AWS Security Hub 파트너 FAQ

다음은 AWS Security Hub와의 통합 설정 및 유지 관리에 대한 일반적인 질문입니다.

1. Security Hub 통합의 이점은 무엇입니까?

   • 고객 만족 - Security Hub와 통합해야 하는 가장 큰 이유는 고객의 요청이 있기 때문입니다.

     Security Hub는 AWS 고객을 위한 보안 및 규정 준수 센터입니다. 보안 및 규정 준수 전문가가 AWS 보안 및 규정 준수 상태를 파악하기 위해 매일 이동하는 첫 번째 지점으로 설계되었습니다.

     고객의 의견을 들어보세요. Security Hub에서 발견한 결과를 보고 싶은지 고객이 알려줄 것입니다.

   • 발견 기회 - Security Hub 콘솔 내에서 AWS Marketplace 목록에 대한 링크를 포함하여 인증된 통합 기능을 갖춘 파트너를 홍보합니다. 이는 고객이 새로운 보안 제품을 발견할 수 있는 좋은 방법입니다.

   • 마케팅 기회 - 통합이 승인된 공급업체는 웨비나에 참여하고, 보도 자료를 발행하고, 슬릭 시트를 만들고, AWS 고객에게 통합을 시연할 수 있습니다.

2. 어떤 유형의 파트너가 있습니까?

   • Security Hub로 조사 결과를 전송하는 파트너

   • Security Hub로부터 조사 결과를 수신하는 파트너

   • 조사 결과를 전송하기도 하고 수신하기도 하는 파트너

   • 고객이 자신의 환경에서 Security Hub를 설치, 사용자 지정 및 사용할 수 있도록 지원하는 컨설팅 파트너

3. Security Hub와의 파트너 통합은 상위 수준에서 어떻게 작동합니까?

   고객 계정 또는 자체 AWS 계정에서 조사 결과를 수집하고 조사 결과 형식을 AWS Security Finding Format(ASFF)으로 변환합니다. 그런 다음 해당 결과를 적절한 Security Hub 리전 엔드포인트로 푸시합니다.

   CloudWatch Events를 사용하여 Security Hub에서 조사 결과를 받을 수도 있습니다.

4. Security Hub와의 통합을 완료하기 위한 기본 단계는 무엇입니까?

   1. 파트너 매니페스트 정보를 제출하세요.

   2. Security Hub로 조사 결과를 전송할 경우 Security Hub에서 사용할 제품 ARN을 받으세요.

   3. 결과를 ASFF에 매핑하세요. 결과를 AWS Security Finding Format(ASFF)에 매핑하기 위한 지침을 참조하세요.

   4. Security Hub로 결과를 전송하고 수신하는 아키텍처를 정의하세요. 조사 결과 작성 및 업데이트 원칙에 설명된 원칙을 따르세요.

   5. 고객을 위한 배포 프레임워크를 만드세요. 예를 들어 AWS CloudFormation 스크립트는이 목적을 제공할 수 있습니다.

   6. 설정을 문서화하고 고객을 위한 구성 지침을 제공하세요.

   7. 고객이 제품에 사용할 수 있는 사용자 지정 인사이트(상관 관계 규칙)를 정의하세요.

   8. Security Hub 팀에 통합을 시연하세요.

   9. 승인을 위해 마케팅 정보(웹 사이트 언어, 보도 자료, 아키텍처 슬라이드, 동영상, 슬릭 시트)를 제출하세요.

5. 파트너 매니페스트를 제출하는 절차는 어떻게 됩니까? 그리고 AWS 서비스에서 Security Hub로 조사 결과를 보내려면 어떻게 해야 합니까?

   매니페스트 정보를 Security Hub 팀에 제출하려면 <securityhub-partners@amazon.com>을 이용하세요.

   역일 기준 7일 이내에 제품 ARN이 발급됩니다.

6. Security Hub에 어떤 유형의 조사 결과를 보내야 합니까?

   Security Hub 요금은 수집된 조사 결과의 수에 따라 부분적으로 책정됩니다. 따라서 고객에게 가치를 제공하지 않는 조사 결과는 보내지 않는 것이 좋습니다.

   예를 들어, 일부 취약성 관리 공급업체는 CVSS(공통 취약성 평가 시스템) 점수가 10점 만점에 3점 이상인 조사 결과만 전송합니다.

7. Security Hub에 조사 결과를 보내는 방법에는 어떤 것이 있습니까?

   주요 접근 방식은 다음과 같습니다.

   • BatchImportFindings 작업을 AWS 사용하여 지정된 계정에서 조사 결과를 보냅니다.

   • 고객 계정 내에서 BatchImportFindings 작업을 사용하여 결과를 보냅니다. 역할 가정 접근 방식을 사용할 수도 있지만 이러한 접근 방식이 반드시 필요한 것은 아닙니다.

   BatchImportFindings 사용에 대한 전체 지침은 BatchImportFindings API 사용 지침를 참조하세요.

8. 조사 결과를 수집하여 Security Hub 리전 엔드포인트로 푸시하려면 어떻게 해야 합니까?

   이 작업은 솔루션의 아키텍처에 따라 크게 달라지기 때문에 파트너마다 다른 접근 방식을 사용합니다.

   예를 들어 일부 파트너는 AWS CloudFormation 스크립트로 배포할 수 있는 Python 앱을 빌드합니다. 이 스크립트는 고객 환경에서 파트너의 조사 결과를 수집하여 ASFF로 변환한 다음 Security Hub 리전 엔드포인트로 전송합니다.

   고객이 클릭 한 번으로 조사 결과를 Security Hub로 푸시할 수 있는 전체 마법사를 구축한 파트너도 있습니다.

9. 조사 결과를 Security Hub로 보내기 시작하는 시점을 어떻게 알 수 있습니까?

   Security Hub는 모든 고객을 위해 모든 조사 결과를 Security Hub로 보낼 수 있도록 BatchImportFindings API 작업에 대한 부분 일괄 승인을 지원합니다.

   일부 고객이 아직 Security Hub를 구독하지 않은 경우 Security Hub는 해당 결과를 수집하지 않습니다. 일괄 처리 중인 승인된 조사 결과만 수집합니다.

10. 조사 결과를 고객의 Security Hub 인스턴스로 보내려면 어떤 단계를 완료해야 합니까?

    1. 올바른 IAM 정책이 마련되어 있는지 확인하세요.

    2. 계정에 대한 제품 구독(리소스 정책)을 사용 설정하세요. 제품에 대한 EnableImportFindingsForProduct API 작업 또는 통합 페이지를 사용하세요. 고객이 이 작업을 수행할 수도 있고, 교차 계정 역할을 사용하여 고객을 대신할 수도 있습니다.

    3. 조사 결과의 ProductArn이 제품의 공개 ARN인지 확인하세요.

    4. 조사 결과의 AwsAccountId가 고객의 계정 ID인지 확인하세요.

    5. 조사 결과에 AWS 보안 조사 결과 형식(ASFF)에 따라 잘못된 형식의 데이터가 없는지 확인합니다. 예를 들어 필수 필드가 채워져 있고 유효하지 않은 값이 없는지 확인하세요.

    6. 올바른 리전 엔드포인트로 발견 결과를 일괄적으로 전송하세요.

11. 결과를 보내려면 어떤 IAM 권한이 있어야 합니까?

    BatchImportFindings 또는 기타 API 호출을 호출하는 IAM 사용자 또는 역할에 대한 IAM 정책이 구성되어 있어야 합니다.

    가장 쉬운 테스트는 관리자 계정에서 이 작업을 수행하는 것입니다. 이를 action: ‘securityhub:BatchImportFindings’ 및 resource: <productArn and/or productSubscriptionArn>로 제한할 수 있습니다.

    동일한 계정의 리소스는 리소스 정책 없이도 IAM 정책으로 구성할 수 있습니다.

    BatchImportFindings호출자의 IAM 정책 문제를 배제하려면 호출자에 대한 IAM 정책을 다음과 같이 설정하세요.

    {
        Action: 'securityhub:*',
        Effect: 'Allow',
        Resource: '*'
    }

    호출자에 대한 Deny 정책이 없는지 확인하세요. 이 기능을 사용하도록 설정한 후에는 정책을 다음과 같이 제한할 수 있습니다.

    {
        Action: 'securityhub:BatchImportFindings',
        Effect: 'Allow',
        Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
    },
    {
        Action: 'securityhub:BatchImportFindings',
        Effect: 'Allow',
        Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
    }

12. 제품 구독이란 무엇입니까?

    특정 파트너 제품으로부터 조사 결과를 받으려면 고객(또는 고객을 대신하여 계정 간 역할을 담당하는 파트너)이 제품 구독을 설정해야 합니다. 콘솔에서 이 작업을 수행하려면 통합 페이지를 사용합니다. API에서 이 작업을 수행하려면 EnableImportFindingsForProduct API 작업을 사용합니다.

    제품 구독은 파트너의 조사 결과를 고객이 받거나 보낼 수 있도록 승인하는 리소스 정책을 생성합니다. 세부 정보는 통합 사용 사례 및 필수 권한을 참조하세요.

    Security Hub에는 파트너를 위한 다음과 같은 유형의 리소스 정책이 있습니다.

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    파트너 온보딩 프로세스 중에 하나 또는 두 가지 유형의 정책을 모두 요청할 수 있습니다.

    BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT를 사용하면 제품 ARN에 등록된 계정에서만 Security Hub에 조사 결과를 보낼 수 있습니다.

    BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT를 사용하면 구독한 고객 계정의 조사 결과만 보낼 수 있습니다.

13. 고객이 관리자 계정을 만들고 멤버 계정을 몇 개 추가했다고 가정해 보겠습니다. 각각의 멤버 계정이 저를 구독하도록 해야 합니까? 아니면 고객이 관리자 계정으로만 구독하면 제가 모든 멤버 계정의 리소스에 대해 조사 결과를 보낼 수 있습니까?

    이 질문은 관리자 계정 등록을 기준으로 모든 멤버 계정에 대한 권한이 생성되는지 여부를 묻는 질문입니다.

    고객은 각 계정에 대해 제품 구독을 설정해야 합니다. API를 통해 프로그래밍 방식으로 이 작업을 수행할 수 있습니다.

14. 내 제품 ARN은 무엇입니까?

    제품 ARN은 Security Hub에서 생성하여 조사 결과를 제출하는 데 사용하는 고유 식별자입니다. Security Hub와 통합하는 각 제품에 대해 제품 ARN을 받게 됩니다. Security Hub로 보내는 모든 조사 결과에는 올바른 제품 ARN이 포함되어야 합니다. 제품 ARN이 없는 조사 결과는 삭제됩니다. 제품 ARN은 다음 형식을 사용합니다.

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    예:

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Security Hub가 배포된 각 리전에 대해 제품 ARN이 제공됩니다. 계정 ID, 회사 및 제품 이름은 파트너 매니페스트 제출에 따라 결정됩니다. 리전 코드를 제외하고는 제품 ARN과 관련된 어떤 정보도 변경할 수 없습니다. 리전 코드는 조사 결과를 제출하는 리전과 일치해야 합니다.

    흔히 하는 실수는 현재 작업 중인 계정과 일치하도록 계정 ID를 변경하는 것입니다. 계정 ID는 변경되지 않습니다. 매니페스트 제출의 일부로 '홈' 계정 ID를 제출합니다. 이 계정 ID는 제품 ARN에 고정되어 있습니다.

    Security Hub가 새 리전에 출시되면 표준 리전 코드를 사용하여 해당 리전에 대한 제품 ARN을 자동으로 생성합니다.

    또한 모든 계정에는 비공개 제품 ARN이 자동으로 프로비저닝됩니다. 이 ARN을 사용하여 공식 공개 제품 ARN을 받기 전에 자체 개발 계정 내에서 결과를 가져오는 것을 테스트할 수 있습니다.

15. Security Hub로 조사 결과를 전송하려면 어떤 형식을 사용해야 합니까?

    조사 결과는 AWS 보안 조사 결과 형식(ASFF)으로 제공해야 합니다. 자세한 내용은 AWS Security Hub 사용 설명서에서 AWS Security Finding Format (ASFF)을 참조하세요.

    기본 조사 결과에 있는 모든 정보가 ASFF에 완전히 반영될 것으로 예상됩니다. ProductFields 및 Resource.Details.Other와 같은 사용자 지정 필드를 사용하면 사전 정의된 필드에 잘 맞지 않는 데이터를 매핑할 수 있습니다.

16. 사용할 올바른 리전 엔드포인트는 무엇입니까?

    고객 계정과 연결된 Security Hub 리전 엔드포인트로 조사 결과를 보내야 합니다.

17. 리전 엔드포인트 목록은 어디에서 찾을 수 있습니까?

    Security Hub 엔드포인트 목록을 참조하세요.

18. 리전 간 조사 결과를 제출할 수 있습니까?

    Security Hub는 Amazon GuardDuty, Amazon Macie, Amazon Inspector와 같은 네이티브 AWS 서비스에 대한 리전 간 조사 결과 제출을 아직 지원하지 않습니다. 고객이 허용하는 경우 Security Hub는 다른 리전의 조사 결과를 제출하는 것을 막지 않습니다.

    따라서 어디서든 리전 엔드포인트를 호출할 수 있으며, ASFF의 리소스 정보가 엔드포인트의 리전과 일치하지 않아도 됩니다. 하지만 ProductArn은 엔드포인트의 리전과 일치해야 합니다.

19. 조사 결과 일괄 전송에 대한 규칙과 지침은 무엇입니까?

    BatchImportFindings를 한 번 호출할 때 최대 100개 또는 240KB의 결과를 일괄 전송할 수 있습니다. 이 한도까지 가능한 한 많은 조사 결과를 대기열에 넣고 일괄 처리하세요.

    여러 계정의 조사 결과 집합을 일괄 처리할 수 있습니다. 그러나 배치에 포함된 계정 중 하나라도 Security Hub를 구독하지 않은 계정이 있으면 전체 배치가 실패합니다. 이는 API 게이트웨이 기준 인증 모델의 제한 사항입니다.

    BatchImportFindings API 사용 지침 섹션을 참조하세요.

20. 내가 만든 조사 결과에 대한 업데이트를 보낼 수 있습니까?

    예. 동일한 제품 ARN과 동일한 조사 결과 ID로 검색 결과를 제출하면 해당 조사 결과에 대한 이전 데이터를 덮어씁니다. 모든 데이터를 덮어쓰므로 전체 조사 결과를 제출해야 합니다.

    고객에게는 새로운 조사 결과와 조사 결과 업데이트 모두에 대해 요금이 청구됩니다.

21. 다른 사람이 만든 조사 결과에 대한 업데이트를 보낼 수 있습니까?

    예. 고객이 BatchUpdateFindings API 작업에 대한 액세스 권한을 부여하면 해당 작업을 사용하여 특정 필드를 업데이트할 수 있습니다. 이 작업은 고객, SIEM, 티켓팅 시스템 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼에서 사용하도록 설계되었습니다.

22. 조사 결과의 유효 기간은 어떻게 됩니까?

    Security Hub는 마지막 업데이트 날짜로부터 90일 후에 조사 결과의 유효 기간을 만료시킵니다. 이 시간이 지나면 오래된 조사 결과는 Security Hub OpenSearch 클러스터에서 제거됩니다.

    동일한 조사 결과 ID로 조사 결과를 업데이트했는데 조사 결과가 만료된 경우 Security Hub에 새 조사 결과가 생성됩니다.

    고객은 CloudWatch Events를 사용하여 조사 결과를 Security Hub 외부로 옮길 수 있습니다. 이렇게 하면 모든 결과를 고객이 선택한 대상으로 보낼 수 있습니다.

    일반적으로 Security Hub는 90일마다 새로운 조사 결과를 생성하고 조사 결과를 영구적으로 업데이트하지 말 것을 권장합니다.

23. Security Hub에는 어떤 제한이 적용됩니까?

    Security Hub가 조사 정보에 액세스하기 위한 권장 접근 방식은 CloudWatch Events를 사용하는 것이므로 GetFindings API 호출을 제한합니다.

    Security Hub는 API Gateway 및 Lambda 호출에 의해 적용되는 것 외에는 내부 서비스, 파트너 또는 고객에 대한 다른 제한을 구현하지 않습니다.

24. 소스 서비스에서 Security Hub로 전송되는 결과에 대한 적시성 또는 지연 시간 SLA 또는 기대치는 무엇입니까?

    목표는 초기 조사 결과와 결과 업데이트 모두를 가능한 한 실시간에 가깝게 만드는 것입니다. 조사 결과는 생성된 후 5분 이내에 Security Hub로 보내야 합니다.

25. Security Hub에서 조사 결과를 받으려면 어떻게 해야 합니까?

    조사 결과를 받으려면 다음 방법 중 하나를 사용하세요.

    • 모든 조사 결과는 자동으로 CloudWatch Events로 전송됩니다. 고객은 특정 CloudWatch Events 규칙을 생성하여 SIEM 또는 S3 버킷과 같은 특정 대상으로 결과를 보낼 수 있습니다. 이 기능은 기존의 GetFindings API 작업을 대체합니다.

    • CloudWatch Events를 사용하여 사용자 지정 작업을 수행할 수 있습니다. Security Hub를 사용하면 고객이 콘솔 내에서 특정 조사 결과 또는 조사 결과 그룹을 선택하고 조치를 취할 수 있습니다. 예를 들어 SIEM, 티켓 시스템, 채팅 플랫폼 또는 문제 해결 워크플로에 조사 결과를 보낼 수 있습니다. 이는 고객이 Security Hub 내에서 수행하는 알림 분류 워크플로우의 일부가 될 수 있습니다. 이를 사용자 지정 작업이라고 합니다.

      사용자가 사용자 지정 작업을 선택하면 해당 특정 조사 결과에 대한 CloudWatch 이벤트가 생성됩니다. 이 기능을 활용하여 고객이 사용자 지정 작업의 일부로 사용할 CloudWatch Events 규칙 및 대상을 구축할 수 있습니다. 이 기능은 특정 유형이나 클래스의 모든 결과를 CloudWatch Events에 자동으로 전송하는 데 사용되지는 않으며, 사용자가 특정 결과에 대해 조치를 취하기 위한 것입니다.

      와 같은 사용자 지정 작업 API 작업을 사용하여 제품에 사용할 수 있는 작업(예: AWS CloudFormation 템플릿 사용)CreateActionTarget을 자동으로 생성할 수 있습니다. 또한 CloudWatch Events 규칙 API 작업을 사용하여 사용자 지정 작업과 관련된 해당 CloudWatch Events 규칙을 생성할 수 있습니다. AWS CloudFormation 템플릿을 사용하여 CloudWatch Events 규칙을 생성하여 Security Hub에서 모든 조사 결과 또는 특정 특성을 가진 모든 조사 결과를 자동으로 수집할 수도 있습니다.

26. 관리형 보안 서비스 제공업체(MSSP)가 Security Hub 파트너가 되기 위한 요건은 무엇입니까?

    고객에게 서비스를 제공하는 과정에서 Security Hub가 어떻게 사용되는지 보여 주어야 합니다.

    Security Hub 사용을 설명하는 사용자 설명서가 있어야 합니다.

    MSSP가 결과 공급자인 경우 Security Hub에 조사 결과를 보내는 것을 입증해야 합니다.

    MSSP가 Security Hub의 조사 결과만 수신하는 경우, 최소한 적절한 CloudWatch Events 규칙을 설정할 수 있는 AWS CloudFormation 템플릿이 있어야 합니다.

27. MSSP가 아닌 APN 컨설팅 파트너가 Security Hub 파트너가 되기 위한 요건은 무엇입니까?

    APN 컨설팅 파트너인 경우 Security Hub 파트너가 될 수 있습니다. 특정 고객이 다음을 수행하도록 지원한 방법에 대한 비공개 사례 연구 2개를 제출해야 합니다.

    • 고객이 필요로 하는 IAM 권한으로 Security Hub를 설정하세요.

    • 콘솔의 파트너 페이지에 있는 구성 지침을 사용하여 이미 통합된 독립 소프트웨어 개발 판매 회사(ISV) 솔루션을 Security Hub에 연결하도록 지원하세요.

    • 맞춤형 제품 통합으로 고객을 지원하세요.

    • 고객의 요구 사항 및 데이터 세트와 관련된 사용자 지정 인사이트를 구축하세요.

    • 사용자 지정 작업을 구축하세요.

    • 문제 해결 플레이북을 구축하세요.

    • Security Hub 규정 준수 표준에 부합하는 Quickstarts를 구축하세요. 이는 Security Hub 팀의 검증을 거쳐야 합니다.

    사례 연구를 공개적으로 공유할 필요는 없습니다.

28. Security Hub와의 통합을 고객에게 배포하는 방법과 관련된 요구 사항은 무엇입니까?

    Security Hub와 파트너 제품 간의 통합 아키텍처는 파트너 솔루션 운영 방식에 따라 파트너마다 다릅니다. 통합을 위한 설정 프로세스가 15분을 넘지 않도록 해야 합니다.

    통합 소프트웨어를 고객 AWS 환경에 배포하는 경우 AWS CloudFormation 템플릿을 활용하여 통합을 간소화해야 합니다. 일부 파트너는 원클릭 통합을 만들었으며, 이를 적극 권장합니다.

29. 설명서에 대한 요구 사항은 무엇입니까?

    AWS CloudFormation 템플릿 사용을 포함하여 제품과 Security Hub 간의 통합 및 설정 프로세스를 설명하는 설명서 링크를 제공해야 합니다.

    이 설명서에는 ASFF 사용에 대한 정보도 포함되어야 합니다. 특히, 여기에는 다양한 결과에 사용하는 ASFF 조사 결과 유형이 나열되어야 합니다. 기본 인사이트 정의가 있는 경우 여기에도 포함하는 것이 좋습니다.

    다음과 같은 기타 잠재적 정보를 포함하는 것을 고려해 보세요.

    • Security Hub와의 통합을 위한 사용 사례

    • 평균 조사 결과 전송량

    • 통합 아키텍처

    • 지원하는 리전과 지원하지 않는 리전

    • 조사 결과가 생성된 시점과 Security Hub로 전송되는 시점 사이의 지연

    • 조사 결과 업데이트 여부

30. 사용자 지정 인사이트란 무엇입니까?

    결과에 대한 사용자 지정 인사이트를 정의하는 것이 좋습니다. 인사이트는 간단한 상관 관계 규칙으로, 고객이 가장 주의를 기울이고 조치를 취해야 하는 결과 및 리소스의 우선 순위를 정하는 데 도움이 됩니다.

    Security Hub에는 CreateInsight API 오퍼레이션이 있습니다. AWS CloudFormation 템플릿의 일부로 고객 계정 내에서 사용자 지정 인사이트를 생성할 수 있습니다. 이러한 인사이트는 고객 콘솔에 표시됩니다.

31. 대시보드 위젯을 제출할 수 있습니까?

    아니요, 현재는 지원되지 않습니다. 관리형 인사이트만 만들 수 있습니다.

32. 요금 모델은 어떻게 됩니까?

    Security Hub 요금 정보를 참조하세요.

33. 통합에 대한 최종 승인 절차의 일부로 Security Hub 데모 계정에 조사 결과를 제출하려면 어떻게 해야 합니까?

    제공된 제품 ARN을 사용하여 Security Hub 데모 계정으로 결과를 보내세요. 리전은 us-west-2를 사용합니다. 조사 결과에는 ASFF AwsAccountId 필드의 데모 계정 번호가 포함되어야 합니다. 데모 계정 번호를 얻으려면 Security Hub 팀에 문의하세요.

    민감한 데이터나 개인 식별 정보는 보내지 마세요. 이 데이터는 공개 데모에 사용됩니다. 이 데이터를 보내면 데모에 사용할 수 있는 권한을 당사에 부여하는 것으로 간주됩니다.

34. BatchImportFindings는 어떤 오류 또는 성공 메시지를 제공합니까?

    Security Hub는 권한 부여에 대한 응답과 BatchImportFindings에 대한 응답을 제공합니다. 보다 명확한 성공, 실패 및 오류 메시지는 개발 중입니다.

35. 소스 서비스는 어떤 오류 처리를 담당합니까?

    소스 서비스는 모든 오류 처리를 담당합니다. 오류 메시지, 재시도, 제한, 알람을 처리해야 합니다. 또한 Security Hub 피드백 메커니즘을 통해 전송된 피드백 또는 오류 메시지도 처리해야 합니다.

36. 일반적인 문제의 해결 방법에는 어떤 것이 있습니까?

    AuthorizerConfigurationException은 잘못된 AwsAccountId 또는 ProductArn으로 인해 발생합니다.

    테스트 시 다음 사항에 유의하세요.

    • AwsAccountId는 정확히 12자리여야 합니다.

    • ProductArn은 다음과 같은 형식이어야 합니다. arn:aws:securityhub:<us-west-2 or us-east-1>:<accountId>:product/<company-id>/<product-id>

      계정 ID는 Security Hub 팀이 제공한 제품 ARN에 포함된 계정 ID에서 변경되지 않습니다.

    잘못된 계정으로 또는 잘못된 계정에서 조사 결과가 전송되었거나 계정에 ProductSubscription이 없는 경우 AccessDeniedException이 발생합니다. 오류 메시지에는 리소스 유형이 product 또는 product-subscription인 ARN이 포함됩니다. 이 오류는 계정 간 호출 중에만 발생합니다. AwsAccountId 및 ProductArn에서 동일한 계정에 대해 자신의 계정으로 BatchImportFindings를 호출하는 경우 이 작업은 IAM 정책을 사용하며 ProductSubscriptions과는 아무 관련이 없습니다.

    사용하는 고객 계정과 제품 계정이 실제 등록된 계정인지 확인하세요. 일부 파트너는 제품 ARN의 제품 계정 번호를 사용했지만 완전히 다른 계정을 사용하여 BatchImportFindings를 호출하려고 시도합니다. 다른 고객 계정이나 심지어 자신의 제품 계정에 대한 ProductSubscriptions을 만드는 경우도 있습니다. 해당 경우에서는 조사 결과를 가져오려고 시도한 고객 계정에 대한 ProductSubscriptions을 만들지 않았습니다.

37. 질문, 의견, 버그는 어디로 보내야 합니까?

    <securityhub-partners@amazon.com>

38. 글로벌 AWS 서비스와 관련된 항목에 대한 조사 결과는 어느 리전으로 보내야 합니까? 예를 들어, IAM 관련 조사 결과는 어디로 보내야 합니까?

    조사 결과가 발견된 동일한 리전으로 조사 결과를 보내세요. IAM과 같은 서비스의 경우, 솔루션에서 여러 리전에서 동일한 IAM 문제를 발견할 수 있습니다. 이 경우, 문제가 발견된 모든 리전으로 조사 결과가 전송됩니다.

    고객이 3개 리전에서 Security Hub를 실행하고 있고 3개 리전 모두에서 동일한 IAM 문제가 감지되었다면 3개 리전 모두에 결과를 보내세요.

    문제가 해결되면 조사 결과에 대한 업데이트를 원래 결과를 보낸 모든 리전으로 보내세요.