Daftar periksa kesiapan produk - AWS Security Hub
Pemetaan ASFFPenyiapan dan fungsi integrasiDokumentasiInformasi kartu produkInformasi pemasaran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftar periksa kesiapan produk

ParameterAWS Security Hubdan tim Mitra APN menggunakan daftar periksa ini untuk memvalidasi bahwa integrasi siap diluncurkan.

Pemetaan ASFF

Pertanyaan-pertanyaan ini terkait dengan pemetaan temuan Anda keAWSFormat Pencarian Keamanan (ASFF).

Apakah semua data temuan mitra dipetakan ke ASFF?

Petakan semua temuan Anda ke ASFF dalam beberapa cara.

Gunakan bidang yang dikuratori seperti tipe sumber daya yang dimodelkan,Network,Malware, atauThreatIntelIndicators.

Memetakan apa pun keResource.Details.OtheratauProductFieldsyang sesuai.

Apakah mitra menggunakanResource.Detailsbidang, sepertiAwsEc2instance,AwsS3Bucket, danContainer? Apakah mitra menggunakanResource.Details.Otheruntuk menentukan rincian sumber daya yang tidak dimodelkan dalam ASFF?

Bila memungkinkan, gunakan bidang yang disediakan untuk sumber daya yang dikurasi seperti instans EC2, bucket S3, dan grup keamanan dalam temuan Anda.

Memetakan informasi lain yang terkait dengan sumber dayaResource.Details.Otherhanya ketika tidak ada pertandingan langsung.

Apakah nilai peta mitra untukUserDefinedFields?

Jangan gunakan UserDefinedFields.

Pertimbangkan untuk menggunakan bidang curated lain, sepertiResource.Details.OtheratauProductFields.

Apakah informasi peta mitra keProductFieldsyang bisa dipetakan ke bidang ASFF lainnya?

Hanya menggunakanProductFieldsuntuk informasi spesifik produk seperti informasi versi, temuan tingkat keparahan spesifik produk, atau informasi lain yang tidak dapat dipetakan ke bidang yang dikuratori atauResources.Details.Other.

Apakah mitra mengimpor cap waktu mereka sendiri untukFirstObservedAt?

ParameterFirstObservedAttimestamp dimaksudkan untuk mencatat waktu ketika temuan diamati dalam produk. Petakan bidang ini jika memungkinkan.

Apakah mitra memberikan nilai unik yang dihasilkan untuk setiap pengenal temuan, kecuali temuan yang ingin mereka perbarui?

Semua temuan di Security Hub diindeks pada identifier temuan (Idatribut). Nilai ini harus selalu unik untuk memastikan bahwa temuan tidak diperbarui secara tidak sengaja.

Anda juga harus mempertahankan status pengenal temuan untuk tujuan memperbarui temuan.

Apakah mitra memberikan nilai yang memetakan temuan ke ID generator?

GeneratorIDseharusnya tidak memiliki nilai yang sama dengan ID temuan.

GeneratorIDharus dapat secara logis menghubungkan temuan dengan apa yang dihasilkan mereka.

Ini bisa menjadi subkomponen dalam produk (Produk A - Kerentanan vs Produk A - EDR) atau sesuatu yang serupa.

Apakah mitra menggunakan jenis temuan ruang nama yang diperlukan dengan cara yang relevan dengan produk mereka? Apakah mitra menggunakan kategori jenis temuan yang direkomendasikan atau pengklasifikasi dalam jenis temuan mereka?

Jenis temuan taksonomi harus memetakan dengan cermat temuan yang dihasilkan produk.

Ruang nama tingkat pertama yang diuraikan dalamAWSSecurity Finding Format diperlukan.

Anda dapat menggunakan nilai khusus untuk ruang nama tingkat kedua dan ketiga (Kategori atau Pengklasifikasi).

Apakah mitra menangkap informasi alur jaringan diNetworkbidang, jika mereka memiliki data jaringan?

Jika produk Anda menangkapNetFlowinformasi, peta keNetworkBidang.

Apakah informasi proses pengambilan mitra (PID) diProcessbidang, jika mereka memiliki data proses?

Jika produk Anda menangkap informasi proses, petakan keProcessBidang.

Apakah mitra menangkap informasi malware diMalwarebidang, jika mereka memiliki data malware?

Jika produk Anda menangkap informasi malware, petakan keMalwareBidang.

Apakah mitra menangkap informasi intelijen ancaman diThreatIntelIndicatorsbidang, jika mereka memiliki data intelijen ancaman?

Jika produk Anda menangkap informasi intelijen ancaman, petakan keThreatIntelIndicatorsBidang.

Apakah mitra memberikan peringkat kepercayaan untuk temuan? Jika mereka melakukannya, adalah alasan yang diberikan?

Setiap kali Anda menggunakan bidang ini, berikan alasan dalam dokumentasi dan manifes Anda.

Apakah mitra menggunakan ID kanonik atau ARN untuk ID sumber daya dalam temuan?

Saat mengidentifikasiAWSsumber daya, praktek terbaik adalah dengan menggunakan ARN. Jika ARN tidak tersedia, gunakan ID sumber daya kanonik.

Penyiapan dan fungsi integrasi

Pertanyaan-pertanyaan ini terkait dengan pengaturan danday-to-dayfungsi integrasi.

Apakah mitra menyediakaninfrastructure-as-code(IAC) untuk menyebarkan integrasi dengan Security Hub, seperti Terraform,AWS CloudFormation, atauAWS Cloud Development Kit (AWS CDK)?

Untuk integrasi yang akan mengirimkan temuan dari akun pelanggan atau penggunaanCloudWatchAcara untuk mengkonsumsi temuan, beberapa bentuk template IAC diperlukan.

AWS CloudFormationlebih disukai, tapiAWS CDKatau Terraform juga bisa digunakan.

Apakah produk mitra memiliki pengaturan satu klik di konsol mereka untuk integrasi mereka dengan Security Hub?

Beberapa produk mitra menggunakan toggle atau mekanisme serupa dalam produk mereka untuk mengaktifkan integrasi. Ini mungkin memerlukan penyediaan sumber daya dan izin secara otomatis. Jika Anda mengirim temuan dari akun produk, pengaturan satu klik adalah metode yang disukai.

Apakah mitra hanya mengirimkan temuan nilai?

Anda biasanya hanya harus mengirim temuan yang memiliki nilai keamanan kepada pelanggan Security Hub.

Security Hub bukan alat manajemen log umum. Anda tidak boleh mengirim setiap log yang mungkin ke Security Hub.

Apakah mitra memberikan perkiraan berapa banyak temuan yang akan mereka kirim per hari per pelanggan dan berapa frekuensi (rata-rata dan meledak)?

Jumlah temuan unik digunakan untuk menghitung beban pada Security Hub. Temuan unik didefinisikan sebagai temuan dengan pemetaan ASFF yang berbeda dari temuan lain.

Misalnya, jika seseorang menemukan dihuni hanyaThreatIntelndicatorsdan yang lain hanya dihuniResources.Details.AWSEc2Instance, itu adalah dua temuan unik.

Apakah mitra memiliki cara yang anggun untuk menangani kesalahan 4xx dan 5xx sehingga mereka tidak throttled dan semua temuan dapat dikirim di lain waktu?

Saat ini ada tingkat ledakan 30-50 TPS padaBatchImportFindingsOperasi API. Jika kesalahan 4xx atau 5xx dikembalikan, Anda harus mempertahankan keadaan temuan yang gagal sehingga Anda dapat mencobanya kembali secara totalitas nanti. Anda dapat melakukan ini melalui antrian surat mati atau lainnyaAWSlayanan pesan seperti Amazon SNS atau Amazon SQS.

Apakah mitra mempertahankan keadaan temuan mereka sehingga mereka tahu untuk mengarsipkan temuan yang tidak lagi hadir?

Jika Anda berencana untuk memperbarui temuan dengan Timpa ID temuan asli, Anda harus memiliki mekanisme untuk mempertahankan status sehingga informasi yang benar diperbarui untuk temuan yang benar.

Jika Anda memberikan temuan, jangan gunakanBatchUpdateFindingsoperasi untuk memperbarui temuan. Operasi ini hanya boleh digunakan oleh pelanggan. Anda hanya menggunakanBatchUpdateFindingsketika Anda menyelidiki dan mengambil tindakan pada temuan.

Apakah mitra menangani retries dengan cara yang tidak berkompromi sebelumnya mengirim temuan sukses?

Anda harus memiliki mekanisme untuk mempertahankan ID temuan asli dalam kasus kesalahan sehingga Anda tidak menduplikasi atau menimpa temuan yang berhasil dalam kesalahan.

Apakah mitra memperbarui temuan dengan menghubungiBatchImportFindingsoperasi dengan temuan ID temuan yang ada?

Untuk memperbarui temuan, Anda harus menimpa temuan yang ada dengan mengirimkan ID temuan yang sama.

ParameterBatchUpdateFindingsoperasi hanya boleh digunakan oleh pelanggan.

Apakah mitra memperbarui temuan menggunakanBatchUpdateFindingsAPI?

Jika Anda mengambil tindakan pada temuan, Anda dapat menggunakanBatchUpdateFindingsoperasi untuk memperbarui bidang tertentu.

Apakah mitra memberikan informasi tentang jumlah latensi antara ketika temuan dibuat dan kapan dikirim dari produk mereka ke Security Hub?

Anda harus meminimalkan latensi untuk memastikan bahwa pelanggan melihat temuan sesegera mungkin di Security Hub.

Informasi ini diperlukan dalam manifes.

Jika arsitektur mitra adalah untuk mengirim temuan ke Security Hub dari akun pelanggan, apakah mereka telah menunjukkan hal ini berhasil? Jika arsitektur mitra adalah untuk mengirim temuan ke Security Hub dari akun mereka sendiri, apakah mereka telah menunjukkan hal ini berhasil?

Selama pengujian, temuan harus berhasil dikirim dari akun yang Anda miliki yang berbeda dari akun yang disediakan untuk ARN produk.

Mengirim temuan dari akun pemilik ARN produk dapat melewati pengecualian kesalahan tertentu dari operasi API.

Apakah pasangan memberikan temuan detak jantung ke Security Hub?

Untuk menunjukkan bahwa integrasi Anda bekerja dengan benar, Anda harus mengirim temuan detak jantung. Temuan detak jantung dikirim setiap lima menit dan menggunakan tipe temuanHeartbeat.

Hal ini penting jika Anda mengirim temuan dari akun produk.

Apakah mitra berintegrasi dengan akun tim produk Security Hub selama pengujian?

Selama validasi praproduksi, Anda harus mengirim contoh temuan ke tim produk Security HubAWSakun. Contoh-contoh ini menunjukkan bahwa temuan dikirim dan dipetakan dengan benar.

Dokumentasi

Pertanyaan-pertanyaan ini terkait dengan dokumentasi integrasi yang Anda berikan.

Apakah mitra meng-host dokumentasi mereka di situs web khusus?

Dokumentasi harus di-host di situs web Anda sebagai halaman web statis, wiki, Baca Dokumen, atau format khusus lainnya.

Dokumentasi hostingGitHubtidak memenuhi persyaratan situs web khusus.

Apakah dokumentasi mitra memberikan petunjuk tentang cara mengatur integrasi Security Hub?

Anda dapat mengatur integrasi menggunakan template IAC atau integrasi “satu-klik” berbasis konsol.

Apakah dokumentasi mitra memberikan deskripsi kasus penggunaannya?

Kasus penggunaan yang Anda berikan dalam manifes juga harus dijelaskan dalam dokumentasi

Apakah dokumentasi mitra memberikan alasan untuk temuan yang mereka kirim?

Anda harus memberikan alasan untuk jenis temuan yang Anda kirim.

Misalnya, produk Anda mungkin menghasilkan temuan untuk kerentanan, malware, dan antivirus, tetapi Anda hanya mengirim temuan kerentanan dan malware ke Security Hub. Dalam hal ini, Anda harus memberikan alasan mengapa Anda tidak mengirim temuan antivirus.

Apakah dokumentasi mitra memberikan alasan untuk bagaimana mitra memetakan temuan mereka ke ASFF?

Anda harus memberikan alasan untuk pemetaan temuan asli produk untuk ASFF. Pelanggan ingin tahu di mana untuk mencari informasi produk tertentu.

Apakah dokumentasi mitra memberikan panduan tentang bagaimana mitra memperbarui temuan, jika mereka memperbarui temuan?

Berikan informasi kepada pelanggan tentang bagaimana Anda mempertahankan negara, memastikan idempotency, dan menimpa temuan denganup-to-dateinformasi.

Apakah dokumentasi mitra menjelaskan menemukan latensi?

Minimalkan latensi untuk memastikan bahwa pelanggan melihat temuan sesegera mungkin di Security Hub.

Informasi ini diperlukan dalam manifes.

Apakah dokumentasi mitra menjelaskan bagaimana tingkat keparahan mereka mencetak peta untuk penilaian tingkat keparahan ASFF?

Memberikan informasi tentang cara Anda memetakanSeverity.OriginalkepadaSeverity.Label.

Misalnya, jika nilai keparahan Anda adalah huruf grade (A, B, C), Anda harus memberikan informasi tentang bagaimana Anda memetakan nilai huruf ke label keparahan.

Apakah dokumentasi mitra memberikan alasan untuk peringkat kepercayaan diri?

Jika Anda memberikan skor kepercayaan diri, skor ini harus diberi peringkat.

Jika Anda menggunakan skor kepercayaan atau pemetaan statis yang berasal dari kecerdasan buatan atau pembelajaran mesin, Anda harus memberikan konteks tambahan.

Apakah dokumentasi mitra mencatat Wilayah mana yang dilakukan dan tidak didukung oleh mitra?

Catatan Daerah yang atau tidak didukung sehingga pelanggan tahu di mana Daerah untuk tidak mencoba integrasi.

Informasi kartu produk

Pertanyaan-pertanyaan ini terkait dengan kartu untuk produk yang ditampilkan padaIntegrasihalaman konsol Security Hub.

Apakah yang disediakanAWSID akun valid dan berisi 12 digit?

Pengidentifikasi akun memiliki panjang 12 digit. Jika ID akun berisi kurang dari 12 digit, maka ARN produk tidak akan valid.

Apakah deskripsi produk mengandung 200 atau lebih sedikit karakter?

Deskripsi produk yang disediakan dalam JSON dalam manifes harus tidak lebih dari 200 karakter termasuk spasi.

Apakah link konfigurasi mengarah ke dokumentasi untuk integrasi?

Tautan konfigurasi harus mengarah ke dokumentasi online Anda. Seharusnya tidak mengarah ke situs web utama Anda atau ke halaman pemasaran.

Apakah link pembelian (jika disediakan) mengarah keAWS Marketplacedaftar untuk produk?

Jika Anda memberikan link pembelian, itu harus untukAWS Marketplaceentri. Security Hub tidak menerima tautan pembelian yang tidak di-host olehAWS.

Apakah kategori produk dengan benar menggambarkan produk?

Dalam manifes, Anda dapat menyediakan hingga tiga kategori produk. Ini harus sesuai dengan JSON dan tidak dapat disesuaikan. Anda tidak dapat menyediakan lebih dari tiga kategori produk.

Apakah nama perusahaan dan produk valid dan benar?

Nama perusahaan harus 16 karakter atau lebih sedikit.

Nama produk harus 24 atau lebih sedikit karakter.

Nama produk dalam kartu produk JSON harus sesuai dengan nama dalam manifes.

Informasi pemasaran

Pertanyaan-pertanyaan ini terkait dengan pemasaran untuk integrasi.

Apakah deskripsi produk untuk halaman mitra Security Hub dalam 700 karakter, termasuk spasi?

Halaman mitra Security Hub hanya menerima hingga 700 karakter, termasuk spasi.

Tim akan mengedit deskripsi yang lebih panjang.

Apakah logo halaman mitra Security Hub tidak lebih besar dari 600 x 300 px?

Berikan URL yang dapat diakses publik dengan logo perusahaan di PNG atau JPG yang tidak lebih besar dari 600 x 300 piksel.

Apakah hyperlink Pelajari lebih lanjut di halaman mitra Security Hub mengarah ke halaman web khusus mitra tentang integrasi?

ParameterPelajari selengkapnyalink tidak boleh mengarah ke situs utama mitra atau informasi dokumentasi.

Tautan ini harus selalu pergi ke halaman web khusus dengan informasi pemasaran tentang integrasi.

Apakah mitra menyediakan demo atau video instruksional untuk cara menggunakan integrasi mereka?

Video walkthrough demo atau integrasi bersifat opsional namun disarankan.

Adalah sebuahAWSPosting blog Partner Network dirilis bersama mitra dan manajer pengembangan mitra atau perwakilan pengembangan mitra mereka?

AWSPosting blog Jaringan Mitra harus dikoordinasikan sebelumnya dengan manajer pengembangan mitra atau perwakilan pengembangan mitra.

Ini terpisah dari posting blog apa pun yang Anda buat sendiri.

Biarkan selama 4-6 minggu lead time. Upaya ini harus dimulai setelah pengujian dengan ARN produk pribadi selesai.

Apakah siaran pers yang dipimpin mitra dirilis?

Anda dapat bekerja sama dengan manajer pengembangan mitra atau perwakilan pengembangan mitra Anda untuk mendapatkan penawaran dari VP Layanan Keamanan Eksternal. Anda dapat menggunakan kutipan ini dalam siaran pers Anda.

Apakah posting blog yang dipimpin mitra sedang dirilis?

Anda dapat membuat posting blog Anda sendiri untuk menampilkan integrasi di luarAWSBlog Jaringan Mitra.

Apakah webinar yang dipimpin mitra sedang dirilis?

Anda dapat membuat webinar Anda sendiri untuk menampilkan integrasi.

Jika Anda memerlukan bantuan dari tim Security Hub, bekerja dengan tim produk setelah Anda menyelesaikan pengujian dengan ARN produk pribadi.

Apakah mitra meminta dukungan media sosial dariAWS?

Setelah rilis Anda, Anda dapat bekerja denganAWSKeamanan pemasaran mengarah untuk menggunakanAWSsaluran media sosial resmi untuk berbagi rincian tentang webinar Anda.