AWS Security Hub Preguntas frecuentes sobre socios

Las preguntas siguientes se formulan con frecuencia sobre la configuración y el mantenimiento de una integración con AWS Security Hub.

¿Qué ventajas ofrece la integración de Security Hub?
- Satisfacción del cliente: la principal razón para realizar la integración con Security Hub es que son sus clientes quienes lo solicitan.
  
  Security Hub es el centro de seguridad y cumplimiento para AWS los clientes. Está diseñado como el primer lugar al que acuden los profesionales de la AWS seguridad y el cumplimiento todos los días para comprender su estado de seguridad y cumplimiento.
  
  Escuche a sus clientes. Ellos le dirán si quieren ver sus resultados en Security Hub.
- Oportunidades de detección: promocionamos a los socios que tienen integraciones certificadas en la consola de Security Hub, incluidos enlaces a sus listas de AWS Marketplace . Esto ofrece una forma estupenda para que los clientes descubran los nuevos productos de seguridad.
- Oportunidades de marketing: los proveedores con integraciones aprobadas pueden participar en seminarios web, publicar comunicados de prensa, crear hojas informativas y mostrar sus integraciones a los clientes. AWS
¿Qué tipos de socios existen?
- Socios que envían resultados a Security Hub
- Socios que reciben resultados de Security Hub
- Socios que envían y reciben resultados
- Socios consultores que ayudan a los clientes a configurar, personalizar y usar Security Hub en su entorno
¿Cómo funciona la integración de un socio con Security Hub a un alto nivel?

Recopila las conclusiones desde la cuenta de un cliente o desde su propia AWS cuenta y transforma el formato de las conclusiones al formato de búsqueda de AWS seguridad (ASFF). A continuación, envía esos resultados al punto de conexión regional de Security Hub correspondiente.

También puede usar CloudWatch Events para recibir las conclusiones de Security Hub.
¿Cuáles son los pasos básicos para completar una integración con Security Hub?
1. Envíe la información del manifiesto de socios.
2. Si va ARNs a enviar los resultados a Security Hub, reciba el producto para usarlo con Security Hub.
3. Asigne sus resultados al ASFF. Consulte Directrices para mapear los hallazgos en el formato AWS de búsqueda de seguridad (ASFF).
4. Defina su arquitectura para enviar y recibir resultados desde Security Hub. Siga los principios descritos en Fundamentos para crear y actualizar los resultados.
5. Cree un marco de implementación para los clientes. Por ejemplo, AWS CloudFormation los scripts pueden servir para este propósito.
6. Documente su configuración y facilite instrucciones de configuración a los clientes.
7. Defina toda la información personalizada (reglas de correlación) que los clientes puedan usar con su producto.
8. Haga una demostración de su integración al equipo de Security Hub.
9. Envíe la información de marketing para su aprobación (idioma del sitio web, comunicado de prensa, diapositiva de arquitectura, vídeo, hoja de ventas).
¿Qué procedimiento se sigue para enviar el manifiesto de socios? ¿Y para que los servicios de AWS envíen resultados a Security Hub?

Para enviar la información del manifiesto al equipo de Security Hub, escriba a <securityhub-partners@amazon.com>.

Se le entrega el producto ARNs en un plazo de siete días naturales.
¿Qué tipos de resultados debo enviar a Security Hub?

Los precios de Security Hub se basan en parte en el número de resultados incorporados. Por ello, debe abstenerse de enviar resultados que no aporten valor a los clientes.

Por ejemplo, algunos proveedores de administración de vulnerabilidades solo envían los resultados que tienen una puntuación del Common Vulnerability Scoring System (CVSS) mayor o igual que 3 sobre un total de 10 puntos posibles.
¿Qué enfoques existen para enviar mis resultados a Security Hub?

Estos son los enfoques principales:
- Usted envía los resultados desde su propia AWS cuenta designada mediante la BatchImportFindingsoperación.
- Los resultados se envían desde la cuenta del cliente mediante la operación BatchImportFindings. Puede utilizar enfoques basados en la asunción de roles, aunque dichos enfoques no son obligatorios.
Para conocer las directrices generales sobre el uso de BatchImportFindings, consulte Directrices para el uso de la API de BatchImportFindings.
¿Cómo se recopilan los resultados para enviarlos a un punto de conexión regional de Security Hub?

Los socios han utilizado diferentes enfoques para hacerlo, ya que esto depende en gran medida de la arquitectura de su solución.

Por ejemplo, algunos socios crean una aplicación de Python que se puede implementar como un AWS CloudFormation script. El script reúne los resultados del socio en el entorno del cliente, los transforma al formato ASFF y los envía al punto de conexión regional de Security Hub.

Otros socios crean un asistente completo que ofrece al cliente una experiencia de un solo clic para enviar los resultados a Security Hub.
¿Cómo se sabe cuándo hay que empezar a enviar los resultados a Security Hub?

Security Hub admite la autorización parcial por lotes para la operación desde la API de BatchImportFindings, de modo que puede enviar a Security Hub todos los resultados de todos sus clientes.

Si algunos de sus clientes aún no se han suscrito a Security Hub, este no recogerá esos resultados. Solamente incorpora los resultados autorizados que están en el lote.
¿Qué pasos se deben dar para enviar los resultados a la instancia de Security Hub de un cliente?
1. Asegúrese de que se implementen las políticas de IAM correctas.
2. Habilite una suscripción de producto (políticas de recursos) para las cuentas. Utilice la operación desde la API de EnableImportFindingsForProduct o la página de integraciones. Esto puede hacerlo el cliente o bien puede usar roles entre cuentas para actuar en nombre del cliente.
3. Asegúrese de que el ProductArn del resultado sea el ARN público de su producto.
4. Asegúrese de que el AwsAccountId del resultado sea el ID de la cuenta del cliente.
5. Asegúrese de que sus hallazgos no contengan datos mal formados de acuerdo con el formato de búsqueda AWS de seguridad (ASFF). Por ejemplo, los campos obligatorios deben estar rellenados y no contener valores no válidos.
6. Envíe los resultados en lotes al punto de conexión regional correcto.
¿De qué permisos de IAM se debe disponer para poder enviar resultados?

Las políticas de IAM deben estar configuradas para el rol o el usuario de IAM que realiza las llamadas a BatchImportFindings u otras llamadas a la API.

La prueba más sencilla consiste en hacerlo desde una cuenta de administrador. Puede restringirlas a action: ‘securityhub:BatchImportFindings’ y resource: <productArn and/or productSubscriptionArn>.

Los recursos de la misma cuenta se pueden configurar con políticas de IAM sin necesidad de políticas de recursos.

Para descartar problemas con las políticas de IAM por parte del intermediario de BatchImportFindings, defina la política de IAM para dicho intermediario de la siguiente manera:
```
{
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}
```
Asegúrese de comprobar que no haya políticas de Deny para el intermediario. Cuando consiga que de esta manera funcione, puede restringir la política a lo siguiente:
```
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}
```
¿Qué es una suscripción a un producto?

Para recibir resultados del producto de un socio concreto, el cliente (o el socio con roles entre cuentas cuando trabaje en nombre del cliente) debe establecer una suscripción al producto. Para hacer esto desde la consola se utiliza la página de integraciones. Para hacerlo desde la API, se usa la operación de la API de EnableImportFindingsForProduct.

La suscripción al producto crea una política de recursos que autoriza al cliente a recibir o enviar los resultados del socio. Para obtener más información, consulte Casos de uso de integración y permisos necesarios.

Security Hub tiene los siguientes tipos de políticas de recursos para los socios:
- BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
- BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
Durante el proceso de incorporación de socios, puede solicitar uno o ambos tipos de políticas.

Con BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT, solo puede enviar los resultados a Security Hub desde la cuenta que figura en el ARN de su producto.

Con BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT, solo puede enviar los resultados desde la cuenta de cliente que se ha suscrito a su producto.
Supongamos que un cliente ha creado una cuenta de administrador a la que agregó algunas cuentas de miembros. ¿Es necesario que el cliente suscriba cada cuenta de miembro a mi producto? ¿O el cliente solo se suscribe desde la cuenta de administrador y luego yo puedo enviar los resultados a los recursos de todas las cuentas de los miembros?

Lo que se pregunta aquí es si los permisos se crean para todas las cuentas de los miembros en función del registro de la cuenta de administrador.

El cliente debe crear una suscripción al producto para cada cuenta. Esto puede hacerse mediante programación a través de la API.
¿Qué es el ARN de mi producto?

El ARN de su producto es el identificador único que Security Hub genera para usted y que utiliza para enviar los resultados. Recibirá un ARN de producto para cada producto que integre con Security Hub. El ARN de producto correcto debe formar parte de todos los resultados que envíe a Security Hub. Los resultados que no tienen un ARN de producto se descartan. El ARN del producto tiene el siguiente formato:

arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

A continuación se muestra un ejemplo:

arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

Se le proporciona un ARN de producto para cada región en la que se implemente Security Hub. El ID de cuenta, la empresa y los nombres de producto vienen determinados por los manifiestos enviados por su socio. Nunca deberá cambiar la información asociada al ARN de su producto, excepto el código de región. Dicho código debe coincidir con la región para la que envíe los resultados.

Un error común es cambiar el ID de la cuenta para que coincida con el de la cuenta desde la que trabaja actualmente. El ID de la cuenta no cambia. Debe enviar un identificador de cuenta “de inicio” como parte del envío del manifiesto. Este ID de cuenta está bloqueado en el ARN del producto.

Cuando Security Hub se lanza en nuevas regiones, utiliza automáticamente los códigos de región estándar para generar el producto ARNs para esas regiones.

Cada cuenta también recibe automáticamente un ARN de producto privado. Puede usar este ARN para hacer pruebas de importación de los resultados en su propia cuenta de desarrollo antes de recibir el ARN del producto oficial público.
¿Con qué formato se envían los resultados a Security Hub?

Los resultados deben proporcionarse en el formato AWS de búsqueda de seguridad (ASFF). Consulte Formato de resultados de seguridad de AWS (ASFF) en la Guía del usuario de AWS Security Hub .

Se espera que toda la información de sus resultados nativos se refleje plenamente en el ASFF. Los campos personalizados, por ejemplo, ProductFields y Resource.Details.Other, permiten asignar datos que no encajan perfectamente en los campos predefinidos.
¿Cuál es el punto de conexión regional correcto que se debe utilizar?

Debe enviar los resultados al punto de conexión regional de Security Hub que esté asociado a la cuenta del cliente.
¿Dónde se puede encontrar la lista de puntos de conexión regionales?

Consulte la lista de puntos de conexión de Security Hub.
¿Se pueden enviar resultados de una región a otra?

Security Hub aún no admite el envío de resultados entre regiones para los AWS servicios nativos, como Amazon GuardDuty, Amazon Macie y Amazon Inspector. Si su cliente lo permite, Security Hub no le impedirá enviar resultados desde distintas regiones.

En este sentido, puede llamar a un punto de conexión regional desde cualquier lugar y la información sobre los recursos del ASFF no tiene por qué coincidir con la región del punto de conexión. Sin embargo, ProductArn debe coincidir con la región del punto de conexión.
¿Qué normas y directrices rigen el envío de lotes de resultados?

Puede agrupar hasta 100 resultados o 240 KB en una sola llamada de BatchImportFindings. Puede ponga en cola y agrupar tantos resultados como sea posible hasta este límite.

Puede agrupar un conjunto de resultados de diferentes cuentas. Sin embargo, si alguna de las cuentas del lote no está suscrita a Security Hub, se producirá un error en todo el lote. Esto es una limitación del modelo de autorización de referencia de API Gateway.

Consulte Directrices para el uso de la API de BatchImportFindings.
¿Se pueden enviar actualizaciones de los resultados que he creado?

Sí, si envía un resultado con el mismo ARN de producto y el mismo ID de resultado, se sobrescribirán los datos anteriores de ese resultado. Tenga en cuenta que todos los datos se sobrescribirán, por lo que debe enviar un resultado completo.

La tarificación y facturación de los clientes se basa tanto en los nuevos resultados como en sus actualizaciones.
¿Se pueden enviar actualizaciones de los resultados que ha creado otra persona?

Sí, si el cliente le concede acceso a la operación de la API de BatchUpdateFindings, puede actualizar ciertos campos mediante esa operación. Esta operación está diseñada para que la utilicen los clientes SIEMs, los sistemas de emisión de tickets y las plataformas de orquestación, automatización y respuesta de seguridad (SOAR).
¿Cómo se eliminan los resultados obsoletos?

Security Hub elimina los resultados 90 días después de la fecha de la última actualización. Transcurrido este tiempo, los hallazgos obsoletos se eliminan del clúster de Security Hub. OpenSearch

Si actualiza un resultado que tiene el mismo ID de resultado, y que ha caducado, se crea un nuevo resultado en Security Hub.

Los clientes pueden usar CloudWatch Events para sacar las conclusiones de Security Hub. De este modo se pueden enviar todos los resultados a los destinos que elija el cliente.

En general, Security Hub recomienda crear nuevos resultados cada 90 días y no actualizarlos de forma indefinida.
¿Qué limitaciones impone Security Hub?

Security Hub limita las llamadas a las GetFindings API, ya que el enfoque recomendado para acceder a los hallazgos es utilizar CloudWatch eventos.

Security Hub no implementa ninguna otra limitación en los servicios internos, los socios o los clientes aparte de la que imponen las invocaciones a API Gateway y Lambda.
¿Cuál es la puntualidad, la latencia SLAs o las expectativas de los hallazgos que se envían a Security Hub desde los servicios de origen?

El objetivo es que tanto los resultados iniciales como sus actualizaciones se publiquen lo más cerca posible al tiempo real. Debe enviar los resultados a Security Hub en un plazo de cinco minutos después de su creación.
¿Cómo se reciben los resultados desde Security Hub?

Para recibir resultados, utilice alguno de los métodos siguientes.
- Todos los resultados se envían automáticamente a CloudWatch Events. Un cliente puede crear reglas de CloudWatch eventos específicas para enviar los hallazgos a objetivos específicos, como un SIEM o un bucket de S3. Esta capacidad sustituyó a la antigua operación de la API de GetFindings.
- Usa CloudWatch Events para realizar acciones personalizadas. Security Hub permite a los clientes seleccionar resultados concretos o grupos de resultados desde la consola y ejecutar acciones con ellos. Por ejemplo, se pueden enviar los resultados a un SIEM, un sistema de ticketing, una plataforma de chat o un flujo de trabajo de corrección. Esto formaría parte de un flujo de trabajo de clasificación de alertas que un cliente realiza en Security Hub. Estas acciones se denominan acciones personalizadas.
  
  Cuando un usuario selecciona una acción personalizada, se crea un CloudWatch evento para esos hallazgos específicos. Puedes aprovechar esta capacidad y crear reglas y objetivos de CloudWatch eventos para que un cliente los utilice como parte de una acción personalizada. Tenga en cuenta que esta capacidad no se utiliza para enviar automáticamente todos los resultados de un tipo o clase en particular a CloudWatch Events. Corresponde al usuario tomar medidas en relación con resultados concretos.
  
  Puedes usar las operaciones de la API de acciones personalizadas, por ejemploCreateActionTarget, para crear automáticamente las acciones disponibles para tu producto (por ejemplo, mediante AWS CloudFormation plantillas). También puedes usar las operaciones de la API de reglas de CloudWatch eventos para crear las reglas de CloudWatch eventos correspondientes que estén asociadas a la acción personalizada. Mediante AWS CloudFormation plantillas, también puede crear reglas de CloudWatch eventos para incorporar automáticamente desde Security Hub todos los hallazgos o todos los hallazgos con determinadas características.
¿Qué requisitos debe cumplir un proveedor de servicios de seguridad administrados (MSSP) para convertirse en socio de Security Hub?

Debe hacer una demostración del uso de Security Hub como parte de la prestación de servicios a los clientes.

Debe disponer de documentación de usuario en la que se explique el uso que hace de Security Hub.

Si el MSSP es un proveedor de resultados, debe hacer una demostración del envío de resultados a Security Hub.

Si el MSSP solo recibe las conclusiones de Security Hub, debe tener como mínimo una AWS CloudFormation plantilla para configurar las reglas de CloudWatch eventos adecuadas.
¿Qué requisitos debe cumplir un socio de consultoría de APN que no sea un MSSP para convertirse en socio de Security Hub?

Cualquier socio de consultoría de APN puede convertirse en un socio de Security Hub. Debe enviar dos casos prácticos privados que evidencien cómo ayudó a un cliente concreto a hacer lo siguiente.
- Configurar Security Hub con los permisos de IAM que necesita el cliente.
- Ayudar a conectar soluciones de proveedores de software independientes (ISV) ya integradas a Security Hub mediante las instrucciones de configuración de la página de socios de la consola.
- Ayudar a los clientes con integraciones de productos personalizadas.
- Crear información personalizada pertinente a las necesidades y los conjuntos de datos de los clientes.
- Crear acciones personalizadas.
- Crear manuales de corrección.
- Crear inicios rápidos que se ajusten a los estándares de cumplimiento de Security Hub. Todo esto debe ser validado por el equipo de Security Hub.
No es necesario compartir públicamente los nombres de los casos prácticos.
¿Qué requisitos debe cumplir la implementación de mi integración con Security Hub para que funcione con mis clientes?

Las arquitecturas de integración entre Security Hub y los productos de los socios varían de un socio a otro en cuanto al funcionamiento de la solución de cada socio. Debe asegurarse de que el proceso de configuración de la integración no dure más de 15 minutos.

Si va a implementar un software de integración en el AWS entorno del cliente, debería aprovechar AWS CloudFormation las plantillas para simplificar la integración. Algunos socios han creado integraciones con un solo clic, algo que se recomienda encarecidamente.
¿Qué requisitos debe cumplir la documentación?

Debe proporcionar un enlace a la documentación que describa el proceso de integración y configuración entre su producto y Security Hub, incluido el uso de AWS CloudFormation plantillas.

Esta documentación también debe incluir información sobre su utilización de ASFF. En concreto, debe enumerar los tipos de resultados de ASFF que está utilizando para sus diferentes resultados. Si utiliza definiciones de información predeterminadas, le recomendamos que también las incluya aquí.

Considere la posibilidad de incluir otra posible información:
- Su caso de uso para la integración con Security Hub
- El volumen medio de resultados enviados
- Su arquitectura de integración
- Las regiones que son compatibles y las que no
- La latencia entre el momento en que se crean los resultados y el momento en que estos se envían a Security Hub
- Si los resultados se actualizan
¿Qué son los conocimientos personalizados?

Le recomendamos que defina los conocimientos personalizados para sus resultados. Los conocimientos son reglas de correlación sencillas que ayudan al cliente a priorizar qué resultados y recursos requieren más atención y medidas.

Security Hub tiene una operación de la API de CreateInsight. Puede crear información personalizada dentro de una cuenta de cliente como parte de su AWS CloudFormation plantilla. Esta información aparece en la consola del cliente.
¿Se pueden enviar widgets de paneles?

De momento no. Solo se pueden crear conocimientos personalizados.
Qué modelo de precios se aplica?

Consulte la información de precios de Security Hub.
¿Cómo se envían los resultados a la cuenta de demostración de Security Hub como parte del proceso de aprobación final de una integración?

Envíe los resultados a la cuenta de demostración de Security Hub utilizando el ARN del producto proporcionado, especificando us-west-2 como región. Los resultados deben incluir el número de cuenta de demostración en el campo AwsAccountId de ASFF. Para obtener el número de cuenta de demostración, contacte con el equipo de Security Hub.

No nos envíe ningún dato confidencial ni información de identificación personal. Estos datos se utilizan para demostraciones públicas. Al enviarnos estos datos, nos autoriza a utilizarlos en las demostraciones.
¿Qué mensajes de error o de éxito proporciona BatchImportFindings?

Security Hub proporciona una respuesta para la autorización y una respuesta para BatchImportFindings. Se están desarrollando mensajes de éxito, fallo y error más claros.
¿De qué tratamiento de errores es responsable el servicio de origen?

Los servicios de origen son responsables de todo el control de errores. Se encargan de gestionar los mensajes de error, los reintentos, las limitaciones y las alarmas. También deben gestionar las valoraciones o los mensajes de error enviados a través del mecanismo de valoración de Security Hub.
¿Puede citar algunas de las soluciones a los problemas más comunes?

Una AuthorizerConfigurationException es el resultado de un AwsAccountId o ProductArn incorrecto.

Durante la resolución de problemas, tenga en cuenta lo siguiente:
- AwsAccountId debe tener exactamente 12 dígitos.
- ProductArndebe tener el siguiente formato: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>
  
  El ID de cuenta no cambia con respecto al que el equipo de Security Hub incluyó en el producto ARNs que te proporcionaron.
AccessDeniedException se produce cuando un resultado se envía a una cuenta equivocada o desde ella, o cuando la cuenta no tiene una ProductSubscription. El mensaje de error contendrá un ARN con un tipo de recurso product o product-subscription. Este error solo se produce durante las llamadas entre cuentas. Si llama a BatchImportFindings con su propia cuenta para la misma cuenta en AwsAccountId y ProductArn, la operación utiliza las políticas de IAM y no tiene nada que ver con ProductSubscriptions.

Asegúrese de que la cuenta de cliente y la cuenta de producto que utiliza sean las cuentas realmente registradas. Algunos socios han utilizado un número de cuenta para el producto del ARN del producto, pero intentan usar una cuenta completamente diferente para llamar a BatchImportFindings. En otros casos, crearon ProductSubscriptions para otras cuentas de clientes o incluso para su propia cuenta de producto. No crearon ProductSubscriptions para la cuenta de cliente a la que intentaron importar los resultados.
¿Dónde se envían las preguntas, los comentarios y los errores?

<securityhub-partners@amazon.com>
¿A qué región se envían los resultados de los elementos relacionados con los servicios globales de AWS ? Por ejemplo, ¿dónde debo enviar los resultados relacionados con la IAM?

Envíe los resultados a la misma región en la que se detectaron los resultados. En el caso de un servicio como IAM, es probable que la solución detecte el mismo problema de IAM en varias regiones. En ese caso, el resultado se envía a todas las regiones en las que se detectó el problema.

Si el cliente ejecuta Security Hub en tres regiones y se detecta el mismo problema de IAM en las tres, envíe el resultado a las tres regiones.

Cuando resuelva un problema, envíe la actualización del resultado a todas las regiones a las que envió el resultado original.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lista de verificación de disponibilidad del producto

Historial de documentos