AWS Security Hub Perguntas frequentes sobre parceiros

A seguir estão perguntas comuns sobre como configurar e manter uma integração com o AWS Security Hub.

Quais são os benefícios da integração com o Security Hub?
- Satisfação do cliente: o principal motivo para a integração com o Security Hub é que você tem solicitações de clientes para fazer isso.
  
  O Security Hub é o centro de segurança e conformidade para AWS os clientes. Ele foi projetado como a primeira parada em que os profissionais de AWS segurança e conformidade vão todos os dias para entender seu estado de segurança e conformidade.
  
  Ouça seus clientes. Eles dirão se querem ver suas descobertas no Security Hub.
- Oportunidades de descoberta: promovemos parceiros com integrações certificadas no console do Security Hub, incluindo links para suas listagens do AWS Marketplace . Essa é uma ótima maneira de os clientes descobrirem novos produtos de segurança.
- Oportunidades de marketing — Fornecedores com integrações aprovadas podem participar de webinars, emitir comunicados à imprensa, criar planilhas simples e demonstrar suas integrações aos clientes. AWS
Que tipos de parceiros existem?
- Parceiro que enviam descobertas ao Security Hub
- Parceiro que recebe descobertas do Security Hub
- Parceiros que enviam e recebem descobertas
- Parceiros de consultoria que ajudam os clientes a configurar, personalizar e usar o Security Hub no ambiente deles
Como a integração de um parceiro com o Security Hub funciona de modo geral?

Você coleta descobertas de uma conta de cliente ou de sua própria AWS conta e transforma o formato das descobertas no Formato de descoberta AWS de segurança (ASFF). Em seguida, você envia essas descobertas para o endpoint regional apropriado do Security Hub.

Você também pode usar CloudWatch Eventos para receber descobertas do Security Hub.
Quais são as etapas básicas para concluir uma integração com o Security Hub?
1. Enviar as informações do manifesto do seu parceiro.
2. Receba um produto ARNs para usar com o Security Hub, se você estiver enviando descobertas para o Security Hub.
3. Mapear suas descobertas para o ASFF. Consulte Diretrizes para mapear descobertas no AWS Security Finding Format (ASFF).
4. Definir sua arquitetura para enviar e receber descobertas do Security Hub. Seguir os princípios descritos em Princípios para criar e atualizar descobertas.
5. Criar um framework de implantação para os clientes. Por exemplo, AWS CloudFormation scripts podem servir a esse propósito.
6. Documentar sua configuração e fornecer instruções de configuração para os clientes.
7. Definir quaisquer insights personalizados (regras de correlação) que os clientes possam usar com seu produto.
8. Quanto tempo leva para receber as descobertas do Security Hub?
9. Enviar informações de marketing para aprovação (idioma do site, comunicado à imprensa, slide de arquitetura, vídeo, planilha simples).
Qual é o processo para enviar o manifesto de parceiro? E para os serviços da AWS enviarem descobertas ao Security Hub?

Para enviar as informações do manifesto para a equipe do Security Hub, use <securityhub-partners@amazon.com>.

Você recebe o produto ARNs dentro de sete dias corridos.
Que tipos de descoberta devo enviar para o Security Hub?

Os preços do Security Hub baseiam-se parcialmente no número de descobertas ingeridas. Por esse motivo, você deve evitar enviar descobertas que não agreguem valor aos clientes.

Por exemplo, alguns fornecedores de gerenciamento de vulnerabilidades só enviam descobertas com uma pontuação do Common Vulnerability Scoring System (CVSS) de 3 ou mais em 10 possíveis.
Quais são as diferentes abordagens para eu enviar descobertas para o Security Hub?

Estas são as principais abordagens:
- Você envia descobertas de sua própria AWS conta designada usando a BatchImportFindingsoperação.
- Você envia descobertas de dentro da conta do cliente usando a operação BatchImportFindings. Você pode usar abordagens assume-role, mas essas abordagens não são obrigatórias.
Para obter diretrizes gerais sobre o uso de BatchImportFindings, consulte Diretrizes para o uso da API BatchImportFindings.
Como faço para reunir minhas descobertas e enviá-las a um endpoint do Security Hub regional?

Os parceiros usaram abordagens diferentes para isso, pois é altamente dependente da arquitetura da sua solução.

Por exemplo, alguns parceiros criam um aplicativo em Python que pode ser implantado como um script. AWS CloudFormation O script reúne as descobertas do parceiro no ambiente do cliente, as transforma no ASFF e as envia para o endpoint regional do Security Hub.

Outros parceiros criam um assistente completo que oferece ao cliente uma experiência com um único clique para enviar as descobertas para o Security Hub.
Como posso saber quando começar a enviar descobertas para o Security Hub?

O Security Hub oferece suporte à autorização parcial em lote para a operação de API BatchImportFindings, para que você possa enviar todas as suas descobertas ao Security Hub para todos os seus clientes.

Se alguns de seus clientes ainda não se inscreveram no Security Hub, o Security Hub não ingere essas descobertas. Ele ingere apenas as descobertas autorizadas que estão no lote.
Quais etapas eu preciso concluir para enviar as descobertas para a instância do Security Hub de um cliente?
1. Garanta que as políticas corretas do IAM estejam em vigor.
2. Habilite uma assinatura de produto (políticas de recursos) para as contas. Use a operação de API EnableImportFindingsForProduct ou a página Integrações. O cliente pode fazer isso ou você pode usar funções entre contas para agir em nome do cliente.
3. O ProductArn da descoberta dever ser o ARN público do seu produto.
4. O AwsAccountId da descoberta deve ser o ID da conta do cliente.
5. Certifique-se de que suas descobertas não tenham dados malformados de acordo com o AWS Security Finding Format (ASFF). Por exemplo, os campos obrigatórios são preenchidos e não há valores inválidos.
6. Envie descobertas em lotes para o endpoint regional correto.
Quais permissões do IAM devem estar em vigor para que eu envie as descobertas?

As políticas do IAM devem ser configuradas para o usuário ou o perfil do IAM que chama BatchImportFindings ou para outras chamadas de API.

O teste mais fácil é fazer isso em uma conta de administrador. Você pode restringi-los a action: ‘securityhub:BatchImportFindings’ e resource: <productArn and/or productSubscriptionArn>.

Os recursos na mesma conta podem ser configurados com políticas do IAM sem exigir políticas de recursos.

Para descartar problemas de política do IAM do chamador de BatchImportFindings, defina a política do IAM para o chamador da seguinte forma:
```
{
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}
```
Verifique se não há nenhuma política Deny para o chamador. Depois de fazer com que funcione dessa forma, você pode restringir a política ao seguinte:
```
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}
```
O que é uma assinatura de produto?

Para receber descobertas de um produto parceiro específico, o cliente (ou o parceiro com funções em várias contas trabalhando em nome do cliente) deve estabelecer uma assinatura do produto. Para fazer isso no console, eles usam a página Integrações. Para fazer por meio da API, eles usam a operação de API EnableImportFindingsForProduct.

A assinatura do produto cria uma política de recursos que autoriza que as descobertas do parceiro sejam recebidas ou enviadas pelo cliente. Para obter detalhes, consulte Casos de uso de integração e permissões necessárias.

O Security Hub tem os seguintes tipos de política de recursos para parceiros:
- BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
- BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
Durante o processo de integração do parceiro, você pode solicitar um ou os dois tipos de política.

Com BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT, você só pode enviar descobertas para o Security Hub por meio da conta listada no ARN do seu produto.

Com BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT, você só pode enviar descobertas da conta do cliente que se inscreveu com você.
Suponha que um cliente tenha criado uma conta de administrador e adicionado algumas contas de membros. O cliente precisa inscrever cada conta de membro comigo? Ou o cliente só se inscreve na conta do administrador e eu posso então enviar descobertas com base nos recursos de todas as contas dos membros?

Essa pergunta questiona se as permissões foram criadas para todas as contas de membros com base no registro da conta de administrador.

O cliente deve estabelecer uma assinatura de produto para cada conta. Eles podem fazer isso programaticamente por meio da API.
Qual é o ARN do meu produto?

O ARN do seu produto é o identificador exclusivo que o Security Hub gera para você e que você usa para enviar descobertas. Você recebe um ARN de produto para cada produto que você integra ao Security Hub. O ARN correto do produto deve fazer parte de todas as descobertas enviadas ao Security Hub. As descobertas sem o ARN do produto são descartadas. Esse ARN do produto usa o seguinte formato:

arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

Exemplo:

arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

Você recebe um ARN de produto para cada região em que o Security Hub está implantado. O ID da conta, a empresa e os nomes dos produtos são determinados pelos envios do manifesto de seu parceiro. Você nunca altera nenhuma informação associada ao ARN do seu produto, exceto o código da região. O código da região deve corresponder à região para a qual você envia as descobertas.

Um erro comum é alterar o ID da conta para corresponder à conta na qual você está trabalhando atualmente. O ID da conta não muda. Você envia um ID de conta “inicial” como parte do envio do manifesto. Esse ID da conta está bloqueado no ARN do seu produto.

Quando o Security Hub é lançado em novas regiões, ele usa automaticamente os códigos de região padrão para gerar seu produto ARNs para essas regiões.

Cada conta também é provisionada automaticamente com um ARN de produto privado. Você pode usar esse ARN para testar a importação de descobertas em sua própria conta de desenvolvimento antes de receber o ARN oficial do produto público.
Quanto tempo leva para receber descobertas do Security Hub?

As descobertas devem ser fornecidas no Formato AWS de Conclusão de Segurança (ASFF). Para mais detalhes, consulte AWS Security Finding Format (ASFF) no Guia do usuário do AWS Security Hub .

A expectativa é que todas as informações em suas descobertas nativas sejam totalmente refletidas no ASFF. Campos personalizados, como ProductFields e Resource.Details.Other, permitem mapear dados que não se encaixam perfeitamente nos campos predefinidos.
Qual é o endpoint regional correto a ser usado?

Você deve enviar as descobertas para o endpoint regional do Security Hub associado à conta do cliente.
Onde posso encontrar a lista de endpoints regionais?

Consulte a lista de endpoints do Security Hub.
Posso enviar descobertas entre regiões?

O Security Hub ainda não suporta o envio de descobertas entre regiões para os AWS serviços nativos, como Amazon GuardDuty, Amazon Macie e Amazon Inspector. Se seu cliente permitir, o Security Hub não impede que você envie descobertas de diferentes regiões.

Nesse sentido, você pode chamar um endpoint regional de qualquer lugar, e as informações de recursos do ASFF não precisam corresponder à região do endpoint. No entanto, o ProductArn deve corresponder à região do endpoint.
Quais são as regras e diretrizes para enviar lotes de descobertas?

Você pode agrupar até 100 descobertas ou 240 KB em uma única chamada de BatchImportFindings. Coloque em fila e agrupe o maior número possível de descobertas até esse limite.

Você pode agrupar um conjunto de descobertas de contas diferentes. No entanto, se alguma das contas do lote não estiver inscrita no Security Hub, o lote inteiro falhará. Essa é uma limitação do modelo básico de autorização do API Gateway.

Consulte Diretrizes para o uso da API BatchImportFindings.
Posso enviar atualizações das descobertas que criei?

Sim, se você enviar uma descoberta com o mesmo ARN do produto e o mesmo ID da descoberta, ela substituirá os dados anteriores dessa descoberta. Observe que todos os dados são sobrescritos, então você deve enviar uma descoberta completa.

Os clientes são medidos e cobrados tanto pelas novas descobertas quanto pelas atualizações das descobertas.
Posso enviar atualizações das descobertas que criei?

Sim, se o cliente conceder acesso à operação de API BatchUpdateFindings, você poderá atualizar determinados campos usando essa operação. Essa operação foi projetada para ser usada por clientes SIEMs, sistemas de tíquetes e plataformas de orquestração, automação e resposta de segurança (SOAR).
Como as descobertas se tornam obsoletas?

O Security Hub torna as descobertas obsoletas 90 dias após a data da última atualização. Após esse período, as descobertas obsoletas são removidas do cluster do Security Hub. OpenSearch

Se você atualizar uma descoberta com o mesmo ID de descoberta e ela estiver desatualizada, outra descoberta será criada no Security Hub.

Os clientes podem usar o CloudWatch Events para retirar as descobertas do Security Hub. Isso permite que todas as descobertas sejam enviadas aos alvos escolhidos pelo cliente.

Em geral, o Security Hub recomenda que você crie descobertas a cada 90 dias e não as atualize indefinidamente.
Quais aceleradores o Security Hub implementa?

O Security Hub acelera as chamadas de GetFindings API, pois a abordagem recomendada para acessar as descobertas é usar CloudWatch Eventos.

O Security Hub não implementa nenhum outro controle de utilização em serviços internos, parceiros ou clientes além daquele imposto pelas invocações do API Gateway e do Lambda.
Qual é a pontualidade, a latência SLAs ou as expectativas das descobertas enviadas ao Security Hub pelos serviços de origem?

O objetivo é ser o mais próximo possível em tempo real, tanto para as descobertas iniciais quanto para as atualizações das descobertas. Você deve enviar as descobertas para o Security Hub dentro de cinco minutos após a criação.
Como eu recebo todas as descobertas do Security Hub?

Para receber descobertas, use um dos métodos a seguir.
- Todas as descobertas são enviadas automaticamente para CloudWatch Eventos. Um cliente pode criar regras de CloudWatch eventos específicas para enviar descobertas para alvos específicos, como um SIEM ou um bucket S3. Esse recurso substituiu a operação herdada da API GetFindings.
- Use CloudWatch Eventos para ações personalizadas. O Security Hub permite que os clientes selecionem descobertas específicas ou grupos de descobertas no console e tomem medidas com base nelas. Por exemplo, eles podem enviar descobertas para um SIEM, sistema de emissão de tíquetes, plataforma de bate-papo ou fluxo de trabalho de correção. Isso faria parte de um fluxo de trabalho de triagem de alertas que um cliente executa no Security Hub. Essas ações são chamadas de ações personalizadas.
  
  Quando um usuário seleciona uma ação personalizada, um CloudWatch evento é criado para essas descobertas específicas. Você pode aproveitar esse recurso e criar regras e metas de CloudWatch eventos para um cliente usar como parte de uma ação personalizada. Observe que esse recurso não é usado para enviar automaticamente todas as descobertas de um determinado tipo ou classe para CloudWatch Eventos. Cabe ao usuário agir com base em descobertas específicas.
  
  Você pode usar as operações da API de ação personalizadaCreateActionTarget, como, para criar automaticamente ações disponíveis para seu produto (como usar AWS CloudFormation modelos). Você também CloudWatch usaria as operações da API de regras de CloudWatch eventos para criar regras de eventos correspondentes associadas à ação personalizada. Usando AWS CloudFormation modelos, você também pode criar regras de CloudWatch eventos para ingerir automaticamente do Security Hub todas as descobertas ou todas as descobertas com determinadas características.
Quais são os requisitos para que um provedor de serviços gerenciados de segurança (MSSP) se torne um parceiro do Security Hub?

Você deve demonstrar como o Security Hub é usado como parte da prestação de serviços aos clientes.

Você deve ter a documentação do usuário que explique o uso do Security Hub.

Se o MSSP for um provedor de descoberta, ele deverá demonstrar o envio das descobertas para o Security Hub.

Se o MSSP receber apenas descobertas do Security Hub, ele deverá, no mínimo, ter um AWS CloudFormation modelo para configurar as regras de CloudWatch eventos apropriadas.
Quais são os requisitos para que um parceiro de consultoria da APN que não seja MSSP se torne um parceiro do Security Hub?

Se você for um parceiro de consultoria da APN, é possível se tornar um parceiro do Security Hub. Você deve enviar dois estudos de caso particulares sobre como você ajudou um cliente específico a:
- Configurar o Security Hub com as permissões do IAM que o cliente precisa.
- Conectar soluções de provedores de software independentes (ISV) já integradas ao Security Hub usando as instruções de configuração na página do parceiro no console.
- Realizar integrações personalizadas de produtos.
- Criar insights personalizados relevantes para as necessidades e conjuntos de dados do cliente.
- Criar ações personalizadas.
- Criar manuais de correção.
- Criar guias de início rápido alinhados aos padrões de conformidade do Security Hub. Eles devem ser validados pela equipe do Security Hub.
Os nomes de compilações não precisam ser exclusivos.
Quais são os requisitos com relação a como eu implanto minha integração com o Security Hub com meus clientes?

As arquiteturas de integração entre o Security Hub e os produtos de parceiros variam de parceiro para parceiro em termos de como a solução desse parceiro é operada. Você deve garantir que o processo de configuração da integração não demore mais do que 15 minutos.

Se você estiver implantando software de integração no AWS ambiente do cliente, deverá utilizar AWS CloudFormation modelos para simplificar a integração. Alguns parceiros criaram uma integração com um clique, o que é altamente recomendável.
Quais são meus requisitos de documentação?

Você deve fornecer um link para a documentação que descreva o processo de integração e configuração entre seu produto e o Security Hub, incluindo o uso de AWS CloudFormation modelos.

Essa documentação também deve incluir informações sobre o uso do ASFF. Especificamente, isso deve listar os tipos de descoberta do ASFF que você está usando para suas diferentes descobertas. Se você usar as credenciais do, recomendamos que também as mude regularmente.

Considere incluir outras informações possíveis:
- Seu caso de uso para integração com o Security Hub
- Volume médio de descobertas enviadas
- Sua arquitetura de integração
- As regiões às quais você atende e não atende
- Latência entre o momento em que as descobertas são criadas e o momento em que são enviadas ao Security Hub
- Se você atualiza as descobertas
O que são insights personalizados?

É recomendável que você defina insights personalizados para suas descobertas. Os insights são regras de correlação leves que ajudam o cliente a priorizar quais descobertas e recursos mais exigem atenção e ação.

O Security Hub tem uma operação de API CreateInsight. Você pode criar insights personalizados dentro de uma conta de cliente como parte do seu AWS CloudFormation modelo. Esses insights aparecem no console do cliente.
Posso enviar widgets do painel?

Não neste momento. Você só pode criar insights gerenciados.
Qual é o seu modelo de preços?

Veja as informações de preço do Security Hub.
Como faço para enviar as descobertas para a conta de demonstração do Security Hub como parte do processo final de aprovação da minha integração?

Envie as descobertas para a conta de demonstração do Security Hub usando o ARN do produto fornecido e us-west-2 como região. As descobertas devem incluir o número da conta de demonstração no campo AwsAccountId do ASFF. Para obter o número da conta demo, entre em contato com a equipe do Security Hub.

Não nos envie dados confidenciais ou informações de identificação pessoal. Esses dados são usados para demonstrações públicas. Quando você nos envia esses dados, você nos autoriza a usá-los em demonstrações.
Quais mensagens de erro ou de sucesso BatchImportFindings fornece?

O Security Hub fornece uma resposta para autorização e uma resposta para BatchImportFindings. Mais mensagens atualizadas de sucesso, insucesso e erro estão em desenvolvimento.
Por qual tratamento de erros o serviço de origem é responsável?

Os serviços de origem são responsáveis por todo o tratamento de erros. Eles devem lidar com mensagens de erro, novas tentativas, controle de utilização e alarmes. Eles também devem lidar com o feedback ou as mensagens de erro enviadas pelo mecanismo de feedback do Security Hub.
Quais são algumas soluções para problemas comuns?

Uma AuthorizerConfigurationException é causada por uma malformação de AwsAccountId ou ProductArn.

Após a refragmentação, observe o seguinte:
- AwsAccountId deve ter exatamente 12 dígitos.
- ProductArndeve estar no seguinte formato: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>
  
  O ID da conta não muda em relação ao que a equipe do Security Hub incluiu no produto ARNs que eles forneceram a você.
AccessDeniedException é causada quando uma descoberta é enviada para ou da conta errada, ou quando a conta não tem uma ProductSubscription. A mensagem de erro conterá um ARN com um tipo de recurso de product ou product-subscription. Esse erro ocorre somente durante chamadas entre contas. Se você chamar BatchImportFindings com sua própria conta para a mesma conta em AwsAccountId e ProductArn, a operação usará políticas do IAM e não tem nada a ver com ProductSubscriptions.

Certifique-se de que a conta do cliente e a conta do produto que você usa sejam as contas registradas reais. Alguns parceiros usaram um número de conta do ARN do produto para o produto, mas tentam usar uma conta totalmente diferente para chamar BatchImportFindings. Em outros casos, eles criaram ProductSubscriptions para outras contas de clientes ou até mesmo para sua própria conta de produto. Eles não criaram ProductSubscriptions para a conta do cliente para a qual tentaram importar as descobertas.
Para onde envio perguntas, comentários e bugs?

<securityhub-partners@amazon.com>
Para qual região eu envio descobertas de itens relacionados a serviços da AWS globais? Por exemplo, para onde envio as descobertas relacionadas ao IAM?

Envie as descobertas para a mesma região em que a descoberta foi detectada. Para um serviço como o IAM, sua solução provavelmente encontrará o mesmo problema de IAM em várias regiões. Nesse caso, a descoberta é enviada para todas as regiões em que o problema foi detectado.

Se o cliente executa o Security Hub em três regiões e o mesmo problema de IAM for detectado nas três regiões, envie a descoberta para as três regiões.

Quando um problema for resolvido, envie a atualização da descoberta a todas as regiões para as quais você enviou a descoberta original.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Lista de verificação de preparação do produto

Histórico de documentos