제품 준비 체크리스트

이AWS Security HubAPN 파트너 팀은 이 체크리스트를 사용하여 통합을 시작할 준비가 되었는지 확인합니다.

ASFF 매핑

이러한 질문은 검색 결과에 대한 매핑과 관련이 있습니다.AWSASFF의 Security Finding 형식

파트너의 모든 검색 데이터가 ASFF에 매핑되어 있습니까?

모든 연구 결과를 ASFF에 어떤 식으로든 매핑하십시오.

모델링된 리소스 유형과 같은 선별된 필드 사용Network,Malware또는ThreatIntelIndicators.

다른 모든 것을 매핑합니다.Resource.Details.Other또는ProductFields적절히 말입니다.

파트너가 사용합니까?Resource.Details필드 (예:AwsEc2instance,AwsS3Bucket, 및Container? 파트너가 사용합니까?Resource.Details.OtherASFF에서 모델링되지 않은 리소스 세부 정보를 정의하려면?

가능한 경우 EC2 인스턴스, S3 버킷 및 Security Group과 같은 선별된 리소스에 대해 제공된 필드를 검색 결과에 사용합니다.

리소스와 관련된 기타 정보 매핑Resource.Details.Other직접 일치가 없는 경우에만

파트너가 값을 다음으로 매핑합니까?UserDefinedFields?

UserDefinedFields는 사용하지 마십시오.

다음과 같이 선별된 다른 필드를 사용하는 것이 좋습니다.Resource.Details.Other또는ProductFields.

파트너가 정보를 다음과 같이 매핑합니까?ProductFields다른 ASFF 필드에 매핑 될 수 있습니까?

사용 전용ProductFields버전 관리 정보, 제품별 심각도 검색 결과 또는 선별된 필드에 매핑할 수 없는 기타 정보와 같은 제품별 정보Resources.Details.Other.

파트너가 자신의 타임스탬프를 가져오나요?FirstObservedAt?

이FirstObservedAt타임스탬프는 제품에서 발견 결과가 관찰된 시간을 기록하기 위한 것입니다. 가능한 경우 이 필드를 매핑합니다.

파트너가 업데이트하려는 검색 결과를 제외하고 각 검색 결과 식별자에 대해 생성된 고유 값을 제공합니까?

Security Hub의 모든 검색 결과는 검색 결과 식별자에 색인화됩니다 (Id속성). 이 값은 검색 결과가 실수로 업데이트되지 않도록 항상 고유해야 합니다.

또한 검색 결과를 업데이트하기 위해 찾기 식별자 상태를 유지해야 합니다.

파트너가 결과를 생성기 ID에 매핑하는 값을 제공합니까?

GeneratorID검색 ID와 동일한 값을 가져서는 안 됩니다.

GeneratorID결과를 생성한 항목에 따라 논리적으로 연결할 수 있어야 합니다.

이는 제품 내의 하위 구성 요소 (제품 A - 취약점 대 제품 A - EDR) 이거나 이와 유사한 구성 요소일 수 있습니다.

파트너가 제품과 관련된 방식으로 필요한 검색 유형 네임스페이스를 사용합니까? 파트너가 검색 유형에 권장되는 검색 유형 범주 또는 분류기를 사용합니까?

검색 유형 분류는 제품이 생성하는 검색 결과와 밀접하게 매핑되어야 합니다.

에 설명된 첫 번째 수준 네임스페이스AWS보안 검색 형식이 필요합니다.

두 번째 및 세 번째 수준의 네임스페이스 (범주 또는 분류자) 에 사용자 정의 값을 사용할 수 있습니다.

파트너가 네트워크 흐름 정보를 캡처합니까?Network필드 (네트워크 데이터가 있는 경우)

제품이 캡처되는 경우NetFlow정보, 에 매핑Network필드.

파트너 캡처 프로세스 (PID) 정보가Process필드 (프로세스 데이터가 있는 경우)

제품이 프로세스 정보를 캡처하는 경우Process필드.

파트너가 맬웨어 정보를 캡처합니까?Malware필드 (맬웨어 데이터가 있는 경우)

제품이 맬웨어 정보를 캡처하는 경우Malware필드.

파트너가 위협 인텔리전스 정보를 캡처합니까?ThreatIntelIndicators필드 (위협 인텔리전스 데이터가 있는 경우)

제품이 위협 인텔리전스 정보를 캡처하는 경우ThreatIntelIndicators필드.

파트너가 연구 결과에 대한 신뢰 등급을 제공합니까? 그렇다면 이론적 근거가 제공됩니까?

이 필드를 사용할 때마다 설명서와 매니페스트에 이론적 근거를 제공하십시오.

파트너가 검색 결과에서 리소스 ID에 정식 ID 또는 ARN을 사용합니까?

식별 시AWS리소스를 사용하는 것이 가장 좋은 방법은 ARN을 사용하는 것입니다. ARN을 사용할 수 없는 경우 표준 리소스 ID를 사용합니다.

통합 설정 및 기능

이러한 질문은 설정과 관련이 있습니다.day-to-day통합의 기능입니다.

파트너가 다음을 제공합니까?infrastructure-as-codeIAC (Terraform) 와 같은 Security Hub와의 통합을 배포하는 템플릿AWS CloudFormation또는AWS Cloud Development Kit (AWS CDK)?

고객 계정에서 검색 결과를 보내거나 사용할 통합의 경우CloudWatch결과를 소비하는 이벤트, 일부 형태의 IAC 템플릿이 필요합니다.

AWS CloudFormation선호하지만AWS CDK또는 테라폼을 사용할 수도 있습니다.

파트너 제품이 Security Hub와의 통합을 위해 콘솔에 원클릭 설정이 있습니까?

일부 파트너 제품은 제품에 토글 또는 유사한 메커니즘을 사용하여 통합을 활성화합니다. 이렇게 하면 자동으로 리소스와 권한을 프로비저닝할 수 있습니다. 제품 계정에서 검색 결과를 보내는 경우 원클릭 설정이 선호되는 방법입니다.

파트너는 가치에 대한 결과만 보내나요?

일반적으로 보안 가치가 있는 검색 결과만 Security Hub 고객에게 보내야 합니다.

Security Hub 일반적인 로그 관리 도구가 아닙니다. 가능한 모든 로그를 Security Hub에 보내면 안 됩니다.

파트너가 고객당 하루에 보낼 결과 수와 평균 및 버스트 빈도 (평균 및 버스트) 에 대한 견적을 제공했습니까?

고유한 검색 결과 수는 Security Hub의 부하를 계산하는 데 사용됩니다. 고유 검색 결과는 다른 검색 결과와는 다른 ASFF 매핑이 있는 검색 결과로 정의됩니다.

예를 들어, 하나의 검색 결과만 채워진 경우ThreatIntelndicators다른 하나는 채워져 있습니다.Resources.Details.AWSEc2Instance이 두 가지 독특한 발견입니다.

파트너가 4xx 및 5xx 오류를 효과적으로 처리하여 조절되지 않고 모든 결과를 나중에 보낼 수 있습니까?

현재 30—50 TPS 버스트율이 있습니다.BatchImportFindingsAPI 연산. 4xx 또는 5xx 오류가 반환되는 경우 나중에 전체적으로 다시 시도할 수 있도록 실패한 검색 결과의 상태를 유지해야 합니다. 죽은 편지 대기열 또는 다른 대기열을 통해 이 작업을 수행할 수 있습니다.AWSAmazon SNS 또는 Amazon SQS SQS와 같은 메시징 서비스입니다.

파트너가 더 이상 존재하지 않는 결과를 보관할 수 있도록 연구 결과의 상태를 유지합니까?

원래 검색 결과 ID를 덮어써서 검색 결과를 업데이트할 계획이라면 올바른 검색 결과를 위해 올바른 정보가 업데이트되도록 상태를 유지하는 메커니즘이 있어야 합니다.

검색 결과를 제공하는 경우BatchUpdateFindings결과를 업데이트하는 작업. 이 작업은 고객만 사용해야 합니다. 사용자만 사용합니다.BatchUpdateFindings조사 결과를 조사하고 조치를 취할 때.

파트너가 이전에 전송된 성공 결과를 손상시키지 않는 방식으로 재시도를 처리합니까?

오류가 발생한 경우 원래 찾기 ID를 유지하는 메커니즘이 있어야 오류 발생 시 성공적인 검색 결과를 복제하거나 덮어쓰지 않습니다.

파트너가 다음을 호출하여 검색 결과를 업데이트합니까?BatchImportFindings기존 검색 결과의 찾기 ID로 작업 하시겠습니까?

검색 결과를 업데이트하려면 동일한 검색 결과 ID를 제출하여 기존 검색 결과를 덮어써야 합니다.

이BatchUpdateFindings작업은 고객만 사용해야 합니다.

파트너가 다음을 사용하여 검색 결과를 업데이트합니까?BatchUpdateFindingsAPI?

조사 결과에 대한 조치를 취하는 경우BatchUpdateFindings특정 필드를 업데이트하는 작업입니다.

파트너가 검색 결과가 생성되는 시점과 제품에서 Security Hub로 전송되는 시간 사이의 지연 시간에 대한 정보를 제공합니까?

지연 시간을 최소화하여 고객이 Security Hub에서 가능한 한 빨리 결과를 볼 수 있도록 해야 합니다.

이 정보는 매니페스트에 필요합니다.

파트너의 아키텍처가 고객 계정에서 검색 결과를 Security Hub로 전송하려는 경우 이를 성공적으로 입증했습니까? 파트너의 아키텍처가 자체 계정에서 검색 결과를 Security Hub로 전송하려는 경우 이를 성공적으로 입증했습니까?

테스트 중에는 제품 ARN에 제공된 계정과 다른 사용자가 소유한 계정에서 검색 결과를 성공적으로 보내야 합니다.

제품 ARN 소유자의 계정에서 검색 결과를 보내면 API 작업의 특정 오류 예외를 우회할 수 있습니다.

파트너가 Security Hub 하트비트 검색 결과를 제공합니까?

통합이 올바르게 작동하고 있음을 표시하려면 하트비트 검색 결과를 보내야 합니다. 하트비트 검색 결과는 5분마다 전송되며 검색 유형 사용Heartbeat.

이는 제품 계정에서 검색 결과를 보내는 경우 중요합니다.

테스트 중에 파트너가 Security Hub 제품 팀의 계정과 통합되었습니까?

사전 프로덕션 검증 중에 검색 예제를 Security Hub 제품 팀에 보내야 합니다.AWS계정. 이 예제에서는 검색 결과가 올바르게 전송 및 매핑되었음을 보여 줍니다.

설명서

이러한 질문은 사용자가 제공하는 통합 문서와 관련이 있습니다.

파트너가 전용 웹 사이트에서 문서를 호스팅합니까?

문서는 웹 사이트에서 정적 웹 페이지, 위키, 문서 읽기 또는 기타 전용 형식으로 호스팅되어야 합니다.

호스팅 설명서GitHub전용 웹 사이트 요구 사항을 충족하지 않습니다.

파트너 설명서에서 Security Hub 통합을 설정하는 방법에 대한 지침을 제공합니까?

iAC 템플릿 또는 콘솔 기반 “원클릭” 통합을 사용하여 통합을 설정할 수 있습니다.

파트너 설명서에 사용 사례에 대한 설명이 제공됩니까?

매니페스트에서 제공하는 사용 사례는 설명서에 설명되어 있어야 합니다.

파트너 설명서에서 전송한 결과에 대한 근거를 제공합니까?

보내는 검색 결과 유형에 대한 근거를 제공해야 합니다.

예를 들어 제품에서 취약점, 맬웨어 및 바이러스 백신에 대한 검색 결과를 생성할 수 있지만 취약성 및 맬웨어 검색 결과는 Security Hub에만 보냅니다. 이 경우 바이러스 백신 검색 결과를 보내지 않는 이유에 대한 근거를 제공해야 합니다.

파트너 문서는 파트너가 연구 결과를 ASFF에 매핑하는 방법에 대한 근거를 제공합니까?

ASFF에 대한 제품의 기본 검색 결과를 매핑하는 데 대한 근거를 제공해야 합니다. 고객은 특정 제품 정보를 찾을 위치를 알고 싶어합니다.

파트너 설명서는 파트너가 검색 결과를 업데이트하는 경우 결과를 업데이트하는 방법에 대한 지침을 제공합니까?

상태를 유지하고, 멱등성을 보장하며, 결과를 덮어쓰는 방법에 대한 정보를 고객에게 제공합니다.up-to-date정보.

파트너 설명서에서 지연 시간 찾기에 대해 설명합니까?

지연 시간을 최소화하여 고객이 Security Hub에서 가능한 한 빨리 결과를 확인할 수 있습니다.

이 정보는 매니페스트에 필요합니다.

파트너 설명서에서 심각도 점수가 ASFF 심각도 점수에 어떻게 매핑되는지 설명합니까?

지도 방법에 대한 정보 제공Severity.Original에Severity.Label.

예를 들어, 심각도 값이 문자 등급 (A, B, C) 인 경우 문자 등급을 심각도 레이블에 매핑하는 방법에 대한 정보를 제공해야 합니다.

파트너 문서가 신뢰 등급에 대한 근거를 제공합니까?

신뢰 점수를 제공하는 경우 이 점수는 순위가 매겨져야 합니다.

인공 지능 또는 기계 학습에서 파생된 정적으로 채워진 신뢰 점수 또는 매핑을 사용하는 경우 추가 컨텍스트를 제공해야 합니다.

파트너 설명서에 파트너가 지원하는 지역과 지원하지 않는 지역에 기록되어 있습니까?

참고 고객이 통합을 시도하지 않을 리전을 알 수 있도록 지원되거나 지원되지 않는 리전입니다.

제품 카드 정보

이러한 질문은 다음에 표시된 제품의 카드와 관련이 있습니다.통합Security Hub 콘솔의 페이지입니다.

가 제공됩니까?AWS계정 ID가 유효하며 12자리 숫자를 포함합니까?

계정 식별자는 12자리 숫자입니다. 계정 ID에 12자리 미만이 포함된 경우 제품 ARN은 유효하지 않습니다.

상품 설명에 200자 이하의 문자가 포함되어 있습니까?

매니페스트 내의 JSON에 제공된 제품 설명은 공백을 포함하여 200자 이하여야 합니다.

구성 링크가 통합에 대한 설명서로 연결됩니까?

구성 링크는 온라인 설명서로 연결되어야 합니다. 기본 웹 사이트 또는 마케팅 페이지로 연결되어서는 안됩니다.

구매 링크 (제공된 경우) 가AWS Marketplace상품 리스팅이 있습니까?

구매 링크를 제공하는 경우AWS Marketplace입력. Security Hub에서 호스팅하지 않는 구매 링크를 허용하지 않습니다.AWS.

상품 카테고리에 상품이 올바르게 설명되어 있습니까?

매니페스트에서 최대 3개의 제품 범주를 제공할 수 있습니다. JSON과 일치해야 하며 사용자 정의가 될 수 없습니다. 세 개 이상의 상품 카테고리를 제공할 수 없습니다.

회사 및 제품 이름이 유효하고 정확합니까?

회사 이름은 16자 이하여야 합니다.

상품 이름은 24자 이하여야 합니다.

제품 카드 JSON의 제품 이름은 매니페스트의 이름과 일치해야 합니다.

마케팅 정보

이러한 질문은 통합을 위한 마케팅과 관련이 있습니다.

Security Hub 파트너 페이지에 대한 제품 설명이 공백을 포함하여 700자 이내입니까?

Security Hub 파트너 페이지에는 공백을 포함하여 최대 700자만 허용됩니다.

팀에서 더 긴 설명을 편집합니다.

Security Hub 파트너 페이지 로고가 600 x 300px 이하입니까?

회사 로고가 600 x 300픽셀 이하인 PNG 또는 JPG로 공개적으로 액세스할 수 있는 URL을 제공합니다.

Security Hub 파트너 페이지의 자세히 알아보기 하이퍼링크를 통해 통합에 대한 파트너의 전용 웹 페이지로 연결됩니까?

이자세히 알아보기링크는 파트너의 기본 웹 사이트 또는 문서 정보로 연결되어서는 안 됩니다.

이 링크는 항상 통합에 대한 마케팅 정보가 포함된 전용 웹 페이지로 이동해야 합니다.

파트너가 통합 사용 방법에 대한 데모 또는 교육 비디오를 제공합니까?

데모 또는 통합 연습 비디오 는 선택 사항이지만 권장됩니다.

아님AWS파트너 네트워크 블로그 게시물은 파트너 및 파트너 개발 관리자 또는 파트너 개발 담당자와 함께 공개됩니까?

AWS파트너 네트워크 블로그 게시물은 파트너 개발 관리자 또는 파트너 개발 담당자와 미리 조정해야 합니다.

이 게시물은 직접 만든 블로그 게시물과 별개입니다.

4-6 주 리드 타임을 허용합니다. 이러한 노력은 개인 제품 ARN을 사용한 테스트가 완료된 후 시작해야 합니다.

파트너 주도의 보도 자료가 출시되고 있습니까?

파트너 개발 관리자 또는 파트너 개발 담당자와 협력하여 외부 보안 서비스 부사장으로부터 견적을 받을 수 있습니다. 이 견적은 보도 자료에서 사용할 수 있습니다.

파트너 주도의 블로그 게시물이 공개되고 있습니까?

블로그 게시물을 작성하여 외부 통합을 선보일 수 있습니다.AWS파트너 네트워크 블로그.

파트너 주도의 웨비나를 출시하고 있습니까?

자체 웹 세미나를 생성하여 통합을 보여줄 수 있습니다.

Security Hub 팀의 지원이 필요한 경우 개인 제품 ARN을 사용하여 테스트를 완료한 후 제품 팀과 협력하십시오.

파트너가 소셜 미디어 지원을 요청했습니까?AWS?

릴리스 후 다음 작업을 수행할 수 있습니다.AWS보안 마케팅 리드 사용AWS웹 세미나에 대한 세부 정보를 공유하는 공식 소셜 미디어 채널.