本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
產品準備情況清單
所以此AWS Security Hub和 APN 合作夥伴團隊使用此清單來驗證集成是否已準備好啟動。
ASFF 映射
這些問題與您的查找結果映射到AWS安全問題清單格式 (ASFF)。
- 合作夥伴的所有查找數據是否都映射到 ASFF 中?
-
以某種方式將您的所有調查結果映射到 ASFF。
使用精選字段,例如建模資源類型、
Network、Malware, 或ThreatIntelIndicators。將其他任何東西映射到
Resource.Details.Other或者ProductFields視需要採取行動. - 合作夥伴是否使用
Resource.Details字段,例如AwsEc2instance、AwsS3Bucket,以及Container? 合作夥伴是否使用Resource.Details.Other來定義未在 ASFF 中建模的資源詳細信息? -
請儘可能將提供的欄位用於您的調查結果中的 EC2 實例、S3 存儲桶和安全組等精選資源。
將與資源相關的其他信息映射到
Resource.Details.Other只有在沒有直接匹配的情況下。 - 夥伴是否將值映射到
UserDefinedFields? -
請勿使用
UserDefinedFields。考慮使用另一個策劃字段,例如
Resource.Details.Other或者ProductFields。 - 合作夥伴是否將信息映射到
ProductFields可以映射到其他 ASFF 字段中? -
僅使用
ProductFields,瞭解特定於產品的信息,例如版本控制信息、特定於產品的嚴重性查找結果或其他無法映射到精選字段的信息,或Resources.Details.Other。 - 合作夥伴是否導入自己的時間戳
FirstObservedAt? -
所以此
FirstObservedAt時間戳用於記錄在產品中觀察到查找結果的時間。如果可能的話,映射此字段。 - 合作夥伴是否為每個查找標識符提供唯一值,但他們想要更新的查找結果除外?
-
Security Hub 中的所有查找結果都在查找標識符(
Id屬性)。此值必須始終是唯一的,以確保不會意外更新查找結果。您還應該維護查找結果標識符狀態,以便更新查找結果。
- 合作夥伴是否提供將查找結果映射到生成器 ID 的值?
-
GeneratorID不應該具有與查找 ID 相同的值。GeneratorID應該能夠通過生成它們的內容邏輯鏈接發現。這可以是產品中的子組件(產品 A-漏洞與產品 A-EDR)或類似的東西。
- 合作夥伴是否以與其產品相關的方式使用所需的查找類型命名空間? 合作夥伴是否在其查找類型中使用推薦的查找類型類別或分類符?
-
查找結果類型分類應緊密映射到產品生成的結果。
第一級命名空間在AWS安全問題清單格式為必填項。
您可以將自定義值用於二級和三級命名空間(類別或分類符)。
- 合作夥伴是否捕獲網絡流信息
Network字段,如果它們有網絡數據? -
如果您的產品捕獲NetFlow信息,請將其映射到
Network欄位。 - 夥伴捕獲進程 (PID) 信息是否在
Process字段,如果它們有過程數據? -
如果您的產品捕獲了流程信息,請將其映射到
Process欄位。 - 合作夥伴是否捕獲
Malware字段,如果它們有惡意軟件數據? -
如果您的產品捕獲惡意軟件信息,請將其映射到
Malware欄位。 - 合作夥伴是否捕獲威脅情報信息
ThreatIntelIndicators字段,如果它們有威脅情報數據? -
如果您的產品捕獲威脅情報信息,請將其映射到
ThreatIntelIndicators欄位。 - 合作夥伴是否為調查結果提供信心評級? 如果這樣做,是否提供了理由?
-
無論何時使用此字段,請在文檔和清單中提供理由。
- 合作夥伴是否使用規範 ID 或 ARN 作為查找結果中的資源 ID?
-
識別時AWS資源,最佳做法是使用 ARN。如果 ARN 不可用,請使用規範資源 ID。
集成設置和功能
這些問題與設置和day-to-day函數的集成。
- 合作夥伴是否提供infrastructure-as-code(iAC) 模板以部署與 Security Hub 的集成,例如 Terraform、AWS CloudFormation, 或AWS Cloud Development Kit (AWS CDK)?
-
對於將從客户帳户發送調查結果的集成或使用CloudWatch使用查找結果的事件,需要某種形式的 iAC 模板。
AWS CloudFormation是首選的,但AWS CDK也可以使用地形模型。
- 合作夥伴產品是否在控制台上進行一鍵式設置,以便與 Security Hub 集成?
-
某些合作夥伴產品在其產品中使用切換或類似機制來激活集成。這可能需要自動配置資源和權限。如果您從產品帳户發送查找結果,則首選方法是一鍵式設置。
- 合作夥伴是否只發送有價值的調查結果?
-
通常,您只應將具有安全價值的查找結果發送給 Security Hub 客户。
Security Hub 不是常規日誌管理工具。您不應將所有可能的日誌發送到 Security Hub。
- 合作夥伴是否對每位客户每天發送多少發現以及頻率(平均和突發頻率)提供了估計?
-
唯一查找結果的數量用於計算 Security Hub 上的負載。唯一查找結果定義為具有與其他查找結果不同的 ASFF 映射的查找結果。
例如,如果一個查找結果僅填充
ThreatIntelndicators和另一個僅填充Resources.Details.AWSEc2Instance,這些是兩個獨特的發現。 - 合作夥伴是否有處理 4xx 和 5xx 錯誤的優雅方式,以便它們不受限制,並且所有發現都可以在以後發送?
-
目前,在
BatchImportFindingsAPI 操作。如果返回 4xx 或 5xx 錯誤,則必須保留這些失敗的查找結果的狀態,以便以後可以全面重試它們。您可以通過死信隊列或其他AWS消息傳送服務,如 Amazon SNS 或 Amazon SQS。 - 合作夥伴是否維護其調查結果的狀態,以便他們知道存檔不再存在的調查結果?
-
如果計劃通過覆蓋原始查找結果 ID 來更新查找結果,則必須具有保留狀態的機制,以便更新正確的信息以獲得正確的查找結果。
如果您提供查找結果,請勿使用
BatchUpdateFindings操作來更新查找結果。此操作應僅供客户使用。您只能使用BatchUpdateFindings當您調查問題並採取動作時。 - 合作夥伴是否以不影響先前發送的成功發現的方式處理重試?
-
您應該有一種機制來在出現錯誤的情況下保留原始查找 ID,以便您不會複製或覆蓋錯誤的成功查找結果。
- 合作夥伴是否通過調用
BatchImportFindings操作與現有查找的查找 ID? -
要更新查找結果,您必須通過提交相同的查找結果 ID 來覆蓋現有查找結果。
所以此
BatchUpdateFindings操作應僅由客户使用。 - 合作夥伴是否使用
BatchUpdateFindingsAPI? -
如果您對查找結果採取操作,則可以使用
BatchUpdateFindings操作來更新特定字段。 - 合作夥伴是否提供有關創建查找結果和從其產品發送到 Security Hub 之間的延遲量的信息?
-
您應該最大限度地減少延遲,以確保客户能夠儘快在 Security Hub 中看到調查結果。
此信息在清單中是必需的。
- 如果合作夥伴的體繫結構要將調查結果從客户帳户發送到 Security Hub,他們是否成功證明瞭這一點? 如果合作夥伴的體繫結構要從他們自己的帳户向 Security Hub 發送調查結果,他們是否成功證明瞭這一點?
-
在測試過程中,必須從您擁有的帳户中成功發送查找結果,該帳户與為產品 ARN 提供的帳户不同。
從產品 ARN 所有者的帳户發送查找結果可以繞過 API 操作中的某些錯誤異常。
- 合作夥伴是否向 Security Hub 提供檢測信號查找?
-
要顯示您的集成工作正常,您應該發送檢測信號查找。檢測信號查找每五分鐘發送一次,並使用查找類型
Heartbeat。如果您從產品帳户發送調查結果,這一點非常重要。
- 在測試過程中,合作夥伴是否與 Security Hub 產品團隊的帳户集成?
-
在生產前驗證期間,您應將查找示例發送到 Security Hub 產品團隊AWS帳户。這些示例表明發現的發送和映射正確。
文件
這些問題與您提供的集成文檔有關。
- 合作夥伴是否將其文檔託管在專用網站上?
-
文檔應作為靜態網頁、Wiki、閲讀文檔或其他專用格式託管在您的網站上。
託管文檔GitHub不符合專用網站要求。
- 合作夥伴文檔是否提供了有關如何設定 Security Hub 集成的説明?
-
您可以使用 iAC 模板或基於控制台的「一鍵式」集成來設置集成。
- 合作夥伴文檔是否提供了對其使用案例的描述?
-
您在清單中提供的用例也應在
- 合作夥伴文檔是否為他們發送的調查結果提供了理由?
-
您應該為您發送的查找結果類型提供理由。
例如,您的產品可能會對漏洞、惡意軟件和防病毒產生查找結果,但您只會向 Security Hub 發送漏洞和惡意軟件查找結果。在這種情況下,您必須提供不發送防病毒查找結果的理由。
- 合作夥伴文檔是否為合作夥伴如何將其調查結果映射到 ASFF 提供了理由?
-
您應該提供將產品的本機查找結果映射到 ASFF 的理由。買家想知道在哪裏查找特定商品信息。
- 合作夥伴文檔是否提供有關合作夥伴如何更新結果的指導,如果他們更新調查結果?
-
向客户提供有關如何保留狀態、確保冪等信息,並使用up-to-date資訊。
- 合作夥伴文檔是否描述瞭如何查找延遲?
-
最大限度地減少延遲,以確保客户在 Security Hub 中儘快看到調查結果。
此信息在清單中是必需的。
- 合作夥伴文檔是否描述了其嚴重性評分如何與 ASFF 嚴重性評分對應?
-
提供有關如何映射
Severity.Original至Severity.Label。例如,如果嚴重性值是字母等級(A、B、C),則應提供有關如何將字母等級映射到嚴重性標籤的信息。
- 合作夥伴文檔是否提供信心評級的理由?
-
如果您提供置信度分數,則應對這些分數進行排名。
如果使用靜態填充置信度分數或衍生於人工智能或機器學習的映射,則應提供其他上下文。
- 合作夥伴文檔是否註明合作夥伴支持和不支持哪些地區?
-
注意支持或不受支持的區域,以便客户知道在哪些地區不嘗試集成。
產品卡資訊
這些問題與顯示在整合頁面上的 Security Hub 控制台。
- 是否提供AWS賬户 ID 有效且包含 12 位數字?
-
賬户標識符長度為 12 位數字。如果賬户 ID 包含少於 12 位數字,則產品 ARN 將無效。
- 商品描述是否包含 200 個或更少的字符?
-
清單中 JSON 中提供的商品描述不應超過 200 個字符(包括空格)。
- 配置鏈接是否導致集成文檔?
-
配置鏈接應導向您的聯機文檔。它不應該導致您的主網站或營銷頁面。
- 購買鏈接(如果提供)是否導致AWS Marketplace商品的商品信息?
-
如果您提供購買鏈接,則該鏈接必須是AWS Marketplace項目。Security Hub 不接受不由AWS。
- 商品類別是否正確描述了商品?
-
在清單中,您最多可以提供三個商品類別。這些應該與 JSON 匹配,並且不能自定義。您提供的商品類別不能超過三個。
- 公司名稱和產品名稱是否有效和正確?
-
公司名稱必須為 16 個或更少的字符。
商品名稱必須少於 24 個字符。
產品卡 JSON 中的商品名稱必須與清單中的名稱匹配。
行銷資訊
這些問題與集成的營銷有關。
- Security Hub 合作夥伴頁面的產品描述是否在 700 個字符內(包括空格)以內?
-
「Security Hub 合作夥伴」頁面僅接受最多 700 個字符(包括空格)。
團隊將編輯更長的描述。
- Security Hub 合作夥伴頁面徽標是否大於 600 x 300 像素?
-
提供一個公開訪問的 URL,其中包含 PNG 或 JPG 的公司徽標,該網址不超過 600 x 300 像素。
- Security Hub 合作夥伴頁面上的瞭解更多超鏈接是否會導致合作夥伴關於集成的專用網頁?
-
所以此進一步了解鏈接不應導致合作夥伴的主要網站或文檔信息。
此鏈接應始終轉到一個專門的網頁,其中包含有關集成的營銷信息。
- 合作夥伴是否提供演示或教學視頻瞭解如何使用他們的集成?
-
演示或集成演練視頻為選用操作,但建議您採用。
- 是一個AWS合作夥伴網絡博客文章是否與合作夥伴及其合作夥伴開發經理或合作夥伴開發代表一起發佈?
-
AWS合作夥伴網絡博客文章應提前與合作夥伴開發經理或合作夥伴發展代表協調。
這些文章與您自己創建的任何博客文章分開。
允許 4 至 6 周的交貨時間。這項工作應在使用專用產品 ARN 測試完成後開始。
- 是否正在發佈合作夥伴主導的新聞稿?
-
您可以與合作夥伴開發經理或合作夥伴開發代表合作,獲取外部安全服務副總裁的報價。您可以在新聞稿中使用此報價。
- 是否正在發佈合作夥伴主導的博客文章?
-
您可以創建自己的博客文章,以展示AWS合作夥伴網絡博客。
- 是否正在發佈合作夥伴主導的網絡研討會?
-
您可以建立自己的網絡研討會以展示整合。
如果您需要 Security Hub 團隊的幫助,請在使用專用產品 ARN 完成測試後與產品團隊合作。
- 合作夥伴是否請求社交媒體支持AWS?
-
在您的版本後,您可以使用AWS安全營銷導致使用AWS官方社交媒體渠道,分享有關您的網絡研討會的詳細信息。
