本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Security Hub CSPM合作伙伴常见问题解答
以下是与 Amazon Security Hub CSPM 集成相关的设置和维护常见问题。
-
集成 Security Hub CSPM 有什么好处?
-
客户满意度 — 与 Security Hub CSPM 集成的首要原因是因为您有客户要求这样做。
Security Hub CSPM 是面向客户的安全与合规中心。Amazon它被设计为Amazon安全和合规专业人员每天前往的第一站,以了解他们的安全与合规状态。
倾听您客户的意见。他们会告诉您是否想在 Security Hub 看到您的调查发现。
-
发现机会 — 我们在 Security Hub CSPM 控制台中推广经过认证的集成(包括其列表链接)的合作伙伴。Amazon Web Services Marketplace这是客户发现新安全产品的好方法。
-
营销机会 — 集成获得批准的供应商可以参加网络研讨会、发布新闻稿、创建精美表格,并向客户展示其集成。Amazon
-
-
合作伙伴分为哪几类?
-
向 Security Hub CSPM 发送调查结果的合作伙伴
-
收到 Security Hub CSPM 调查结果的合作伙伴
-
既发送也接收调查发现的合作伙伴
-
帮助客户在其环境中设置、自定义和使用 Security Hub CSPM 的咨询合作伙伴
-
-
合作伙伴与 Security Hub CSPM 的集成在高层次上是如何运作的?
您可以从客户账户或自己的Amazon账户中收集调查结果,然后将调查结果的格式转换为Amazon安全调查结果格式 (ASFF)。然后,您将这些发现推送到相应的 Security Hub CSPM 区域终端节点。
您还可以使用 CloudWatch 事件来接收来自 Security Hub CSPM 的调查结果。
-
完成与 Security Hub CSPM 集成的基本步骤是什么?
-
提交您的合作伙伴清单信息。
-
如果您 ARNs 要向 Security Hub 发送调查结果,请接收产品以与 Security Hub CSPM 配合使用。
-
将您的调查发现映射到 ASFF。请参阅将调查结果映射到Amazon安全调查结果格式 (ASFF) 的指南。
-
定义用于向 Security Hub CSPM 发送调查结果和从 Security Hub CSPM 接收发现结果的架构。遵循创建和更新调查发现的原则中概述的原则。
-
为客户创建部署框架。例如,Amazon CloudFormation脚本可以达到这个目的。
-
记录您的设置并为客户提供配置说明。
-
定义客户可在您的产品中使用的任何自定义见解(关联规则)。
-
演示你与 Security Hub CSPM 团队的整合。
-
提交营销信息(网站语言、新闻稿、架构幻灯片、视频、宣传单)以供批准。
-
-
提交合作伙伴清单的流程是什么? 还有Amazon服务可以向 Security Hub CSPM 发送调查结果吗?
<要向 Security Hub CSPM 团队提交清单信息,请使用 securityhub-partners@amazon.com。>您 ARNs 将在七个日历日内收到商品。
-
我应该向 Security Hub CSPM 发送哪些类型的调查结果?
Security Hub CSPM的定价部分取决于采集的发现数量。因此,您应避免发送无法为客户带来价值的调查发现。
例如,一些漏洞管理供应商只发送通用漏洞评分系统(CVSS)评分达 3 分或以上分数(满分 10 分)的调查发现。
-
我有哪些不同的方法可以将调查结果发送到 Security Hub CSPM?
主要方法如下:
-
您可以使用该
BatchImportFindings操作从他们自己的指定Amazon账户发送调查结果。 -
您可以使用
BatchImportFindings操作从客户账户内发送调查发现。您可以使用代入角色的方法,但这些方法并不是必需的。
有关使用
BatchImportFindings的综合指南,请参阅 BatchImportFindings API 的使用准则。 -
-
如何收集我的发现并将其推送到 Security Hub CSPM 区域端点?
由于这高度依赖于您的解决方案架构,为此,合作伙伴使用了不同的方法。
例如,一些合作伙伴构建了一个可以作为Amazon CloudFormation脚本部署的 Python 应用程序。该脚本从客户环境中收集合作伙伴的调查结果,将其转换为 ASFF,然后将其发送到 Security Hub CSPM 区域端点。
其他合作伙伴构建了一个完整的向导,为客户提供一键式体验,即可将发现结果推送到 Security Hub CSPM。
-
我怎么知道何时开始向 Security Hub CSPM 发送调查结果?
Security Hub CSPM 支持
BatchImportFindingsAPI 操作的部分批量授权,因此您可以将所有发现的结果发送到 Security Hub CSPM,供所有客户使用。如果您的某些客户尚未订阅 Security Hub CSPM,则 Security Hub CSPM 不会采集这些发现。它只会接收批次中经过授权的调查发现。
-
我需要完成哪些步骤才能将调查结果发送到客户的 Security Hub CSPM 实例?
-
确保采用正确的 IAM policy。
-
为账户启用产品订阅(资源策略)。使用
EnableImportFindingsForProductAPI 操作或集成页面。客户可以执行此操作,您也可以使用跨账户角色代表客户行事。 -
确保调查发现的
ProductArn是您产品的公有 ARN。 -
确保调查发现的
AwsAccountId是客户的账户 ID。 -
根据Amazon安全调查结果格式 (ASFF),确保您的发现没有任何格式错误的数据。例如,必填字段均已填写,并且没有无效值。
-
将调查发现分批发送到正确的区域端点。
-
-
我必须拥有哪些 IAM 权限才能发送调查发现?
必须为调用
BatchImportFindings其他 API 调用的 IAM 用户或角色配置 IAM policy。最简单的测试方法是使用管理员帐户执行此操作。您可以将其限制为
action: ‘securityhub:BatchImportFindings’和resource:。<productArn and/or productSubscriptionArn>同一账户中的资源可以使用 IAM policy 进行配置,而无需资源策略。
要排除调用方的 IAM policy 问题
BatchImportFindings,请按如下方式为调用方设置 IAM policy:{ Action: 'securityhub:*', Effect: 'Allow', Resource: '*' }请务必检查有无针对调用方的
Deny策略。在您使用它之后,便可将策略限制为以下内容:{ Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct' }, { Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct' } -
什么是产品订阅?
要接收特定合作伙伴产品的调查发现,客户(或代表客户工作的具有跨账户角色的合作伙伴)必须订阅产品。要通过控制台执行此操作,客户需要使用集成 页面。要通过 API 执行此操作,则客户使用
EnableImportFindingsForProductAPI 操作。产品订阅会创建资源策略,授权客户接收或发送来自合作伙伴的调查发现。有关更多信息,请参阅 集成使用案例和所需权限。
Security Hub CSPM 为合作伙伴制定了以下类型的资源策略:
-
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT -
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
在合作伙伴入驻过程中,您可以申请一种或两种类型的策略。
使用
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT,您只能从产品 ARN 中列出的账户向 Security Hub CSPM 发送调查结果。使用
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT,您只能从订阅您的客户账户发送调查发现。 -
-
假设客户创建了一个管理员帐户并添加了几个成员帐户。客户需要向我订阅每个成员账户吗? 还是客户只需从管理员账户订阅,然后我就可以针对所有成员账户中的资源发送调查发现?
此问题问的是能否根据管理员账户的注册情况为所有成员账户创建权限。
客户必须为每个账户订阅产品。他们可以通过 API 以编程方式执行此操作。
-
我的产品 ARN 是什么?
您的产品 ARN 是 Security Hub CSPM 为您生成的唯一标识符,供您提交调查结果。对于与 Security Hub CSPM 集成的每款产品,您都会收到一个产品 ARN。您发送给 Security Hub CSPM 的每份调查结果都必须包含正确的产品 ARN。不包含产品 ARN 的调查发现将被删除。产品 ARN 使用以下格式:
arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]示例如下:
arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro对于部署 Security Hub CSPM 的每个区域,您都会获得一个产品 ARN。账户 ID、公司和产品名称由您提交的合作伙伴清单决定。除了区域代码外,您绝不会更改与您产品 ARN 相关的任何信息。区域代码必须与您提交调查发现的区域相匹配。
一个常见错误是更改账户 ID,以匹配您当前使用的账户。账户 ID 不会改变。您提交含有“家庭”账户 ID 的清单。此账户 ID 已锁定在您的产品 ARN 中。
当 Security Hub CSPM 在新区域推出时,它会自动使用标准区域代码 ARNs 为这些区域生成您的产品。
每个账户还会自动配置私有产品 ARN。在收到官方公有产品 ARN 之前,您可以使用此 ARN 在自己的开发账户中测试导入调查发现。
-
应该使用什么格式将调查结果发送到 Security Hub CSPM?
必须以Amazon安全调查结果格式 (ASFF) 提供调查结果。有关详情,请参阅《Amazon Security Hub 用户指南》中的 Amazon 安全调查发现格式(ASFF)。
我们期望,您本机调查发现中的所有信息都能完全反映在 ASFF 中。自定义字段(例如
ProductFields和Resource.Details.Other)允许您映射不完全适合预定义字段的数据。 -
哪个应使用的区域端点是正确的?
您必须将调查结果发送到与客户账户关联的 Security Hub CSPM 区域终端节点。
-
在哪里可以找到区域端点列表?
请参阅 S ecurity Hub CSPM 端点列表。
-
我能否提交跨区域调查发现?
Security Hub CSPM 尚不支持跨区域提交原生Amazon服务(例如亚马逊、亚马逊 GuardDuty Macie 和 Amazon Inspector)的调查结果。如果您的客户允许,Security Hub CSPM 不会阻止您提交来自不同地区的调查结果。
从这个意义上讲,您可以从任何地方调用区域端点,而且 ASFF 的资源信息不必与端点区域相匹配。但是,
ProductArn必须与端点区域相匹配。 -
批量发送调查发现的规则和指导方针是什么?
在
BatchImportFindings的单次调用中,您可以批处理多达 100 个或 240KB 的调查发现。排队并批量处理尽可能多的调查发现,但不超过此限制。您可以批量分析来自不同账户的一组调查发现。但是,如果批次中的任何账户未订阅 Security Hub CSPM,则整个批次都会失败。这是 API Gateway 基准授权模型的局限性。
-
我能否向我创建的调查发现发送更新?
可以,如果您提交具有相同产品 ARN 和相同调查发现 ID 的调查发现,它会覆盖该调查发现的先前数据。请注意,所有数据都将被覆盖,因此您应该提交完整的调查发现。
新调查发现和调查发现更新都会对客户进行计量和计费。
-
我能否向其他人创建的调查发现发送更新?
可以,如果客户授予您访问
BatchUpdateFindingsAPI 操作的权限,则您可以使用该操作更新某些字段。此操作旨在供客户、 SIEMs票务系统以及安全编排、自动化和响应 (SOAR) 平台使用。 -
调查发现的过时机制是怎样的?
Security Hub CSPM 会在上次更新日期 90 天后使发现结果过期。此后,将从 Security Hub CSPM 集群中清除已过时的发现。 OpenSearch
如果您使用相同的查找结果 ID 更新查找结果,并且该查找结果已过期,则会在 Security Hub CSPM 中创建一个新的查找结果。
客户可以使用 CloudWatch 事件将发现结果从 Security Hub CSPM 中移出。这样做可以将所有调查发现发送给客户选择的目标。
通常,Security Hub CSPM 建议您每 90 天创建一次新的调查结果,并且不要永远更新调查结果。
-
Security Hub CSPM 设置了哪些限制?
Security Hub CSPM 会限制
GetFindingsAPI 调用,因为访问结果的推荐方法是使用事件。 CloudWatch除了 API Gateway 和 Lambda 调用强制执行的限制之外,Security Hub CSPM 不会对内部服务、合作伙伴或客户实施任何其他限制。
-
从源服务发送到 Security Hub CSPM 的调查结果的及时性、延迟 SLAs 或期望值如何?
我们的目标是尽可能实时地获取初步调查发现和最新调查发现。您应在调查结果创建后的五分钟内将其发送给 Security Hub CSPM。
-
如何接收来自 Security Hub CSPM 的调查结果?
请使用以下任意一种方法接收调查发现。
-
所有发现的结果都会自动发送到 CloudWatch 活动。客户可以创建特定的 CloudWatch 事件规则,将调查结果发送到特定目标,例如 SIEM 或 S3 存储桶。此功能取代了传统的
GetFindingsAPI 操作。 -
使用 CloudWatch 事件进行自定义操作。Security Hub CSPM 允许客户从控制台中选择特定的调查结果或发现组并对其采取行动。例如,他们可以将调查发现发送到 SIEM、票务系统、聊天平台或修复工作流程。这将是客户在 Security Hub CSPM 中执行的警报分类工作流程的一部分。这些操作称为自定义操作。
当用户选择自定义操作时,将针对这些特定发现创建一个 CloudWatch 事件。您可以利用此功能构建 CloudWatch 事件规则和目标,供客户在自定义操作中使用。请注意,此功能不用于将特定类型或类别的所有发现结果自动发送到 Ev CloudWatch ents。用户可以根据具体的调查发现采取行动。
您可以使用自定义操作 API 操作(例如)自动为您的产品创建可用操作(例如使用Amazon CloudFormation模板)。
CreateActionTarget您还可以使用 CloudWatch 事件规则 API 操作来创建与自定义操作关联的相应 CloudWatch 事件规则。使用Amazon CloudFormation模板,您还可以创建 CloudWatch 事件规则,自动从 Security Hub CSPM 获取所有发现或具有某些特征的所有发现。
-
-
托管安全服务提供商 (MSSP) 要成为 Security Hub CSPM 合作伙伴需要满足哪些要求?
您必须演示如何将 Security Hub CSPM 用作向客户交付服务的一部分。
你应该有解释你使用 Security Hub CSPM 的用户文档。
如果 MSSP 是调查提供者,他们必须证明已向 Security Hub CSPM 发送调查结果。
如果 MSSP 只收到来自 Security Hub CSPM 的调查结果,则他们至少必须有一个Amazon CloudFormation模板来设置相应 CloudWatch 的事件规则。
-
非 MSSP APN 咨询合作伙伴成为 Security Hub CSPM 合作伙伴的要求是什么?
如果您是 APN 咨询合作伙伴,则可以成为 Security Hub CSPM 合作伙伴。您应该提交两份私人案例研究,说明您如何帮助特定客户完成以下工作。
-
使用客户所需的 IAM 权限设置 Security Hub CSPM。
-
使用控制台中合作伙伴页面上的配置说明,帮助将已经集成的独立软件供应商 (ISV) 解决方案连接到 Security Hub CSPM。
-
帮助客户进行定制产品集成。
-
生成与客户需求和数据集相关的自定义见解。
-
创建自定义操作。
-
制作修复行动手册。
-
构建符合 Security Hub CSPM 合规标准的快速入门。这些必须经过 Security Hub CSPM 团队的验证。
案例研究无需公开分享。
-
-
我如何向客户部署与 Security Hub CSPM 的集成,有哪些要求?
就合作伙伴解决方案的运作方式而言,Security Hub CSPM 与合作伙伴产品之间的集成架构因合作伙伴而异。您应确保集成的设置过程不超过 15 分钟。
如果您要将集成软件部署到客户的Amazon环境中,则应利用Amazon CloudFormation模板来简化集成。一些合作伙伴创建了一键集成,这是我们强烈推荐的做法。
-
我的文档要求是什么?
您必须提供文档链接,说明您的产品与 Security Hub CSPM 之间的集成和设置过程,包括模板的Amazon CloudFormation使用。
该文档还应包括您使用 ASFF 的相关信息。具体而言,您应在文档中列出不同调查发现所使用的 ASFF 调查发现类型。如果您拥有任何默认的见解定义,我们建议您也将其纳入文档中。
考虑纳入其他可能的信息:
-
你与 Security Hub CSPM 集成的用例
-
所发送调查发现的平均数量
-
您的集成架构
-
您支持和不支持的区域
-
从创建调查发现到将其发送到 Security Hub 之间的延迟
-
是否更新调查发现
-
-
什么是自定义见解?
我们鼓励您为自己的调查发现定义自定义见解。见解是一种轻量级关联规则,可帮助客户优先考虑哪些调查发现和资源最需要关注和采取行动。
Security Hub CSPM 有一
CreateInsight个 API 操作。作为Amazon CloudFormation模板的一部分,您可以在客户账户中创建自定义见解。这些见解将显示在客户的控制台上。 -
我可以提交控制面板小部件吗?
目前不可以。您只能创建托管见解。
-
您的定价模式是什么?
请参阅 S ecurity Hub CSPM 定价信息
。 -
如何将调查结果提交给 Security Hub CSPM 模拟账户,作为我集成的最终批准流程的一部分?
使用您提供的产品 ARN 将调查结果发送到 Security Hub CSPM 模拟账户,并使用
us-west-2作为区域。调查发现应包括 ASFFAwsAccountId字段中的模拟账户号码。要获取模拟账号,请联系 Security Hub CSPM 团队。请勿向我们发送任何敏感数据或个人身份信息。此数据用于公开演示。您向我们发送这些数据,即表示您授权我们在演示中使用这些数据。
-
BatchImportFindings提供了哪些错误或成功消息?Security Hub CSPM 提供授权响应和响应。
BatchImportFindings我们还在开发更多条理清晰的成功、失败和错误消息。 -
源服务负责处理哪些错误?
源服务负责处理所有错误。他们必须处理错误消息、重试、节流和警报。他们还必须处理通过 Security Hub CSPM 反馈机制发送的反馈或错误消息。
-
常见问题有哪些解决方法?
AuthorizerConfigurationException是由格式错误的AwsAccountId或ProductArn造成的。在问题排查期间,请注意以下要求:
-
AwsAccountId必须精确为 12 位数字。 -
ProductArn必须采用以下格式:arn: aws: securityHub::: product/<us-west-2 or us-east-1><accountId><company-id><product-id>账户 ID 与 Security Hub CSPM 团队在提供给您的产品 ARNs 中包含的账号没有变化。
造成
AccessDeniedException的原因是调查发现发送给或来自错误的账户,或者该账户没有ProductSubscription。错误消息将包含资源类型为product或product-subscription的 ARN。此错误仅在跨账户调用期间出现。如果您在AwsAccountId和ProductArn中使用自己的账户为同一账户调用BatchImportFindings,则该操作将使用 IAM policy 且与ProductSubscriptions无关。请确保您使用的客户账户和产品账户是实际注册的账户。一些合作伙伴使用了产品 ARN 中的产品账号,但会尝试使用完全不同的账户调用
BatchImportFindings。在其他情况下,他们为其他客户账户甚至是为自己的产品账户创建ProductSubscriptions。他们不为试图导入调查发现的客户账户创建ProductSubscriptions。 -
-
我应该向哪里发送问题、评论和错误?
-
有关全球 Amazon 服务的项目,我应该向哪个地区发送调查发现? 例如,我应将与 IAM 相关的调查发现发送到哪里?
您应将调查发现发送到检测出调查发现的区域。对于 IAM 这类的服务,您的解决方案可能会在多个区域发现相同的 IAM 问题。在这种情况下,您应将调查发现发送到检测出问题的各个区域。
如果客户在三个区域运行 Security Hub CSPM,并且在所有三个区域都检测到相同的 IAM 问题,则将调查结果发送到所有三个区域。
问题解决后,您还应将调查发现的更新信息发送到您发送了原始调查发现的所有区域。