AWS Security Hub CSPMパートナーに関するよくある質問 - AWS Security Hub CSPM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub CSPMパートナーに関するよくある質問

AWS Security Hub CSPM との統合の設定と保守についてよくある質問を次に示します。

  1. Security Hub CSPM 統合の利点は何ですか?

    • 顧客満足度 – Security Hub CSPM と統合する一番の理由は、顧客からのリクエストがあるためです。

      Security Hub CSPM は、AWSお客様のためのセキュリティおよびコンプライアンスセンターです。これは、AWSセキュリティとコンプライアンスの専門家がセキュリティとコンプライアンスの状態を理解するための最初の停止として設計されています。

      お客様の声に耳を傾けます。Security Hub で結果を確認したいかどうかがわかります。

    • 検出の機会 – リストへのリンクなど、Security Hub CSPM コンソール内で認定された統合を持つパートナーを昇格させますAWS Marketplace。これは、お客様が新しいセキュリティ製品を発見するのに最適な方法です。

    • マーケティングの機会 – 承認された統合を持つベンダーは、ウェビナーへの参加、プレスリリースの発行、スリックシートの作成、AWS顧客への統合のデモンストレーションを行うことができます。

  2. パートナーにはどのような種類がありますか?

    • Security Hub CSPM に結果を送信するパートナー

    • Security Hub CSPM から検出結果を受け取るパートナー

    • 結果を送受信するパートナー

    • お客様が環境で Security Hub CSPM を設定、カスタマイズ、使用できるようにするコンサルティングパートナー

  3. Security Hub CSPM とのパートナー統合は、どのように高レベルで機能しますか?

    顧客アカウント内または自分のAWSアカウントから検出結果を収集し、検出結果の形式を AWSSecurity Finding Format (ASFF) に変換します。次に、これらの検出結果を適切な Security Hub CSPM リージョンエンドポイントにプッシュします。

    CloudWatch Events を使用して、Security Hub CSPM から検出結果を受信することもできます。

  4. Security Hub CSPM との統合を完了するための基本的なステップは何ですか?

    1. パートナーマニフェスト情報を送信します。

    2. Security Hub に結果を送信する場合は、Security Hub CSPM で使用する製品 ARNs を受け取ります。

    3. 結果を ASFF にマッピングします。「検出結果を AWSSecurity Finding 形式 (ASFF) にマッピングするためのガイドライン」を参照してください。

    4. Security Hub CSPM との間で結果を送受信するためのアーキテクチャを定義します。結果の作成と更新に関する教義 に概説されている教義に従います。

    5. お客様向けのデプロイフレームワークを構築します。たとえば、CloudFormationスクリプトはこの目的を果たすことができます。

    6. セットアップを文書化し、お客様に設定手順を提供します。

    7. お客様が商品で使用できるカスタムインサイト (相関ルール) を定義します。

    8. Security Hub CSPM チームへの統合をデモンストレーションします。

    9. 認可のためにマーケティング情報を送信します (ウェブサイトの言語、プレスリリース、アーキテクチャスライド、ビデオ、スリックシート)。

  5. パートナーマニフェストを送信するプロセスはどのようなものですか? また、AWSサービスが Security Hub CSPM に結果を送信する場合

    マニフェスト情報を Security Hub CSPM チームに送信するには、 を使用します。

    7 暦日以内に製品 ARN が発行されます。

  6. Security Hub CSPM にはどのような種類の検出結果を送信する必要がありますか?

    Security Hub CSPM の料金は、取り込まれた検出結果の数に一部基づいています。このため、お客様に値を提供しない結果を送信することは控えるべきです。

    たとえば、パートの脆弱性管理ベンダーは、一般的な脆弱性スコアリングシステム (CVSS) のスコアが 10 のうち 3 以上の結果のみを送信します。

  7. Security Hub CSPM に結果を送信するためのさまざまなアプローチは何ですか?

    主なアプローチは次のとおりです。

    • BatchImportFindings オペレーションを使用して、独自の指定されたAWSアカウントから結果を送信します。

    • お客様アカウント内から BatchImportFindings オペレーションで結果を送信します。assume-ロール アプローチを使用することもできますが、これらのアプローチは必須ではありません。

    BatchImportFindings の使用に関する全体的なガイドラインについては、「BatchImportFindings API 使用のガイドライン」を参照してください。

  8. 結果を収集して Security Hub CSPM リージョンエンドポイントにプッシュするにはどうすればよいですか?

    ソリューションのアーキテクチャに大きく依存するため、パートナーはさまざまなアプローチを使用してきました。

    たとえば、一部のパートナーは、CloudFormationスクリプトとしてデプロイできる Python アプリケーションを構築します。このスクリプトは、パートナーの結果を顧客環境から収集し、ASFF に変換して、Security Hub CSPM リージョンエンドポイントに送信します。

    他のパートナーは、結果を Security Hub CSPM にプッシュするワンクリックエクスペリエンスを提供する完全なウィザードを構築します。

  9. Security Hub CSPM に結果の送信を開始するタイミングを知るにはどうすればよいですか?

    Security Hub CSPM は BatchImportFindings API オペレーションの部分的なバッチ認可をサポートしているため、すべての顧客に対してすべての検出結果を Security Hub CSPM に送信できます。

    一部のお客様が Security Hub CSPM にまだサブスクライブしていない場合、Security Hub CSPM はこれらの検出結果を取り込みません。バッチに含まれる許可済みの調査結果のみを取り込みます。

  10. 顧客の Security Hub CSPM インスタンスに結果を送信するには、どのようなステップを完了する必要がありますか?

    1. 正しい IAM ポリシーがあることを確認します。

    2. アカウントの製品サブスクリプション (リ出典ポリシー) を有効にします。EnableImportFindingsForProduct API オペレーションまたは 統合 ページのいずれかを使用します。お客様がこれを行うか、アカウント間ロールを使用してお客様の代理として行うことができます。

    3. 結果の ProductArn が製品の公開 ARN であることを確認します。

    4. 結果の AwsAccountId がお客様のアカウント ID であることを確認します。

    5. Security AWSFinding Format (ASFF) に従って、結果に不正な形式のデータがないことを確認します。たとえば、必須フィールドは入力され、無効な値がないかです。

    6. 結果をバッチで正しいリージョナルエンドポイントに送信します。

  11. 結果を送信するには、どの IAM 権限がある必要がありますか?

    IAM ポリシーは、IAM ユーザーまたは BatchImportFindings またはその他の API コールを呼び出すロールに対して設定する必要があります。

    最も簡単なテストは、管理者アカウントから行うことです。これらを action: ‘securityhub:BatchImportFindings’ および resource: <productArn and/or productSubscriptionArn> に制約することができます。

    同じアカウント内のリ出典は、リ出典ポリシーを必要とせずに IAM ポリシーで設定できます。

    BatchImportFindings の発信者から IAM ポリシーの問題を除外するには、次のように IAM ポリシーを設定します。

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    発信者の Deny ポリシーに何もないことを必ずチェックします。それが動作するようになった後、ポリシーを次のように制限できます。

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. 製品サブスクリプションとは何ですか?

    特定のパートナー製品から結果を受け取るには、お客様 (またはお客様に代わってアカウント間ロールを持つパートナー) が製品サブスクリプションを確立する必要があります。これをコンソールから行うには、統合ページを使用します。これを API から行うには、EnableImportFindingsForProduct API オペレーションを使用します。

    製品サブスクリプションは、パートナーからの結果をお客様から受信または送信することを許可するリ出典ポリシーを構築します。詳細については、「統合のユースケースと必要な許可」を参照してください。

    Security Hub CSPM には、パートナー用に次のタイプのリソースポリシーがあります。

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    パートナーオンボーディングプロセス中に、どちらか一方または両方のタイプのポリシーをリクエストできます。

    ではBATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT、製品 ARN にリストされているアカウントからのみ、Security Hub CSPM に結果を送信できます。

    BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT で、結果を送信できるのは、自分をサブスクライブしたお客様のアカウントからのみです。

  13. お客様が管理者アカウントを構築し、いくつかのメンバーアカウントを追加したと仮定します。お客様は各メンバーアカウントをサブスクライブする必要がありますか? または、お客様は管理者アカウントからのみサブスクライブし、すべてのメンバーアカウントのリ出典に対して結果を送信できますか?

    この質問では、管理者アカウントのメンバーに基づいて、すべてのメンバーアカウントに権限が構築されるかどうかを尋ねます。

    お客様は、アカウントごとに製品サブスクリプションを設定する必要があります。これは API を通じてプログラムで実行できます。

  14. 製品の ARN は何ですか?

    製品 ARN は、Security Hub CSPM が生成し、検出結果の送信に使用する一意の識別子です。Security Hub CSPM と統合する製品ごとに製品 ARN を受け取ります。正しい製品 ARN は、Security Hub CSPM に送信するすべての検出結果の一部である必要があります。製品 ARN がない結果は削除されます。製品 ARN は次の形式を使用します。

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    以下がその例です。

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Security Hub CSPM がデプロイされているリージョンごとに製品 ARN が与えられます。アカウント ID、会社、および製品名は、パートナーマニフェストの送信によって決定されます。リージョンコードを除き、製品 ARN に関連付けられている情報を変更することはありません。リージョンコードは、結果を送信するリージョンと一致する必要があります。

    よくある間違いは、現在作業しているアカウントと一致するようにアカウント ID を変更することです。アカウント ID は変更されません。マニフェスト送信の一パートとして、「ホーム」アカウント ID を送信します。このアカウント ID は製品 ARN にロックされています。

    Security Hub CSPM が新しいリージョンで起動すると、標準のリージョンコードを使用して、それらのリージョンの製品 ARNs が自動的に生成されます。

    また、すべてのアカウントは、プライベート製品 ARN を使用して自動的にプロビジョニングされます。この ARN を使用して、公式の公開製品 ARN を受け取る前に、独自の開発アカウント内で結果のインポートをテストできます。

  15. Security Hub CSPM に結果を送信するには、どのような形式を使用する必要がありますか?

    検出結果は AWSSecurity Finding 形式 (ASFF) で提供する必要があります。詳細は、AWS Security Hub ユーザーガイド の「AWS Security Finding 形式 (ASFF)」を参照してください 。

    期待されるのは、ネイティブの結果に含まれるすべての情報が ASFF に完全に反映されることです。ProductFields および Resource.Details.Other のようなカスタムフィールドにより、定義済みのフィールドにきちんと収まらないデータをマッピングできます。

  16. 使用する正しいリージョナルエンドポイントは何ですか?

    顧客アカウントに関連付けられている Security Hub CSPM リージョンエンドポイントに結果を送信する必要があります。

  17. リージョンのエンドポイントのリストはどこから入手できますか?

    Security Hub CSPM エンドポイントリストを参照してください。

  18. リージョン間結果を送信することはできますか?

    Security Hub CSPM は、Amazon GuardDuty、Amazon Macie、Amazon Inspector などのネイティブAWSサービスの検出結果のクロスリージョン送信をまだサポートしていません。顧客が許可した場合、Security Hub CSPM は異なるリージョンから結果を送信できないようにします。

    この意味で、リージョンエンドポイントをどこからでも呼び出すことができ、ASFF のリ出典情報はエンドポイントのリージョンと一致する必要はありません。ただし、ProductArn エンドポイントのリージョンと一致する必要があります。

  19. 調査結果のバッチを送信するためのルールとガイドラインは何ですか?

    BatchImportFindings の 1 回の呼び出しで最大 100 件または 240 KB までバッチ処理できます。この制限まで、できるだけ多くの結果をキューに入れてバッチ処理します。

    異なるアカウントからの結果のセットをバッチ処理できます。ただし、バッチ内のいずれかのアカウントが Security Hub CSPM にサブスクライブされていない場合、バッチ全体が失敗します。これは、API Gateway ベースライン認可モデルの制限です。

    BatchImportFindings API 使用のガイドライン」を参照してください。

  20. 構築した結果に更新を送信することはできますか?

    はい。同じ製品 ARN および同じ検索 ID を使用して結果を送信すると、その結果の以前のデータが上書きされます。すべてのデータが上書きされるため、完全な結果を送信する必要があります。

    お客様は、新しい結果と更新情報の両方に対して従量課金され、請求されます。

  21. 他の誰かが構築した結果に更新を送信することはできますか?

    はい。お客様が BatchUpdateFindings API オペレーションへのアクセス権を付与した場合、そのオペレーションを使用して特定のフィールドを更新できます。このオペレーションは、お客様、SIEM、チケットシステム、Security オーケストレーション, オートメーション, and Response (SOAR) プラットフォームで使用するように設計されています。

  22. 結果はどのようにして期限切れになりますか?

    Security Hub CSPM は、最終更新日から 90 日後に検出結果を期限切れにします。この時間が経過すると、期限切れの検出結果は Security Hub CSPM OpenSearch クラスターから消去されます。

    同じ検出結果 ID で検出結果を更新し、期限切れになると、Security Hub CSPM に新しい検出結果が作成されます。

    お客様は CloudWatch Events を使用して、Security Hub CSPM から検出結果を移動できます。そうすることで、すべての結果を、お客様が選択したターゲットに送信できるようになります。

    一般的に、Security Hub CSPM では、90 日ごとに新しい結果を作成し、結果を永久に更新しないことをお勧めします。

  23. Security Hub CSPM はどのようなスロットルを設定しますか?

    Security Hub CSPM は GetFindings API コールをスロットリングします。検出結果にアクセスするための推奨アプローチは CloudWatch Events を使用することです。

    Security Hub CSPM は、API Gateway および Lambda 呼び出しによって適用される以外の内部サービス、パートナー、または顧客に他のスロットリングを実装しません。

  24. ソースサービスから Security Hub CSPM に送信される検出結果のタイムラインまたはレイテンシー SLAs または期待値は何ですか?

    目的は、初期結果と結果の更新の両方について、できるだけリアルタイムに近い時間になることです。検出結果は、作成後 5 分以内に Security Hub CSPM に送信する必要があります。

  25. Security Hub CSPM から結果を受け取るにはどうすればよいですか?

    結果を受け取るには、次のいずれかの方法を使用します。

    • すべての結果が CloudWatch Eventsに自動的に送信されます。お客様は、特定の CloudWatch Eventsルールを構築して、SIEM や S3 バケットなどの特定のターゲットに結果を送信できます。この機能はレガシー GetFindings API オペレーションに取って代わりました。

    • CloudWatch Events をカスタムアクションに使用します。Security Hub CSPM を使用すると、コンソール内から特定の検出結果または検出結果のグループを選択し、アクションを実行できます。たとえば、結果を SIEM、チケットシステム、チャットプラットフォーム、または修復ワークフローに送信できます。これは、顧客が Security Hub CSPM 内で実行するアラートトリアージワークフローの一部になります。これらはカスタムアクションと呼ばれます。

      ユーザーがカスタムアクションを選択すると、それらの特定の結果に対して CloudWatch イベントが構築されます。この機能を利用して、お客様がカスタムアクションの一パートとして使用するための CloudWatch Eventsルールとターゲットを構築できます。この機能は、特定のタイプまたはクラスのすべての結果を CloudWatch Eventsに自動的に送信するために使用されないことに注意してください。ユーザーが特定の結果に対してアクションを実行するためです。

      などのカスタムアクション API オペレーションを使用してCreateActionTarget、製品で使用できるアクションを自動的に作成できます ( CloudFormationテンプレートの使用など)。また、CloudWatch Eventsルール API オペレーションを使用して、カスタムアクションに関連付けられた対応する CloudWatch イベントルールを構築できます。CloudFormationテンプレートを使用して CloudWatch Events ルールを作成して、Security Hub CSPM からすべての検出結果または特定の特性を持つすべての検出結果を自動的に取り込むこともできます。

  26. マネージドセキュリティサービスプロバイダー (MSSP) が Security Hub CSPM パートナーになるための要件は何ですか?

    顧客へのサービス提供の一環として Security Hub CSPM がどのように使用されるかを示す必要があります。

    Security Hub CSPM の使用について説明するユーザードキュメントが必要です。

    MSSP が検出結果プロバイダーである場合は、Security Hub CSPM への検出結果の送信をデモンストレーションする必要があります。

    MSSP が Security Hub CSPM からのみ結果を受け取る場合、少なくとも適切な CloudWatch Events ルールを設定するためのテンプレートが必要ですCloudFormation。

  27. MSSP 以外の APN コンサルティングパートナーが Security Hub CSPM パートナーになるための要件は何ですか?

    APN コンサルティングパートナーの場合は、Security Hub CSPM パートナーになることができます。特定のお客様が次を行うのにどのように支援したかについて、2 つのプライベートな導入事例を送信する必要があります。

    • お客様が必要とする IAM アクセス許可を持つ Security Hub CSPM を設定します。

    • コンソールのパートナーページの設定手順を使用して、既に統合された独立系ソフトウェアベンダー (ISV) ソリューションを Security Hub CSPM に接続するのに役立ちます。

    • カスタム製品統合でお客様を支援します。

    • お客様のニーズとデータセットに関連するカスタムインサイトを構築します。

    • カスタムアクションを構築します。

    • 修復プレイブックを構築します。

    • Security Hub CSPM コンプライアンス標準に沿ったクイックスタートを構築します。これらは Security Hub CSPM チームによって検証される必要があります。

    導入事例は、パブリックに共有可能である必要はありません。

  28. Security Hub CSPM との統合を顧客とデプロイする方法に関する要件は何ですか?

    Security Hub CSPM とパートナー製品間の統合アーキテクチャは、パートナーのソリューションの運用方法の観点からパートナーによって異なります。統合のセットアッププロセスに 15 分以上かからないようにする必要があります。

    統合ソフトウェアをお客様のAWS環境にデプロイする場合は、 CloudFormationテンプレートを活用して統合を簡素化する必要があります。パートのパートナーはワンクリック統合を構築しており、これは強く推奨されています。

  29. ドキュメントの要件は何ですか?

    CloudFormationテンプレートの使用を含め、製品と Security Hub CSPM の統合とセットアップのプロセスを説明するドキュメントへのリンクを提供する必要があります。

    そのドキュメントには、ASFF の使用状況に関する情報も記載する必要があります。具体的には、さまざまな結果に使用している ASFF の検出タイプがリストされます。デフォルトのインサイト定義がある場合は、ここにインサイト定義を含めることをお勧めします。

    その他の潜在的な情報を含めることを検討してください。

    • Security Hub CSPM との統合のユースケース

    • 送信された結果の平均ボリューム

    • 統合アーキテクチャ

    • Support対象とSupport対象外のリージョン

    • 結果が構築されてから Security Hub に送信されるまでのレイテンシー

    • 結果を更新するかどうか

  30. カスタムインサイトとは何ですか

    結果のカスタムインサイトを定義することをお勧めします。インサイトは軽量な相関ルールで、お客様が注目とアクションを最も必要とする結果とリ出典の優先順位付けに役立ちます。

    Security Hub CSPM には CreateInsight API オペレーションがあります。CloudFormationテンプレートの一部として、顧客アカウント内でカスタムインサイトを作成できます。これらのインサイトは、お客様のコンソールに表示されます。

  31. ダッシュボードウィジェットを送信できますか?

    いいえ。現時点では利用できません。構築できるのはマネージドインサイトのみです。

  32. 料金モデルは何ですか?

    Security Hub CSPM の料金情報を参照してください。

  33. 統合の最終承認プロセスの一環として、Security Hub CSPM デモアカウントに結果を送信するにはどうすればよいですか?

    リージョンus-west-2として を使用して、提供された製品 ARN を使用して Security Hub CSPM デモアカウントに結果を送信します。結果には、ASFF の AwsAccountId フィールドにデモアカウント番号を含める必要があります。デモアカウント番号を取得するには、Security Hub CSPM チームにお問い合わせください。

    機密データや個人を特定できる情報を当社に送信しないでください。このデータは公開デモに使用されます。このデータを送信すると、デモでデータを使用する権限が与えられます。

  34. BatchImportFindings はどのようなエラーまたは成功メッセージを提供しますか?

    Security Hub CSPM は、認可のレスポンスと のレスポンスを提供しますBatchImportFindings。より明確な成功、違反、エラーメッセージが開発されています。

  35. 出典サービスはどのようなエラー処理を担当していますか?

    出典サービスは、すべてのエラー処理を担当します。エラーメッセージ、再試行、スロットリング、およびアラーミングを処理する必要があります。また、Security Hub CSPM フィードバックメカニズムを介して送信されるフィードバックやエラーメッセージを処理する必要もあります。

  36. 一般的な問題の解決策は何ですか?

    AuthorizerConfigurationExceptionAwsAccountId または ProductArn のどちらかが不正なことが原因です。

    トラブルシューティングを行う場合、以下の点に注意してください。

    • AwsAccountId は正確に 12 桁でなければなりません。

    • ProductArn は次の形式である必要があります。<us-west-2 or us-east-1>:<accountId>:product/<company-id>/<product-id>

      アカウント ID は、Security Hub CSPM チームによって提供された製品 ARNs に含まれていたものから変更されません。

    AccessDeniedException は間違ったアカウントとの間で結果が送信された場合、またはアカウントに ProductSubscription がない場合に発生します。エラーメッセージには、product または product-subscription のリ出典タイプの ARN が含まれます。このエラーは、アカウントコール間中にのみ発生します。AwsAccountId および ProductArn の同じアカウントの自分のアカウントで BatchImportFindings をコールする場合、オペレーションは IAM ポリシーを使用し、ProductSubscriptions とは無関係です。

    使用するお客様のアカウントと製品アカウントが実際のメンバーアカウントであることを確認してください。パートのパートナーは、製品 ARN から製品のアカウント番号を使用していますが、まったく別のアカウントを使用して BatchImportFindings のコールを試します。それ以外の場合は、他のお客様のアカウント、または自分の製品アカウントの ProductSubscriptions を構築します。結果のインポートを試みたお客様のアカウントの ProductSubscriptions は構築されません。

  37. 質問、コメント、バグはどこに送信すれば良いですか?

  38. グローバル AWS サービスに関する項目について結果を送信するリージョンはどれですか? たとえば、IAM 関連の結果はどこに送信すればよいですか?

    結果が検出されたのと同じリージョンに結果を送信します。IAM などのサービスの場合、ソリューションが複数のリージョンで同じ IAM 問題を検出する可能性があります。この場合、結果は、問題が検出されたすべてのリージョンに送信されます。

    お客様が 3 つのリージョンで Security Hub CSPM を実行し、3 つのリージョンすべてで同じ IAM の問題が検出された場合は、3 つのリージョンすべてに結果を送信します。

    問題が解決したら、元の結果を送信したすべてのリージョンに、結果の更新情報を送信します。