本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Security Hub 合作伙伴常见问题解答
以下是与 Amazon Security Hub集成相关的设置和维护常见问题。
-
Security Hub 集成有哪些好处?
-
客户满意度:与 Security Hub 集成的首要原因是您的客户有此方面的需求。
Security Hub 是 Amazon 客户的安全与合规中心。它被设计为 Amazon 安全和合规专业人员每天前往的第一站,以了解他们的安全与合规状态。
倾听您客户的意见。他们会告诉您是否想在 Security Hub 看到您的调查发现。
-
发现机会:我们在 Security Hub 控制台内推广进行过认证集成的合作伙伴(包括其 Amazon Web Services Marketplace 列表链接)。这是客户发现新安全产品的好方法。
-
营销机会 — 集成获得批准的供应商可以参加网络研讨会、发布新闻稿、创建精美表格,并向客户展示其集成。 Amazon
-
-
合作伙伴分为哪几类?
-
向 Security Hub 发送调查发现的合作伙伴
-
从 Security Hub 接收调查发现的合作伙伴
-
既发送也接收调查发现的合作伙伴
-
帮助客户在其环境中设置、自定义和使用 Security Hub 的咨询合作伙伴
-
-
合作伙伴如何与 Security Hub 进行高层次集成?
您可以从客户账户或自己的 Amazon 账户中收集调查结果,然后将调查结果的格式转换为 Amazon 安全调查结果格式 (ASFF)。然后,您可将这些调查发现推送到相应的 Security Hub 区域端点。
您还可以使用 CloudWatch 事件来接收来自 Security Hub 的调查结果。
-
完成与 Security Hub 集成的基本步骤是什么?
-
提交您的合作伙伴清单信息。
-
如果您 ARNs 要向 Security Hub 发送调查结果,请接收产品以与 Security Hub 配合使用。
-
将您的调查发现映射到 ASFF。请参阅将调查结果映射到 Amazon 安全调查结果格式 (ASFF) 的指南。
-
定义一个架构,将其用于向 Security Hub 发送调查发现和从 Security Hub 接收调查发现。遵循创建和更新调查发现的原则中概述的原则。
-
为客户创建部署框架。例如, Amazon CloudFormation 脚本可以达到这个目的。
-
记录您的设置并为客户提供配置说明。
-
定义客户可在您的产品中使用的任何自定义见解(关联规则)。
-
向 Security Hub 团队演示您的集成。
-
提交营销信息(网站语言、新闻稿、架构幻灯片、视频、宣传单)以供批准。
-
-
提交合作伙伴清单的流程是什么? Amazon 服务如何向 Security Hub 发送调查发现?
请使用
<securityhub-partners@amazon.com>
向 Security Hub 团队提交清单信息。您 ARNs 将在七个日历日内收到商品。
-
我应该向 Security Hub 发送哪些类型的调查发现?
Security Hub 定价一定程度上基于所接收的调查发现数量。因此,您应避免发送无法为客户带来价值的调查发现。
例如,一些漏洞管理供应商只发送通用漏洞评分系统(CVSS)评分达 3 分或以上分数(满分 10 分)的调查发现。
-
有哪些方法可以将调查发现发送到 Security Hub?
主要方法如下:
-
您可以使用该
BatchImportFindings
操作从他们自己的指定 Amazon 账户发送调查结果。 -
您可以使用
BatchImportFindings
操作从客户账户内发送调查发现。您可以使用代入角色的方法,但这些方法并不是必需的。
有关使用
BatchImportFindings
的综合指南,请参阅 BatchImportFindings API 的使用准则。 -
-
如何收集我的调查发现并将其推送到 Security Hub 区域端点?
由于这高度依赖于您的解决方案架构,为此,合作伙伴使用了不同的方法。
例如,一些合作伙伴构建了一个可以作为 Amazon CloudFormation 脚本部署的 Python 应用程序。该脚本从客户环境中收集合作伙伴的调查发现,将其转换为 ASFF,然后将其发送到 Security Hub 区域端点。
其他合作伙伴构建了一个完整的向导,可让客户一键将调查发现推送到 Security Hub。
-
怎么知道何时开始向 Security Hub 发送调查发现?
Security Hub 支持对
BatchImportFindings
API 操作进行部分批量授权,因此您可以将所有调查发现发送到 Security Hub,供所有客户使用。如果您的某些客户尚未订阅 Security Hub,则 Security Hub 不会接收这些调查发现。它只会接收批次中经过授权的调查发现。
-
需要完成哪些步骤才能将调查发现发送到客户的 Security Hub 实例?
-
确保采用正确的 IAM policy。
-
为账户启用产品订阅(资源策略)。使用
EnableImportFindingsForProduct
API 操作或集成页面。客户可以执行此操作,您也可以使用跨账户角色代表客户行事。 -
确保调查发现的
ProductArn
是您产品的公有 ARN。 -
确保调查发现的
AwsAccountId
是客户的账户 ID。 -
根据 Amazon 安全调查结果格式 (ASFF),确保您的发现没有任何格式错误的数据。例如,必填字段均已填写,并且没有无效值。
-
将调查发现分批发送到正确的区域端点。
-
-
我必须拥有哪些 IAM 权限才能发送调查发现?
必须为调用
BatchImportFindings
其他 API 调用的 IAM 用户或角色配置 IAM policy。最简单的测试方法是使用管理员帐户执行此操作。您可以将其限制为
action: ‘securityhub:BatchImportFindings’
和resource:
。<productArn and/or productSubscriptionArn>
同一账户中的资源可以使用 IAM policy 进行配置,而无需资源策略。
要排除调用方的 IAM policy 问题
BatchImportFindings
,请按如下方式为调用方设置 IAM policy:{ Action: 'securityhub:*', Effect: 'Allow', Resource: '*' }
请务必检查有无针对调用方的
Deny
策略。在您使用它之后,便可将策略限制为以下内容:{ Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:
<region>
:<account>
:product/mycompany/myproduct' }, { Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>
:*:product-subscription/mycompany/myproduct' } -
什么是产品订阅?
要接收特定合作伙伴产品的调查发现,客户(或代表客户工作的具有跨账户角色的合作伙伴)必须订阅产品。要通过控制台执行此操作,客户需要使用集成 页面。要通过 API 执行此操作,则客户使用
EnableImportFindingsForProduct
API 操作。产品订阅会创建资源策略,授权客户接收或发送来自合作伙伴的调查发现。有关详细信息,请参阅集成使用案例和所需权限。
Security Hub 为合作伙伴制定了以下类型的资源策略:
-
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
-
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
在合作伙伴入驻过程中,您可以申请一种或两种类型的策略。
使用
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT
,您只能从您产品 ARN 中列出的账户向 Security Hub 发送调查发现。使用
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
,您只能从订阅您的客户账户发送调查发现。 -
-
假设客户创建了一个管理员帐户并添加了几个成员帐户。客户需要向我订阅每个成员账户吗? 还是客户只需从管理员账户订阅,然后我就可以针对所有成员账户中的资源发送调查发现?
此问题问的是能否根据管理员账户的注册情况为所有成员账户创建权限。
客户必须为每个账户订阅产品。他们可以通过 API 以编程方式执行此操作。
-
我的产品 ARN 是什么?
您的产品 ARN 是 Security Hub 为您生成的唯一标识符,供您提交调查发现。每与 Security Hub 集成一款产品,您都会收到一个产品 ARN。您发送给 Security Hub 的每份调查发现都必须包含正确的产品 ARN。不包含产品 ARN 的调查发现将被删除。产品 ARN 使用以下格式:
arn:aws:securityhub:
[region code]
:[account ID]
:product/[company name]
/[product name]
示例如下:
arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro
对于部署了 Security Hub 的每个区域,您都会获得一个产品 ARN。账户 ID、公司和产品名称由您提交的合作伙伴清单决定。除了区域代码外,您绝不会更改与您产品 ARN 相关的任何信息。区域代码必须与您提交调查发现的区域相匹配。
一个常见错误是更改账户 ID,以匹配您当前使用的账户。账户 ID 不会改变。您提交含有“家庭”账户 ID 的清单。此账户 ID 已锁定在您的产品 ARN 中。
当 Security Hub 在新区域启动时,它会自动使用标准区域代码 ARNs 为这些区域生成您的产品。
每个账户还会自动配置私有产品 ARN。在收到官方公有产品 ARN 之前,您可以使用此 ARN 在自己的开发账户中测试导入调查发现。
-
向 Security Hub 发送调查发现应使用何种格式?
必须以 Amazon 安全调查结果格式 (ASFF) 提供调查结果。有关详情,请参阅《Amazon Security Hub 用户指南》中的 Amazon 安全调查发现格式(ASFF)。
我们期望,您本机调查发现中的所有信息都能完全反映在 ASFF 中。自定义字段(例如
ProductFields
和Resource.Details.Other
)允许您映射不完全适合预定义字段的数据。 -
哪个应使用的区域端点是正确的?
您必须将调查发现发送到关联了客户账户的 Security Hub 区域端点。
-
在哪里可以找到区域端点列表?
请参阅 Security Hub 端点列表。
-
我能否提交跨区域调查发现?
Security Hub 尚不支持跨区域提交原生 Amazon 服务(例如亚马逊 GuardDuty、亚马逊 Macie 和 Amazon Inspector)的调查结果。如果您的客户允许,Security Hub 不会阻止您从不同区域提交调查发现。
从这个意义上讲,您可以从任何地方调用区域端点,而且 ASFF 的资源信息不必与端点区域相匹配。但是,
ProductArn
必须与端点区域相匹配。 -
批量发送调查发现的规则和指导方针是什么?
在
BatchImportFindings
的单次调用中,您可以批处理多达 100 个或 240KB 的调查发现。排队并批量处理尽可能多的调查发现,但不超过此限制。您可以批量分析来自不同账户的一组调查发现。但是,如果批次中有任何账户未订阅 Security Hub,则整个批次都将失败。这是 API Gateway 基准授权模型的局限性。
-
我能否向我创建的调查发现发送更新?
可以,如果您提交具有相同产品 ARN 和相同调查发现 ID 的调查发现,它会覆盖该调查发现的先前数据。请注意,所有数据都将被覆盖,因此您应该提交完整的调查发现。
新调查发现和调查发现更新都会对客户进行计量和计费。
-
我能否向其他人创建的调查发现发送更新?
可以,如果客户授予您访问
BatchUpdateFindings
API 操作的权限,则您可以使用该操作更新某些字段。此操作旨在供客户、 SIEMs票务系统以及安全编排、自动化和响应 (SOAR) 平台使用。 -
调查发现的过时机制是怎样的?
Security Hub 会将上次更新日期在 90 天前的调查发现视为已过时。此后,将从 Security Hub 集群中清除已过期的搜索结果。 OpenSearch
如果您使用相同的调查发现 ID 更新调查发现,而该调查发现已过时,则会在 Security Hub 中创建新的调查发现。
客户可以使用 CloudWatch 事件将发现结果移出 Security Hub。这样做可以将所有调查发现发送给客户选择的目标。
通常,Security Hub 建议您每 90 天创建一次新的调查发现,并且不要永远更新调查发现。
-
Security Hub 设置了哪些节流措施?
Security Hub 会限制
GetFindings
API 调用,因为访问结果的推荐方法是使用 CloudWatch 事件。除了 API Gateway 和 Lambda 调用强制执行的节流措施之外,Security Hub 不会对内部服务、合作伙伴或客户实施任何其他节流措施。
-
从源服务发送到 Security Hub 的调查结果的及时性、延迟时间 SLAs 或期望值如何?
我们的目标是尽可能实时地获取初步调查发现和最新调查发现。您应在创建调查发现后五分钟内将其发送到 Security Hub。
-
如何接收来自 Security Hub 的调查发现?
请使用以下任意一种方法接收调查发现。
-
所有发现的结果都会自动发送到 CloudWatch 活动。客户可以创建特定的 CloudWatch 事件规则,将调查结果发送到特定目标,例如 SIEM 或 S3 存储桶。此功能取代了传统的
GetFindings
API 操作。 -
使用 CloudWatch 事件进行自定义操作。Security Hub 允许客户从控制台选择特定的调查发现或调查发现组并对其采取行动。例如,他们可以将调查发现发送到 SIEM、票务系统、聊天平台或修复工作流程。这将是客户在 Security Hub 中执行的警报分类工作流程的一部分。这些操作称为自定义操作。
当用户选择自定义操作时,将针对这些特定发现创建一个 CloudWatch 事件。您可以利用此功能构建 CloudWatch 事件规则和目标,供客户在自定义操作中使用。请注意,此功能不用于将特定类型或类别的所有发现结果自动发送到 Ev CloudWatch ents。用户可以根据具体的调查发现采取行动。
您可以使用自定义操作 API 操作(例如)自动为您的产品创建可用操作(例如使用 Amazon CloudFormation 模板)。
CreateActionTarget
您还可以使用 CloudWatch 事件规则 API 操作来创建与自定义操作关联的相应 CloudWatch 事件规则。使用 Amazon CloudFormation 模板,您还可以创建 CloudWatch 事件规则,自动从 Security Hub 获取所有发现或具有特定特征的所有发现。
-
-
托管安全服务提供商(MSSP)成为 Security Hub 合作伙伴的要求是什么?
您必须演示如何在向客户交付服务的过程中使用 Security Hub。
您应该准备用户文档来阐述您如何使用 Security Hub。
如果 MSSP 是调查发现提供商,则他们必须证明已将调查发现发送到 Security Hub。
如果 MSSP 只收到来自 Security Hub 的调查结果,则他们必须至少有一个 Amazon CloudFormation 模板来设置相应 CloudWatch 的事件规则。
-
非 MSSP APN 咨询合作伙伴要成为 Security Hub 合作伙伴需要满足哪些条件?
如果您是 APN 咨询合作伙伴,您可以成为 Security Hub 合作伙伴。您应该提交两份私人案例研究,说明您如何帮助特定客户完成以下工作。
-
使用客户所需的 IAM 权限设置 Security Hub。
-
使用控制台合作伙伴页面上的配置说明,帮助将已经集成的独立软件供应商(ISV)解决方案连接到 Security Hub。
-
帮助客户进行定制产品集成。
-
生成与客户需求和数据集相关的自定义见解。
-
创建自定义操作。
-
制作修复行动手册。
-
构建符合 Security Hub 合规标准的快速入门程序。这些必须经过 Security Hub 团队的验证。
案例研究无需公开分享。
-
-
向客户部署我与 Security Hub 的集成有哪些要求?
Security Hub 与合作伙伴产品之间的集成架构因合作伙伴解决方案的运作方式而异。您应确保集成的设置过程不超过 15 分钟。
如果您要将集成软件部署到客户的 Amazon 环境中,则应利用 Amazon CloudFormation 模板来简化集成。一些合作伙伴创建了一键集成,这是我们强烈推荐的做法。
-
我的文档要求是什么?
您必须提供文档链接,说明您的产品与 Security Hub 之间的集成和设置过程,包括 Amazon CloudFormation 模板的使用。
该文档还应包括您使用 ASFF 的相关信息。具体而言,您应在文档中列出不同调查发现所使用的 ASFF 调查发现类型。如果您拥有任何默认的见解定义,我们建议您也将其纳入文档中。
考虑纳入其他可能的信息:
-
您与 Security Hub 集成的使用案例
-
所发送调查发现的平均数量
-
您的集成架构
-
您支持和不支持的区域
-
从创建调查发现到将其发送到 Security Hub 之间的延迟
-
是否更新调查发现
-
-
什么是自定义见解?
我们鼓励您为自己的调查发现定义自定义见解。见解是一种轻量级关联规则,可帮助客户优先考虑哪些调查发现和资源最需要关注和采取行动。
Security Hub 拥有
CreateInsight
API 操作。作为 Amazon CloudFormation 模板的一部分,您可以在客户账户中创建自定义见解。这些见解将显示在客户的控制台上。 -
我可以提交控制面板小部件吗?
目前不可以。您只能创建托管见解。
-
您的定价模式是什么?
-
在集成的最终批准流程中,我应如何向 Security Hub 模拟账户提交调查发现?
使用您提供的产品 ARN 将调查发现发送到 Security Hub 模拟账户,并将
us-west-2
用作区域。调查发现应包括 ASFFAwsAccountId
字段中的模拟账户号码。要获取模拟账号,请联系 Security Hub 团队。请勿向我们发送任何敏感数据或个人身份信息。此数据用于公开演示。您向我们发送这些数据,即表示您授权我们在演示中使用这些数据。
-
BatchImportFindings
提供了哪些错误或成功消息?Security Hub 提供授权响应和
BatchImportFindings
响应。我们还在开发更多条理清晰的成功、失败和错误消息。 -
源服务负责处理哪些错误?
源服务负责处理所有错误。他们必须处理错误消息、重试、节流和警报。他们还必须处理通过 Security Hub 反馈机制发送的反馈或错误消息。
-
常见问题有哪些解决方法?
AuthorizerConfigurationException
是由格式错误的AwsAccountId
或ProductArn
造成的。在问题排查期间,请注意以下要求:
-
AwsAccountId
必须精确为 12 位数字。 -
ProductArn
必须采用以下格式:arn: aws: securityHub::: product//<us-west-2 or us-east-1>
<accountId>
<company-id>
<product-id>
账户 ID 与 Security Hub 团队在提供给您的产品 ARNs 中包含的账号 ID 没有变化。
造成
AccessDeniedException
的原因是调查发现发送给或来自错误的账户,或者该账户没有ProductSubscription
。错误消息将包含资源类型为product
或product-subscription
的 ARN。此错误仅在跨账户调用期间出现。如果您在AwsAccountId
和ProductArn
中使用自己的账户为同一账户调用BatchImportFindings
,则该操作将使用 IAM policy 且与ProductSubscriptions
无关。请确保您使用的客户账户和产品账户是实际注册的账户。一些合作伙伴使用了产品 ARN 中的产品账号,但会尝试使用完全不同的账户调用
BatchImportFindings
。在其他情况下,他们为其他客户账户甚至是为自己的产品账户创建ProductSubscriptions
。他们不为试图导入调查发现的客户账户创建ProductSubscriptions
。 -
-
我应该向哪里发送问题、评论和错误?
-
有关全球 Amazon 服务的项目,我应该向哪个地区发送调查发现? 例如,我应将与 IAM 相关的调查发现发送到哪里?
您应将调查发现发送到检测出调查发现的区域。对于 IAM 这类的服务,您的解决方案可能会在多个区域发现相同的 IAM 问题。在这种情况下,您应将调查发现发送到检测出问题的各个区域。
如果客户在三个区域运行 Security Hub,并在所有三个区域都检测出相同的 IAM 问题,您应将调查发现发送到所有三个区域。
问题解决后,您还应将调查发现的更新信息发送到您发送了原始调查发现的所有区域。