alle fünf Minuten gesendet und verwendet den FindetypHeartbeataus.

Dies ist wichtig, wenn Sie Ergebnisse von einem Produktkonto senden.

Hat sich der Partner während des Tests in das Konto des Security Hub Hub-Produktteams integriert?

Während der Validierung vor der Produktion sollten Sie Suchbeispiele an das Security Hub Hub-Produktteams sendenAWSKonto. Diese Beispiele zeigen, dass die Ergebnisse korrekt gesendet und abgebildet werden.

Dokumentation

Diese Fragen beziehen sich auf die Dokumentation der von Ihnen bereitgestellten Integration.

Hostet der Partner seine Dokumentation auf einer dedizierten Website?

Die Dokumentation sollte auf Ihrer Website als statische Webseite, Wiki, Lesen Sie die Dokumente oder ein anderes dediziertes Format gehostet werden.

Hosting von Dokumentation aufGitHuberfüllt nicht die Anforderung der dedizierten Website.

Enthält die Partnerdokumentation Anweisungen zum Einrichten der Security Hub Hub-Integration?

Sie können die Integration entweder mit einer iAC-Vorlage oder einer konsolenbasierten „Ein-Klick“ -Integration einrichten.

Liefert die Partnerdokumentation eine Beschreibung ihres Anwendungsfalls?

Der Anwendungsfall, den Sie im Manifest angeben, sollte ebenfalls in der Dokumentation beschrieben werden

Bietet die Partnerdokumentation eine Begründung für die Ergebnisse, die sie senden?

Sie sollten die Gründe für die Arten von Ergebnissen angeben, die Sie senden.

Beispielsweise kann Ihr Produkt Ergebnisse für Schwachstellen, Malware und Antivirenprogramme erzeugen, aber Sie senden nur Schwachstellen- und Malware-Erkenntnisse an Security Hub. In diesem Fall müssen Sie eine Begründung dafür angeben, warum Sie keine Antivirus-Ergebnisse senden.

Bietet die Partnerdokumentation eine Begründung dafür, wie der Partner seine Ergebnisse dem ASFF zuordnet?

Sie sollten die Begründung für die Zuordnung des nativen Ergebnisses eines Produkts zu ASFF angeben. Kunden möchten wissen, wo sie nach bestimmten Produktinformationen suchen müssen.

Gibt die Partnerdokumentation Anleitungen dazu, wie der Partner die Ergebnisse aktualisiert, wenn er die Ergebnisse aktualisiert?

Geben Sie Kunden Informationen darüber, wie Sie den Staat behalten, Idempotenz sicherstellen und Ergebnisse überschreibenup-to-date-Informationen.

Beschreibt die Partnerdokumentation die Suche nach Latenz?

Minimieren Sie die Latenz, um sicherzustellen, dass Kunden die Ergebnisse im Security Hub so schnell wie möglich sehen.

Diese Informationen sind im Manifest erforderlich.

Beschreibt die Partnerdokumentation, wie sich ihr Schweregrad dem Schweregrad von ASFF entspricht?

Geben Sie Informationen darüber an, wie Sie kartierenSeverity.OriginalzuSeverity.Labelaus.

Wenn Ihr Schweregrad beispielsweise eine Buchstabennote (A, B, C) ist, sollten Sie Informationen darüber angeben, wie Sie die Buchstabennote dem Schweregrad zuordnen.

Bietet die Partnerdokumentation eine Begründung für Vertrauensbewertungen?

Wenn Sie Konfidenzwerte angeben, sollten diese Punktzahlen eingestuft werden.

Wenn Sie statisch ausgefüllte Konfidenzwerte oder Mappings verwenden, die sich aus künstlicher Intelligenz oder maschinellem Lernen ergeben, sollten Sie zusätzlichen Kontext bereitstellen.

Notiert die Partnerdokumentation, welche Regionen der Partner unterstützt und nicht?

Hinweis: Regionen, die unterstützt werden oder nicht, damit Kunden wissen, in welchen Regionen sie keine Integration versuchen sollen.

-Produktkarteninformationen

Diese Fragen beziehen sich auf die Karte für das Produkt, das auf derIntegrationenSeite der Security Hub Hub-Konsole.

Ist das zur Verfügung gestelltAWSKonto-ID gültig und enthält 12 Ziffern?

Kontokennungen sind 12 Ziffern lang. Wenn eine Konto-ID weniger als 12 Ziffern enthält, ist der ARN des Produkts nicht gültig.

Enthält die Produktbeschreibung 200 oder weniger Zeichen?

Die im JSON im Manifest angegebene Produktbeschreibung sollte nicht länger als 200 Zeichen einschließlich Leerzeichen enthalten.

Führt der Konfigurationslink zur Dokumentation für die Integration?

Der Konfigurationslink sollte zu Ihrer Online-Dokumentation führen. Es sollte nicht zu Ihrer Hauptwebsite oder zu Marketingseiten führen.

Führt der Kauflink (falls vorhanden) zumAWS MarketplaceAuflistung für das Produkt?

Wenn Sie einen Kauflink angeben, muss dieser für einenAWS Marketplace-Eintrag. Security Hub akzeptiert keine Kauflinks, die nicht von gehostet werdenAWSaus.

Beschreiben die Produktkategorien das Produkt richtig?

Im Manifest können Sie bis zu drei Produktkategorien angeben. Diese sollten mit dem JSON übereinstimmen und können nicht benutzerdefiniert sein. Sie können nicht mehr als drei Produktkategorien angeben.

Sind die Firmen- und Produktnamen gültig und korrekt?

Der Firmenname muss 16 oder weniger Zeichen lang sein.

Der Produktname muss 24 oder weniger Zeichen lang sein.

Der Produktname in der Produktkarte JSON muss mit dem Namen im Manifest übereinstimmen.

Marketing-Informationen

Diese Fragen beziehen sich auf das Marketing für die Integration.

Liegt die Produktbeschreibung für die Security Hub Hub-Partnerseite innerhalb von 700 Zeichen, einschließlich Leerzeichen?

Die Seite Security Hub Hub-Partner akzeptiert nur bis zu 700 Zeichen, einschließlich Leerzeichen.

Das Team bearbeitet längere Beschreibungen.

Ist das Logo der Security Hub Hub-Partnerseite nicht größer als 600 x 300 px?

Geben Sie eine öffentlich zugängliche URL mit einem Firmenlogo in PNG oder JPG an, das nicht größer als 600 x 300 Pixel ist.

Führt der Hyperlink Weitere Informationen auf der Security Hub Hub-Partnerseite zur dedizierten Webseite des Partners über die Integration?

DieWeitere InformationenLink sollte nicht zur Hauptwebsite des Partners oder zu den Dokumentationsinformationen führen.

Dieser Link sollte immer auf eine dedizierte Webseite mit Marketinginformationen über die Integration gehen.

Bietet der Partner eine Demo oder ein Anleitungsvideo zur Verwendung seiner Integration an?

Eine Demo- oder Integrations-Walkthrough-Video ist optional, wird jedoch empfohlen.

Ist einAWSDer Blogbeitrag des Partnernetzwerks wird mit dem Partner und seinem Partner Development Manager oder Partner Development Vertreter veröffentlicht?

AWSBlogbeiträge des Partnernetzwerks sollten im Voraus mit dem Partner Development Manager oder Vertreter der Partnerentwicklung koordiniert werden.

Diese sind getrennt von jedem Blogbeitrag, den Sie selbst erstellen.

Lassen Sie 4 bis 6 Wochen Vorbereitungs- und Anlaufzeit einwirken. Dieser Aufwand sollte begonnen werden, nachdem das Testen mit dem privaten Produkt ARN abgeschlossen ist.

Wird eine von Partnern geleitete Pressemitteilung veröffentlicht?

Sie können mit Ihrem Partner Development Manager oder Partner Development Vertreter zusammenarbeiten, um ein Angebot vom VP External Security Services zu erhalten. Dieses Angebot können Sie in Ihrer Pressemitteilung verwenden.

Wird ein von Partnern geleiteter Blogbeitrag veröffentlicht?

Sie können Ihre eigenen Blogbeiträge erstellen, um die Integration außerhalb desAWS-Blog des Partnernetzwerks.

Wird ein von Partnern geleitetes Webinar veröffentlicht?

Sie können eigene Webinare erstellen, um die Integration zu präsentieren.

Wenn Sie Unterstützung vom Security Hub Hub-Team benötigen, arbeiten Sie mit dem Produktteam zusammen, nachdem Sie die Tests mit dem privaten Produkt ARN abgeschlossen haben.

Hat der Partner Social-Media-Unterstützung vonAWS?

Nach Ihrer Veröffentlichung können Sie mit derAWSSicherheitsmarketing führt zur VerwendungAWSoffizielle Social-Media-Kanäle, um Details zu Ihren Webinaren zu teilen.