AWS Security Hub パートナーに関するよくある質問 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub パートナーに関するよくある質問

AWS Security Hubとの統合の設定と保守についてよくある質問を次に示します。

  1. Security Hub 統合の利点は何ですか?

    • 顧客満足度 – Security Hub と統合する第一の理由は、お客様からの要求があるためです。

      Security Hub は、 AWS のお客様向けのセキュリティおよびコンプライアンスセンターです。セキュリティとコンプライアンスの専門家が毎日 AWS 、セキュリティとコンプライアンスの状態を理解するための最初の停止として設計されています。

      お客様の声に耳を傾けます。Security Hub で結果を確認したいかどうかがわかります。

    • 検出の機会 – AWS Marketplace リストへのリンクを含む Security Hub コンソール内の認定された統合を持つパートナーを宣伝します。これは、お客様が新しいセキュリティ製品を発見するのに最適な方法です。

    • マーケティングの機会 – 承認された統合を持つベンダーは、ウェビナーへの参加、プレスリリースの発行、スリックシートの作成、 AWS 顧客への統合のデモンストレーションを行うことができます。

  2. パートナーにはどのような種類がありますか?

    • Security Hub に結果を送信するパートナー

    • Security Hub から結果を受け取るパートナー

    • 結果を送受信するパートナー

    • お客様が環境で Security Hub をセットアップ、カスタマイズ、および使用できるように支援するコンサルティングパートナー

  3. Security Hub とのパートナー統合は、高いレベルでどのように機能しますか?

    カスタマーアカウント内または自分の AWS アカウントから検出結果を収集し、検出結果の形式を AWS Security Finding 形式 (ASFF) に変換します。次に、これらの結果を適切な Security Hub リージョンエンドポイントにプッシュします。

    CloudWatch Eventsを使用して、Security Hub から検出結果を受信することもできます。

  4. Security Hub との統合を完了するためのベーシック的な手順は何ですか?

    1. パートナーマニフェスト情報を送信します。

    2. Security Hub に結果を送信する場合は、Security Hub で使用する製品 ARN を受け取ります。

    3. 結果を ASFF にマッピングします。「検出結果を AWS Security Finding 形式 (ASFF) にマッピングするためのガイドライン」を参照してください。

    4. Security Hub に結果を送信し、結果を受信するためのアーキテクチャを定義します。結果の作成と更新に関する教義 に概説されている教義に従います。

    5. お客様向けのデプロイフレームワークを構築します。例えば、 AWS CloudFormation スクリプトはこの目的を果たすことができます。

    6. セットアップを文書化し、お客様に設定手順を提供します。

    7. お客様が商品で使用できるカスタムインサイト (相関ルール) を定義します。

    8. Security Hub チームとの統合をデモンストレーションします。

    9. 認可のためにマーケティング情報を送信します (ウェブサイトの言語、プレスリリース、アーキテクチャスライド、ビデオ、スリックシート)。

  5. パートナーマニフェストを送信するプロセスはどのようなものですか? また、Security Hub に結果を送信する AWS サービスについては?

    Security Hub チームにマニフェスト情報を送信するには、 を使用します。

    7 暦日以内に製品 ARN が発行されます。

  6. どのような種類の結果を Security Hub に送信すべきですか?

    Security Hub の料金は、取り込まれた結果の数によります。このため、お客様に値を提供しない結果を送信することは控えるべきです。

    たとえば、パートの脆弱性管理ベンダーは、一般的な脆弱性スコアリングシステム (CVSS) のスコアが 10 のうち 3 以上の結果のみを送信します。

  7. 結果をどのようなアプローチで Security Hub に送信することができますか?

    主なアプローチは次のとおりです。

    • BatchImportFindings オペレーション AWS を使用して、指定したアカウントから結果を送信します。

    • お客様アカウント内から BatchImportFindings オペレーションで結果を送信します。assume-ロール アプローチを使用することもできますが、これらのアプローチは必須ではありません。

    BatchImportFindings の使用に関する全体的なガイドラインについては、「BatchImportFindings API 使用のガイドライン」を参照してください。

  8. 結果を収集し、Security Hub リージョナルエンドポイントにプッシュするにはどうすればよいですか?

    ソリューションのアーキテクチャに大きく依存するため、パートナーはさまざまなアプローチを使用してきました。

    例えば、一部のパートナーは AWS CloudFormation スクリプトとしてデプロイできる Python アプリを構築します。このスクリプトは、お客様の環境からパートナーの結果を収集し、ASFF に変換して、Security Hub リージョナルエンドポイントに送信します。

    他のパートナーは、お客様がシングルクリック操作で結果を Security Hub にプッシュできる完全なウィザードを構築しています。

  9. Security Hub に結果を送信しスタートするタイミングはどのようにしてわかりますか?

    Security Hub では、BatchImportFindings API オペレーションの部分的なバッチ認可がSupportされています。これにより、すべてのお客様に対して Security Hub にすべての結果を送信できます。

    パートのお客様が Security Hub にまだサブスクライブしていない場合、Security Hub はこれらの結果を取り込みません。バッチに含まれる許可済みの調査結果のみを取り込みます。

  10. 結果を Security Hub インスタンスに送信するには、どのようなステップを完了する必要がありますか?

    1. 正しい IAM ポリシーがあることを確認します。

    2. アカウントの製品サブスクリプション (リ出典ポリシー) を有効にします。EnableImportFindingsForProduct API オペレーションまたは 統合 ページのいずれかを使用します。お客様がこれを行うか、アカウント間ロールを使用してお客様の代理として行うことができます。

    3. 結果の ProductArn が製品の公開 ARN であることを確認します。

    4. 結果の AwsAccountId がお客様のアカウント ID であることを確認します。

    5. Security AWS Finding 形式 (ASFF) に従って、結果に不正な形式のデータがないことを確認します。たとえば、必須フィールドは入力され、無効な値がないかです。

    6. 結果をバッチで正しいリージョナルエンドポイントに送信します。

  11. 結果を送信するには、どの IAM 権限がある必要がありますか?

    IAM ポリシーは、IAM ユーザーまたは BatchImportFindings またはその他の API コールを呼び出すロールに対して設定する必要があります。

    最も簡単なテストは、管理者アカウントから行うことです。これらを action: ‘securityhub:BatchImportFindings’ および resource: <productArn and/or productSubscriptionArn> に制約することができます。

    同じアカウント内のリ出典は、リ出典ポリシーを必要とせずに IAM ポリシーで設定できます。

    BatchImportFindings の発信者から IAM ポリシーの問題を除外するには、次のように IAM ポリシーを設定します。

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    発信者の Deny ポリシーに何もないことを必ずチェックします。それが動作するようになった後、ポリシーを次のように制限できます。

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. 製品サブスクリプションとは何ですか?

    特定のパートナー製品から結果を受け取るには、お客様 (またはお客様に代わってアカウント間ロールを持つパートナー) が製品サブスクリプションを確立する必要があります。これをコンソールから行うには、統合ページを使用します。これを API から行うには、EnableImportFindingsForProduct API オペレーションを使用します。

    製品サブスクリプションは、パートナーからの結果をお客様から受信または送信することを許可するリ出典ポリシーを構築します。詳細については、「統合のユースケースと必要な許可」を参照してください。

    Security Hub には、パートナーの次のタイプのリ出典ポリシーがあります。

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    パートナーオンボーディングプロセス中に、どちらか一方または両方のタイプのポリシーをリクエストできます。

    BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT で、製品 ARN に記載されているアカウントからの結果のみを Security Hub に送信できます。

    BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT で、結果を送信できるのは、自分をサブスクライブしたお客様のアカウントからのみです。

  13. お客様が管理者アカウントを構築し、いくつかのメンバーアカウントを追加したと仮定します。お客様は各メンバーアカウントをサブスクライブする必要がありますか? または、お客様は管理者アカウントからのみサブスクライブし、すべてのメンバーアカウントのリ出典に対して結果を送信できますか?

    この質問では、管理者アカウントのメンバーに基づいて、すべてのメンバーアカウントに権限が構築されるかどうかを尋ねます。

    お客様は、アカウントごとに製品サブスクリプションを設定する必要があります。これは API を通じてプログラムで実行できます。

  14. 製品の ARN は何ですか?

    製品 ARN は、Security Hub が生成し、結果を送信するために使用する一意の識別子です。Security Hub と統合する製品ごとに製品 ARN を受け取ります。正しい製品 ARN は、Security Hub に送信するすべての結果の一パートである必要があります。製品 ARN がない結果は削除されます。製品 ARN は次の形式を使用します。

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    以下がその例です。

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Security Hub がデプロイされているリージョンごとに、製品 ARN が与えられます。アカウント ID、会社、および製品名は、パートナーマニフェストの送信によって決定されます。リージョンコードを除き、製品 ARN に関連付けられている情報を変更することはありません。リージョンコードは、結果を送信するリージョンと一致する必要があります。

    よくある間違いは、現在作業しているアカウントと一致するようにアカウント ID を変更することです。アカウント ID は変更されません。マニフェスト送信の一パートとして、「ホーム」アカウント ID を送信します。このアカウント ID は製品 ARN にロックされています。

    Security Hub が新しいリージョンで起動すると、スタンダードのリージョンコードが自動的に使用され、それらのリージョンの製品 ARN が生成されます。

    また、すべてのアカウントは、プライベート製品 ARN を使用して自動的にプロビジョニングされます。この ARN を使用して、公式の公開製品 ARN を受け取る前に、独自の開発アカウント内で結果のインポートをテストできます。

  15. 結果を Security Hub に送信するには、どのような形式を使用する必要がありますか?

    結果は AWS Security Finding 形式 (ASFF) で提供する必要があります。詳細は、AWS Security Hub ユーザーガイド の「AWS Security Finding 形式 (ASFF)」を参照してください 。

    期待されるのは、ネイティブの結果に含まれるすべての情報が ASFF に完全に反映されることです。ProductFields および Resource.Details.Other のようなカスタムフィールドにより、定義済みのフィールドにきちんと収まらないデータをマッピングできます。

  16. 使用する正しいリージョナルエンドポイントは何ですか?

    お客様のアカウントに関連付けられている Security Hub リージョナルエンドポイントに結果を送信する必要があります。

  17. リージョンのエンドポイントのリストはどこから入手できますか?

    Security Hub エンドポイントリスト」を参照してください。

  18. リージョン間結果を送信することはできますか?

    Security Hub は、Amazon GuardDuty、Amazon Macie、Amazon Inspectorなどのネイティブの AWS サービスのリージョン間結果の送信をまだSupportしていません。お客様が許可している場合、Security Hub は別のリージョンからの結果を送信することを妨げません。

    この意味で、リージョンエンドポイントをどこからでも呼び出すことができ、ASFF のリ出典情報はエンドポイントのリージョンと一致する必要はありません。ただし、ProductArn エンドポイントのリージョンと一致する必要があります。

  19. 調査結果のバッチを送信するためのルールとガイドラインは何ですか?

    BatchImportFindings の 1 回の呼び出しで最大 100 件または 240 KB までバッチ処理できます。この制限まで、できるだけ多くの結果をキューに入れてバッチ処理します。

    異なるアカウントからの結果のセットをバッチ処理できます。ただし、バッチ内のいずれかのアカウントが Security Hub にメンバーされていない場合、バッチ全体が違反します。これは、API Gateway ベースライン認可モデルの制限です。

    BatchImportFindings API 使用のガイドライン」を参照してください。

  20. 構築した結果に更新を送信することはできますか?

    はい。同じ製品 ARN および同じ検索 ID を使用して結果を送信すると、その結果の以前のデータが上書きされます。すべてのデータが上書きされるため、完全な結果を送信する必要があります。

    お客様は、新しい結果と更新情報の両方に対して従量課金され、請求されます。

  21. 他の誰かが構築した結果に更新を送信することはできますか?

    はい。お客様が BatchUpdateFindings API オペレーションへのアクセス権を付与した場合、そのオペレーションを使用して特定のフィールドを更新できます。このオペレーションは、お客様、SIEM、チケットシステム、Security オーケストレーション, オートメーション, and Response (SOAR) プラットフォームで使用するように設計されています。

  22. 結果はどのようにして期限切れになりますか?

    Security Hub は、最終更新日から 90 日後に結果を期限切れにします。この時間が経過すると、期限切れの結果は Security Hub OpenSearch クラスターから消去されます。

    同じ検索 ID で結果を更新し、それが期限切れになっている場合、新しい結果が Security Hub で構築されます。

    お客様は CloudWatch Eventsを使用して、Security Hub から結果を移動できます。そうすることで、すべての結果を、お客様が選択したターゲットに送信できるようになります。

    一般に、Security Hub は 90 日ごとに新しい結果を構築し、結果を永久に更新しないことを推奨します。

  23. Security Hub はどのようなスロットルを設置していますか?

    結果にアクセスするための推奨されるアプローチは CloudWatch Eventsの使用であるため、Security Hub は GetFindings API コールをスロットルします。

    Security Hub は、API Gateway および Lambda コールによって強制される範囲を超えて、内部サービス、パートナー、または顧客に他のスロットリングを実装しません。

  24. 出典サービスから Security Hub に送信される結果の適時性、レイテンシー SLA、または期待値はどれくらいですか?

    目的は、初期結果と結果の更新の両方について、できるだけリアルタイムに近い時間になることです。結果の構築から 5 分以内に Security Hub に送信する必要があります。

  25. Security Hub からどのようにして結果を受け取ることができますか?

    結果を受け取るには、次のいずれかの方法を使用します。

    • すべての結果が CloudWatch Eventsに自動的に送信されます。お客様は、特定の CloudWatch Eventsルールを構築して、SIEM や S3 バケットなどの特定のターゲットに結果を送信できます。この機能はレガシー GetFindings API オペレーションに取って代わりました。

    • CloudWatch Events をカスタムアクションに使用します。Security Hub により、お客様はコンソール内から特定の結果または結果のグループを選択し、それらに対してアクションを実行できます。たとえば、結果を SIEM、チケットシステム、チャットプラットフォーム、または修復ワークフローに送信できます。これは、お客様が Security Hub 内で実行するアラートのトリアージワークフローの一パートです。これらはカスタムアクションと呼ばれます。

      ユーザーがカスタムアクションを選択すると、それらの特定の結果に対して CloudWatch イベントが構築されます。この機能を利用して、お客様がカスタムアクションの一パートとして使用するための CloudWatch Eventsルールとターゲットを構築できます。この機能は、特定のタイプまたはクラスのすべての結果を CloudWatch Eventsに自動的に送信するために使用されないことに注意してください。ユーザーが特定の結果に対してアクションを実行するためです。

      などのカスタムアクション API オペレーションを使用してCreateActionTarget、製品で使用可能なアクションを自動的に作成できます ( AWS CloudFormation テンプレートの使用など)。また、CloudWatch Eventsルール API オペレーションを使用して、カスタムアクションに関連付けられた対応する CloudWatch イベントルールを構築できます。 AWS CloudFormation テンプレートを使用して CloudWatch Events ルールを作成し、Security Hub からすべての結果または特定の特性を持つすべての結果を自動的に取り込むこともできます。

  26. マネージドセキュリティサービスプロバイダー (MSSP) がSecurity Hub パートナーになるための要件は何ですか?

    Security Hub がお客様へのサービス提供のパートとしてどのように使用されているかを示す必要があります。

    Security Hub の使用を説明するユーザードキュメントが必要です。

    MSSP が結果の提供者である場合は、Security Hub に結果を送信することをデモンストレーションする必要があります。

    MSSP がSecurity Hub からの結果のみを受信する場合は、少なくとも、適切な CloudWatch Events ルールを設定するための AWS CloudFormation テンプレートが必要です。

  27. MSSP 以外の APN コンサルティングパートナーが Security Hub パートナーになるための要件は何ですか?

    APN コンサルティングパートナーであれば、Security Hub パートナーになることができます。特定のお客様が次を行うのにどのように支援したかについて、2 つのプライベートな導入事例を送信する必要があります。

    • お客様が必要とする IAM アクセス許可を使用して Security Hub をセットアップします。

    • コンソールのパートナーページの設定手順を使用して、すでに統合された独立系ソフトウェアベンダー (ISV) ソリューションを Security Hub にConnectするのに役立ちます。

    • カスタム製品統合でお客様を支援します。

    • お客様のニーズとデータセットに関連するカスタムインサイトを構築します。

    • カスタムアクションを構築します。

    • 修復プレイブックを構築します。

    • Security Hub のコンプライアンススタンダードに適合するクイックスタートを構築します。これらは、Security Hub チームによって検証される必要があります。

    導入事例は、パブリックに共有可能である必要はありません。

  28. Security Hub との統合をお客様とどのようにデプロイするかに関する要件は何ですか?

    Security Hub とパートナー製品間の統合アーキテクチャは、パートナーのソリューションのオペレーション方法に関してパートナーによって異なります。統合のセットアッププロセスに 15 分以上かからないようにする必要があります。

    統合ソフトウェアをお客様の AWS 環境にデプロイする場合は、 AWS CloudFormation テンプレートを活用して統合を簡素化する必要があります。パートのパートナーはワンクリック統合を構築しており、これは強く推奨されています。

  29. ドキュメントの要件は何ですか?

    AWS CloudFormation テンプレートの使用を含め、製品と Security Hub の統合とセットアップのプロセスを説明するドキュメントへのリンクを提供する必要があります。

    そのドキュメントには、ASFF の使用状況に関する情報も記載する必要があります。具体的には、さまざまな結果に使用している ASFF の検出タイプがリストされます。デフォルトのインサイト定義がある場合は、ここにインサイト定義を含めることをお勧めします。

    その他の潜在的な情報を含めることを検討してください。

    • Security Hub との統合のユースケース

    • 送信された結果の平均ボリューム

    • 統合アーキテクチャ

    • Support対象とSupport対象外のリージョン

    • 結果が構築されてから Security Hub に送信されるまでのレイテンシー

    • 結果を更新するかどうか

  30. カスタムインサイトとは何ですか

    結果のカスタムインサイトを定義することをお勧めします。インサイトは軽量な相関ルールで、お客様が注目とアクションを最も必要とする結果とリ出典の優先順位付けに役立ちます。

    Security Hub には CreateInsight API オペレーションがあります。 AWS CloudFormation テンプレートの一部として、顧客アカウント内にカスタムインサイトを作成できます。これらのインサイトは、お客様のコンソールに表示されます。

  31. ダッシュボードウィジェットを送信できますか?

    いいえ。現時点では利用できません。構築できるのはマネージドインサイトのみです。

  32. 料金モデルは何ですか?

    Security Hub の料金情報」を参照してください。

  33. 統合の最終認可プロセスの一環として、結果を Security Hub デモアカウントに送信するにはどうすればよいですか?

    提供された製品 ARN を使用して、us-west-2 リージョン として使用して、Security Hub のデモアカウントに結果を送信します。結果には、ASFF の AwsAccountId フィールドにデモアカウント番号を含める必要があります。デモアカウント番号を入手するには、Security Hub チームにお問い合わせください。

    機密データや個人を特定できる情報を当社に送信しないでください。このデータは公開デモに使用されます。このデータを送信すると、デモでデータを使用する権限が与えられます。

  34. BatchImportFindings はどのようなエラーまたは成功メッセージを提供しますか?

    Security Hub は、認可に対する応答と BatchImportFindings に対する応答を提供します。より明確な成功、違反、エラーメッセージが開発されています。

  35. 出典サービスはどのようなエラー処理を担当していますか?

    出典サービスは、すべてのエラー処理を担当します。エラーメッセージ、再試行、スロットリング、およびアラーミングを処理する必要があります。また、Security Hub フィードバックメカニズムを通じて送信されたフィードバックまたはエラーメッセージを処理する必要があります。

  36. 一般的な問題の解決策は何ですか?

    AuthorizerConfigurationExceptionAwsAccountId または ProductArn のどちらかが不正なことが原因です。

    トラブルシューティングを行う場合、以下の点に注意してください。

    • AwsAccountId は正確に 12 桁でなければなりません。

    • ProductArn は次の形式である必要があります。<us-west-2 or us-east-1>:<accountId>:product/<company-id>/<product-id>

      アカウント ID は、Security Hub チームが提供した製品 ARN に含まれていたものと変わりません。

    AccessDeniedException は間違ったアカウントとの間で結果が送信された場合、またはアカウントに ProductSubscription がない場合に発生します。エラーメッセージには、product または product-subscription のリ出典タイプの ARN が含まれます。このエラーは、アカウントコール間中にのみ発生します。AwsAccountId および ProductArn の同じアカウントの自分のアカウントで BatchImportFindings をコールする場合、オペレーションは IAM ポリシーを使用し、ProductSubscriptions とは無関係です。

    使用するお客様のアカウントと製品アカウントが実際のメンバーアカウントであることを確認してください。パートのパートナーは、製品 ARN から製品のアカウント番号を使用していますが、まったく別のアカウントを使用して BatchImportFindings のコールを試します。それ以外の場合は、他のお客様のアカウント、または自分の製品アカウントの ProductSubscriptions を構築します。結果のインポートを試みたお客様のアカウントの ProductSubscriptions は構築されません。

  37. 質問、コメント、バグはどこに送信すれば良いですか?

  38. グローバル AWS サービスに関する項目について結果を送信するリージョンはどれですか? たとえば、IAM 関連の結果はどこに送信すればよいですか?

    結果が検出されたのと同じリージョンに結果を送信します。IAM などのサービスの場合、ソリューションが複数のリージョンで同じ IAM 問題を検出する可能性があります。この場合、結果は、問題が検出されたすべてのリージョンに送信されます。

    お客様が 3 つのリージョンで Security Hub を実行し、3 つのリージョンすべてで同じ IAM の問題が検出された場合は、3 つのリージョンすべてに結果を送信します。

    問題が解決したら、元の結果を送信したすべてのリージョンに、結果の更新情報を送信します。