产品准备核对清

这些区域有：AWS Security HubAPN 合作伙伴团队使用此清单验证集成是否已准备好启动。

ASFF 映射

这些问题与将你的发现映射到AWSSecurity Found 格式 (ASFF)。

合作伙伴的所有发现数据是否都映射到 ASFF 中？

以某种方式将你的所有发现映射到 ASFF。

使用策划字段，例如模型化的资源类型，Network、Malware，或者ThreatIntelIndicators.

将任何东西映射到Resource.Details.Other要么ProductFields根据需要执行。

合作伙伴是否使用Resource.Details字段，例如AwsEc2instance、AwsS3Bucket, 和Container? 合作伙伴是否使用Resource.Details.Other定义 ASFF 中未建模的资源详细信息？

如果可能，请在结果中使用针对策划资源（如 EC2 实例、S3 存储桶和安全组）的所提供字段。

将与资源相关的其他信息映射到Resource.Details.Other只有在没有直接匹配的情况下才能。

合作伙伴是否将值映射到UserDefinedFields?

请勿使用 UserDefinedFields。

考虑使用另一个精心策划的领域，例如Resource.Details.Other要么ProductFields.

合作伙伴是否将信息映射到ProductFields那可以映射到其他 ASFF 字段？

只能使用ProductFields获取特定于产品的信息，例如版本控制信息、特定于产品的严重性调查结果或其他无法映射到精选字段的信息，或Resources.Details.Other.

合作伙伴是否导入自己的时间戳FirstObservedAt?

这些区域有：FirstObservedAt时间戳旨在记录商品中观察到发现的时间。如果可能的话，映射此字段。

合作伙伴是否提供为每个查找结果标识符生成的唯一值，但他们想要更新的调查结果除外？

Security Hub 中的所有发现都在查找结果标识符上编制索引（Id属性)。此值必须始终是唯一的，以确保不会意外更新调查结果。

为了更新调查结果，您还应保持查找结果标识符状态。

合作伙伴是否提供了将发现映射到生成器 ID 的值？

GeneratorID不应该与查找 ID 具有相同的值。

GeneratorID应该能够通过产生这些结果的原因在逻辑上链接发现。

这可以是产品中的子组件（产品 A-漏洞与产品 A-EDR）或类似的东西。

合作伙伴是否以与其产品相关的方式使用所需的查找类型命名空间？ 合作伙伴在其查找类型中是否使用推荐的查找类型类别或分类器？

查找类型分类应与产品生成的调查结果密切相对应。

中概述的第一级命名空间AWS需要使用 Security F功能格式。

您可以为二级和三级命名空间（类别或分类器）使用自定义值。

合作伙伴是否在Network字段，如果他们有网络数据？

如果您的产品捕获NetFlow信息，将其映射到Network字段中返回的子位置类型。

合作伙伴捕获过程 (PID) 信息是否在Process字段，如果他们有过程数据？

如果您的产品捕获过程信息，请将其映射到Process字段中返回的子位置类型。

合作伙伴是否在Malware字段，如果他们有恶意软件数据？

如果您的产品捕获了恶意软件信息，请将其映射到Malware字段中返回的子位置类型。

合作伙伴是否在ThreatIntelIndicators字段，如果他们有威胁情报数据？

如果您的产品捕获威胁情报信息，请将其映射到ThreatIntelIndicators字段中返回的子位置类型。

合作伙伴是否为调查结果提供信心评级？ 如果他们这样做，是否提供了理由？

无论何时使用此字段，都可以在文档和清单中提供理由。

合作伙伴是否在调查结果中使用规范 ID 或 ARN 作为资源 ID？

识别时AWS资源，最佳做法是使用 ARN。如果 ARN 不可用，请使用规范资源 ID。

集成设置和功能

这些问题与设置和day-to-day集成的功能。

合作伙伴是否提供infrastructure-as-code部署与 Security Hub 的集成的 (iAC) 模板，例如 Terraform，AWS CloudFormation，或者AWS Cloud Development Kit (AWS CDK)?

对于将从客户帐户发送调查结果或使用CloudWatch使用调查结果的事件，需要某种形式的 iAC 模板。

AWS CloudFormation最好使用，但AWS CDK或者 Terraform 也可以使用。

合作伙伴产品是否在控制台上安装了一键式设置，以便与 Security Hub 集成？

一些合作伙伴产品在其产品中使用切换或类似的机制来激活集成。这可能需要自动配置资源和权限。如果您从产品帐户发送调查结果，则首选一键设置方法是首选方法。

合作伙伴只发送有价值的调查结果吗？

通常，您应该只向 Security Hub 客户发送具有安全价值的调查结果。

Security Hub 不是一个通用的日志管理工具。你不应该将所有可能的日志发送到 Security Hub。

合作伙伴是否对每位客户每天发送多少调查结果以及发送频率（平均和突发频率）提供了估计数？

独特发现的数量用于计算 Security Hub 上的负载。唯一的发现被定义为具有与另一个发现不同 ASFF 映射的查找结果。

例如，如果只填充了一个查找结果ThreatIntelndicators另一个只有人口Resources.Details.AWSEc2Instance，这是两个独特的发现。

合作伙伴是否有一种优雅的方法来处理 4xx 和 5xx 错误，以免它们受到限制，所有发现都可以在以后发送？

目前在上面有 30—50 TPS 的突发率BatchImportFindingsAPI 操作。如果返回 4xx 或 5xx 错误，则必须保留这些失败的查找结果的状态，以便稍后可以重试它们。你可以通过死信队列或其他队列来做到这一点AWS消息传递服务，例如 Amazon SNS 或 Amazon SQS。

合作伙伴是否保持调查结果的状态，以便他们知道存档不再存在的调查结果？

如果您计划通过覆盖原始查找结果 ID 来更新调查结果，则必须有保留状态的机制，以便更新正确的信息以获得正确的查找结果。

如果您提供了调查结果，请勿使用BatchUpdateFindings操作来更新调查结果。此操作只能由客户使用。你只能使用BatchUpdateFindings当您调查结果并对结果采取相应措施时。

合作伙伴是否以不影响先前发送的成功调查结果的方式处理重试？

您应该有一种机制来在出错时保留原始查找 ID，这样您就不会错误地复制或覆盖成功的查找结果。

合作伙伴是否通过调用BatchImportFindings使用现有调查结果的发现 ID 进行操作？

要更新查找结果，必须通过提交相同的查找结果 ID 覆盖现有查找结果。

这些区域有：BatchUpdateFindings操作只能由客户使用。

合作伙伴是否使用BatchUpdateFindingsAPI？

如果你对调查结果采取行动，你可以使用BatchUpdateFindings操作来更新特定字段。

合作伙伴是否提供有关创建查找结果到发现结果从其产品发送到 Security Hub 之间的延迟量的信息？

您应该最大限度地减少延迟，以确保客户尽快在 Security Hub 中看到发现结果。

清单中必须提供此信息。

如果合作伙伴的体系结构是要从客户帐户向 Security Hub 发送调查结果，他们是否成功地证明了这一点？ 如果合作伙伴的体系结构要从自己的账户向 Security Hub 发送调查结果，他们是否成功地证明了这一点？

在测试过程中，必须从您拥有的账户成功发送调查结果，该账户与为产品 ARN 提供的账户不同。

从产品 ARN 所有者账户发送调查结果可以绕过 API 操作中的某些错误例外。

合作伙伴是否向 Security Hub 提供心跳发现？

为了表明您的集成工作正常，你应该发送心跳发现。心跳查找结果每五分钟发送一次，并使用查找类型Heartbeat.

如果您从产品账户发送调查结果，这很重要。

在测试过程中，合作伙伴是否与 Security Hub 产品团队的帐户集成了？

在生产前验证期间，您应该向 Security Hub 产品团队发送查找示例AWSaccount. 这些示例表明，发现已正确发送和映射。

文档

这些问题与您提供的集成文档有关。

合作伙伴是否在专用网站上托管他们的文档？

文档应作为静态网页、Wiki、阅读文档或其他专用格式托管在您的网站上。

托管文档GitHub不符合专用网站的要求。

合作伙伴文档是否提供有关如何设置 Security Hub 集成的说明？

您可以使用 iAC 模板或基于控制台的 “一键式” 集成来设置集成。

合作伙伴文档是否提供了他们的使用案例的描述？

还应在文档中描述您在清单中提供的用例

合作伙伴文档是否为他们发送的调查结果提供了理由？

你应该提供你发送的调查结果类型的理由。

例如，您的产品可能会生成漏洞、恶意软件和防病毒软件的发现，但您只能将漏洞和恶意软件发现发送到 Security Hub。在这种情况下，您必须提供为什么不发送防病毒检测结果的理由。

合作伙伴文档是否提供了合作伙伴如何将其调查结果与 ASFF 相对应的理由？

您应该提供将产品的原生发现映射到 ASFF 的理由。买家想知道在哪里查找具体的商品信息。

如果合作伙伴更新调查结果，合作伙伴文档是否就如何更新调查结果提供指导？

向客户提供有关如何保持状态、确保幂等以及覆盖调查结果的信息up-to-date信息。

合作伙伴文档是否描述了发现延迟？

最大限度地减少延迟，以确保客户尽快在 Security Hub 中看到发现结果。

清单中必须提供此信息。

合作伙伴文档是否描述了他们的严重程度评分与 ASFF 严重性评分相对应？

提供有关如何映射的信息Severity.Original到Severity.Label.

例如，如果严重性值是字母等级（A、B、C），则应提供有关如何将字母成绩映射到严重性标签的信息。

合作伙伴文档是否提供了信心评级的理由？

如果您提供置信度分数，则应对这些分数进行排名。

如果您使用静态填充的置信度分数或源自人工智能或机器学习的映射，则应提供其他上下文。

合作伙伴文档是否注明合作伙伴支持哪些地区和不支持哪些地区？

注意支持或不受支持的区域，以便客户知道在哪些地区不尝试集成。

产品卡信息

这些问题与显示在集成Security Hub 控制台的页面。

提供了吗AWS账户 ID 有效且包含 12 位数字？

账户标识符长度为 12 位数。如果账户 ID 包含的数字少于 12 位数，则产品 ARN 将无效。

商品描述是否包含 200 个或更少的字符？

清单中 JSON 中提供的产品描述不应超过 200 个字符，包括空格。

配置链接是否导致了集成的文档？

配置链接应该导向您的在线文档。它不应该导致你的主网站或营销页面。

购买链接（如果提供）是否会导致AWS Marketplace商品上架？

如果您提供购买链接，则必须用于AWS Marketplace条目。Security Hub 不接受未托管的购买链接AWS.

商品类别描述商品是否正确？

在清单中，您最多可以提供三个产品类别。这些应该与 JSON 匹配，不能自定义。您提供的商品分类不能超过三个。

公司和产品名称是否有效且正确？

公司名称必须为 16 个或更少的字符。

商品名称必须为 24 个或更少的字符。

产品卡片 JSON 中的产品名称必须与清单中的名称匹配。

营销信息

这些问题与集成的营销有关。

Security Hub 合作伙伴页面的产品描述是否在 700 个字符（包括空格）内？

Security Hub 合作伙伴页面最多只能接受 700 个字符，包括空格。

团队将向下编辑更长的描述。

Security Hub 合作伙伴页面徽标不超过 600 x 300 像素吗？

提供一个公开可访问的 URL，其中包含 PNG 或 JPG 的公司徽标，不超过 600 x 300 像素。

Security Hub 合作伙伴页面上的了解更多超链接是否可以指向合作伙伴关于集成的专用网页？

这些区域有：了解更多链接不应导致合作伙伴的主网站或文档信息。

此链接应始终转到专用网页，其中包含有关于集成的营销信息。

合作伙伴是否提供演示或教学视频，了解如何使用他们的集成？

您可以自由选择，但我们建议您使用演示视频或集成演

是AWS合作伙伴网络博客文章是与合作伙伴及其合作伙伴开发经理或合作伙伴开发代表一起

AWS合作伙伴网络博客文章应提前与合作伙伴开发经理或合作伙伴开发代表进行协调。

这些与你自己创建的任何博客文章是分开的。

允许 4-6 周的交货时间。这项工作应该在私有产品 ARN 测试完成后开始。

合作伙伴主导的新闻稿是否正在发布？

您可以与合作伙伴开发经理或合作伙伴开发代表合作，从外部安全服务副总裁那里获取报价。你可以在新闻稿中使用此报价。

合作伙伴主导的博客文章是否正在发布？

你可以创建自己的博客文章来展示AWS合作伙伴网络博客。

合作伙伴主导的网络研讨会正在发布吗？

您可以创建自己的网络研讨会来展示集成。

如果您需要 Security Hub 团队的帮助，请在使用私有产品 ARN 完成测试后与产品团队合作。

合作伙伴请求社交媒体支持吗？AWS?

发布后，您可以使用AWS安全营销导致使用AWS官方社交媒体渠道，分享有关网络研讨会的详细信息。