製品の準備チェックリスト

AWS Security Hub と APN パートナーチームは、このチェックリストを使用して、統合を起動する準備ができていることを確認します。

ASFF マッピング

これらの質問は、検出結果と AWS Security Finding 形式 (ASFF) のマッピングに関連しています。

パートナーの結果データはすべて ASFF にマッピングされていますか?

すべての結果を ASFF に何らかの方法でマッピングします。

モデル化されたリ出典タイプ、Network、Malware、または ThreatIntelIndicators などのキュレートされたフィールドを使用します。

必要に応じて、他のものを Resource.Details.Other または ProductFields にマッピングします。

パートナーは AwsEc2instance、AwsS3Bucket、および Container などの Resource.Details フィールド使っていますか? パートナーは Resource.Details.Other を使って、ASFF でモデル化されていないリ出典の詳細を定義していますか?

可能な場合は、結果の EC2 インスタンス、S3 バケット、セキュリティグループなどのキュレートされたリ出典に対して提供されたフィールドを使用します。

直接一致しない場合にのみ、リ出典に関連するその他の情報を Resource.Details.Other にマッピングします。

パートナーは値を UserDefinedFields にマッピングしますか?

UserDefinedFields を使用しません。

Resource.Details.Other または ProductFields などの別のキュレーションフィールドの使用を検討します。

パートナーは他の ASFF フィールドにマッピングできる ProductFields に情報をマッピングしますか?

バージョニング情報、製品固有の重要値の結果、またはキュレートされたフィールドまたは Resources.Details.Other にマッピングできないその他の情報など、製品固有の情報には ProductFields のみを使用します。

パートナーは、FirstObservedAt の独自のタイムスタンプをインポートしますか?

FirstObservedAt タイムスタンプは、製品内で結果が観察された時刻をレコードするためのものです。可能であれば、このフィールドをマッピングします。

パートナーは、更新する結果を除いて、各結果識別子に対して生成された一意の値を提供しますか?

Security Hub のすべての結果は、結果識別子 (Id 属性) でインデックス化されます。この値は、結果が不正に更新されないように、常に一意である必要があります。

また、結果を更新する目的で、結果識別子の状態を維持する必要があります。

パートナーは、結果をジェネレータ ID にマッピングする値を提供しますか?

GeneratorID は結果 ID と同じ値であってはなりません。

GeneratorID は、それらを生成したものにより、結果を論理的にリンクできる必要があります。

これは、製品内のサブコンポーネント (製品 A - 脆弱性対製品 A - EDR) または類似するものである可能性があります。

パートナーは、製品に関連する方法で、必要な結果タイプの名前空間を使用していますか? パートナーは、結果タイプに推奨される結果タイプのカテゴリーまたは分類子を使用していますか?

結果タイプの分類基準は、製品が生成する結果の近くにマッピングする必要があります。

AWS Security Finding 形式で概説されている第 1 レベルの名前空間が必要です。

第 2 および第 3 レベルの名前空間 (カテゴリーまたは分類子) にはカスタム値を使用できます。

ネットワークデータがある場合、パートナーは Network フィールドのネットワークフロー情報をキャプチャしますか?

製品が NetFlow 情報をキャプチャする場合は、Network フィールドにマッピングします。

プロセスデータがある場合、パートナーは Process フィールドのパートナーキャプチャ処理 (PID) 情報を処理しますか?

製品がプロセス情報をキャプチャする場合は、Process フィールドにマッピングします。

マルウェアデータがある場合、パートナーは Malware フィールドにマルウェア情報をキャプチャしますか?

製品がマルウェア情報をキャプチャする場合は、Malware フィールドにマッピングします。

脅威インテリジェンスデータがある場合、パートナーは ThreatIntelIndicators フィールドに脅威インテリジェンス情報をキャプチャしますか?

製品が脅威インテリジェンスの情報をキャプチャする場合は、ThreatIntelIndicators フィールドにマッピングします。

パートナーは、結果の信頼値評価を提供していますか? その場合、理論的根拠は提供されますか?

このフィールドを使用するときはいつでも、ドキュメントとマニフェストに根拠を記載してください。

パートナーは、結果のリ出典 ID に標準 ID または ARN を使用していますか?

AWS リソースを特定する際のベストプラクティスは、ARN を使用することです。ARN が利用できない場合は、標準リ出典 ID を使用します。

統合の設定と特徴

これらの質問は、統合のセットアップと日常的な特徴に関連しています。

パートナーは、Terraform などの Security Hub との統合をデプロイするための infrastructure-as-code (IaC) テンプレートを提供しています AWS Cloud Development Kit (AWS CDK)か AWS CloudFormation？

お客様のアカウントから結果を送信したり、CloudWatch Eventsを使用して結果を使用する統合の場合は、何らかの形式の IaC テンプレートが必要です。

AWS CloudFormation が推奨されますが、 AWS CDK または Terraform を使用することもできます。

パートナー製品のコンソールに Security Hub との統合のためのワンクリック設定がありますか?

一部のパートナー製品は、製品内でトグルまたは同様のメカニズムを使用して統合をアクティブ化します。これには、自動的にリ出典と権限のプロビジョニングが必要になる場合があります。製品アカウントから結果を送信する場合は、ワンクリックの設定が推奨されます。

パートナーは値の結果のみを送信しますか?

通常、セキュリティ値のある結果を Security Hub のお客様に送信する必要があります。

Security Hub は、一般的なログ管理ツールではありません。可能なすべてのログを Security Hub に送信しないでください。

パートナーは、お客様あたり 1 日にいくつ、どのくらいの頻値 (平均とバースト) で結果が送信されるかについての見積もりを提供しましたか?

Security Hub のロードの計算には、一意の結果の数が使用されます。一意の結果は、別の結果と異なる ASFF マッピングを持つ結果として定義されます。

たとえば、ある結果が ThreatIntelndicators のみ入力され、別は Resources.Details.AWSEc2Instance のみ入力された場合、これらは 2 つの一意の結果です。

パートナーは 4xx および 5xx エラーを適切に処理して、スロットルされず、すべての結果を後で送信できるようにしていますか?

現在、BatchImportFindings API オペレーションに 30 ～ 50 TPS バーストレートがあります。4xx または 5xx エラーが返された場合は、後で合計で再試行できるように、失敗した結果の状態を保持する必要があります。これは、デッドレターキューまたは Amazon SNS や Amazon SQS などの別の AWS メッセージングサービスを通じて実行できます。

パートナーは、もう存在しない結果をアーカイブすることがわかるように、結果の状態を維持していますか?

元の結果 ID を上書きして結果を更新する場合は、正しい結果に対して正しい情報が更新されるように、状態を保持するメカニズムが必要です。

結果を提供する場合は、BatchUpdateFindings オペレーションを使って、結果を更新しないでください。このオペレーションは、お客様のみが使用する必要があります。調査し、結果に基づいてアクションを実行する場合、BatchUpdateFindings のみを使用します。

パートナーは、以前に送信され、成功した結果に妥協しない方法で再試行を処理しますか?

エラー発生時に成功した結果を複製したり、上書きしたりしないように、エラー発生時に元の結果 ID を保持するメカニズムが必要です。

パートナーは、既存の結果の結果 ID で BatchImportFindings オペレーションをコールすることにより、結果を更新しますか?

結果を更新するには、同じ結果 ID を送信して、既存の結果を上書きする必要があります。

BatchUpdateFindings オペレーションはお客様のみが使用する必要があります。

パートナーは、BatchUpdateFindings API を使って結果を更新しますか?

結果に対してアクションを起こす場合は、BatchUpdateFindings オペレーションを使って、特定のフィールドを更新できます。

パートナーは、結果が作成されてから製品から Security Hub に送信されるまでのレイテンシーの量に関する情報を提供していますか?

Security Hub でできるだけ早く結果を確認できるように、レイテンシーを最小限に抑える必要があります。

この情報はマニフェストで必要です。

パートナーのアーキテクチャがお客様のアカウントから Security Hub に結果を送信する場合、これを正常に実証しましたか? パートナーのアーキテクチャが自分のアカウントから Security Hub に結果を送信する場合、これを正常に実証しましたか?

テスト中、製品 ARN に提供されたアカウントとは異なる所有のアカウントから結果が正常に送信される必要があります。

製品 ARN 所有者のアカウントから結果を送信すると、API オペレーションからの特定のエラー例外を回避できます。

パートナーは Security Hub にハートビートの結果を提供していますか?

統合が正しく動作していることを示すには、ハートビートの結果を送信する必要があります。ハートビートの検出は 5 分ごとに送信され、結果タイプ Heartbeat を使用します。

これは、製品アカウントから結果を送信する場合に重要です。

テスト中に、パートナーは Security Hub 製品チームのアカウントと統合しましたか?

本番稼働前の検証中に、検出結果の例を Security Hub 製品チームの AWS アカウントに送信する必要があります。これらの例は、結果が正しく送信され、マッピングされていることを示しています。

ドキュメント

これらの質問は、提供する統合のドキュメントに関連しています。

パートナーは専用のウェブサイトでドキュメントをホストしていますか?

ドキュメントは、静的なウェブページ、Wiki、ドキュメントの読み取り、またはその他の専用形式としてウェブサイトでホストされる必要があります。

GitHub でドキュメントをホストすることは、専用のウェブサイト要件を満たしていません。

パートナードキュメントには Security Hub 統合のセットアップ方法の手順が記載されていますか?

IaC テンプレートまたはコンソールベースの「ワンクリック」統合を使用して、統合をセットアップできます。

パートナーのドキュメントには、ユースケースの詳細が記載されていますか?

マニフェストで提供するユースケースについては、ドキュメントにも説明する必要があります。

パートナーのドキュメントは、送信した結果の理論的根拠を提供していますか?

送信する結果の種類の理論的根拠を提供する必要があります。

たとえば、製品は脆弱性、マルウェア、およびウイルス対策に関する結果を生成する可能性がありますが、Security Hub には脆弱性とマルウェアの結果のみを送信します。その場合、ウイルス対策の結果を送信しない理由の根拠を提供する必要があります。

パートナードキュメントには、パートナーが結果を ASFF にどのようにマッピングするかについての論理的根拠がありますか?

ASFF への製品のネイティブな結果のマッピングの理論的根拠を提供する必要があります。お客様は、特定の製品情報をどこで検索すべきかを知りたいと考えています。

パートナードキュメントには結果を更新した場合に、パートナーが結果を更新する方法についてのガイダンスが記載されていますか?

お客様に状態を保持し、冪等性を保証し、結果を最新の情報で上書きする方法についての情報を提供します。

パートナードキュメントには、結果のレイテンシーについて記載されていますか?

レイテンシーを最小限に抑えて、Security Hub でできるだけ早く結果を確認できるようにします。

この情報はマニフェストで必要です。

パートナーのドキュメントには、重要値スコアが ASFF の重要値スコアリングにどのようにマッピングされるかが記載されていますか?

Severity.Original を Severity.Label にマッピングする方法情報を提供します。

たとえば、重要値がレターグレード (A、B、C) の場合、レターグレードを重要値ラベルにマッピングする方法に関する情報を提供する必要があります。

パートナードキュメントには、信頼値評価の理論的根拠が記載されていますか?

信頼値スコアを指定する場合は、これらのスコアをランク付けする必要があります。

AIや機械学習から派生した静的に入力された信頼値スコアまたはマッピングを使用する場合は、追加のコンテキストを提供する必要があります。

パートナードキュメントには、パートナーがSupportされているリージョンとSupportされていないリージョンが記載されていますか?

SupportされているリージョンとSupportされていないリージョンを明記し、お客様がどの地域で統合を試みてはいけないかを知ることができるようにします。

製品コード情報

これらの質問は、Security Hub コンソールの統合ページに表示される製品のカードに関連しています。

指定された AWS アカウント ID は有効で、12 桁が含まれていますか？

アカウント識別子の長さは 12 桁です。アカウント ID が 12 桁未満の場合、製品 ARN は無効になります。

商品説明には 200 文字以下が含まれていますか

マニフェスト内の JSON で提供される商品説明は、スペースを含め、200 文字以内でなければなりません。

設定リンクは、統合のドキュメントにつながりますか?

設定リンクは、オンラインドキュメントにつながる必要があります。メインのウェブサイトまたはマーケティングページにつながるべきではありません。

購入リンク (提供されている場合) は製品の AWS Marketplace 出品につながりますか？

購入リンクを指定する場合は、 AWS Marketplace エントリ用である必要があります。Security Hub は、 AWSによってホストされていない購入リンクを受け付けません。

商品カテゴリーは商品を正しく説明していますか?

マニフェストでは、最大 3 つの製品カテゴリーを提供できます。これらは JSON と一致する必要があり、カスタムにすることはできません。3 つ以上の商品カテゴリーを提供することはできません。

会社および製品の名前は有効で正しいですか?

会社名は 16 文字未満である必要があります。

製品名は 24 文字未満である必要があります。

製品カード JSON 内の製品名は、マニフェストの名前と一致する必要があります。

マーケティング情報

これらの質問は、統合のマーケティングに関連しています。

Security Hub パートナーページの商品説明はスペースを含め、700 文字以内ですか?

Security Hub パートナーページは、スペースを含め、最大 700 文字のみ受け付けます。

チームは長い説明を編集して短くします。

Security Hub パートナーページのロゴは 600 x 300 ピクセル以下ですか?

PNG または JPG で 600 x 300 ピクセル以下の会社のロゴを含む公開アクセス可能な URL を指定します。

Security Hub パートナーページの [詳細はこちら] ハイパーリンクは、統合に関するパートナー専用のウェブページにつながりますか?

[詳細はこちら] リンクは、パートナーのメインのウェブサイトやドキュメント情報につなげてはいけません。

このリンクは、常に統合に関するマーケティング情報を含む専用のウェブページに移動する必要があります。

パートナーは、統合の使用方法に関するデモまたは手順ビデオを提供していますか?

デモまたは統合のチュートリアルビデオはオプションですが、推奨されています。

AWS パートナーネットワークブログ投稿は、パートナーとそのパートナー開発マネージャーまたはパートナー開発担当者と共にリリースされていますか？

AWS パートナーネットワークのブログ投稿は、パートナー開発マネージャーまたはパートナー開発担当者と事前に調整する必要があります。

これらは、自分で作成したブログ投稿とは別のものです。

4 ～ 6 週間のリードタイムを許容します。この作業は、プライベート製品 ARN でのテストが完了した後に開始する必要があります。

パートナー主導のプレスリリースはリリースされていますか?

パートナー開発マネージャまたはパートナー開発担当者と協力して、外部セキュリティサービスの VP から引用を受け取ることができます。この引用は、プレスリリースで使用できます。

パートナー主導のブログ投稿はリリースされていますか?

独自のブログ投稿を作成して、 AWS パートナーネットワークブログの外で統合を紹介することができます。

パートナー主導のウェビナーがリリースされていますか?

独自のウェビナーを作成して、統合を紹介できます。

Security Hub チームのSupportが必要な場合は、プライベート製品 ARN でテストを完了した後、製品チームと協力してください。

パートナーはソーシャルメディアのサポートをリクエストしましたか AWS？

リリース後、 AWS セキュリティマーケティングリーダーと協力して、公式のソーシャルメディアチャネルを使用して AWS ウェビナーの詳細を共有できます。