AWS Security Hub FAQ pour les partenaires - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Security Hub FAQ pour les partenaires

Vous trouverez ci-dessous les questions les plus fréquemment posées sur la configuration et la maintenance d'une intégration avec AWS Security Hub.

  1. Quels sont les avantages de l'intégration de Security Hub ?

    • Satisfaction du client — La principale raison d'intégrer Security Hub est que les clients vous demandent de le faire.

      Security Hub est le centre de sécurité et de conformité pour les AWS clients. Il est conçu comme la première étape où les professionnels AWS de la sécurité et de la conformité se rendent chaque jour pour comprendre leur état de sécurité et de conformité.

      Écoutez vos clients. Ils vous diront s'ils souhaitent voir vos résultats dans Security Hub.

    • Opportunités de découverte — Nous promouvons les partenaires dotés d'intégrations certifiées dans la console Security Hub, notamment des liens vers leurs AWS Marketplace listes. C'est un excellent moyen pour les clients de découvrir de nouveaux produits de sécurité.

    • Opportunités de marketing — Les fournisseurs dont les intégrations sont approuvées peuvent participer à des webinaires, publier des communiqués de presse, créer des fiches techniques et présenter leurs intégrations aux clients. AWS

  2. Quels sont les types de partenaires ?

    • Partenaires qui envoient leurs résultats à Security Hub

    • Partenaire recevant les résultats de Security Hub

    • Des partenaires qui envoient et reçoivent des résultats

    • Des partenaires consultants qui aident les clients à configurer, personnaliser et utiliser Security Hub dans leur environnement

  3. Comment fonctionne l'intégration d'un partenaire à Security Hub à un niveau élevé ?

    Vous collectez les résultats depuis un compte client ou depuis votre propre AWS compte et vous transformez le format des résultats en format ASFF ( AWS Security Finding Format). Vous transmettez ensuite ces résultats au point de terminaison régional Security Hub approprié.

    Vous pouvez également utiliser CloudWatch les événements pour recevoir les résultats de Security Hub.

  4. Quelles sont les étapes de base pour terminer une intégration avec Security Hub ?

    1. Soumettez les informations du manifeste de votre partenaire.

    2. Recevez le produit ARNs à utiliser avec Security Hub, si vous souhaitez envoyer des résultats à Security Hub.

    3. Mappez vos résultats à l'ASFF. Consultez Directives pour mapper les résultats dans le format ASFF ( AWS Security Finding Format).

    4. Définissez votre architecture pour envoyer et recevoir des résultats depuis Security Hub. Suivez les principes décrits dans. Principes de création et de mise à jour des résultats

    5. Créez un cadre de déploiement pour les clients. Par exemple, les AWS CloudFormation scripts peuvent servir à cette fin.

    6. Documentez votre configuration et fournissez des instructions de configuration aux clients.

    7. Définissez toutes les informations personnalisées (règles de corrélation) que les clients peuvent utiliser avec votre produit.

    8. Démontrez votre intégration à l'équipe Security Hub.

    9. Soumettez les informations marketing pour approbation (langue du site Web, communiqué de presse, diapositive d'architecture, vidéo, feuille de synthèse).

  5. Quelle est la procédure à suivre pour soumettre le manifeste du partenaire ? Et pour que les AWS services envoient leurs résultats à Security Hub ?

    Pour envoyer les informations du manifeste à l'équipe Security Hub, utilisez .

    Vous recevez le produit ARNs dans un délai de sept jours calendaires.

  6. Quels types de résultats dois-je envoyer à Security Hub ?

    La tarification de Security Hub est en partie basée sur le nombre de résultats ingérés. Pour cette raison, vous devez vous abstenir d'envoyer des résultats qui n'apportent aucune valeur ajoutée aux clients.

    Par exemple, certains fournisseurs de solutions de gestion des vulnérabilités n'envoient des résultats qu'avec un score CVSS (Common Vulnerability Scoring System) égal ou supérieur à 3 sur un score possible de 10.

  7. Quelles sont les différentes approches pour envoyer mes résultats à Security Hub ?

    Voici les principales approches :

    • Vous envoyez les résultats depuis leur propre AWS compte désigné en utilisant l'BatchImportFindingsopération.

    • Vous envoyez les résultats depuis le compte client à l'aide de l'BatchImportFindingsopération. Vous pouvez utiliser des approches assumant des rôles, mais ces approches ne sont pas obligatoires.

    Pour les directives générales d'utilisation BatchImportFindings, voirDirectives d'utilisation de l'BatchImportFindingsAPI.

  8. Comment puis-je recueillir mes résultats et les transmettre à un point de terminaison régional du Security Hub ?

    Les partenaires ont utilisé différentes approches pour cela, car cela dépend fortement de l'architecture de votre solution.

    Par exemple, certains partenaires créent une application Python qui peut être déployée sous forme de AWS CloudFormation script. Le script rassemble les conclusions du partenaire dans l'environnement du client, les transforme en ASFF et les envoie au point de terminaison régional du Security Hub.

    D'autres partenaires créent un assistant complet qui offre au client une expérience en un clic pour transmettre les résultats à Security Hub.

  9. Comment savoir quand commencer à envoyer les résultats à Security Hub ?

    Security Hub prend en charge l'autorisation par lots partielle pour le fonctionnement de l'BatchImportFindingsAPI, afin que vous puissiez envoyer toutes vos conclusions à Security Hub pour tous vos clients.

    Si certains de vos clients ne sont pas encore abonnés à Security Hub, Security Hub n'ingère pas ces résultats. Il ingère uniquement les résultats autorisés contenus dans le lot.

  10. Quelles étapes dois-je suivre pour envoyer les résultats à l'instance Security Hub d'un client ?

    1. Assurez-vous que les politiques IAM appropriées sont en place.

    2. Activez un abonnement au produit (politiques de ressources) pour les comptes. Utilisez l'opération EnableImportFindingsForProductAPI ou la page Intégrations. Le client peut le faire, ou vous pouvez utiliser des rôles multicomptes pour agir en son nom.

    3. Assurez-vous que le résultat est ProductArn l'ARN public de votre produit.

    4. Assurez-vous que le AwsAccountId résultat est le numéro de compte du client.

    5. Assurez-vous que vos résultats ne contiennent aucune donnée mal formée conformément au format ASFF ( AWS Security Finding Format). Par exemple, les champs obligatoires sont renseignés et aucune valeur n'est incorrecte.

    6. Envoyez les résultats par lots au point de terminaison régional approprié.

  11. Quelles autorisations IAM doivent être en place pour que je puisse envoyer des résultats ?

    Les politiques IAM doivent être configurées pour l'utilisateur ou le rôle IAM qui appelle BatchImportFindingsou pour d'autres appels d'API.

    Le test le plus simple consiste à le faire depuis un compte administrateur. Vous pouvez les limiter à action: ‘securityhub:BatchImportFindings’ et. resource: <productArn and/or productSubscriptionArn>

    Les ressources d'un même compte peuvent être configurées avec des politiques IAM sans nécessiter de politiques de ressources.

    Pour exclure tout problème de politique IAM de la part de l'appelant BatchImportFindings, définissez la politique IAM pour l'appelant comme suit :

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    Assurez-vous de vérifier qu'il n'existe aucune Deny politique pour l'appelant. Une fois que vous l'avez fait fonctionner avec cela, vous pouvez limiter la politique aux éléments suivants :

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. Qu'est-ce qu'un abonnement à un produit ?

    Pour recevoir les résultats d'un produit partenaire spécifique, le client (ou le partenaire ayant des rôles multicomptes travaillant pour le compte du client) doit souscrire un abonnement au produit. Pour ce faire depuis la console, ils utilisent la page Intégrations. Pour ce faire à partir de l'API, ils utilisent l'opération EnableImportFindingsForProductAPI.

    L'abonnement au produit crée une politique de ressources qui autorise le client à recevoir ou à envoyer les résultats du partenaire. Pour plus de détails, consultez Cas d'utilisation de l'intégration et autorisations requises.

    Security Hub applique les types de politiques de ressources suivants pour les partenaires :

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    Au cours du processus d'intégration des partenaires, vous pouvez demander un ou les deux types de politiques.

    AvecBATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT, vous ne pouvez envoyer des résultats à Security Hub qu'à partir du compte répertorié dans l'ARN de votre produit.

    AvecBATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT, vous ne pouvez envoyer les résultats qu'à partir du compte client auquel vous êtes abonné.

  13. Supposons qu'un client ait créé un compte administrateur et ajouté quelques comptes de membre. Le client doit-il m'abonner à chaque compte membre ? Ou est-ce que le client s'abonne uniquement à partir du compte administrateur, et je peux ensuite envoyer des résultats relatifs aux ressources de tous les comptes membres ?

    Cette question demande si les autorisations sont créées pour tous les comptes membres en fonction de l'enregistrement du compte administrateur.

    Le client doit souscrire un abonnement à un produit pour chaque compte. Ils peuvent le faire par programmation via l'API.

  14. Quel est l'ARN de mon produit ?

    L'ARN de votre produit est l'identifiant unique que Security Hub génère pour vous et que vous utilisez pour soumettre des résultats. Vous recevez un ARN de produit pour chaque produit que vous intégrez à Security Hub. Le bon ARN du produit doit figurer dans chaque résultat que vous envoyez à Security Hub. Les résultats sans l'ARN du produit sont supprimés. L'ARN du produit utilise le format suivant :

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    Voici un exemple :

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Un ARN de produit vous est attribué pour chaque région dans laquelle Security Hub est déployé. L'identifiant du compte, la société et les noms des produits sont dictés par les manifestes soumis par vos partenaires. Vous ne modifiez jamais les informations associées à l'ARN de votre produit, à l'exception du code de région. Le code de région doit correspondre à la région pour laquelle vous soumettez des résultats.

    Une erreur courante consiste à modifier l'identifiant du compte pour qu'il corresponde au compte sur lequel vous travaillez actuellement. L'identifiant du compte ne change pas. Vous soumettez un identifiant de compte « personnel » dans le cadre de la soumission du manifeste. Cet identifiant de compte est verrouillé dans l'ARN de votre produit.

    Lorsque Security Hub est lancé dans de nouvelles régions, il utilise automatiquement les codes de région standard pour générer votre produit ARNs pour ces régions.

    Chaque compte est également automatiquement approvisionné avec un ARN de produit privé. Vous pouvez utiliser cet ARN pour tester l'importation des résultats dans votre propre compte de développement avant de recevoir l'ARN officiel de votre produit public.

  15. Quel format utiliser pour envoyer les résultats à Security Hub ?

    Les résultats doivent être fournis au format ASFF ( AWS Security Finding Format). Pour plus de détails, voir AWS Security Finding Format (ASFF) dans le guide de l'AWS Security Hub utilisateur.

    On s'attend à ce que toutes les informations contenues dans vos résultats natifs soient pleinement reflétées dans l'ASFF. Des champs personnalisés tels que ProductFields et vous Resource.Details.Other permettent de mapper des données qui ne rentrent pas parfaitement dans les champs prédéfinis.

  16. Quel est le point de terminaison régional approprié à utiliser ?

    Vous devez envoyer les résultats au point de terminaison régional du Security Hub associé au compte client.

  17. Où puis-je trouver la liste des points de terminaison régionaux ?

    Consultez la liste des points de terminaison du Security Hub.

  18. Puis-je soumettre des résultats interrégionaux ?

    Security Hub ne prend pas encore en charge la soumission interrégionale des résultats pour les AWS services natifs, tels qu'Amazon GuardDuty, Amazon Macie et Amazon Inspector. Si votre client l'autorise, Security Hub ne vous empêche pas de soumettre des résultats provenant de différentes régions.

    En ce sens, vous pouvez appeler un point de terminaison régional de n'importe où, et les informations sur les ressources de l'ASFF ne doivent pas nécessairement correspondre à la région du point de terminaison. Cependant, elle ProductArn doit correspondre à la région du point de terminaison.

  19. Quelles sont les règles et directives relatives à l'envoi de lots de résultats ?

    Vous pouvez regrouper jusqu'à 100 résultats ou 240 Ko en un seul appel de BatchImportFindings. Mettez en file d'attente et regroupez autant de résultats que possible jusqu'à cette limite.

    Vous pouvez regrouper un ensemble de résultats provenant de différents comptes. Toutefois, si l'un des comptes du lot n'est pas abonné à Security Hub, l'ensemble du lot échoue. Il s'agit d'une limite du modèle d'autorisation de base d'API Gateway.

    Consultez Directives d'utilisation de l'BatchImportFindingsAPI.

  20. Puis-je envoyer des mises à jour des résultats que j'ai créés ?

    Oui, si vous soumettez un résultat avec le même ARN de produit et le même ID de recherche, les données précédentes correspondant à ce résultat seront remplacées. Notez que toutes les données sont remplacées. Vous devez donc soumettre un résultat complet.

    Les clients sont mesurés et facturés à la fois pour les nouvelles découvertes et les mises à jour.

  21. Puis-je envoyer des mises à jour des résultats créés par quelqu'un d'autre ?

    Oui, si le client vous donne accès à l'opération BatchUpdateFindingsAPI, vous pouvez mettre à jour certains champs à l'aide de cette opération. Cette opération est conçue pour être utilisée par les clients SIEMs, les systèmes de billetterie et les plateformes SOAR (Security Orchestration, Automation, and Response).

  22. Comment vieillissent les résultats ?

    Security Hub vieillit les résultats 90 jours après la date de dernière mise à jour. Passé ce délai, les résultats périmés sont supprimés du cluster Security Hub. OpenSearch

    Si vous mettez à jour un résultat avec le même ID de recherche et qu'il est périmé, un nouveau résultat est créé dans Security Hub.

    Les clients peuvent utiliser CloudWatch les événements pour transférer les résultats hors de Security Hub. Cela permet d'envoyer tous les résultats aux cibles choisies par le client.

    En général, Security Hub vous recommande de créer de nouvelles découvertes tous les 90 jours et de ne pas les mettre à jour indéfiniment.

  23. Quels sont les obstacles mis en place par Security Hub ?

    Security Hub limite les appels d'GetFindingsAPI, car l'approche recommandée pour les résultats d'accès consiste à utiliser CloudWatch les événements.

    Security Hub n'implémente aucune autre restriction sur les services internes, les partenaires ou les clients que celle imposée par les invocations API Gateway et Lambda.

  24. Quels sont les délais, le temps de latence SLAs ou les attentes en ce qui concerne les résultats envoyés à Security Hub par les services sources ?

    L'objectif est d'être aussi proche que possible du temps réel pour les premiers résultats et les mises à jour des résultats. Vous devez envoyer les résultats à Security Hub dans les cinq minutes suivant leur création.

  25. Comment puis-je recevoir les résultats de Security Hub ?

    Pour recevoir les résultats, appliquez l'une des méthodes suivantes.

    • Tous les résultats sont automatiquement envoyés à CloudWatch Events. Un client peut créer des règles d' CloudWatch événements spécifiques pour envoyer les résultats à des cibles spécifiques, telles qu'un SIEM ou un compartiment S3. Cette fonctionnalité a remplacé l'ancienne opération GetFindings d'API.

    • Utilisez CloudWatch les événements pour des actions personnalisées. Security Hub permet aux clients de sélectionner des résultats spécifiques ou des groupes de résultats dans la console et de prendre des mesures en conséquence. Par exemple, ils peuvent envoyer leurs résultats à un SIEM, à un système de billetterie, à une plateforme de chat ou à un flux de travail de correction. Cela ferait partie d'un flux de travail de triage des alertes effectué par un client au sein de Security Hub. C'est ce que l'on appelle des actions personnalisées.

      Lorsqu'un utilisateur sélectionne une action personnalisée, un CloudWatch événement est créé pour ces résultats spécifiques. Vous pouvez tirer parti de cette fonctionnalité et créer CloudWatch des règles et des cibles relatives aux événements à utiliser par un client dans le cadre d'une action personnalisée. Notez que cette fonctionnalité n'est pas utilisée pour envoyer automatiquement tous les résultats d'un type ou d'une classe en particulier à CloudWatch Events. Il appartient à l'utilisateur d'agir sur la base de résultats spécifiques.

      Vous pouvez utiliser les opérations de l'API d'actions personnalisées, par exemple pour créer automatiquement des actions disponibles pour votre produit (par exemple en utilisant AWS CloudFormation des modèles). CreateActionTarget Vous devez également utiliser CloudWatch les opérations de l'API des règles d' CloudWatch événements pour créer les règles d'événements correspondantes associées à l'action personnalisée. À l'aide de AWS CloudFormation modèles, vous pouvez également créer CloudWatch des règles relatives aux événements afin d'ingérer automatiquement depuis Security Hub tous les résultats ou tous les résultats présentant certaines caractéristiques.

  26. Quelles sont les conditions requises pour qu'un fournisseur de services de sécurité gérés (MSSP) devienne un partenaire du Security Hub ?

    Vous devez démontrer comment Security Hub est utilisé dans le cadre de votre prestation de services aux clients.

    Vous devez disposer d'une documentation utilisateur expliquant votre utilisation de Security Hub.

    Si le MSSP est un fournisseur de recherche, il doit démontrer l'envoi des résultats à Security Hub.

    Si le MSSP reçoit uniquement les résultats de Security Hub, il doit au minimum disposer d'un AWS CloudFormation modèle pour configurer les règles d' CloudWatch événements appropriées.

  27. Quelles sont les conditions requises pour qu'un partenaire consultant APN non MSSP devienne un partenaire Security Hub ?

    Si vous êtes un partenaire consultant APN, vous pouvez devenir un partenaire du Security Hub. Vous devez soumettre deux études de cas privées sur la façon dont vous avez aidé un client spécifique à effectuer les tâches suivantes.

    • Configurez Security Hub avec les autorisations IAM dont le client a besoin.

    • Aidez à connecter des solutions de fournisseurs de logiciels indépendants (ISV) déjà intégrées à Security Hub à l'aide des instructions de configuration figurant sur la page partenaire de la console.

    • Aidez les clients à intégrer des produits personnalisés.

    • Créez des informations personnalisées adaptées aux besoins et aux ensembles de données des clients.

    • Créez des actions personnalisées.

    • Élaborez des manuels de remédiation.

    • Créez des Quickstarts conformes aux normes de conformité du Security Hub. Ils doivent être validés par l'équipe du Security Hub.

    Les études de cas n'ont pas besoin d'être partagées publiquement.

  28. Quelles sont les exigences relatives à la manière dont je déploie mon intégration avec Security Hub auprès de mes clients ?

    Les architectures d'intégration entre Security Hub et les produits partenaires varient d'un partenaire à l'autre en termes de gestion de la solution de ce partenaire. Vous devez vous assurer que le processus de configuration de l'intégration ne dure pas plus de 15 minutes.

    Si vous déployez un logiciel d'intégration dans l' AWS environnement du client, vous devez utiliser AWS CloudFormation des modèles pour simplifier l'intégration. Certains partenaires ont créé une intégration en un clic, ce qui est vivement recommandé.

  29. Quelles sont mes exigences en matière de documentation ?

    Vous devez fournir un lien vers la documentation qui décrit le processus d'intégration et de configuration entre votre produit et Security Hub, y compris votre utilisation des AWS CloudFormation modèles.

    Cette documentation doit également inclure des informations sur votre utilisation d'ASFF. Plus précisément, cela devrait répertorier les types de résultats ASFF que vous utilisez pour vos différents résultats. Si vous disposez de définitions d'informations par défaut, nous vous recommandons de les inclure également ici.

    Envisagez d'inclure d'autres informations potentielles :

    • Votre cas d'utilisation pour l'intégration à Security Hub

    • Volume moyen de résultats envoyés

    • Votre architecture d'intégration

    • Les régions que vous soutenez et que vous ne soutenez pas

    • Latence entre le moment où les résultats sont créés et leur envoi à Security Hub

    • Si vous mettez à jour les résultats

  30. Que sont les informations personnalisées ?

    Nous vous encourageons à définir des informations personnalisées pour vos résultats. Les informations sont des règles de corrélation légères qui aident le client à hiérarchiser les résultats et les ressources qui nécessitent le plus d'attention et d'action.

    Security Hub fonctionne CreateInsight via une API. Vous pouvez créer des informations personnalisées dans un compte client dans le cadre de votre AWS CloudFormation modèle. Ces informations apparaissent sur la console du client.

  31. Puis-je soumettre des widgets de tableau de bord ?

    Non, pas à l'heure actuelle. Vous ne pouvez créer que des informations gérées.

  32. Quel est votre modèle de tarification ?

    Consultez les informations tarifaires du Security Hub.

  33. Comment envoyer les résultats au compte de démonstration Security Hub dans le cadre du processus d'approbation final de mon intégration ?

    Envoyez les résultats au compte de démonstration Security Hub à l'aide de l'ARN du produit que vous avez fourni, en utilisant us-west-2 comme région. Les résultats devraient inclure le numéro de compte de démonstration dans le AwsAccountId domaine de l'ASFF. Pour obtenir le numéro de compte de démonstration, contactez l'équipe Security Hub.

    Ne nous envoyez pas de données sensibles ou d'informations personnelles identifiables. Ces données sont utilisées pour les démonstrations publiques. Lorsque vous nous envoyez ces données, vous nous autorisez à les utiliser dans le cadre de démos.

  34. Quels sont les messages d'erreur ou de réussite BatchImportFindings fournis ?

    Security Hub fournit une réponse pour l'autorisation et une réponse pour BatchImportFindings. Des messages de réussite, d'échec et d'erreur plus précis sont en cours de développement.

  35. De quelle gestion des erreurs le service source est-il responsable ?

    Les services sources sont responsables de la gestion de toutes les erreurs. Ils doivent gérer les messages d'erreur, les nouvelles tentatives, les ralentissements et les alarmes. Ils doivent également gérer les commentaires ou les messages d'erreur envoyés via le mécanisme de feedback du Security Hub.

  36. Quelles sont les solutions aux problèmes courants ?

    Un AuthorizerConfigurationException est causé soit par une malformation, AwsAccountId soit ProductArn par.

    Lors du dépannage, tenez compte des points suivants :

    • AwsAccountIddoit comporter 12 chiffres exactement.

    • ProductArndoit être au format suivant : arn:aws:securityhub : ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>

      L'identifiant du compte ne change pas par rapport à celui que l'équipe Security Hub a inclus dans le produit ARNs qu'elle vous a fourni.

    AccessDeniedExceptionse produit lorsqu'un résultat est envoyé vers ou depuis le mauvais compte, ou lorsque le compte ne possède pas deProductSubscription. Le message d'erreur contiendra un ARN de type de ressource product ouproduct-subscription. Cette erreur se produit uniquement lors d'appels entre comptes. Si vous appelez BatchImportFindingsavec votre propre compte pour le même compte dans AwsAccountId etProductArn, l'opération utilise les politiques IAM et n'a rien à voir avec ProductSubscriptions cela.

    Assurez-vous que le compte client et le compte produit que vous utilisez sont bien les comptes enregistrés. Certains partenaires ont utilisé un numéro de compte pour le produit issu de l'ARN du produit, mais ils essaient d'utiliser un compte totalement différent pour appeler BatchImportFindings. Dans d'autres cas, ils ont créé ProductSubscriptions pour d'autres comptes clients, ou même pour leur propre compte produit. Ils n'ont pas créé ProductSubscriptions pour le compte client dans lequel ils ont tenté d'importer les résultats.

  37. Où puis-je envoyer des questions, des commentaires et des bogues ?

  38. À quelle région dois-je envoyer les résultats pour les articles liés aux AWS services mondiaux ? Par exemple, où dois-je envoyer les résultats relatifs à l'IAM ?

    Envoyez les résultats à la même région où ils ont été détectés. Pour un service tel que IAM, votre solution rencontrera probablement le même problème IAM dans plusieurs régions. Dans ce cas, le résultat est envoyé à chaque région où le problème a été détecté.

    Si le client utilise Security Hub dans trois régions et que le même problème IAM est détecté dans les trois régions, envoyez le résultat aux trois régions.

    Lorsqu'un problème est résolu, envoyez la mise à jour du résultat à toutes les régions où vous avez envoyé le résultat initial.