Liste de contrôle de préparation des produits - AWS Security Hub
Mappage ASFFConfiguration et fonction de l'intégrationDocumentationInformations sur la fiche produitInformations marketing

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Liste de contrôle de préparation des produits

LeAWS Security Hubet les équipes partenaires APN utilisent cette liste de contrôle pour vérifier que l'intégration est prête à être lancée.

Mappage ASFF

Ces questions sont liées au mappage de votre découverte avec leAWSFormat ASFF (Security Finding Format).

Toutes les données de recherche du partenaire sont-elles mappées dans ASFF ?

Mappez toutes vos conclusions à l'ASFF d'une manière ou d'une autre.

Utiliser des champs curés tels que des types de ressources modélisés,Network,Malware, ouThreatIntelIndicators.

Cartographiez tout autre élément dansResource.Details.OtherouProductFieldsselon les besoins.

Le partenaire utilise-t-ilResource.Detailschamps, tels queAwsEc2instance,AwsS3Bucket, etContainer? Le partenaire utilise-t-ilResource.Details.Otherpour définir les détails des ressources qui ne sont pas modélisés dans l'ASFF ?

Dans la mesure du possible, utilisez les champs fournis pour les ressources sélectionnées telles que des instances EC2, des compartiments S3 et des groupes de sécurité dans vos résultats.

Cartographiez d'autres informations relatives aux ressources àResource.Details.Otheruniquement lorsqu'il n'y a pas de correspondance directe.

Le partenaire fait-il correspondre les valeurs àUserDefinedFields?

N'utilisez pas  UserDefinedFields.

Envisagez d'utiliser un autre champ organisé, tel queResource.Details.OtherouProductFields.

Le partenaire fait-il correspondre les informations dansProductFieldsqui pourraient être mappés dans d'autres champs ASFF ?

Utiliser uniquementProductFieldspour des informations spécifiques au produit telles que des informations de versionnement, des résultats de gravité spécifiques au produit ou d'autres informations qui ne peuvent pas être mappées dans un champ organisé ouResources.Details.Other.

Le partenaire importe-t-il ses propres horodatages pourFirstObservedAt?

LeFirstObservedAtl'horodatage est destiné à enregistrer l'heure à laquelle un constat a été observé dans le produit. Si possible, cartographiez ce champ.

Le partenaire fournisse-t-il des valeurs uniques générées pour chaque identifiant de recherche, à l'exception des résultats qu'il souhaite mettre à jour ?

Tous les résultats de Security Hub sont indexés sur l'identifiant de recherche (Idattribut). Cette valeur doit toujours être unique pour garantir que les résultats ne sont pas mis à jour accidentellement.

Vous devez également conserver l'état de l'identifiant de recherche dans le but de mettre à jour les résultats.

Le partenaire fournit-il une valeur qui associe les résultats à un identifiant de générateur ?

GeneratorIDne doit pas avoir la même valeur que l'ID de recherche.

GeneratorIDdevraient être en mesure de lier logiquement les résultats en fonction de ce qui les a générés.

Il peut s'agir d'un sous-composant d'un produit (produit A - Vulnérabilité vs produit A - EDR) ou quelque chose de similaire.

Le partenaire utilise-t-il les espaces de noms des types de recherche requis d'une manière pertinente pour son produit ? Le partenaire utilise-t-il les catégories de types de recherche recommandés ou les classificateurs dans ses types de recherche ?

La taxonomie du type de recherche doit correspondre étroitement aux résultats générés par le produit.

Les espaces de noms de premier niveau décrits dans leAWSLe format des conclusions de sécurité est requis.

Vous pouvez utiliser des valeurs personnalisées pour les espaces de noms de deuxième et troisième niveaux (catégories ou classificateurs).

Le partenaire capte-t-il les informations de flux réseau dans leNetwork, s'ils ont des données réseau ?

Si votre produit est capturéNetFlowinformations, mapper le fichier à laNetwork.

Est-ce que les informations du processus de capture des partenaires (PID) dans leProcess, s'ils ont des données de traitement ?

Si votre produit capture des informations sur le processus, mapper les informations sur leProcess.

Le partenaire capte-t-il les informations relatives aux logiciels malveillants dans leMalware, s'ils ont des données de logiciels malveillants ?

Si votre produit capture des informations sur les logiciels malveillants, mapez-les auMalware.

Le partenaire capte-t-il les informations relatives à l'intelligence des menaces dans leThreatIntelIndicators, s'ils ont des données d'intelligence sur les menaces ?

Si votre produit capture des informations relatives à l'intelligence des menaces, mapez-le à laThreatIntelIndicators.

Le partenaire fournit-il une cote de confiance pour les résultats ? Si c'est le cas, une justification est-elle fournie ?

Chaque fois que vous utilisez ce champ, fournissez une justification dans votre documentation et votre manifeste.

Le partenaire utilise-t-il un ID canonique ou un ARN pour l'ID de ressource dans la recherche ?

Lors de l'identificationAWSressources, la meilleure pratique consiste à utiliser l'ARN. Si aucun ARN n'est disponible, utilisez l'ID de ressource canonique.

Configuration et fonction de l'intégration

Ces questions sont liées à la configuration etday-to-dayfonction de l'intégration.

Est-ce que le partenaire fournit uninfrastructure-as-code(iAC) pour déployer l'intégration avec Security Hub, tel que Terraform,AWS CloudFormation, ouAWS Cloud Development Kit (AWS CDK)?

Pour les intégrations qui enverront des résultats à partir du compte client ou utiliserontCloudWatchÉvénements pour consommer des résultats, une forme de modèle iAC est requise.

AWS CloudFormationest préférable, maisAWS CDKou Terraform peut également être utilisée.

Le produit partenaire dispose-t-il d'une configuration en un clic sur sa console pour son intégration à Security Hub ?

Certains produits partenaires utilisent une bascule ou un mécanisme similaire dans leur produit pour activer l'intégration. Cela peut nécessiter un provisionnement automatique des ressources et des autorisations. Si vous envoyez des résultats à partir d'un compte produit, la configuration en un clic est la méthode préférée.

Le partenaire n'envoie-t-il que des résultats de valeur ?

En règle générale, vous ne devez envoyer des résultats qui présentent une valeur de sécurité qu'aux clients de Security Hub.

Security Hub n'est pas un outil général de gestion des journaux. Vous ne devez pas envoyer tous les journaux possibles à Security Hub.

Le partenaire a-t-il fourni une estimation du nombre de résultats qu'il enverra par jour et par client et à quelle fréquence (moyenne et rafale) ?

Le nombre de résultats uniques permet de calculer la charge sur Security Hub. Une découverte unique est définie comme une découverte avec une cartographie ASFF différente d'une autre découverte.

Par exemple, si une seule recherche est peupléeThreatIntelndicatorset un autre peuplé seulementResources.Details.AWSEc2Instance, ce sont deux résultats uniques.

Le partenaire a-t-il une façon gracieuse de gérer les erreurs 4xx et 5xx de sorte qu'elles ne soient pas limitées et que toutes les conclusions puissent être envoyées ultérieurement ?

Il existe actuellement un taux de rafale de 30 à 50 TPS sur leBatchImportFindingsOpération d'API. Si des erreurs 4xx ou 5xx sont renvoyées, vous devez conserver l'état de ces résultats échoués afin de pouvoir les réessayer ultérieurement. Vous pouvez le faire via une file d'attente de lettres mortes ou une autreAWSservices de messagerie tels qu'Amazon SNS ou Amazon SQS.

Le partenaire maintient-il l'état de ses résultats afin qu'il sache archiver les résultats qui ne sont plus présents ?

Si vous envisagez de mettre à jour les résultats en écrasant l'ID de recherche d'origine, vous devez disposer d'un mécanisme permettant de conserver l'état afin que les informations correctes soient mises à jour pour la recherche correcte.

Si vous fournissez des résultats, n'utilisez pas leBatchUpdateFindingsopération de mise à jour des résultats. Cette opération ne doit être utilisée que par les clients. Vous n'utilisez queBatchUpdateFindingslorsque vous enquêtez sur les résultats et prenez des mesures à cet égard.

Le partenaire gére-t-il les nouvelles tentatives d'une manière qui ne compromet pas les résultats obtenus précédemment ?

Vous devez disposer d'un mécanisme permettant de conserver les identifiants de recherche d'origine en cas d'erreur afin de ne pas dupliquer ou écraser les résultats réussis par erreur.

Est-ce que le partenaire met à jour ses résultats en appelant leBatchImportFindingsopération avec l'identifiant de recherche des résultats existants ?

Pour mettre à jour une recherche, vous devez remplacer la recherche existante en soumettant le même ID de recherche.

LeBatchUpdateFindingsne doit être utilisée que par les clients.

Le partenaire mette-t-il à jour les résultats à l'aide duBatchUpdateFindingsAPI ?

Si vous prenez des mesures sur les résultats, vous pouvez utiliser leBatchUpdateFindingsopération de mise à jour de champs spécifiques.

Le partenaire fournisse-t-il des informations sur la quantité de latence entre le moment où une recherche est créée et le moment où elle est envoyée de son produit à Security Hub ?

Vous devez minimiser la latence pour vous assurer que les clients voient les résultats dès que possible dans Security Hub.

Ces informations sont requises dans le manifeste.

Si l'architecture du partenaire doit envoyer des résultats à Security Hub à partir d'un compte client, l'a-t-il démontré avec succès ? Si l'architecture du partenaire doit envoyer des résultats à Security Hub depuis son propre compte, l'a-t-il démontré avec succès ?

Pendant les tests, les résultats doivent être envoyés avec succès à partir d'un compte que vous possédez différent du compte fourni pour l'ARN du produit.

L'envoi d'une recherche à partir du compte du propriétaire de l'ARN du produit peut contourner certaines exceptions d'erreur des opérations de l'API.

Le partenaire offre-t-il une recherche battue à Security Hub ?

Pour montrer que votre intégration fonctionne correctement, vous devez envoyer une recherche de battements de cœur. La recherche de battements de cœur est envoyée toutes les cinq minutes et utilise le type de rechercheHeartbeat.

Cela est important si vous envoyez des résultats à partir d'un compte produit.

Le partenaire s'est-il intégré au compte de l'équipe produit Security Hub pendant les tests ?

Lors de la validation de la préproduction, vous devez envoyer des exemples de recherche à l'équipe produit Security HubAWS. Ces exemples démontrent que les résultats sont envoyés et cartographiés correctement.

Documentation

Ces questions concernent la documentation de l'intégration que vous fournissez.

Le partenaire héberge-t-il sa documentation sur un site Web dédié ?

La documentation doit être hébergée sur votre site Web sous forme de page Web statique, de wiki, de lecture des documents ou d'un autre format dédié.

Documentation d'hébergement surGitHubne satisfait pas aux exigences du site Web dédié.

La documentation des partenaires fournisse-t-elle des instructions sur la façon de configurer l'intégration Security Hub ?

Vous pouvez configurer l'intégration à l'aide d'un modèle iAC ou d'une intégration « en un clic » basée sur une console.

La documentation du partenaire fournisse-t-elle une description de leur cas d'utilisation ?

Le cas d'utilisation que vous fournissez dans le manifeste doit également être décrit dans la documentation

La documentation du partenaire fournisse-t-elle une justification des résultats qu'ils envoient ?

Vous devez fournir la justification des types de résultats que vous envoyez.

Par exemple, votre produit peut générer des résultats de vulnérabilités, de logiciels malveillants et d'antivirus, mais vous n'envoyez que des résultats de vulnérabilité et de logiciels malveillants à Security Hub. Dans ce cas, vous devez expliquer pourquoi vous n'envoyez pas de résultats antivirus.

La documentation du partenaire explique-t-elle comment le partenaire associe ses résultats à ASFF ?

Vous devez fournir la justification du mappage des résultats natifs d'un produit avec ASFF. Les clients veulent savoir où rechercher des informations spécifiques sur les produits.

La documentation du partenaire fournit-elle des conseils sur la façon dont le partenaire met à jour les résultats, s'il met à jour les résultats ?

Donnez aux clients des informations sur la façon dont vous conservez l'état, garantissez l'impotence et remplacez les résultats parup-to-dateinformations.

La documentation du partenaire décrive-t-elle la recherche de latence ?

Minimisez la latence pour garantir que les clients voient les résultats dès que possible dans Security Hub.

Ces informations sont requises dans le manifeste.

La documentation du partenaire décrive-t-elle comment leur score de gravité correspond au score de gravité ASFF ?

Fournissez des informations sur la façon dont vous effectuezSeverity.OriginalpourSeverity.Label.

Par exemple, si votre valeur de gravité est une note de lettre (A, B, C), vous devez fournir des informations sur la façon dont vous mapper la note de lettre à l'étiquette de gravité.

La documentation du partenaire fournit-elle une justification pour les cotes de confiance ?

Si vous indiquez des scores de confiance, ces scores doivent être classés.

Si vous utilisez des scores de confiance statiques ou des mappages dérivés de l'intelligence artificielle ou de l'apprentissage automatique, vous devez fournir un contexte supplémentaire.

La documentation du partenaire indique-t-elle quelles régions le partenaire prend en charge ou non ?

Remarque : Régions prises en charge ou non, afin que les clients sachent dans quelles régions ne doivent pas tenter d'intégration.

Informations sur la fiche produit

Ces questions concernent la fiche du produit affichée sur leIntégrationsde la console Security Hub.

Est-ce que le produit est fourniAWSID de compte valide et contient 12 chiffres ?

Les identifiants de compte comptent 12 chiffres. Si un ID de compte contient moins de 12 chiffres, l'ARN du produit ne sera pas valide.

La description du produit contient-elle 200 caractères ou moins ?

La description du produit fournie dans le JSON dans le manifeste ne doit pas dépasser 200 caractères, espaces compris.

Le lien de configuration mène-t-il à la documentation pour l'intégration ?

Le lien de configuration doit conduire à votre documentation en ligne. Il ne doit pas conduire à votre site Web principal ni à des pages marketing.

Le lien d'achat (s'il est fourni) mène-t-il à laAWS Marketplacela mise en vente du produit ?

Si vous fournissez un lien d'achat, il doit s'agir d'unAWS Marketplaceentrée. Security Hub n'accepte pas les liens d'achat qui ne sont pas hébergés parAWS.

Les catégories de produits décrivent-elles correctement le produit ?

Dans le manifeste, vous pouvez fournir jusqu'à trois catégories de produits. Ils doivent correspondre au JSON et ne peuvent pas être personnalisés. Vous ne pouvez pas fournir plus de trois catégories de produits.

Les noms de l'entreprise et des produits sont-ils valides et corrects ?

Le nom de l'entreprise doit comporter 16 caractères ou moins.

Le nom du produit doit comporter 24 caractères ou moins.

Le nom du produit figurant dans la fiche produit JSON doit correspondre au nom figurant dans le manifeste.

Informations marketing

Ces questions sont liées au marketing pour l'intégration.

La description du produit de la page des partenaires Security Hub est-elle contenue dans 700 caractères, espaces compris ?

La page des partenaires Security Hub n'accepte que 700 caractères maximum, espaces compris.

L'équipe modifiera les descriptions plus longues.

Le logo de la page des partenaires Security Hub ne dépasse-t-il pas 600 x 300 px ?

Fournissez une URL accessible au public avec un logo d'entreprise en PNG ou JPG ne dépassant pas 600 x 300 pixels.

Le lien hypertexte En savoir plus sur la page des partenaires Security Hub mène-t-il à la page Web dédiée du partenaire sur l'intégration ?

LeEn savoir pluslien ne doit pas conduire au site Web principal du partenaire ni aux informations de documentation.

Ce lien doit toujours accéder à une page Web dédiée contenant des informations marketing sur l'intégration.

Le partenaire propose-t-il une démonstration ou une vidéo didactique expliquant comment utiliser son intégration ?

Une vidéo de démonstration ou d'intégration est facultative, mais recommandée.

C'est unAWSUn billet de blog Partner Network est publié avec le partenaire et son responsable du développement de partenaires ou son représentant du développement des partenaires ?

AWSLes billets de blog Partner Network doivent être coordonnés à l'avance avec le responsable du développement des partenaires ou le représentant du développement des partenaires.

Ils sont séparés de tout article de blog que vous créez vous-même.

Prévoyez un délai de 4 à 6 semaines. Cet effort doit être lancé une fois le test effectué avec l'ARN du produit privé.

Un communiqué de presse dirigé par un partenaire est-il en cours de publication ?

Vous pouvez travailler avec votre responsable du développement de partenaires ou votre représentant du développement de partenaires pour obtenir un devis du vice-président des services de sécurité externes. Vous pouvez utiliser cette citation dans votre communiqué de presse.

Un billet de blog dirigé par un partenaire est-il publié ?

Vous pouvez créer vos propres articles de blog pour présenter l'intégration en dehors duAWSBlog Partenaire Network.

Un webinaire dirigé par des partenaires est-il publié ?

Vous pouvez créer vos propres webinaires pour présenter l'intégration.

Si vous avez besoin de l'aide de l'équipe Security Hub, travaillez avec l'équipe produit après avoir terminé le test avec l'ARN du produit privé.

Le partenaire a-t-il demandé de l'aide sur les réseaux sociaux auprès deAWS?

Après votre sortie, vous pouvez travailler avec leAWSLe marketing de sécurité conduit à l'utilisationAWSréseaux sociaux officiels pour partager des informations sur vos webinaires.