AWS Security Hub domande frequenti per i partner

Di seguito sono riportate le domande più comuni sulla configurazione e la manutenzione di un'integrazione con AWS Security Hub.

Quali sono i vantaggi dell'integrazione con Security Hub?
- Soddisfazione del cliente: il motivo principale per l'integrazione con Security Hub è perché i clienti lo richiedono.
  
  Security Hub è il centro di sicurezza e conformità per AWS i clienti. È progettato come la prima tappa in cui i professionisti della AWS sicurezza e della conformità si recano ogni giorno per comprendere il loro stato di sicurezza e conformità.
  
  Ascoltate i vostri clienti. Ti diranno se vogliono vedere le tue scoperte in Security Hub.
- Opportunità di scoperta: promuoviamo i partner con integrazioni certificate all'interno della console Security Hub, inclusi i link alle loro Marketplace AWS offerte. Questo è un ottimo modo per i clienti di scoprire nuovi prodotti per la sicurezza.
- Opportunità di marketing: i fornitori con integrazioni approvate possono partecipare a webinar, pubblicare comunicati stampa, creare fogli informativi e dimostrare le proprie integrazioni ai clienti. AWS
Quali tipi di partner esistono?
- Partner che inviano i risultati a Security Hub
- Partner che riceve i risultati dal Security Hub
- Partner che inviano e ricevono i risultati
- Partner di consulenza che aiutano i clienti a configurare, personalizzare e utilizzare Security Hub nel loro ambiente
In che modo l'integrazione di un partner con Security Hub funziona a un livello elevato?

Raccogli i risultati all'interno di un account cliente o dal tuo AWS account e trasformi il formato dei risultati nel AWS Security Finding Format (ASFF). I risultati vengono quindi trasmessi all'endpoint regionale del Security Hub appropriato.

Puoi anche utilizzare CloudWatch Events per ricevere risultati da Security Hub.
Quali sono i passaggi di base per completare l'integrazione con Security Hub?
1. Invia le informazioni sul manifesto del tuo partner.
2. Ricevi ARNs il prodotto da utilizzare con Security Hub, se intendi inviare i risultati a Security Hub.
3. Mappa i risultati su ASFF. Per informazioni, consulta Linee guida per la mappatura dei risultati nel AWS Security Finding Format (ASFF).
4. Definisci la tua architettura per l'invio e la ricezione dei risultati da Security Hub. Segui i principi descritti in. Principi per la creazione e l'aggiornamento dei risultati
5. Crea un framework di implementazione per i clienti. Ad esempio, AWS CloudFormation gli script possono servire a questo scopo.
6. Documenta la tua configurazione e fornisci istruzioni di configurazione ai clienti.
7. Definisci eventuali approfondimenti personalizzati (regole di correlazione) che i clienti possono utilizzare con il tuo prodotto.
8. Dimostra la tua integrazione al team di Security Hub.
9. Invia le informazioni di marketing per l'approvazione (lingua del sito web, comunicato stampa, diapositiva sull'architettura, video, foglio illustrativo).
Qual è la procedura per l'invio del manifesto del partner? E AWS i servizi per inviare i risultati al Security Hub?

Per inviare le informazioni del manifesto al team di Security Hub, usa <securityhub-partners@amazon.com>.

Il prodotto ti verrà rilasciato ARNs entro sette giorni di calendario.
Quali tipi di risultati devo inviare a Security Hub?

I prezzi di Security Hub si basano in parte sul numero di risultati acquisiti. Per questo motivo, dovresti evitare di inviare risultati che non forniscono valore ai clienti.

Ad esempio, alcuni fornitori di servizi di gestione delle vulnerabilità inviano i risultati solo con un punteggio CVSS (Common Vulnerability Scoring System) pari o superiore a 3 su un massimo di 10.
Quali sono i diversi approcci per inviare i risultati a Security Hub?

Questi sono gli approcci principali:
- I risultati vengono inviati dal loro AWS account designato utilizzando l'BatchImportFindingsoperazione.
- I risultati vengono inviati dall'account del cliente utilizzando l'BatchImportFindingsoperazione. È possibile utilizzare approcci basati sull'assunzione di ruoli, ma questi approcci non sono obbligatori.
Per linee guida generali sull'utilizzo BatchImportFindings, vedere. Linee guida per l'utilizzo dell'API BatchImportFindings
Come posso raccogliere le mie scoperte e inviarle a un endpoint regionale del Security Hub?

I partner hanno utilizzato approcci diversi a tal fine, in quanto dipende in larga misura dall'architettura della soluzione.

Ad esempio, alcuni partner creano un'app Python che può essere distribuita come script. AWS CloudFormation Lo script raccoglie i risultati del partner dall'ambiente del cliente, li trasforma in ASFF e li invia all'endpoint regionale del Security Hub.

Altri partner creano una procedura guidata completa che offre al cliente un'esperienza con un solo clic per inviare i risultati a Security Hub.
Come faccio a sapere quando iniziare a inviare i risultati a Security Hub?

Security Hub supporta l'autorizzazione parziale in batch per il funzionamento dell'BatchImportFindingsAPI, in modo da poter inviare tutti i risultati a Security Hub per tutti i clienti.

Se alcuni dei tuoi clienti non si sono ancora abbonati a Security Hub, Security Hub non acquisisce tali risultati. Ingerisce solo i risultati autorizzati presenti nel batch.
Quali passaggi devo completare per inviare i risultati all'istanza di Security Hub di un cliente?
1. Assicurati che siano in atto le politiche IAM corrette.
2. Abilita un abbonamento al prodotto (politiche delle risorse) per gli account. Utilizza il funzionamento dell'EnableImportFindingsForProductAPI o la pagina delle integrazioni. Il cliente può farlo oppure puoi utilizzare ruoli tra account diversi per agire per conto del cliente.
3. Assicurati che il ProductArn risultato sia l'ARN pubblico del tuo prodotto.
4. Assicurati che il AwsAccountId risultato sia l'ID dell'account del cliente.
5. Assicurati che i risultati non contengano dati errati secondo il AWS Security Finding Format (ASFF). Ad esempio, i campi obbligatori sono compilati e non ci sono valori non validi.
6. Invia i risultati in batch all'endpoint regionale corretto.
Quali autorizzazioni IAM devono essere disponibili per poter inviare i risultati?

Le policy IAM devono essere configurate per l'utente o il ruolo IAM che chiama BatchImportFindingso altre chiamate API.

Il test più semplice consiste nell'eseguire questa operazione da un account amministratore. Puoi limitarli a action: ‘securityhub:BatchImportFindings’ eresource: <productArn and/or productSubscriptionArn>.

Le risorse nello stesso account possono essere configurate con le policy IAM senza richiedere policy relative alle risorse.

Per escludere problemi di policy IAM da parte del chiamante di BatchImportFindings, imposta la policy IAM per il chiamante come segue:
```
{
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}
```
Assicurati di controllare che non vi siano Deny politiche per il chiamante. Dopo averlo fatto funzionare, puoi limitare la politica a quanto segue:
```
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}
```
Cos'è l'abbonamento a un prodotto?

Per ricevere informazioni su uno specifico prodotto del partner, il cliente (o il partner con ruoli trasversali che lavorano per conto del cliente) deve sottoscrivere un abbonamento al prodotto. Per eseguire questa operazione dalla console, utilizzano la pagina Integrazioni. Per eseguire questa operazione dall'API, utilizzano l'operazione EnableImportFindingsForProductAPI.

L'abbonamento al prodotto crea una politica delle risorse che autorizza la ricezione o l'invio dei risultati del partner da parte del cliente. Per informazioni dettagliate, consultare Casi d'uso di integrazione e autorizzazioni richieste.

Security Hub offre i seguenti tipi di politiche sulle risorse per i partner:
- BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
- BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
Durante il processo di onboarding dei partner, puoi richiedere uno o entrambi i tipi di politiche.

ConBATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT, puoi inviare i risultati a Security Hub solo dall'account indicato nell'ARN del prodotto.

ConBATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT, puoi inviare i risultati solo dall'account cliente che ti ha sottoscritto.
Supponiamo che un cliente abbia creato un account amministratore e abbia aggiunto alcuni account membro. Il cliente deve sottoscrivere ogni account membro per me? Oppure il cliente si iscrive solo dall'account amministratore e posso quindi inviare i risultati relativi alle risorse di tutti gli account dei membri?

Questa domanda chiede se le autorizzazioni vengono create per tutti gli account membro in base alla registrazione dell'account amministratore.

Il cliente deve sottoscrivere un abbonamento al prodotto per ciascun account. Possono farlo a livello di codice tramite l'API.
Qual è l'ARN del mio prodotto?

L'ARN del prodotto è l'identificatore univoco che Security Hub genera per te e che usi per inviare i risultati. Riceverai un ARN per ogni prodotto che integri con Security Hub. L'ARN corretto del prodotto deve far parte di ogni risultato inviato a Security Hub. I risultati senza l'ARN del prodotto vengono eliminati. L'ARN del prodotto utilizza il seguente formato:

arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

Ecco un esempio:

arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

Ti viene assegnato un ARN del prodotto per ogni regione in cui viene distribuito Security Hub. L'ID dell'account, l'azienda e i nomi dei prodotti sono determinati dai manifesti inviati dal partner. Non modifichi mai nessuna delle informazioni associate all'ARN del prodotto, ad eccezione del codice regionale. Il codice regionale deve corrispondere alla regione per cui invii i risultati.

Un errore comune consiste nel modificare l'ID dell'account in modo che corrisponda all'account da cui lavori attualmente. L'ID dell'account non cambia. L'ID dell'account «home» viene inviato come parte dell'invio del manifesto. Questo ID account è bloccato nell'ARN del prodotto.

Quando Security Hub viene lanciato in nuove regioni, utilizza automaticamente i codici regionali standard per generare il prodotto ARNs per tali regioni.

A ogni account viene inoltre assegnato automaticamente l'ARN di un prodotto privato. Puoi utilizzare questo ARN per testare i risultati di importazione all'interno del tuo account di sviluppo prima di ricevere l'ARN ufficiale del prodotto pubblico.
Quale formato deve essere utilizzato per inviare i risultati a Security Hub?

I risultati devono essere forniti nel AWS Security Finding Format (ASFF). Per i dettagli, vedere AWS Security Finding Format (ASFF) nella Guida per l'AWS Security Hub utente.

L'aspettativa è che tutte le informazioni contenute nei risultati nativi si riflettano pienamente nell'ASFF. I campi personalizzati come ProductFields e Resource.Details.Other consentono di mappare i dati che non rientrano perfettamente nei campi predefiniti.
Qual è l'endpoint regionale corretto da utilizzare?

È necessario inviare i risultati all'endpoint regionale Security Hub associato all'account cliente.
Dove posso trovare l'elenco degli endpoint regionali?

Vedi l'elenco degli endpoint del Security Hub.
Posso inviare risultati interregionali?

Security Hub non supporta ancora l'invio interregionale dei risultati per i AWS servizi nativi, come Amazon GuardDuty, Amazon Macie e Amazon Inspector. Se il cliente lo consente, Security Hub non ti impedisce di inviare risultati da diverse regioni.

In questo senso, è possibile chiamare un endpoint regionale da qualsiasi luogo e le informazioni sulle risorse dell'ASFF non devono necessariamente corrispondere alla regione dell'endpoint. Tuttavia, ProductArn deve corrispondere alla regione dell'endpoint.
Quali sono le regole e le linee guida per l'invio di batch di risultati?

È possibile raggruppare fino a 100 risultati o 240 KB in una singola chiamata di BatchImportFindings. Metti in coda e raggruppa il maggior numero possibile di risultati fino a questo limite.

Puoi raggruppare una serie di risultati provenienti da diversi account. Tuttavia, se uno degli account del batch non è sottoscritto a Security Hub, l'intero batch fallisce. Si tratta di una limitazione del modello di autorizzazione di base di API Gateway.

Per informazioni, consulta Linee guida per l'utilizzo dell'API BatchImportFindings.
Posso inviare aggiornamenti ai risultati che ho creato?

Sì, se invii un risultato con lo stesso ARN del prodotto e lo stesso ID del risultato, i dati precedenti relativi a tale risultato vengono sovrascritti. Tieni presente che tutti i dati vengono sovrascritti, quindi devi inviare un risultato completo.

I clienti vengono misurati e fatturati sia per le nuove scoperte che per gli aggiornamenti dei risultati.
Posso inviare aggiornamenti ai risultati creati da qualcun altro?

Sì, se il cliente ti concede l'accesso all'operazione BatchUpdateFindingsAPI, puoi aggiornare determinati campi utilizzando tale operazione. Questa operazione è progettata per essere utilizzata dai clienti SIEMs, dai sistemi di ticketing e dalle piattaforme di Security Orchestration, Automation and Response (SOAR).
Come vengono invecchiate le scoperte?

Security Hub archivia i risultati 90 giorni dopo la data dell'ultimo aggiornamento. Trascorso questo periodo, i risultati obsoleti vengono eliminati dal cluster Security Hub. OpenSearch

Se aggiorni un risultato con lo stesso ID di ricerca ed è stato obsoleto, viene creato un nuovo risultato in Security Hub.

I clienti possono utilizzare CloudWatch Events per spostare i risultati fuori dal Security Hub. In questo modo è possibile inviare tutti i risultati a obiettivi scelti dal cliente.

In generale, Security Hub consiglia di creare nuovi risultati ogni 90 giorni e di non aggiornarli per sempre.
Quali limiti mette in atto Security Hub?

Security Hub limita le chiamate GetFindings API, poiché l'approccio consigliato per accedere ai risultati consiste nell'utilizzare CloudWatch gli eventi.

Security Hub non implementa nessun'altra limitazione sui servizi interni, sui partner o sui clienti oltre a quella imposta dalle chiamate API Gateway e Lambda.
Qual è la tempestività, la latenza SLAs o le aspettative per i risultati inviati a Security Hub dai servizi di origine?

L'obiettivo è quello di essere il più possibile vicini al tempo reale sia per i risultati iniziali che per gli aggiornamenti dei risultati. È necessario inviare i risultati a Security Hub entro cinque minuti dalla loro creazione.
Come posso ricevere i risultati dal Security Hub?

Per ricevere i risultati, usa uno dei seguenti metodi.
- Tutti i risultati vengono inviati automaticamente agli CloudWatch Eventi. Un cliente può creare regole CloudWatch Events specifiche per inviare i risultati a obiettivi specifici, come un SIEM o un bucket S3. Questa funzionalità ha sostituito il funzionamento delle API precedentiGetFindings.
- Usa CloudWatch Events per azioni personalizzate. Security Hub consente ai clienti di selezionare risultati o gruppi di risultati specifici dall'interno della console e agire di conseguenza. Ad esempio, possono inviare i risultati a un SIEM, a un sistema di ticketing, a una piattaforma di chat o a un flusso di lavoro di correzione. Questo farebbe parte di un flusso di lavoro di valutazione degli avvisi eseguito da un cliente all'interno di Security Hub. Queste sono chiamate azioni personalizzate.
  
  Quando un utente seleziona un'azione personalizzata, viene creato un CloudWatch evento per quei risultati specifici. È possibile sfruttare questa funzionalità e creare regole e obiettivi relativi agli CloudWatch eventi che un cliente possa utilizzare come parte di un'azione personalizzata. Tieni presente che questa funzionalità non viene utilizzata per inviare automaticamente tutti i risultati di un particolare tipo o classe a CloudWatch Events. Spetta all'utente intervenire su risultati specifici.
  
  Puoi utilizzare le operazioni dell'API Custom ActionCreateActionTarget, ad esempio per creare automaticamente azioni disponibili per il tuo prodotto (come l'utilizzo AWS CloudFormation di modelli). Puoi anche utilizzare le operazioni dell'API CloudWatch Events rule per creare le regole CloudWatch Events corrispondenti associate all'azione personalizzata. Utilizzando AWS CloudFormation i modelli, puoi anche creare regole CloudWatch Events per importare automaticamente da Security Hub tutti i risultati o tutti i risultati con determinate caratteristiche.
Quali sono i requisiti per un provider di servizi di sicurezza gestiti (MSSP) per diventare partner del Security Hub?

È necessario dimostrare come viene utilizzato Security Hub nell'ambito della fornitura di servizi ai clienti.

È necessario disporre di una documentazione per l'utente che spieghi l'utilizzo di Security Hub.

Se l'MSSP è un provider di ricerca, deve dimostrare di aver inviato i risultati a Security Hub.

Se l'MSSP riceve solo risultati da Security Hub, deve disporre almeno di un AWS CloudFormation modello per configurare le regole CloudWatch Events appropriate.
Quali sono i requisiti per un partner di consulenza APN non MSSP per diventare un partner Security Hub?

Se sei un partner di consulenza APN, puoi diventare un partner Security Hub. Dovresti presentare due case study privati su come hai aiutato un cliente specifico a fare quanto segue.
- Configura Security Hub con le autorizzazioni IAM di cui il cliente ha bisogno.
- Aiuta a connettere soluzioni ISV (Independent Software Vendor) già integrate a Security Hub utilizzando le istruzioni di configurazione nella pagina partner nella console.
- Aiuta i clienti con integrazioni di prodotti personalizzate.
- Crea approfondimenti personalizzati pertinenti alle esigenze e ai set di dati dei clienti.
- Crea azioni personalizzate.
- Crea dei playbook di riparazione.
- Crea Quickstart che si allineano agli standard di conformità del Security Hub. Questi devono essere convalidati dal team di Security Hub.
I case study non devono necessariamente essere condivisi pubblicamente.
Quali sono i requisiti relativi alla modalità di implementazione della mia integrazione con Security Hub con i miei clienti?

Le architetture di integrazione tra Security Hub e i prodotti dei partner variano da partner a partner in termini di modalità di gestione della soluzione del partner. È necessario assicurarsi che il processo di configurazione per l'integrazione non richieda più di 15 minuti.

Se state implementando un software di integrazione nell' AWS ambiente del cliente, dovreste sfruttare i AWS CloudFormation modelli per semplificare l'integrazione. Alcuni partner hanno creato un'integrazione con un solo clic, che è altamente consigliata.
Quali sono i miei requisiti di documentazione?

È necessario fornire un collegamento alla documentazione che descrive il processo di integrazione e configurazione tra il prodotto e Security Hub, incluso l'uso dei AWS CloudFormation modelli.

Tale documentazione deve includere anche informazioni sull'utilizzo di ASFF. In particolare, questo dovrebbe elencare i tipi di risultati ASFF che state utilizzando per i diversi risultati. Se disponi di definizioni di insight predefinite, ti consigliamo di includerle anche qui.

Valuta la possibilità di includere altre potenziali informazioni:
- Il tuo caso d'uso per l'integrazione con Security Hub
- Volume medio dei risultati inviati
- La tua architettura di integrazione
- Le regioni supportate e non supportate
- Latenza tra il momento in cui i risultati vengono creati e il momento in cui vengono inviati a Security Hub
- Se aggiorni i risultati
Cosa sono gli approfondimenti personalizzati?

Sei incoraggiato a definire approfondimenti personalizzati per i tuoi risultati. Gli approfondimenti sono regole di correlazione leggere che aiutano un cliente a stabilire le priorità dei risultati e delle risorse che richiedono più attenzione e azione.

Security Hub ha un funzionamento CreateInsight API. Puoi creare approfondimenti personalizzati all'interno di un account cliente come parte del tuo AWS CloudFormation modello. Queste informazioni vengono visualizzate sulla console del cliente.
Posso inviare i widget del pannello di controllo?

No, non in questo momento. Puoi solo creare approfondimenti gestiti.
Qual è il tuo modello di prezzo?

Consulta le informazioni sui prezzi di Security Hub.
Come posso inviare i risultati all'account demo di Security Hub come parte del processo di approvazione finale della mia integrazione?

Invia i risultati all'account demo di Security Hub utilizzando l'ARN del prodotto fornito, utilizzando us-west-2 come regione. I risultati dovrebbero includere il numero di conto demo nel AwsAccountId campo dell'ASFF. Per ottenere il numero di conto demo, contatta il team di Security Hub.

Non inviateci dati sensibili o informazioni di identificazione personale. Questi dati vengono utilizzati per dimostrazioni pubbliche. Quando ci invii questi dati, ci autorizzi a utilizzarli nelle demo.
Quali messaggi di errore o di successo fornisceBatchImportFindings?

Security Hub fornisce una risposta per l'autorizzazione e una risposta per BatchImportFindings. Sono in fase di sviluppo messaggi di successo, fallimento ed errore più nitidi.
Di quale gestione degli errori è responsabile il servizio di origine?

I servizi di origine sono responsabili di tutta la gestione degli errori. Devono gestire i messaggi di errore, i nuovi tentativi, le limitazioni e gli allarmi. Devono inoltre gestire i feedback o i messaggi di errore inviati tramite il meccanismo di feedback del Security Hub.
Quali sono le soluzioni ai problemi più comuni?

An AuthorizerConfigurationException è causato da un or malformatoAwsAccountId. ProductArn

Durante la risoluzione dei problemi, tenete presente quanto segue:
- AwsAccountIddeve contenere esattamente 12 cifre.
- ProductArndeve essere nel seguente formato: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>
  
  L'ID dell'account non cambia rispetto a quello che il team di Security Hub ha incluso nel prodotto ARNs che ti ha fornito.
AccessDeniedExceptionè causato quando un risultato viene inviato o ricevuto dall'account sbagliato o quando l'account non dispone di unProductSubscription. Il messaggio di errore conterrà un ARN con un tipo di product risorsa pari o. product-subscription Questo errore si verifica solo durante le chiamate tra account. Se chiami BatchImportFindingscon il tuo account per lo stesso account in AwsAccountId andProductArn, l'operazione utilizza le politiche IAM e non ha nulla a che fare conProductSubscriptions.

Assicurati che l'account cliente e l'account del prodotto che utilizzi siano gli account effettivamente registrati. Alcuni partner hanno utilizzato per il prodotto un numero di account del prodotto ARN, ma cercano di utilizzare un account completamente diverso per chiamare. BatchImportFindings In altri casi, hanno creato account ProductSubscriptions per altri clienti o addirittura per il proprio account di prodotto. Non l'hanno creato ProductSubscriptions per l'account cliente in cui hanno cercato di importare i risultati.
Dove posso inviare domande, commenti e bug?

<securityhub-partners@amazon.com>
A quale regione devo inviare i risultati per gli articoli relativi ai AWS servizi globali? Ad esempio, dove posso inviare i risultati relativi a IAM?

Invia i risultati alla stessa regione in cui è stato rilevato il risultato. Per un servizio come IAM, la tua soluzione probabilmente troverà lo stesso problema IAM in più regioni. In questo caso, il risultato viene inviato a tutte le regioni in cui è stato rilevato il problema.

Se il cliente esegue Security Hub in tre regioni e lo stesso problema IAM viene rilevato in tutte e tre le regioni, invia il risultato a tutte e tre le regioni.

Quando un problema viene risolto, invia l'aggiornamento del risultato a tutte le regioni a cui hai inviato il risultato originale.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Lista di controllo per la preparazione del prodotto

Cronologia dei documenti