AWS Security Hub 合作夥伴常見問答集

以下是有關設定和維護與整合的常見問題 AWS Security Hub。

Security Hub 整合有哪些優點？
- 客戶滿意度 – 與 Security Hub 整合的首要原因是您有客戶請求這樣做。
  
  Security Hub 是 AWS 客戶的安全和合規中心。其設計為 AWS 安全與合規專業人員每天了解其安全與合規狀態的第一站。
  
  聆聽您的客戶。他們將告訴您他們是否想要在 Security Hub 中查看您的問題清單。
- 探索機會：我們在 Security Hub 主控台中推廣具有已認證的整合的合作夥伴，包括其 AWS Marketplace 清單的連結。這是讓客戶探索新安全產品的好方法。
- 行銷機會 – 具有核准整合的供應商可以參與網路研討會、發佈新聞發佈、建立配量表，以及 AWS 向客戶示範其整合。
有哪些類型的合作夥伴？
- 將問題清單傳送到 Security Hub 的合作夥伴
- 從 Security Hub 接收調查結果的合作夥伴
- 同時傳送和接收調查結果的合作夥伴
- 協助客戶在其環境中設定、自訂和使用 Security Hub 的諮詢合作夥伴
與 Security Hub 的合作夥伴整合如何在高階運作？

您可以從客戶帳戶內或自己的 AWS 帳戶收集調查結果，並將調查結果的格式轉換為 AWS 安全調查結果格式 (ASFF)。然後，將這些調查結果推送到適當的 Security Hub 區域端點。

您也可以使用 CloudWatch Events 從 Security Hub 接收問題清單。
完成與 Security Hub 整合的基本步驟是什麼？
1. 提交您的合作夥伴資訊清單資訊。
2. 如果您要將問題清單傳送至 Security Hub，請接收產品 ARNs 以搭配 Security Hub 使用。
3. 將您的問題清單映射至 ASFF。請參閱將問題清單映射到 AWS 安全問題清單格式 (ASFF) 的指導方針。
4. 定義您的架構，以將問題清單傳送至 Security Hub 並從中接收問題清單。遵循中概述的原則用於建立和更新問題清單的 Tenet。
5. 為客戶建立部署架構。例如， AWS CloudFormation 指令碼可以實現此目的。
6. 記錄您的設定，並為客戶提供組態指示。
7. 定義客戶可與產品搭配使用的任何自訂洞見（關聯規則）。
8. 示範您與 Security Hub 團隊的整合。
9. 提交行銷資訊以供核准（網站語言、新聞發佈、架構投影片、影片、剪貼表）。
提交合作夥伴資訊清單的程序為何？而 AWS 服務是否將問題清單傳送到 Security Hub？

若要提交資訊清單資訊給 Security Hub 團隊，請使用 <securityhub-partners@amazon.com>。

您會在七天內收到產品 ARNs。
我應該將哪些類型的問題清單傳送至 Security Hub？

Security Hub 定價部分取決於擷取的調查結果數量。因此，您應該避免傳送未為客戶提供價值的問題清單。

例如，某些漏洞管理廠商只會在可能的 10 個問題中，傳送常見漏洞評分系統 (CVSS) 分數為 3 或更高的問題清單。
將問題清單傳送到 Security Hub 的方法有哪些？

以下是主要方法：
- 您可以使用 BatchImportFindings操作從自己的指定 AWS 帳戶傳送問題清單。
- 您可以使用 BatchImportFindings操作從客戶帳戶內傳送問題清單。您可以使用擔任角色方法，但不需要這些方法。
如需使用的整體指導方針BatchImportFindings，請參閱使用 BatchImportFindings API 的指導方針。
如何收集調查結果並將其推送至 Security Hub 區域端點？

合作夥伴已對此使用不同的方法，因為它高度依賴解決方案的架構。

例如，有些合作夥伴會建置 Python 應用程式，以部署為 AWS CloudFormation 指令碼。指令碼會從客戶環境收集合作夥伴的調查結果，將其轉換為 ASFF，並將其傳送至 Security Hub 區域端點。

其他合作夥伴會建置完整的精靈，為客戶提供一鍵式體驗，將問題清單推送至 Security Hub。
如何知道何時開始將問題清單傳送至 Security Hub？

Security Hub 支援 BatchImportFindings API 操作的部分批次授權，因此您可以將所有問題清單傳送給 Security Hub 給所有客戶。

如果您的部分客戶尚未訂閱 Security Hub，Security Hub 不會擷取這些調查結果。它只會擷取批次中的授權調查結果。
我需要完成哪些步驟，才能將問題清單傳送至客戶的 Security Hub 執行個體？
1. 確保已備妥正確的 IAM 政策。
2. 為帳戶啟用產品訂閱（資源政策）。使用 EnableImportFindingsForProduct API 操作或整合頁面。客戶可以這樣做，或者您可以使用跨帳戶角色來代表客戶採取行動。
3. 請確定調查結果ProductArn的是您產品的公有 ARN。
4. 請確定調查結果AwsAccountId的是客戶的帳戶 ID。
5. 根據 AWS 安全調查結果格式 (ASFF)，確保您的調查結果沒有任何格式不正確的資料。例如，會填入必要欄位，而且沒有無效的值。
6. 將問題清單批次傳送至正確的區域端點。
我必須具備哪些 IAM 許可才能傳送問題清單？

必須針對呼叫或其他 API 呼叫的 IAM 使用者BatchImportFindings或角色設定 IAM 政策。

最簡單的測試是從管理員帳戶執行此操作。您可以將這些限制為 action: ‘securityhub:BatchImportFindings’和 resource: <productArn and/or productSubscriptionArn>。

相同帳戶中的資源可以使用 IAM 政策設定，而不需要資源政策。

若要排除來自發起人的 IAM 政策問題BatchImportFindings，請為發起人設定 IAM 政策，如下所示：
```
{
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}
```
請務必檢查呼叫者沒有Deny政策。取得該政策以使用之後，您可以將政策限制為下列內容：
```
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}
```
什麼是產品訂閱？

若要從特定合作夥伴產品接收問題清單，客戶（或具有代表客戶的跨帳戶角色的合作夥伴）必須建立產品訂閱。若要從主控台執行此操作，他們會使用整合頁面。若要從 API 執行此操作，他們會使用 EnableImportFindingsForProduct API 操作。

產品訂閱會建立資源政策，授權合作夥伴的調查結果由客戶接收或傳送。如需詳細資訊，請參閱整合使用案例和必要的許可。

Security Hub 有下列類型的合作夥伴資源政策：
- BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
- BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
在合作夥伴加入程序中，您可以請求一種或兩種類型的政策。

使用 BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT時，您只能從產品 ARN 中列出的帳戶將問題清單傳送至 Security Hub。

使用時BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT，您只能從訂閱您的客戶帳戶傳送問題清單。
假設客戶建立了管理員帳戶，並新增了幾個成員帳戶。客戶是否需要訂閱每個成員帳戶？或者，客戶是否只訂閱管理員帳戶，然後我可以針對所有成員帳戶中的資源傳送問題清單？

此問題會根據管理員帳戶註冊，詢問是否已為所有成員帳戶建立許可。

客戶必須為每個帳戶設定產品訂閱。他們可以透過 API 以程式設計方式執行此操作。
什麼是我的產品 ARN？

您的產品 ARN 是 Security Hub 為您產生的唯一識別符，用於提交問題清單。您會收到與 Security Hub 整合之每個產品的產品 ARN。正確的產品 ARN 必須是您傳送至 Security Hub 的每個調查結果的一部分。沒有產品 ARN 的調查結果會遭到捨棄。產品 ARN 使用以下格式：

arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

請見此處範例：

arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

針對部署 Security Hub 的每個區域，您會收到產品 ARN。帳戶 ID、公司和產品名稱是由您的合作夥伴資訊清單提交所決定。除了區域碼之外，您永遠不會變更任何與您產品 ARN 相關聯的資訊。區域碼必須符合您提交調查結果的區域。

常見的錯誤是變更帳戶 ID，以符合您目前工作的帳戶。帳戶 ID 不會變更。您提交「主」帳戶 ID 做為資訊清單提交的一部分。此帳戶 ID 會鎖定在您的產品 ARN 中。

當 Security Hub 在新區域中啟動時，會自動使用標準區域代碼來產生這些區域的產品 ARNs。

每個帳戶也會自動使用私有產品 ARN 佈建。您可以在收到官方公有產品 ARN 之前，使用此 ARN 來測試您開發帳戶中的匯入問題清單。
應使用哪種格式將問題清單傳送至 Security Hub？

問題清單必須以 AWS 安全問題清單格式 (ASFF) 提供。如需詳細資訊，請參閱AWS Security Hub 《使用者指南》中的AWS 安全調查結果格式 (ASFF)。

預期您的原生調查結果中的所有資訊都會完全反映在 ASFF 中。自訂欄位，例如 ProductFields和 Resource.Details.Other可讓您將不適合的資料映射到預先定義的欄位。
要使用的正確區域端點是什麼？

您必須將問題清單傳送至與客戶帳戶相關聯的 Security Hub 區域端點。
哪裡可以找到區域端點的清單？

請參閱 Security Hub 端點清單。
我可以提交跨區域調查結果嗎？

Security Hub 尚不支援跨區域提交原生 AWS 服務的調查結果，例如 Amazon GuardDuty、Amazon Macie 和 Amazon Inspector。如果您的客戶允許，Security Hub 不會阻止您提交來自不同區域的調查結果。

在這種情況下，您可以從任何地方呼叫區域端點，ASFF 的資源資訊不必符合端點的區域。不過， ProductArn 必須符合端點的區域。
傳送問題清單批次的規則和準則是什麼？

您最多可以在的單一呼叫中批次處理 100 個問題清單或 240 KBBatchImportFindings。將問題清單排入佇列並盡可能批次處理，直到達到此限制為止。

您可以從不同的帳戶批次處理一組問題清單。不過，如果批次中的任何帳戶未訂閱 Security Hub，則整個批次會失敗。這是 API Gateway 基準授權模型的限制。

請參閱使用 BatchImportFindings API 的指導方針。
我可以將更新傳送到我建立的問題清單嗎？

是，如果您提交具有相同產品 ARN 和相同問題清單 ID 的問題清單，則會覆寫該問題清單的先前資料。請注意，所有資料都會遭到覆寫，因此您應該提交完整的調查結果。

會針對新調查結果和調查結果更新來衡量和計費客戶。
我可以將更新傳送到其他人建立的調查結果嗎？

是，如果客戶授予您 BatchUpdateFindings API 操作的存取權，您可以使用該操作更新特定欄位。此操作旨在供客戶、SIEMs、票證系統和安全協調、自動化和回應 (SOAR) 平台使用。
問題清單如何過時？

Security Hub 會在上次更新日期後 90 天淘汰問題清單。經過這段時間後，會從 Security Hub OpenSearch 叢集中清除過時的問題清單。

如果您使用相同的問題清單 ID 更新問題清單，且問題清單已過時，則會在 Security Hub 中建立新的問題清單。

客戶可以使用 CloudWatch Events 將問題清單移出 Security Hub。這樣做可讓所有調查結果傳送到客戶選擇的目標。

一般而言，Security Hub 建議您每 90 天建立新的問題清單，並且不要永遠更新問題清單。
Security Hub 設置了哪些節流？

Security Hub 會調節 GetFindings API 呼叫，因為存取問題清單的建議方法是使用 CloudWatch Events。

Security Hub 不會在 API Gateway 和 Lambda 調用強制執行的內部服務、合作夥伴或客戶上執行任何其他限流。
對於從來源服務傳送到 Security Hub 的問題清單，SLAs 或預期的時間或延遲為何？

目標是盡可能在初始問題清單和問題清單更新中保持接近即時的時間。您應該在問題清單建立後五分鐘內將問題清單傳送到 Security Hub。
如何從 Security Hub 接收問題清單？

若要接收問題清單，請使用下列其中一種方法。
- 所有調查結果都會自動傳送至 CloudWatch Events。客戶可以建立特定的 CloudWatch Events 規則，將問題清單傳送至特定目標，例如 SIEM 或 S3 儲存貯體。此功能取代了舊版 GetFindings API 操作。
- 使用 CloudWatch Events 進行自訂動作。Security Hub 可讓客戶從主控台中選取特定問題清單或問題清單群組，並對其採取動作。例如，他們可以將問題清單傳送到 SIEM、票證系統、聊天平台或修復工作流程。這將是客戶在 Security Hub 中執行的警示分類工作流程的一部分。這些稱為自訂動作。
  
  當使用者選取自訂動作時，會為這些特定問題清單建立 CloudWatch 事件。您可以利用此功能，並建置 CloudWatch Events 規則和目標，供客戶做為自訂動作的一部分使用。請注意，此功能不會用來自動將特定類型或類別的所有調查結果傳送至 CloudWatch Events。這是供使用者對特定問題清單採取動作。
  
  您可以使用自訂動作 API 操作，例如 CreateActionTarget，自動為您的產品建立可用的動作（例如使用 AWS CloudFormation 範本）。您也可以使用 CloudWatch Events 規則 API 操作來建立與自訂動作相關聯的對應 CloudWatch Events 規則。您也可以使用 AWS CloudFormation 範本建立 CloudWatch Events 規則，從 Security Hub 自動擷取所有調查結果或具有特定特性的所有調查結果。
受管安全服務提供者 (MSSP) 成為 Security Hub 合作夥伴有哪些要求？

您必須示範 Security Hub 如何作為交付給客戶服務的一部分。

您應該有說明您使用 Security Hub 的使用者文件。

如果 MSSP 是調查結果提供者，他們必須示範將調查結果傳送至 Security Hub。

如果 MSSP 只收到來自 Security Hub 的調查結果，他們必須至少有 AWS CloudFormation 範本來設定適當的 CloudWatch Events 規則。
非 MSSP APN 諮詢合作夥伴成為 Security Hub 合作夥伴有哪些要求？

如果您是 APN 諮詢合作夥伴，您可以成為 Security Hub 合作夥伴。您應該提交兩個私有案例研究，以了解您如何協助特定客戶執行下列作業。
- 使用客戶需要的 IAM 許可設定 Security Hub。
- 使用主控台中合作夥伴頁面上的組態指示，協助將已整合的獨立軟體廠商 (ISV) 解決方案連線至 Security Hub。
- 協助客戶進行自訂產品整合。
- 建立與客戶需求和資料集相關的自訂洞見。
- 建置自訂動作。
- 建置修復手冊。
- 建置符合 Security Hub 合規標準的 Quickstarts。這些必須由 Security Hub 團隊驗證。
案例研究不需要公開共享。
如何部署與客戶的 Security Hub 整合有哪些要求？

Security Hub 和合作夥伴產品之間的整合架構，在合作夥伴的解決方案運作方式方面，因合作夥伴而異。您應該確保整合的設定程序不會超過 15 分鐘。

如果您要將整合軟體部署到客戶 AWS 的環境，您應該利用 AWS CloudFormation 範本來簡化整合。有些合作夥伴已建立一鍵式整合，我們非常鼓勵這種方式。
我的文件要求是什麼？

您必須提供文件的連結，說明產品與 Security Hub 之間的整合和設定程序，包括範本的使用 AWS CloudFormation 。

該文件還應包含 ASFF 使用情況的相關資訊。具體而言，這應列出您用於不同調查結果的 ASFF 調查結果類型。如果您有任何預設洞見定義，建議您也在此包含這些定義。

考慮包含其他潛在資訊：
- 與 Security Hub 整合的使用案例
- 傳送的調查結果平均數量
- 您的整合架構
- 您執行和不支援的區域
- 問題清單建立和傳送到 Security Hub 之間的延遲
- 您是否更新問題清單
什麼是自訂洞見？

建議您為問題清單定義自訂洞見。Insights 是輕量的相互關聯規則，可協助客戶排定哪些問題清單和資源最需要關注和採取行動的優先順序。

Security Hub 具有 CreateInsight API 操作。您可以在客戶帳戶內建立自訂洞見，做為 AWS CloudFormation 範本的一部分。這些洞見會出現在客戶的主控台上。
我可以提交儀表板小工具嗎？

否，目前沒有。您只能建立受管洞見。
您的定價模式為何？

請參閱 Security Hub 定價資訊。
作為整合的最終核准程序的一部分，如何將調查結果提交至 Security Hub 示範帳戶？

使用您提供的產品 ARN，使用 us-west-2做為區域，將問題清單傳送至 Security Hub 示範帳戶。調查結果應該包含 ASFF AwsAccountId 欄位中的示範帳戶號碼。若要取得示範帳戶號碼，請聯絡 Security Hub 團隊。

請勿將任何敏感資料或個人身分識別資訊傳送給我們。此資料用於公開示範。當您傳送此資料給我們時，您即授權我們在示範中使用它。
BatchImportFindings提供哪些錯誤或成功訊息？

Security Hub 提供授權的回應和的回應BatchImportFindings。更清晰的成功、失敗和錯誤訊息正在開發中。
來源服務負責處理什麼錯誤？

來源服務負責處理所有錯誤。它們必須處理錯誤訊息、重試、限流和警示。他們也必須處理透過 Security Hub 意見回饋機制傳送的意見回饋或錯誤訊息。
常見問題有哪些解決方法？

AuthorizerConfigurationException 是由格式不正確AwsAccountId或引起的ProductArn。

故障診斷時，請注意下列事項：
- AwsAccountId 必須是 12 位數。
- ProductArn 必須採用下列格式：arn：aws：securityhub：<us-west-2 或 us-east-1>：<accountId>：product/<company-id>/<product-id>
  
  帳戶 ID 不會與 Security Hub 團隊提供給您的產品 ARNs中包含的 ID 不同。
AccessDeniedException 當問題清單傳送至錯誤帳戶或從錯誤帳戶傳送，或帳戶沒有時，就會產生ProductSubscription。錯誤訊息將包含資源類型為 product或的 ARNproduct-subscription。此錯誤只會在跨帳戶呼叫期間發生。如果您在 AwsAccountId和中使用BatchImportFindings自己的帳戶呼叫相同帳戶ProductArn，操作會使用 IAM 政策，而且與無關ProductSubscriptions。

請確定您使用的客戶帳戶和產品帳戶是實際註冊的帳戶。有些合作夥伴已使用產品 ARN 中產品的帳戶號碼，但請嘗試使用完全不同的帳戶來呼叫 BatchImportFindings。在其他情況下，它們會ProductSubscriptions為其他客戶帳戶建立，甚至為自己的產品帳戶建立。他們沒有ProductSubscriptions為嘗試匯入問題清單的客戶帳戶建立。
要將問題、評論和錯誤傳送到哪裡？

<securityhub-partners@amazon.com>
對於與全球 AWS 服務相關的項目，我要將問題清單傳送到哪個區域？例如，我可以將 IAM 相關調查結果傳送到哪裡？

將問題清單傳送到偵測到問題清單的相同區域。對於 IAM 等服務，您的解決方案可能會在多個區域中發現相同的 IAM 問題。在此情況下，調查結果會傳送至偵測到問題的每個區域。

如果客戶在三個區域中執行 Security Hub，而且全部三個區域中都偵測到相同的 IAM 問題，則將調查結果傳送至全部三個區域。

問題解決時，請將問題清單的更新傳送至您傳送原始問題清單的所有區域。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

產品準備檢查清單

文件歷史紀錄