Elenco di controllo della preparazione dei prodotti - AWS Security Hub
Mappatura ASFFConfigurazione e funzione dell'integrazioneDocumentazioneInformazioni sulla scheda prodottoInformazioni di marketing

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elenco di controllo della preparazione dei prodotti

LaAWS Security Hube i team di partner APN utilizzano questa lista di controllo per verificare che l'integrazione sia pronta per essere lanciata.

Mappatura ASFF

Queste domande riguardano la mappatura del tuo ritrovamento alAWSSecurity Finding Format (ASFF).

Tutti i dati di ricerca del partner sono mappati in ASFF?

Mappare tutte le tue scoperte all'ASFF in qualche modo.

Utilizzare campi curati come tipi di risorse modellate,Network,Malware, oppureThreatIntelIndicators.

Mappa qualsiasi altra cosa inResource.Details.OtheroProductFieldsa seconda delle necessità.

Il partner usaResource.Detailscampi, comeAwsEc2instance,AwsS3Bucket, eContainer? Il partner usaResource.Details.Otherper definire i dettagli delle risorse che non sono modellati nell'ASFF?

Quando possibile, utilizzare i campi forniti per risorse curate come istanze EC2, bucket S3 e gruppi di sicurezza nei risultati.

Mappare altre informazioni relative alle risorseResource.Details.Othersolo quando non c'è una corrispondenza diretta.

Il partner mappa i valoriUserDefinedFields?

Non usare UserDefinedFields.

Prendi in considerazione l'utilizzo di un altro campo curato, ad esempioResource.Details.OtheroProductFields.

Il partner mappa le informazioniProductFieldsche potrebbe essere mappato in altri campi ASFF?

Usare soloProductFieldsper informazioni specifiche del prodotto come informazioni sul controllo delle versioni, risultati di gravità specifici del prodotto o altre informazioni che non possono essere mappate in un campo curato oResources.Details.Other.

Il partner importa i propri timestamp perFirstObservedAt?

LaFirstObservedAttimestamp ha lo scopo di registrare l'ora in cui è stato osservato un risultato nel prodotto. Mappare questo campo se possibile.

Il partner fornisce valori univoci generati per ogni identificatore di ricerca, ad eccezione dei risultati che vogliono aggiornare?

Tutti i risultati in Security Hub sono indicizzati sull'identificatore di ricerca (Idattributo). Questo valore deve sempre essere univoco per garantire che i risultati non vengano aggiornati accidentalmente.

È inoltre necessario mantenere lo stato identificativo di ricerca allo scopo di aggiornare i risultati.

Il partner fornisce un valore che mappa i risultati su un ID generatore?

GeneratorIDnon dovrebbe avere lo stesso valore dell'ID di ricerca.

GeneratorIDdovrebbe essere in grado di collegare logicamente i risultati con ciò che li ha generati.

Può trattarsi di un sottocomponente all'interno di un prodotto (Prodotto A - Vulnerabilità vs Prodotto A - EDR) o qualcosa di simile.

Il partner utilizza gli spazi dei nomi dei tipi di ricerca richiesti in un modo pertinente al proprio prodotto? Il partner utilizza le categorie o i classificatori di tipo di ricerca consigliati nei loro tipi di ricerca?

La tassonomia del tipo di ricerca dovrebbe mappare attentamente i risultati generati dal prodotto.

Gli spazi dei nomi di primo livello delineati nellaAWSIl formato di ricerca di sicurezza è obbligatorio.

È possibile utilizzare valori personalizzati per gli spazi dei nomi di secondo e terzo livello (categorie o classificatori).

Il partner acquisisce le informazioni sul flusso di rete nelNetworkcampi, se hanno dati di rete?

Se il prodotto viene catturatoNetFlowinformazioni, mappalo alNetwork.

Le informazioni del processo di acquisizione dei partner (PID) nelProcesscampi, se hanno dati di processo?

Se il tuo prodotto acquisisce le informazioni sul processo, mappale alProcess.

Il partner acquisisce le informazioni sul malware nelMalwarecampi, se hanno dati malware?

Se il tuo prodotto acquisisce informazioni malware, mappale allaMalware.

Il partner acquisisce le informazioni di threat intelligence nelThreatIntelIndicatorscampi, se hanno dati di intelligence sulle minacce?

Se il tuo prodotto acquisisce informazioni di threat intelligence, mappale allaThreatIntelIndicators.

Il partner fornisce una valutazione di fiducia per i risultati? Se lo fanno, viene fornita una logica?

Ogni volta che utilizzi questo campo, fornisci una logica nella documentazione e nel manifesto.

Il partner utilizza un ID canonico o un ARN per l'ID risorsa nel risultato?

Quando si identificaAWSrisorse, la migliore pratica è usare l'ARN. Se un ARN non è disponibile, utilizzare l'ID della risorsa canonica.

Configurazione e funzione dell'integrazione

Queste domande sono relative alla configurazione eday-to-dayfunzione dell'integrazione.

Il partner fornisce uninfrastructure-as-code(iAC) template per implementare l'integrazione con Security Hub, ad esempio Terraform,AWS CloudFormation, oppureAWS Cloud Development Kit (AWS CDK)?

Per integrazioni che invieranno risultati dall'account del cliente o utilizzerannoCloudWatchEventi per consumare i risultati, è necessaria una qualche forma di modello IAC.

AWS CloudFormationè preferibile, maAWS CDKÈ possibile utilizzare anche Terraform.

Il prodotto partner dispone di una configurazione con un clic sulla console per l'integrazione con Security Hub?

Alcuni prodotti partner utilizzano un interruttore o un meccanismo simile nel loro prodotto per attivare l'integrazione. Ciò potrebbe comportare il provisioning automatico di risorse e autorizzazioni. Se invii risultati da un account prodotto, la configurazione con un clic è il metodo preferito.

Il partner invia solo risultati di valore?

In genere è necessario inviare risultati che hanno valore di sicurezza ai clienti di Security Hub.

Security Hub non è uno strumento generale di gestione dei log. Non è necessario inviare tutti i log possibili a Security Hub.

Il partner ha fornito una stima su quanti risultati invieranno al giorno per cliente e a quale frequenza (media e raffica)?

Numeri di risultati univoci vengono utilizzati per calcolare il carico su Security Hub. Un risultato unico è definito come un risultato con una mappatura ASFF diversa da un'altra scoperta.

Ad esempio, se un individuo è popolato soloThreatIntelndicatorse solo un altro popolatoResources.Details.AWSEc2Instance, sono due scoperte uniche.

Il partner ha un modo aggraziato di gestire gli errori 4xx e 5xx in modo tale da non essere limitati e tutti i risultati possono essere inviati in un secondo momento?

Attualmente c'è una velocità di burst di 30-50 TPS sulBatchImportFindingsOperazione API. Se vengono restituiti errori 4xx o 5xx, è necessario mantenere lo stato dei risultati non riusciti in modo da poterli riprovare nella totalità in un secondo momento. Puoi farlo tramite una coda di lettere morte o un'altraAWSservizi di messaggistica come Amazon SNS o Amazon SQS.

Il partner mantiene lo stato dei risultati in modo che sappia di archiviare i risultati che non sono più presenti?

Se si prevede di aggiornare i risultati sovrascrivendo l'ID di ricerca originale, è necessario disporre di un meccanismo per mantenere lo stato in modo che le informazioni corrette vengano aggiornate per il risultato corretto.

Se fornisci risultati, non utilizzare ilBatchUpdateFindingsoperazione per aggiornare i risultati. Questa operazione deve essere utilizzata solo dai clienti. Si usa soloBatchUpdateFindingsquando indaghi e intraprendi provvedimenti sui risultati.

Il partner gestisce i tentativi in modo da non compromettere i risultati di successo inviati in precedenza?

Dovresti disporre di un meccanismo per conservare gli ID di ricerca originali in caso di errori in modo da non duplicare o sovrascrivere i risultati riusciti per errore.

Il partner aggiorna i risultati chiamando ilBatchImportFindingsoperazione con l'ID di ricerca dei risultati esistenti?

Per aggiornare un risultato, è necessario sovrascrivere il risultato esistente inviando lo stesso ID di ricerca.

LaBatchUpdateFindingsl'operazione deve essere utilizzata solo dai clienti.

Il partner aggiorna i risultati utilizzando ilBatchUpdateFindingsAPI?

Se si interviene sui risultati, è possibile utilizzare ilBatchUpdateFindingsoperazione per aggiornare campi specifici.

Il partner fornisce informazioni sulla quantità di latenza tra il momento in cui viene creato un risultato e quando viene inviato dal proprio prodotto a Security Hub?

È necessario ridurre al minimo la latenza per garantire che i clienti vedano i risultati il prima possibile in Security Hub.

Queste informazioni sono richieste nel manifesto.

Se l'architettura del partner deve inviare risultati a Security Hub da un account cliente, l'hanno dimostrato con successo? Se l'architettura del partner deve inviare risultati a Security Hub dal proprio account, l'hanno dimostrato con successo?

Durante il test, i risultati devono essere inviati con successo da un account di tua proprietà diverso da quello fornito per l'ARN del prodotto.

L'invio di un risultato dall'account del proprietario ARN del prodotto può ignorare alcune eccezioni di errore dalle operazioni API.

Il partner fornisce un risultato cardiaco a Security Hub?

Per dimostrare che la tua integrazione funziona correttamente, devi inviare una ricerca del battito cardiaco. Il rilevamento del battito cardiaco viene inviato ogni cinque minuti e utilizza il tipo di ricercaHeartbeat.

Questo è importante se invii risultati da un account prodotto.

Il partner si è integrato con l'account del team del prodotto Security Hub durante il test?

Durante la convalida della pre-produzione, è necessario inviare esempi di ricerca al team di prodotti Security HubAWSconto. Questi esempi dimostrano che i risultati vengono inviati e mappati correttamente.

Documentazione

Queste domande riguardano la documentazione dell'integrazione fornita.

Il partner ospita la propria documentazione su un sito web dedicato?

La documentazione deve essere ospitata sul tuo sito Web come pagina web statica, wiki, Leggi i documenti o altro formato dedicato.

Documentazione di hosting suGitHubnon soddisfa i requisiti del sito web dedicato.

La documentazione del partner fornisce istruzioni su come configurare l'integrazione di Security Hub?

È possibile configurare l'integrazione utilizzando un modello IAC o un'integrazione «one-click» basata su console.

La documentazione del partner fornisce una descrizione del loro caso d'uso?

Il caso d'uso fornito nel manifesto dovrebbe essere descritto anche nella documentazione

La documentazione del partner fornisce una logica per i risultati che inviano?

Dovresti fornire la logica per i tipi di risultati che invii.

Ad esempio, il prodotto potrebbe produrre risultati per vulnerabilità, malware e antivirus, ma invii solo risultati di vulnerabilità e malware a Security Hub. In tal caso, è necessario fornire una motivazione per cui non si inviano risultati antivirus.

La documentazione del partner fornisce una logica per il modo in cui il partner mappa i propri risultati ad ASFF?

Dovresti fornire la logica per la mappatura del reperimento nativo di un prodotto ad ASFF. I clienti vogliono sapere dove cercare informazioni specifiche sul prodotto.

La documentazione del partner fornisce indicazioni su come il partner aggiorna i risultati, se aggiorna i risultati?

Fornisci ai clienti informazioni su come mantenere lo stato, garantire l'idempotenza e sovrascrivere i risultati conup-to-dateinformazioni.

La documentazione del partner descrive la ricerca della latenza?

Riduci al minimo la latenza per garantire che i clienti vedano i risultati il prima possibile in Security Hub.

Queste informazioni sono richieste nel manifesto.

La documentazione del partner descrive in che modo il punteggio di gravità viene associato al punteggio di gravità ASFF?

Fornisci informazioni su come mappiSeverity.OriginalaSeverity.Label.

Ad esempio, se il valore di gravità è un grado di lettera (A, B, C), è necessario fornire informazioni su come mappare il livello della lettera sull'etichetta di gravità.

La documentazione dei partner fornisce una logica per le valutazioni di fiducia?

Se fornisci punteggi di fiducia, questi punteggi dovrebbero essere classificati.

Se si utilizzano punteggi di confidenza popolati staticamente o mappature derivati dall'intelligenza artificiale o dal machine learning, è necessario fornire un contesto aggiuntivo.

La documentazione del partner nota quali Regioni il partner supporta e non supporta?

Nota Regioni che sono o non sono supportate in modo che i clienti sappiano in quali Regioni non tentare l'integrazione.

Informazioni sulla scheda prodotto

Queste domande si riferiscono alla scheda del prodotto che viene visualizzata sulIntegrazionipagina della console Security Hub.

È fornitoAWSID account valido e contiene 12 cifre?

Gli identificatori dell'account hanno una lunghezza di 12 cifre. Se un ID account contiene meno di 12 cifre, l'ARN del prodotto non sarà valido.

La descrizione del prodotto contiene 200 o meno caratteri?

La descrizione del prodotto fornita nel JSON all'interno del manifest non deve superare i 200 caratteri inclusi gli spazi.

Il collegamento di configurazione porta alla documentazione per l'integrazione?

Il collegamento alla configurazione dovrebbe portare alla documentazione online. Non dovrebbe portare al tuo sito web principale o alle pagine di marketing.

Il link di acquisto (se fornito) porta alMarketplace AWSofferta per il prodotto?

Se fornisci un link per l'acquisto, deve essere per unMarketplace AWSingresso. Security Hub non accetta collegamenti di acquisto che non sono ospitati daAWS.

Le categorie di prodotti descrivono correttamente il prodotto?

Nel manifesto è possibile fornire fino a tre categorie di prodotti. Questi devono corrispondere al JSON e non possono essere personalizzati. Non è possibile fornire più di tre categorie di prodotti.

I nomi dell'azienda e dei prodotti sono validi e corretti?

Il nome della società deve essere pari o inferiore a 16 caratteri.

Il nome del prodotto deve essere pari o inferiore a 24 caratteri.

Il nome del prodotto nella scheda prodotto JSON deve corrispondere al nome nel manifesto.

Informazioni di marketing

Queste domande riguardano il marketing per l'integrazione.

La descrizione del prodotto per la pagina dei partner di Security Hub è compresa tra 700 caratteri, inclusi gli spazi?

La pagina dei partner Security Hub accetta solo fino a 700 caratteri, inclusi gli spazi.

Il team modificherà descrizioni più lunghe.

Il logo della pagina dei partner di Security Hub non è superiore a 600 x 300 px?

Fornisci un URL accessibile pubblicamente con un logo aziendale in PNG o JPG non superiore a 600 x 300 pixel.

Il collegamento ipertestuale Ulteriori informazioni sulla pagina dei partner di Security Hub porta alla pagina web dedicata del partner sull'integrazione?

LaUlteriori informazioniil link non dovrebbe portare al sito web principale del partner o alle informazioni sulla documentazione.

Questo link dovrebbe sempre andare a una pagina web dedicata con informazioni di marketing sull'integrazione.

Il partner fornisce una demo o un video didattico su come utilizzare la propria integrazione?

Un video demo o di integrazione è facoltativo, ma consigliato.

È unAWSIl post del blog di Partner Network è stato rilasciato con il partner e il responsabile dello sviluppo partner o il rappresentante dello sviluppo dei partner?

AWSI post del blog di Partner Network dovrebbero essere coordinati in anticipo con il responsabile dello sviluppo partner o il rappresentante dello sviluppo dei partner.

Questi sono separati da qualsiasi post sul blog che crei tu stesso.

Consenti un tempo di consegna di 4-6 settimane. Questo sforzo dovrebbe essere avviato dopo aver completato il test con il prodotto privato ARN.

Viene rilasciato un comunicato stampa guidato dai partner?

Puoi collaborare con il tuo responsabile dello sviluppo partner o il rappresentante dello sviluppo dei partner per ottenere un preventivo dal VP di Servizi di sicurezza esterna. Puoi utilizzare questa citazione nel tuo comunicato stampa.

Viene pubblicato un post sul blog guidato dai partner?

Puoi creare i tuoi post sul blog per mostrare l'integrazione al di fuori delAWSBlog Partner Network.

Viene rilasciato un webinar guidato dai partner?

Puoi creare webinar personalizzati per mostrare l'integrazione.

Se hai bisogno di assistenza dal team di Security Hub, collabora con il team di prodotto dopo aver completato il test con l'ARN del prodotto privato.

Il partner ha richiesto il supporto ai social mediaAWS?

Dopo il rilascio, puoi lavorare con ilAWSGuida all'uso del marketing per la sicurezzaAWScanali ufficiali di social media per condividere i dettagli sui tuoi webinar.