Lista de verificação de prontidão - AWS Security Hub
Mapeamento do ASFFConfiguração e função de integraçãoDocumentaçãoInformações do cartãoInformações de marketing

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lista de verificação de prontidão

OAWS Security Hube as equipes de parceiros da APN usam essa lista de verificação para validar se a integração está pronta para ser iniciada.

Mapeamento do ASFF

Essas perguntas estão relacionadas ao mapeamento de sua descoberta para oAWSFormato de descoberta de segurança (ASFF).

Todos os dados de descoberta do parceiro estão mapeados para o ASFF?

Mapeie todas as suas descobertas para o ASFF de alguma forma.

Usar campos selecionados, como tipos de recursos modelados,Network,Malware, ouThreatIntelIndicators.

Mapeie qualquer outra coisa emResource.Details.OtherouProductFieldsConforme apropriado.

O parceiro usaResource.Detailscampos, comoAwsEc2instance,AwsS3Bucket, eContainer? O parceiro usaResource.Details.Otherpara definir detalhes do recurso que não são modelados no ASFF?

Sempre que possível, use os campos fornecidos para recursos selecionados como instâncias do EC2, buckets do S3 e security groups em suas descobertas.

Mapeie outras informações relacionadas a recursos paraResource.Details.Othersomente quando não há correspondência direta.

O parceiro mapeia valores paraUserDefinedFields?

Não use UserDefinedFields.

Considere usar outro campo com curadoria, comoResource.Details.OtherouProductFields.

As informações do mapa do parceiroProductFieldsque poderiam ser mapeados para outros campos ASFF?

Use somenteProductFieldspara informações específicas do produto, como informações de controle de versão, descobertas de gravidade específicas do produto ou outras informações que não podem ser mapeadas em um campo com curadoria ouResources.Details.Other.

O parceiro importa seus próprios carimbos de data/hora paraFirstObservedAt?

OFirstObservedAttimestamp destina-se a registrar o horário em que um achado foi observado no produto. Mapeie esse campo, se possível.

O parceiro fornece valores exclusivos gerados para cada identificador de descoberta, exceto para descobertas que deseja atualizar?

Todas as descobertas no Security Hub são indexadas no identificador de descoberta (Idatributo). Esse valor deve sempre ser exclusivo para garantir que as descobertas não sejam atualizadas acidentalmente.

Você também deve manter o estado do identificador de descoberta com a finalidade de atualizar as descobertas.

O parceiro fornece um valor que mapeia descobertas para um ID do gerador?

GeneratorIDnão deve ter o mesmo valor que o ID de descoberta.

GeneratorIDdeve ser capaz de vincular logicamente descobertas pelo que as gerou.

Isso pode ser um subcomponente dentro de um produto (Produto A - Vulnerabilidade vs Produto A - EDR) ou algo semelhante.

O parceiro usa os namespaces de tipos de descoberta necessários de uma forma relevante para o produto? O parceiro usa as categorias de tipo de descoberta recomendadas ou classificadores em seus tipos de descoberta?

A taxonomia do tipo de descoberta deve mapear de perto as descobertas geradas pelo produto.

Os namespaces de primeiro nível descritos naAWSFormato de descoberta de segurança é necessário.

Você pode usar valores personalizados para os namespaces de segundo e terceiro níveis (Categorias ou Classificadores).

O parceiro captura informações de fluxo de rede naNetworkcampos, se eles tiverem dados de rede?

Se o produto capturarNetFlowinformações, mapeie-as para oNetworkcampo.

As informações do processo de captura do parceiro (PID) noProcesscampos, se eles tiverem dados de processo?

Se o produto capturar informações do processo, mapeie-as para aProcesscampo.

O parceiro captura informações de malware naMalwarecampos, se eles tiverem dados de malware?

Se o seu produto capturar informações de malware, mapeie-as para oMalwarecampo.

O parceiro captura informações de inteligência contra ameaças noThreatIntelIndicatorscampos, se eles tiverem dados de inteligência contra ameaças?

Se seu produto capturar informações de inteligência contra ameaças, mapeie-as para aThreatIntelIndicatorscampo.

O parceiro fornece uma classificação de confiança para as descobertas? Se o fizerem, um raciocínio é fornecido?

Sempre que você usar esse campo, forneça uma lógica na documentação e no manifesto.

O parceiro usa um ID canônico ou ARN para o ID do recurso na descoberta?

Ao identificarAWSrecursos, a melhor prática é usar o ARN. Se um ARN não estiver disponível, use o ID do recurso canônico.

Configuração e função de integração

Essas perguntas estão relacionadas à configuração eday-to-dayfunção da integração.

O parceiro fornece uminfrastructure-as-codeModelo (iAC) para implantar a integração com o Security Hub, como o Terraform,AWS CloudFormation, ouAWS Cloud Development Kit (AWS CDK)?

Para integrações que enviarão descobertas da conta do cliente ou usarãoCloudWatchEventos para consumir descobertas, alguma forma de modelo IAC é necessária.

AWS CloudFormationÉ preferido, masAWS CDKou Terraform também pode ser usado.

O produto parceiro tem uma configuração com um clique no console para integração com o Security Hub?

Alguns produtos parceiros usam uma alternância ou um mecanismo semelhante em seus produtos para ativar a integração. Isso pode implicar o provisionamento automático de recursos e permissão. Se você enviar descobertas de uma conta de produto, a configuração com um clique é o método preferido.

O parceiro só envia descobertas de valor?

Geralmente, você só deve enviar descobertas que tenham valor de segurança para clientes do Security Hub.

O Security Hub não é uma ferramenta geral de gerenciamento de registros. Você não deve enviar todos os logs possíveis para o Security Hub.

O parceiro forneceu uma estimativa de quantas descobertas enviarão por dia por cliente e em que frequência (média e intermitência)?

Números de descobertas exclusivas são usados para calcular a carga no Security Hub. Uma descoberta única é definida como uma descoberta com um mapeamento ASFF diferente de outra descoberta.

Por exemplo, se uma descoberta for preenchida apenasThreatIntelndicatorse outro povoado apenasResources.Details.AWSEc2Instance, essas são duas descobertas únicas.

O parceiro tem uma maneira graciosa de lidar com erros 4xx e 5xx, de modo que eles não sejam limitados e todas as descobertas possam ser enviadas posteriormente?

Atualmente, há uma taxa de intermitência de 30 a 50 TPS noBatchImportFindingsOperação da API. Se forem retornados erros 4xx ou 5xx, você deverá manter o estado dessas descobertas com falha para que possa repeti-las na totalidade posteriormente. Você pode fazer isso por meio de uma fila de letras mortas ou outraAWSserviços de mensagens, como Amazon SNS ou Amazon SQS.

O parceiro mantém o estado de suas descobertas para que eles saibam arquivar descobertas que não estão mais presentes?

Se você planeja atualizar as descobertas substituindo o ID de descoberta original, você deve ter um mecanismo para manter o estado para que as informações corretas sejam atualizadas para a descoberta correta.

Se você fornecer descobertas, não use oBatchUpdateFindingsoperação para atualizar descobertas. Esta operação só deve ser usada pelos clientes. Você só usaBatchUpdateFindingsQuando você investiga e toma medidas sobre descobertas.

O parceiro lida com novas tentativas de uma forma que não comprometa as descobertas bem-sucedidas enviadas anteriormente?

Você deve ter um mecanismo para reter as IDs de descoberta originais no caso de erros para que você não duplique ou substitua descobertas bem-sucedidas por engano.

O parceiro atualiza as descobertas ligando para oBatchImportFindingsoperação com o ID de descoberta dos achados existentes?

Para atualizar uma descoberta, você deve substituir a descoberta existente enviando o mesmo ID de descoberta.

OBatchUpdateFindingsoperação só deve ser usada pelos clientes.

O parceiro atualiza as descobertas usando oBatchUpdateFindingsAPI?

Se você tomar medidas em relação às descobertas, você pode usar oBatchUpdateFindingsoperação para atualizar campos específicos.

O parceiro fornece informações sobre a quantidade de latência entre quando uma descoberta é criada e quando ela é enviada de seu produto para o Security Hub?

Você deve minimizar a latência para garantir que os clientes vejam descobertas o mais rápido possível no Security Hub.

Essas informações são necessárias no manifesto.

Se a arquitetura do parceiro for enviar descobertas para o Security Hub a partir de uma conta de cliente, eles demonstraram isso com sucesso? Se a arquitetura do parceiro for enviar descobertas para o Security Hub a partir de sua própria conta, eles demonstraram isso com sucesso?

Durante o teste, as descobertas devem ser enviadas com sucesso de uma conta que você possui diferente da conta fornecida para o ARN do produto.

O envio de uma descoberta da conta do proprietário do ARN do produto pode ignorar certas exceções de erro das operações da API.

O parceiro fornece uma descoberta de pulsação para o Security Hub?

Para mostrar que sua integração está funcionando corretamente, você deve enviar uma descoberta de pulsação. A descoberta de pulsação é enviada a cada cinco minutos e usa o tipo de descobertaHeartbeat.

Isso é importante se você enviar descobertas de uma conta de produto.

O parceiro se integrou com a conta da equipe de produtos Security Hub durante o teste?

Durante a validação de pré-produção, você deve enviar exemplos de descoberta para a equipe de produtos do Security HubAWSconta. Esses exemplos demonstram que as descobertas são enviadas e mapeadas corretamente.

Documentação

Essas perguntas estão relacionadas à documentação da integração que você fornece.

O parceiro hospeda sua documentação em um site dedicado?

A documentação deve ser hospedada em seu site como uma página da Web estática, wiki, Leia os documentos ou outro formato dedicado.

Documentação de hospedagem emGitHubnão satisfaz o requisito do site dedicado.

A documentação do parceiro fornece instruções sobre como configurar a integração do Security Hub?

Você pode configurar a integração usando um modelo IAC ou uma integração com “um clique” baseada em console.

A documentação do parceiro fornece uma descrição do caso de uso deles?

O caso de uso fornecido no manifesto também deve ser descrito na documentação

A documentação do parceiro fornece uma justificativa para as descobertas que eles enviam?

Você deve fornecer o raciocínio para os tipos de descobertas que você envia.

Por exemplo, seu produto pode produzir descobertas para vulnerabilidades, malware e antivírus, mas você só envia descobertas de vulnerabilidade e malware para o Security Hub. Nesse caso, você deve fornecer uma justificativa para o motivo pelo qual você não envia descobertas de antivírus.

A documentação do parceiro fornece uma justificativa de como o parceiro mapeia suas descobertas para o ASFF?

Você deve fornecer a lógica para o mapeamento da descoberta nativa de um produto para o ASFF. Os clientes querem saber onde procurar informações específicas sobre o produto.

A documentação do parceiro fornece orientações sobre como o parceiro atualiza as descobertas, se eles atualizarem as descobertas?

Forneça aos clientes informações sobre como você mantém o estado, garante a idempotência e substitui descobertas comup-to-dateInformações.

A documentação do parceiro descreve encontrar latência?

Minimize a latência para garantir que os clientes vejam descobertas o mais rápido possível no Security Hub.

Essas informações são necessárias no manifesto.

A documentação do parceiro descreve como a pontuação de gravidade deles mapeia para a pontuação de gravidade ASFF?

Forneça informações sobre como você mapeiaSeverity.OriginalparaSeverity.Label.

Por exemplo, se seu valor de gravidade for uma nota de letra (A, B, C), você deverá fornecer informações sobre como mapear a nota da letra para o rótulo de gravidade.

A documentação do parceiro fornece uma justificativa para as classificações de confiança?

Se você fornecer pontuações de confiança, essas pontuações devem ser classificadas.

Se você usar pontuações de confiança estaticamente preenchidas ou mapeamentos derivados de inteligência artificial ou aprendizado de máquina, você deve fornecer contexto adicional.

A documentação do parceiro observa quais regiões o parceiro suporta e não?

Observação Regiões que são ou não têm suporte para que os clientes saibam em quais regiões não tentar uma integração.

Informações do cartão

Essas perguntas estão relacionadas ao cartão do produto exibido noIntegraçõespágina do console do Security Hub.

É o fornecidoAWSID da conta válido e contém 12 dígitos?

Os identificadores de conta têm 12 dígitos. Se um ID de conta contiver menos de 12 dígitos, o ARN do produto não será válido.

A descrição do produto contém 200 ou menos caracteres?

A descrição do produto fornecida no JSON dentro do manifesto não deve ter mais de 200 caracteres, incluindo espaços.

O link de configuração leva à documentação para a integração?

O link de configuração deve levar à documentação online. Ele não deve levar ao seu site principal ou a páginas de marketing.

O link de compra (se fornecido) leva aoAWS Marketplacelistagem para o produto?

Se você fornecer um link de compra, ele deve ser para umAWS MarketplaceEntrada. O Security Hub não aceita links de compra que não são hospedados porAWS.

As categorias de produtos descrevem corretamente o produto?

No manifesto, você pode fornecer até três categorias de produtos. Eles devem corresponder ao JSON e não podem ser personalizados. Você não pode fornecer mais de três categorias de produtos.

Os nomes da empresa e dos produtos são válidos e corretos?

O nome da empresa deve ter 16 ou menos caracteres.

O nome do produto deve ter 24 ou menos caracteres.

O nome do produto no cartão de produto JSON deve corresponder ao nome no manifesto.

Informações de marketing

Essas perguntas estão relacionadas ao marketing para a integração.

A descrição do produto para a página de parceiros do Security Hub está dentro de 700 caracteres, incluindo espaços?

A página de parceiros do Security Hub aceita apenas até 700 caracteres, incluindo espaços.

A equipe editará descrições mais longas.

O logotipo da página de parceiros do Security Hub não é maior que 600 x 300 px?

Forneça um URL acessível ao público com um logotipo da empresa em PNG ou JPG que não seja maior que 600 x 300 pixels.

O hiperlink Saiba mais na página de parceiros do Security Hub leva à página dedicada do parceiro sobre a integração?

OSaiba maislink não deve levar ao site principal do parceiro ou às informações da documentação.

Esse link deve sempre ir para uma página da Web dedicada com informações de marketing sobre a integração.

O parceiro fornece uma demonstração ou um vídeo instrucional sobre como usar sua integração?

Um vídeo passo a passo de demonstração ou integração é opcional, mas é recomendado.

É umAWSPublicação do blog da Partner Network sendo lançada com o parceiro e seu gerente de desenvolvimento de parceiros ou representante de desenvolvimento de parceiros?

AWSAs postagens do blog da Partner Network devem ser coordenadas antes do tempo com o gerente de desenvolvimento de parceiros ou representante de desenvolvimento de parceiros.

Eles são separados de qualquer postagem de blog que você mesmo criar.

Aguarde o prazo de 4 a 6 semanas. Esse esforço deve ser iniciado após a conclusão do teste com o ARN do produto privado.

Um comunicado de imprensa liderado por parceiros está sendo lançado?

Você pode trabalhar com seu gerente de desenvolvimento de parceiros ou representante de desenvolvimento de parceiros para obter uma cotação do vice-presidente de serviços de segurança externa. Você pode usar essa cotação em seu comunicado de imprensa.

Uma postagem de blog liderada por parceiros está sendo lançada?

Você pode criar suas próprias postagens de blog para mostrar a integração fora doAWSBlog do Partner Network.

Um webinar liderado por parceiros está sendo lançado?

Você pode criar seus próprios webinars para mostrar a integração.

Se você precisar de ajuda da equipe do Security Hub, trabalhe com a equipe do produto depois de concluir o teste com o ARN do produto privado.

O parceiro solicitou suporte para redes sociais deAWS?

Após o lançamento, você pode trabalhar com oAWSO marketing de segurança leva ao usoAWScanais oficiais de mídia social para compartilhar detalhes sobre seus webinars.