Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Lista de comprobación de preparación del producto
LaAWS Security Huby los equipos de socios de APN utilizan esta lista de comprobación para validar que la integración está lista para iniciarse.
Asignación de ASFF
Estas preguntas están relacionadas con la asignación de su hallazgo a laAWSFormato de hallazgo de seguridad (ASFF) de.
- ¿Todos los datos de búsqueda del socio están mapeados en ASFF?
-
Mapee todos sus hallazgos al ASFF de alguna manera.
Utilizar campos curados, tales como tipos de recursos modelados,
Network
,Malware
, o bienThreatIntelIndicators
.Asigne cualquier otra cosa en
Resource.Details.Other
oProductFields
según proceda. - ¿Utiliza el socio?
Resource.Details
campos, tales comoAwsEc2instance
,AwsS3Bucket
, yContainer
? ¿Utiliza el socio?Resource.Details.Other
para definir detalles de recursos que no están modelados en el ASFF? -
Siempre que sea posible, utilice los campos proporcionados para recursos seleccionados como instancias EC2, buckets de S3 y grupos de seguridad en sus hallazgos.
Asignar otra información relacionada con los recursos a
Resource.Details.Other
solo cuando no hay una coincidencia directa. - ¿El socio asigna valores a
UserDefinedFields
? -
No utilice
UserDefinedFields
.Considere la posibilidad de utilizar otro campo seleccionado, como
Resource.Details.Other
oProductFields
. - ¿Mapea la información del socio en
ProductFields
que podrían mapearse en otros campos del ASFF? -
Utilizar solo
ProductFields
para información específica del producto, como información de control de versiones, resultados de gravedad específicos del producto u otra información que no se puede asignar a un campo seleccionado oResources.Details.Other
. - ¿Importa el socio sus propias marcas de hora para
FirstObservedAt
? -
La
FirstObservedAt
timestamp tiene por objeto registrar la hora en que se observó un hallazgo en el producto. Asigne este campo si es posible. - ¿Proporciona el socio valores únicos generados para cada identificador de búsqueda, excepto los resultados que desea actualizar?
-
Todas las conclusiones de Security Hub se indexan en el identificador de búsqueda (
Id
atributo). Este valor debe ser siempre único para garantizar que los resultados no se actualicen accidentalmente.También debe mantener el estado del identificador de búsqueda con el fin de actualizar los hallazgos.
- ¿Proporciona el socio un valor que asigna los hallazgos a un ID de generador?
-
GeneratorID
no debe tener el mismo valor que el ID de búsqueda.GeneratorID
debería poder vincular lógicamente los hallazgos por lo que los generó.Puede ser un subcomponente dentro de un producto (Producto A - Vulnerabilidad frente al producto A - EDR) o algo similar.
- ¿Utiliza el socio los espacios de nombres de tipos de búsqueda requeridos de forma que sea relevante para su producto? ¿Utiliza el socio las categorías o clasificadores de tipos de búsqueda recomendados en sus tipos de búsqueda?
-
La taxonomía del tipo de hallazgo debe corresponder estrechamente a los hallazgos que genera el producto.
Espacios de nombres de primer nivel descritos en elAWSEl formato de búsqueda de seguridad es obligatorio.
Puede utilizar valores personalizados para los espacios de nombres de segundo y tercer nivel (categorías o clasificadores).
- ¿El socio captura la información del flujo de red en el
Network
campos, si tienen datos de red? -
Si su producto se capturaNetFlowinformación, asignarlo a la
Network
. - ¿El socio captura la información del proceso (PID) en el
Process
campos, si tienen datos de proceso? -
Si el producto captura información del proceso, asígnala a la
Process
. - ¿El socio capta información de malware en el
Malware
campos, si tienen datos de malware? -
Si el producto captura información de malware, asígnala a la
Malware
. - ¿El socio captura información de inteligencia de amenazas en el
ThreatIntelIndicators
campos, si tienen datos de inteligencia de amenazas? -
Si el producto captura información de inteligencia de amenazas, asígnala a la
ThreatIntelIndicators
. - ¿Proporciona el socio una calificación de confianza para los hallazgos? Si lo hacen, ¿se proporciona una justificación?
-
Siempre que utilice este campo, proporcione una justificación en su documentación y manifiesto.
- ¿Utiliza el socio un ID canónico o ARN para el ID de recurso de la búsqueda?
-
Al identificarAWSrecursos, la práctica recomendada es utilizar el ARN. Si no hay un ARN disponible, utilice el ID de recurso canónico.
Configuración y función de la integración
Estas preguntas están relacionadas con la configuración yday-to-dayfunción de la integración.
- ¿Proporciona el socio uninfrastructure-as-code(iAC) para implementar la integración con Security Hub, como Terraform,AWS CloudFormation, o bienAWS Cloud Development Kit (AWS CDK)?
-
Para integraciones que enviarán resultados de la cuenta del cliente o utilizaránCloudWatchEventos para consumir hallazgos, se requiere algún tipo de plantilla iAC.
AWS CloudFormationes preferible, peroAWS CDKo Terraform también puede utilizarse.
- ¿El producto asociado tiene una configuración con un solo clic en su consola para integrarlo con Security Hub?
-
Algunos productos asociados utilizan un conmutador o un mecanismo similar en su producto para activar la integración. Esto puede implicar el aprovisionamiento automático de recursos y permisos. Si envías resultados desde una cuenta de producto, la configuración con un solo clic es el método preferido.
- ¿El socio solo envía resultados de valor?
-
Por lo general, solo debe enviar resultados que tengan valor de seguridad a los clientes de Security Hub.
Security Hub no es una herramienta general de administración de registros. No debe enviar todos los registros posibles a Security Hub.
- ¿Proporcionó el socio una estimación de cuántos hallazgos enviará por día por cliente y con qué frecuencia (media y ráfaga)?
-
Se utilizan números de hallazgos únicos para calcular la carga en Security Hub. Un hallazgo único se define como un hallazgo con un mapeo ASFF diferente de otro hallazgo.
Por ejemplo, si un hallazgo solo se ha rellenado
ThreatIntelndicators
y otro poblado solamenteResources.Details.AWSEc2Instance
, son dos hallazgos únicos. - ¿Tiene el socio una forma elegante de manejar los errores 4xx y 5xx de modo que no se limiten y que todos los hallazgos se puedan enviar más adelante?
-
Actualmente hay una tasa de ráfaga de 30 a 50 TPS en el
BatchImportFindings
Operación de API. Si se devuelven errores 4xx o 5xx, debe conservar el estado de esos hallazgos fallidos para poder volver a intentarlos en su totalidad más adelante. Puedes hacerlo a través de una cola de letras muertas u otraAWSservicios de mensajería como Amazon SNS o Amazon SQS. - ¿Mantiene el socio el estado de sus hallazgos para que sepa archivar los hallazgos que ya no están presentes?
-
Si planea actualizar los hallazgos sobrescribiendo el ID de búsqueda original, debe contar con un mecanismo para conservar el estado de forma que se actualice la información correcta para la búsqueda correcta.
Si proporciona hallazgos, no utilice el
BatchUpdateFindings
operación para actualizar los hallazgos. Esta operación solo debe ser utilizada por los clientes. Solo utilizasBatchUpdateFindings
cuando investiga y tome medidas en relación con los hallazgos. - ¿El socio gestiona los reintentos de una manera que no compromete los resultados exitosos enviados anteriormente?
-
Debe disponer de un mecanismo para conservar los ID de búsqueda originales en caso de errores para no duplicar ni sobrescribir las conclusiones correctas por error.
- ¿Actualiza el socio los hallazgos llamando al
BatchImportFindings
operación con el ID de búsqueda de los hallazgos existentes? -
Para actualizar una búsqueda, debe sobrescribir la búsqueda existente enviando el mismo ID de búsqueda.
La
BatchUpdateFindings
la operación solo debe ser utilizada por los clientes. - ¿Actualiza el socio los hallazgos mediante el
BatchUpdateFindings
API? -
Si toma medidas sobre los hallazgos, puede utilizar el
BatchUpdateFindings
para actualizar campos específicos. - ¿Proporciona el socio información sobre la cantidad de latencia entre el momento en que se crea un hallazgo y el momento en que se envía desde su producto a Security Hub?
-
Debe minimizar la latencia para garantizar que los clientes vean los hallazgos lo antes posible en Security Hub.
Esta información se requiere en el manifiesto.
- Si la arquitectura del socio va a enviar los hallazgos a Security Hub desde una cuenta de cliente, ¿lo han demostrado correctamente? Si la arquitectura del socio va a enviar los hallazgos a Security Hub desde su propia cuenta, ¿lo han demostrado satisfactoriamente?
-
Durante las pruebas, los hallazgos deben enviarse correctamente desde una cuenta de su propiedad distinta de la cuenta proporcionada para el ARN del producto.
El envío de un hallazgo desde la cuenta del propietario del ARN del producto puede eludir ciertas excepciones de error de las operaciones de la API.
- ¿El socio proporciona un hallazgo de latidos a Security Hub?
-
Para demostrar que la integración funciona correctamente, debe enviar una búsqueda de latidos. El hallazgo de latidos se envía cada cinco minutos y utiliza el tipo de hallazgo
Heartbeat
.Esto es importante si envías los resultados de una cuenta de producto.
- ¿Se integró el socio con la cuenta del equipo de productos de Security Hub durante las pruebas?
-
Durante la validación de preproducción, debe enviar ejemplos de búsqueda al equipo de productos de Security HubAWSaccount. Estos ejemplos demuestran que los hallazgos se envían y asignan correctamente.
Documentación
Estas preguntas están relacionadas con la documentación de la integración que proporciona.
- ¿El socio aloja su documentación en un sitio web dedicado?
-
La documentación debe alojarse en su sitio web como página web estática, wiki, Leer los documentos u otro formato dedicado.
Documentación de alojamiento enGitHubno satisface el requisito del sitio web dedicado.
- ¿La documentación del socio proporciona instrucciones sobre cómo configurar la integración de Security Hub?
-
Puede configurar la integración mediante una plantilla iAC o una integración de «un clic» basada en consola.
- ¿La documentación del socio proporciona una descripción de su caso de uso?
-
El caso de uso que proporciona en el manifiesto también debe describirse en la documentación.
- ¿La documentación del socio proporciona una justificación para los hallazgos que envían?
-
Debe proporcionar la justificación de los tipos de hallazgos que envía.
Por ejemplo, el producto podría producir hallazgos de vulnerabilidades, malware y antivirus, pero solo envía descubrimientos de vulnerabilidades y malware a Security Hub. En ese caso, debe proporcionar una justificación de por qué no envía hallazgos de antivirus.
- ¿Proporciona la documentación del socio una justificación de cómo el socio asigna sus conclusiones al ASFF?
-
Debe proporcionar la justificación de la asignación de los hallazgos nativos de un producto a ASFF. Los clientes desean saber dónde buscar información específica del producto.
- ¿La documentación del socio proporciona orientación sobre cómo actualiza el socio los hallazgos, si actualizan los hallazgos?
-
Proporcione a los clientes información sobre cómo mantiene el estado, garantiza la idempotencia y sobrescriba los hallazgos conup-to-dateinformación de.
- ¿Describe la documentación del socio cómo encontrar latencia?
-
Minimiza la latencia para garantizar que los clientes vean los hallazgos lo antes posible en Security Hub.
Esta información se requiere en el manifiesto.
- ¿Describe la documentación del socio cómo se asigna su puntuación de gravedad a la puntuación de gravedad del ASFF?
-
Proporcionar información sobre cómo mapear
Severity.Original
aSeverity.Label
.Por ejemplo, si el valor de gravedad es una calificación por letra (A, B, C), debe proporcionar información sobre cómo asignar la calificación de la letra a la etiqueta de gravedad.
- ¿La documentación del socio proporciona una justificación para las calificaciones de confianza?
-
Si proporciona puntuaciones de confianza, estas puntuaciones deben clasificarse.
Si utiliza puntuaciones de confianza o asignaciones rellenadas estáticamente derivadas de la inteligencia artificial o el aprendizaje automático, debe proporcionar contexto adicional.
- ¿Anota la documentación del socio qué regiones admite y qué no admite el socio?
-
Nota Regiones compatibles o no para que los clientes sepan en qué regiones no intentan integrarse.
Información de tarjeta del producto
Estas preguntas están relacionadas con la tarjeta del producto que se muestra en elIntegracionesde la consola de Security Hub.
- ¿Es el proporcionadoAWSID de cuenta válido y contiene 12 dígitos?
-
Los identificadores de cuenta tienen 12 dígitos de longitud. Si un ID de cuenta contiene menos de 12 dígitos, el ARN del producto no será válido.
- ¿La descripción del producto contiene 200 caracteres o menos?
-
La descripción del producto proporcionada en el JSON dentro del manifiesto no debe tener más de 200 caracteres, incluidos los espacios.
- ¿El enlace de configuración lleva a documentación para la integración?
-
El enlace de configuración debe llevar a la documentación en línea. No debe conducir a su sitio web principal ni a páginas de marketing.
- ¿El enlace de compra (si se proporciona) conduce alAWS Marketplacelistado para el producto?
-
Si proporcionas un enlace de compra, debe ser para unAWS Marketplaceentrada. Security Hub no acepta enlaces de compra que no estén alojados enAWS.
- ¿Las categorías de productos describen correctamente el producto?
-
En el manifiesto, puedes proporcionar hasta tres categorías de productos. Estos deben coincidir con el JSON y no pueden ser personalizados. No puedes proporcionar más de tres categorías de productos.
- ¿Son válidos y correctos los nombres de la empresa y los productos?
-
El nombre de la empresa debe tener 16 caracteres o menos.
El nombre del producto debe tener 24 caracteres o menos.
El nombre del producto de la tarjeta de producto JSON debe coincidir con el nombre del manifiesto.
Información de marketing
Estas preguntas están relacionadas con el marketing para la integración.
- ¿La descripción del producto de la página de socios de Security Hub tiene 700 caracteres, incluidos los espacios?
-
La página de socios de Security Hub solo acepta hasta 700 caracteres, incluidos los espacios.
El equipo modificará descripciones más largas.
- ¿El logotipo de la página de socios de Security Hub no supera los 600 x 300 px?
-
Proporcione una URL de acceso público con un logotipo de la empresa en PNG o JPG que no supere los 600 x 300 píxeles.
- ¿El hipervínculo Más información de la página de socios de Security Hub conduce a la página web dedicada del socio sobre la integración?
-
LaMás informaciónenlace no debe conducir al sitio web principal del socio ni a la información de documentación.
Este enlace debe ir siempre a una página web dedicada con información de marketing sobre la integración.
- ¿Proporciona el socio una demostración o un vídeo instructivo sobre cómo utilizar su integración?
-
Un vídeo tutorial de demostración o integración es opcional, pero recomendable.
- Es unAWS¿Publicación de blog de Partner Network que se publica con el socio y su gerente de desarrollo de socios o representante de desarrollo de socios?
-
AWSLas publicaciones de blog de Partner Network deben coordinarse con anticipación con el gerente de desarrollo de socios o el representante de desarrollo de socios.
Estos son separados de cualquier publicación de blog que crees tú mismo.
Permita un plazo de entrega de 4 a 6 semanas. Este esfuerzo debe iniciarse una vez finalizada la prueba con el ARN del producto privado.
- ¿Se está publicando un comunicado de prensa dirigido por socios?
-
Puede trabajar con su gerente de desarrollo de socios o con el representante de desarrollo de socios para obtener una cotización del vicepresidente de servicios de seguridad externa. Puede utilizar esta cita en su comunicado de prensa.
- ¿Se está publicando una publicación de blog dirigida por socios?
-
Puedes crear tus propias publicaciones de blog para mostrar la integración fuera delAWSBlog de Partner Network.
- ¿Se está publicando un seminario web dirigido por socios?
-
Puede crear sus propios seminarios web para mostrar la integración.
Si necesita ayuda del equipo de Security Hub, colabore con el equipo de productos después de completar las pruebas con el ARN del producto privado.
- ¿El socio solicitó apoyo en las redes sociales aAWS?
-
Después de su lanzamiento, puede trabajar con elAWSPropuesta de uso del marketing de seguridadAWScanales oficiales de redes sociales para compartir detalles sobre tus seminarios web.