製品の準備チェックリスト

-AWS Security HubAPN パートナーチームはこのチェックリストを使用して、統合を開始する準備ができていることを確認します。

ASFF マッピング

これらの質問は、結果とAWSSecurity Finding 形式

パートナーの発見データはすべて ASFF にマッピングされていますか。

すべての調査結果を ASFF に何らかの方法でマッピングします。

モデル化されたリソースタイプなどのキュレーションされたフィールドを使用し、Network,Malware, またはThreatIntelIndicators。

他のものをにマップするResource.Details.OtherまたはProductFields必要に応じて。

パートナーは使っていますかResource.Detailsフィールド (など)AwsEc2instance,AwsS3Bucket, およびContainer? パートナーは使っていますかResource.Details.OtherASFF でモデル化されていないリソースの詳細を定義するには

可能な場合は、結果の EC2 インスタンス、S3 バケット、セキュリティグループなどのキュレーションリソースに用意されているフィールドを使用します。

リソースに関連するその他の情報をResource.Details.Other直接試合がない場合のみ。

パートナーは値をにマップしますかUserDefinedFields?

使用しません。UserDefinedFields

次のような別のキュレーションフィールドの使用を検討してください。Resource.Details.OtherまたはProductFields。

パートナーは情報をにマップしますかProductFieldsそれは他の ASFF フィールドにマッピングできますか？

使用のみProductFieldsバージョン管理情報、製品固有の重要度の調査結果、または厳選されたフィールドにマッピングできないその他の情報など、製品固有の情報Resources.Details.Other。

パートナーは、独自のタイムスタンプをインポートしますかFirstObservedAt?

-FirstObservedAtタイムスタンプは、製品内で発見が観察された時刻を記録するためのものです。可能であれば、このフィールドをマップします。

パートナーは、更新する調査結果を除き、各検索識別子に対して生成された一意の値を提供していますか。

Security Hub のすべての結果が、検索識別子 (Id属性)。この値は、結果が不正に更新されないように、常に一意である必要があります。

また、結果を更新する目的で、検出識別子の状態を維持する必要があります。

パートナーは、結果をジェネレータ ID にマッピングする値を提供していますか。

GeneratorID検索 ID と同じ値であってはなりません。

GeneratorIDは、それらを生成したものによって調査結果を論理的にリンクできるはずです。

これは、製品内のサブコンポーネント（製品 A-脆弱性対製品 A-EDR）、または類似するものである可能性があります。

パートナーは、製品に関連する方法で、必要な検索タイプの名前空間を使用していますか？ パートナーは、検索タイプで推奨される検索タイプのカテゴリまたは分類子を使用していますか。

検出タイプのタクソノミは、製品が生成する調査結果に密接にマッピングする必要があります。

で概説されている第 1 レベルの名前空間AWSSecurity Finding 形式が必要です。

第 2 レベルおよび 3 番目のレベルの名前空間 (カテゴリまたは分類子) にはカスタム値を使用できます。

パートナーは、ネットワークフロー情報をキャプチャしますかNetworkフィールド、ネットワークデータがある場合

商品がキャプチャされた場合NetFlow情報、それをマップしてNetworkフィールド。

パートナーは、のPID（PID）情報を処理しますかProcessフィールド、プロセスデータがある場合

製品がプロセス情報を取得する場合は、その情報をProcessフィールド。

パートナーは、マルウェア情報をキャプチャしますかMalwareフィールド、マルウェアデータがある場合

製品がマルウェア情報をキャプチャする場合は、その情報をMalwareフィールド。

パートナーは、脅威インテリジェンス情報をThreatIntelIndicatorsフィールド、脅威インテリジェンスデータがあれば？

製品が脅威インテリジェンスの情報をキャプチャする場合は、その情報をThreatIntelIndicatorsフィールド。

パートナーは、調査結果の信頼評価を提供していますか。もしそうなら、理論的根拠は提供されますか？

このフィールドを使用するときはいつでも、ドキュメントとマニフェストに根拠を記載してください。

パートナーは、結果のリソース ID に正規 ID または ARN を使用していますか。

識別するときAWSリソースの場合、ベストプラクティスは ARN を使用することです。ARN が利用できない場合は、標準リソース ID を使用します。

統合セットアップと機能

これらの質問は、セットアップと関連しています。day-to-day統合の関数。

パートナーはinfrastructure-as-codeTerraform などの Security Hub との統合をデプロイするための (iaC) テンプレートAWS CloudFormation, またはAWS Cloud Development Kit (AWS CDK)?

カスタマーアカウントから調査結果を送信したり、CloudWatch調査結果を消費するイベント、何らかの形式の iaC テンプレートが必要です。

AWS CloudFormationが優先されますが、AWS CDKまたは Terraform を使用できます。

パートナー製品のコンソールに Security Hub との統合のためのワンクリック設定がありますか。

一部のパートナー製品は、製品内でトグルまたは同様のメカニズムを使用して統合をアクティブ化します。これには、自動的にリソースと権限のプロビジョニングが必要になる場合があります。製品アカウントから結果を送信する場合は、ワンクリックの設定が推奨されます。

パートナーは価値のある調査結果のみを送りますか？

通常、セキュリティ価値のある調査結果を Security Hub のお客様に送信する必要があります。

Security Hub は、一般的なログ管理ツールではありません。可能なすべてのログを Security Hub に送信しないでください。

パートナーは、顧客あたり1日に送信する調査結果の数と、どの頻度（平均とバースト）で送信されるかについての見積もりを提供しましたか？

Security Hub の負荷の計算には、固有の調査結果の数が使用されます。一意の結果は、別の結果と異なる ASFF マッピングを持つ結果として定義されます。

たとえば、ある検索が入力された場合のみThreatIntelndicatorsもう一つは移入されただけResources.Details.AWSEc2Instance、これら2つのユニークな所見である。

パートナーは 4xx および 5xx エラーを処理し、スロットルされず、すべての調査結果を後で送信できるような優美な方法がありますか。

現在、には 30 ～ 50 TPS バーストレートがあります。BatchImportFindingsAPI オペレーション。4xx エラーまたは 5xx エラーが返された場合は、後ですべて再試行できるように、失敗した結果の状態を保持する必要があります。これは、デッドレターキューまたは別のキューを介して行うことができます。AWSAmazon SNS や Amazon SQS などのメッセージングサービス。

パートナーは、もはや存在しない調査結果をアーカイブすることがわかるように、調査結果の状態を維持していますか？

元の検索 ID を上書きして結果を更新する場合は、正しい結果に対して正しい情報が更新されるように、状態を保持するメカニズムが必要です。

調査結果を提供する場合は、BatchUpdateFindings結果を更新するオペレーション。この操作は、お客様のみが使用する必要があります。あなただけ使うBatchUpdateFindings結果を調査してアクションを実行するとき。

パートナーは、以前に送信された成功した結果に妥協しない方法で再試行を処理しますか。

エラー発生時に成功した結果を複製したり上書きしたりしないように、エラー発生時に元の検出 ID を保持するメカニズムが必要です。

パートナーは、BatchImportFindings既存の調査結果の発見IDでの操作？

結果を更新するには、同じ検索結果 ID を送信して、既存の結果を上書きする必要があります。

-BatchUpdateFindings操作は顧客のみが使用する必要があります。

パートナーは、BatchUpdateFindingsAPI？

調査結果に対して行動を起こす場合は、BatchUpdateFindings特定のフィールドを更新する操作。

パートナーは、検索結果が作成されてから製品から Security Hub に送信されるまでのレイテンシの量に関する情報を提供していますか。

Security Hub でできるだけ早く結果を確認できるように、レイテンシーを最小限に抑える必要があります。

この情報はマニフェストで必要です。

パートナーのアーキテクチャが、お客様のアカウントから Security Hub に調査結果を送信する場合、このことを正常に実証しましたか。パートナーのアーキテクチャが自分のアカウントから Security Hub に調査結果を送信する場合、彼らはこれを正常に実証しましたか？

テスト中、製品 ARN に提供されたアカウントとは異なる所有のアカウントから結果が正常に送信される必要があります。

製品 ARN 所有者のアカウントから結果を送信すると、API オペレーションからの特定のエラー例外を回避できます。

パートナーは Security Hub にハートビートの発見を提供していますか。

インテグレーションが正しく動作していることを示すには、ハートビートの結果を送信する必要があります。ハートビートの検出は 5 分ごとに送信され、検出タイプが使用されます。Heartbeat。

これは、製品アカウントから調査結果を送信する場合に重要です。

テスト中に、パートナーは Security Hub 製品チームのアカウントと統合しましたか。

本番前の検証中に、検索例を Security Hub 製品チームに送信する必要があります。AWSアカウント. これらの例は、調査結果が正しく送信され、マッピングされていることを示しています。

ドキュメント

これらの質問は、提供する統合のドキュメントに関連しています。

パートナーは専用のウェブサイトでドキュメントをホストしていますか？

ドキュメントは、静的な Web ページ、Wiki、ドキュメントを読む、またはその他の専用形式としてウェブサイトでホストする必要があります。

ドキュメントをホストするGitHubは、専用ウェブサイトの要件を満たしていません。

Security Hub 統合のセットアップ方法については、パートナーのドキュメントに記載されていますか。

iaC テンプレートまたはコンソールベースの「ワンクリック」統合を使用して、統合をセットアップできます。

パートナーのドキュメントには、ユースケースの説明が記載されていますか。

マニフェストで提供するユースケースについては、ドキュメントにも説明する必要があります。

パートナーのドキュメントは、送信した調査結果の理論的根拠を提供していますか。

送信する調査結果の種類の理論的根拠を提供する必要があります。

たとえば、製品が脆弱性、マルウェア、およびウイルス対策に関する調査結果を生成する可能性がありますが、Security Hub には脆弱性とマルウェアの調査結果のみを送信します。その場合、ウイルス対策の結果を送信しない理由の根拠を提供する必要があります。

パートナーのドキュメントには、パートナーが調査結果を ASFF にどのようにマッピングするかについての論理的根拠がありますか。

ASFF への製品のネイティブな発見のマッピングの理論的根拠を提供する必要があります。お客様は、特定の製品情報をどこで検索すべきかを知りたいと考えています。

パートナーが調査結果を更新した場合に、パートナーが調査結果を更新する方法についてのガイダンスを提供していますか。

状態を保持し、冪等性を保証し、結果を上書きする方法について顧客に情報を提供するup-to-date情報。

パートナーのドキュメントには、レイテンシーの発見について記載されていますか。

レイテンシーを最小限に抑えて、Security Hub でできるだけ早く結果を確認できるようにします。

この情報はマニフェストで必要です。

パートナーのドキュメントには、重要度スコアがASFFの重大度スコアリングにどのようにマッピングされるかが記載されていますか。

マップ方法に関する情報を提供するSeverity.OriginalにSeverity.Label。

たとえば、重大度がレターグレード（A、B、C）の場合、レターグレードを重大度ラベルにマッピングする方法に関する情報を提供する必要があります。

パートナーのドキュメントは、信頼度評価の理論的根拠を提供していますか。

信頼度スコアを指定する場合は、これらのスコアをランク付けする必要があります。

人工知能や機械学習から派生した静的に入力された信頼スコアまたはマッピングを使用する場合は、追加のコンテキストを提供する必要があります。

パートナーのドキュメントには、パートナーがサポートしているリージョンとサポートしていないリージョンが記載されていますか。

注:どのリージョンで統合を試みないか把握できるように、サポートされている、またはサポートされていないリージョン。

製品カード情報

これらの質問は、に表示される製品のカードに関連しています。統合Security Hub コンソールのページ。

は提供されますかAWSアカウント ID が有効で、12 桁の数字が含まれていますか

アカウント ID の長さは 12 桁です。アカウント ID が 12 桁未満の場合、製品 ARN は無効になります。

商品説明に200文字以下が含まれていますか

マニフェスト内の JSON で提供される商品説明は、スペースを含む 200 文字以内でなければなりません。

構成リンクは、統合のドキュメントにつながりますか。

設定リンクは、オンラインドキュメントにつながるはずです。メインのウェブサイトやマーケティングページにつながるべきではありません。

購入リンク（提供されている場合）は、AWS Marketplace商品の出品？

購入リンクを提供する場合は、AWS Marketplaceエントリ。Security Hub は、によってホストされていない購入リンクを受け入れませんAWS。

商品カテゴリーは商品を正しく説明していますか？

マニフェストでは、最大 3 つの製品カテゴリを指定できます。これらは JSON と一致する必要があり、カスタムにすることはできません。3 つ以上の商品カテゴリーを提供することはできません。

会社名および製品名は有効で正しいですか

会社名は 16 文字以下である必要があります。

製品名は 24 文字以下である必要があります。

製品カード JSON 内の製品名は、マニフェストの名前と一致する必要があります。

マーケティング情報

これらの質問は、統合のマーケティングに関連しています。

Security Hub パートナーページの商品説明はスペースも含めて 700 文字以内ですか

Security Hub パートナーページには、スペースを含む最大 700 文字しか入力できません。

チームは長い説明を編集する。

Security Hub パートナーページのロゴは 600 x 300 ピクセル以下ですか。

PNG または JPG で 600 x 300 ピクセル以下の会社のロゴを含むパブリックアクセス可能な URL を指定します。

[Security Hub パートナー] ページの [詳細はこちら] ハイパーリンクは、統合に関するパートナー専用の Web ページにつながりますか。

-詳細はこちらリンクは、パートナーのメインWebサイトやドキュメント情報に接続してはいけません。

このリンクは、常に統合に関するマーケティング情報を含む専用のWebページに移動する必要があります。

パートナーは、インテグレーションの使用方法に関するデモまたは説明ビデオを提供していますか？

デモまたは統合ウォークスルービデオはオプションですが推奨されます。

ですかAWSパートナーネットワークブログ投稿は、パートナーとそのパートナー開発マネージャまたはパートナー開発担当者とリリースされていますか？

AWSパートナーネットワークのブログ投稿は、パートナー開発マネージャまたはパートナー開発担当者と事前に調整する必要があります。

これらは、自分で作成したブログ投稿とは別のものです。

4 ～ 6 週間のリードタイムを許容します。この作業は、プライベート製品 ARN でのテストが完了した後に開始する必要があります。

パートナー主導のプレスリリースはリリースされていますか？

パートナー開発マネージャまたはパートナー開発担当者と協力して、外部セキュリティサービス担当副社長から見積もりを受け取ることができます。この見積もりは、プレスリリースで使用できます。

パートナー主導のブログ投稿はリリースされていますか？

独自のブログ投稿を作成して、外部の統合を紹介することができます。AWSパートナーネットワークブログ。

パートナー主導のウェビナーがリリースされていますか。

独自のウェビナーを作成して、統合を披露できます。

Security Hub チームのサポートが必要な場合は、プライベート製品 ARN でテストを完了した後、製品チームと協力してください。

パートナーがソーシャルメディアのサポートをリクエストしましたかAWS?

リリース後は、AWSセキュリティマーケティングは利用につながるAWS公式ソーシャルメディアチャンネルでウェビナーの詳細を共有できます。