AWS Security Hub 合作伙伴常见 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS Security Hub 合作伙伴常见

以下是有关设置和维护与 AWS Security Hub.

  1. 有哪些好处 Security Hub 集成?

    • 客户满意度 – 与 Security Hub 是因为您有客户要求。

      Security Hub 是 AWS 客户。它被设计为第一站 AWS 安全和合规专业人员每天都会了解他们的安全和合规状态。

      倾听您的客户。他们会告诉您他们是否希望在安全中心看到您的调查结果。

    • 发现机会 – 我们推广合作伙伴, Security Hub 控制台,包括链接到 AWS Marketplace 列表。这是客户探索新安全产品的绝佳方式。

    • 营销机会 – 具有批准的集成的供应商可以参加网络研讨会、发布新闻稿、创建光滑的表格,并展示他们的整合 AWS 客户。

  2. 那里有哪些类型的合作伙伴?

    • 发现结果的合作伙伴 Security Hub

    • 接收发现的合作伙伴 Security Hub

    • 发送和接收结果的合作伙伴

    • 帮助客户设置、定制和使用的咨询合作伙伴 Security Hub 在他们的环境中

  3. 合作伙伴如何与 Security Hub 在高层工作?

    您从客户账户或自己的客户处收集结果 AWS 将结果的格式转化为 AWS 安全查找格式(ASFF)。然后将这些结果推向适当的 Security Hub 区域端点。

    您也可以使用 CloudWatch Events 接收发现 Security Hub.

  4. 完成与 Security Hub?

    1. 提交您的合作伙伴清单信息。

    2. 接收产品ARNS以与 Security Hub,如果您将发现SecurityHub。

    3. 将您的结果映射到ASFF。

    4. 定义您的体系结构,以便将结果发送到和接收发现 Security Hub.

    5. 为客户创建部署框架。例如, AWS CloudFormation 脚本可以满足此目的。

    6. 记录您的设置并为客户提供配置说明。

    7. 定义客户可与您的产品配合使用的任何自定义洞察(相关性规则)。

    8. 展示您与 Security Hub 团队。

    9. 提交营销信息以供批准(网站语言、新闻稿、架构幻灯片、视频、光滑片材)。

  5. 提交合作伙伴清单的流程是什么? 和 AWS 将结果发送至 Security Hub?

    将清单信息提交至 Security Hub 团队,使用 .

    您已在七个日历日内发放产品ARNS。

  6. 我应该发送什么类型的发现 Security Hub?

    Security Hub 定价部分基于所摄入的结果数量。因此,您应避免发送不为客户提供价值的发现。

    例如,一些漏洞风险管理供应商只会将发现的结果发送到可能的10分的“常见漏洞评分系统(CVSS)”分数中。

  7. 我将结果发送到 Security Hub?

    以下是主要方法:

    • 您发出自己指定的调查结果 AWS 帐户使用 BatchImportFindings 操作。

    • 您使用 BatchImportFindings 操作。您可以使用假设角色的方法,但这些方法不是必要的。

  8. 如何收集我的调查结果,并将其推向 Security Hub 区域终点?

    合作伙伴使用了不同的方法,因为它非常依赖于解决方案的架构。

    例如,一些合作伙伴构建了一个可以部署为 AWS CloudFormation 脚本。该脚本从客户环境中收集合作伙伴的结果,将其转化为ASFF,并将其发送到 Security Hub 区域端点。

    其他合作伙伴构建一个完整向导,让客户可以单击体验,将结果推送到 Security Hub.

  9. 我如何知道何时开始发现结果 Security Hub?

    Security Hub 支持部分批次授权 BatchImportFindings API操作,以便您将所有发现发送到 Security Hub 对于所有客户。

    如果您的某些客户尚未订阅 Security Hub, Security Hub 没有取得这些结果。它只会进行批次中的授权发现。

  10. 我需要完成哪些步骤,以将结果发送给客户 Security Hub 实例?

    1. 确保正确 IAM 政策已落实。

    2. 为帐户启用产品订阅(资源策略)。使用 EnableImportFindingsForProduct API操作或 集成 第页。客户可以这样做,或者您可以使用跨客户角色代表客户行事。

    3. 确保 ProductArn 发现是您产品的公共ARN。

    4. 确保 AwsAccountId “查找”是客户帐户ID。

    5. 确保您的发现没有根据AWS安全发现格式(ASFF)的任何形成的数据。例如,填充必填字段,并且没有无效值。

    6. 将结果分批发送至正确的区域端点。

  11. 什么 IAM 我必须准备好发出发现的权限?

    IAM 必须为 IAM 呼叫的用户或角色 BatchImportFindings 或其他API调用。

    最简单的测试是从管理账户中执行此操作。您可以将这些 action: ‘securityhub:BatchImportFindings’resource: <productArn and/or productSubscriptionArn>.

    同一帐户中的资源可以配置 IAM 不需要资源策略的策略。

    排除 IAM 来电者的政策问题 BatchImportFindings,设置 IAM 来电者政策如下:

    { Action: 'securityhub:*', Effect: 'Allow', Resource: '*' }

    确保检查是否存在 Deny 来电者的政策。在您处理此事之后,您可以将策略限制在以下内容中:

    { Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct' }, { Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct' }
  12. 什么是产品订阅?

    要从特定合作伙伴产品接收发现,客户(或代表客户工作的跨客户角色的合作伙伴)必须建立产品订阅。要从控制台中执行此操作,它们使用 集成 第页。要从API中执行此操作,它们使用 EnableImportFindingsForProduct API操作。

    产品订阅创建一份资源政策,授权客户接收或发送合作伙伴的结果。有关详细信息,请参阅 集成使用情况和必要的权限

    Security Hub 合作伙伴有以下类型的资源政策:

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    在合作伙伴入职流程中,您可以申请一种或两种类型的政策。

    带有 BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT,您只能将结果发送到 Security Hub 您产品的ARN中列出的账户。

    带有 BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT,您只能从订阅的客户账户发送结果。

  13. 假设客户创建了一个主账户,并添加了一些会员帐户。客户是否需要将每个会员帐户订阅给我? 或者客户是否只订阅主账户,然后我可以将结果与所有会员帐户中的资源发送到一起?

    此问题询问是否根据主账户注册为所有会员帐户创建权限。

    客户必须为每个账户订购产品订阅。他们可以通过API以编程方式进行此操作。

  14. 我的产品ARN是什么?

    您的产品ARN是您的唯一标识符 Security Hub 为您生成并用于提交结果。您收到的产品为您与 Security Hub. 正确的产品ARN必须是您发送至 Security Hub. 没有产品ARN的结果已丢弃。产品ARN使用以下格式:

    arn:aws-cn:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    以下是 示例。

    arn:aws-cn:securityhub:us-west-2:222222222222:product/generico/secure-pro

    对于每个地区的产品ARN, Security Hub 已部署。账户ID、公司和产品名称由您的合作伙伴清单提交项决定。除地区代码外,您不会更改与您的产品ARN相关的任何信息。地区代码必须与您提交发现的地区匹配。

    常见错误是更改帐户ID以匹配您当前正在使用的帐户。帐户ID不会更改。您提交“主页”帐户ID作为清单提交的一部分。此帐户ID被锁定到您的产品ARN中。

    当WhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhenWhen Security Hub 在新区域启动,它自动使用标准区域代码生成这些区域的产品ARNS。

    每个帐户还会自动配置私人产品ARN。在您收到官方公共产品ARN之前,您可以使用此ARN测试您自己的发展账户中的导入结果。

  15. 应使用哪种格式将结果发送至 Security Hub?

    结果必须在AWS安全发现格式(ASFF)中提供。有关详细信息,请参阅 AWS安全查找格式(ASFF)AWS Security Hub 用户指南.

    预期您的本土发现中的所有信息都在ASFF中完全反映。自定义字段,如 ProductFieldsResource.Details.Other 允许您映射不适合在预定义字段中的数据。

  16. 使用正确的区域端点是什么?

    您必须将结果发送到 Security Hub 与客户帐户相关的区域端点。

  17. 在哪里可以找到区域端点列表?

    查看 Security Hub 端点列表.

  18. 我能提交跨区域结果吗?

    Security Hub 尚未支持跨区提交本土研究结果 AWS 服务,例如 Amazon GuardDuty, Amazon Macie,和 Amazon Inspector. 如果客户允许, Security Hub 不妨碍您从不同地区提交调查结果。

    在这种情况下,您可以从任何地方调用区域端点,ASFF的资源信息不必与端点的区域匹配。但是, ProductArn 必须与端点的区域匹配。

  19. 发送批次的规则和准则是什么?

    您可以在单次呼叫中批次最多100个结果或240KB BatchImportFindings。在最高限度的情况下,排队和批次尽可能多的发现。

    您可以从不同账户中批处理一组结果。但是,如果批次中的任何帐户未订阅 Security Hub,整个批次失败。这是 API 网关 基线授权模式。

  20. 我能否将更新发送至我创建的结果?

    是的,如果您提交了与同一产品ARN和相同查找ID相同的查找,它将覆盖该发现的先前数据。请注意,所有数据都被覆盖,所以您应该提交完整的查找。

    对于新发现和查找更新,客户会计量并计费出来。

  21. 我能否将更新发送给其他人创建的结果?

    是,如果客户授予您访问 BatchUpdateFindings API操作,您可以使用该操作更新某些字段。此操作旨在供客户、SIEMS、票务系统以及安全编排、自动化和响应(SOAR)平台使用。

  22. 如何发现结果?

    Security Hub 在最后一次更新日期后90天内出现结果。在此之后,已将已老化的结果从 Security Hub Elasticsearch 群集。

    如果您更新了具有相同查找ID的查找,并且已经关闭,则创建新的查找 Security Hub.

    客户可以使用 CloudWatch Events 将结果从 Security Hub. 这样做可以让所有调查结果发送至客户选择的目标。

    一般而言, Security Hub 建议您每90天创建新发现,并且不会永久更新结果。

  23. 什么样的节拍 Security Hub 落实到位?

    Security Hub 节目 GetFindings API呼叫,因为访问结果的建议方法正在使用 CloudWatch Events.

    Security Hub 不会对内部服务、合作伙伴或客户的任何其他限制实施以下行为: API 网关 和 Lambda 调用。

  24. 发现的结果的及时性或延迟SLA或期望 Security Hub 来源服务?

    目标是尽可能实时实施初步发现和结果更新。您应将结果发送至 Security Hub 创建后5分钟内。

  25. 如何接收发现 Security Hub?

    要接收结果,请使用以下方法之一。

    • 所有发现都将自动发送至 CloudWatch Events. 客户可以创建特定 CloudWatch Events 将结果发送到特定目标(例如SIEM或S3桶)的规则。此功能替换了传统 GetFindings API操作。

    • 使用 CloudWatch Events 对于自定义操作。 Security Hub 允许客户从控制台中选择具体的发现结果或结果组,并对他们采取行动。例如,他们可以将结果发送到SIEM、票务系统、聊天平台或补救工作流程。这将是客户在 Security Hub. 这些称为自定义操作。

      当用户选择自定义操作时, CloudWatch 为这些具体结果创建事件。您可以充分利用这种能力并建立起来 CloudWatch Events 用作自定义操作一部分的客户的规则和目标。请注意,此功能不用于自动发送特定类型或类别的所有发现 CloudWatch Events. 用户可以对特定发现采取措施。

      您可以使用自定义操作API操作,例如 CreateActionTarget,为您的产品自动创建可用操作(例如,使用 AWS CloudFormation 模板)。您还将使用 CloudWatch Events 规则API操作创建相应的 CloudWatch Events 与自定义操作相关联的规则。使用 AWS CloudFormation 模板,您也可以创建 CloudWatch Events 自动从 Security Hub 所有结果或具有特定特征的所有结果。

  26. 托管安全服务提供商(MSSP)的要求是什么 Security Hub 合作伙伴?

    您必须展示 Security Hub 作为服务交付给客户的一部分。

    您应该拥有解释您使用 Security Hub.

    如果MSSP是寻找提供商,他们必须证明发现结果发生在 Security Hub.

    如果MSSP仅接收来自 Security Hub,他们必须至少拥有 AWS CloudFormation 模板设置 CloudWatch Events 规则。

  27. 非MSSPAPN咨询合作伙伴成为 Security Hub 合作伙伴?

    如果您是APN咨询合作伙伴,您可以成为 Security Hub 合作伙伴。您应该提交两个有关如何帮助特定客户进行以下操作的私人案例研究。

    • 设置 Security Hub 带有 IAM 客户需求的权限。

    • 帮助将已经集成的独立软件供应商(ISV)解决方案连接到 Security Hub 使用控制台中合作伙伴页面上的配置说明。

    • 帮助客户进行定制产品集成。

    • 构建与客户需求和数据集相关的自定义洞察。

    • 构建自定义操作。

    • 构建补救手册。

    • 构建与 Security Hub 合规标准。必须通过 Security Hub 团队。

    案例研究不需要公开共享。

  28. 我如何部署与 Security Hub 我的客户?

    集成架构 Security Hub 合作伙伴产品与合作伙伴的合作伙伴的解决方案的运营方式有所不同。您应确保集成的安装流程不超过15分钟。

    如果您正在将集成软件部署到客户的 AWS 环境,您应该利用 AWS CloudFormation 用于简化集成的模板。有些合作伙伴创建了一个单击的集成,强烈鼓励他们。

  29. 我的文件要求是什么?

    您必须提供文件的链接,说明您的产品与 Security Hub,包括您的使用 AWS CloudFormation 模板。

    该文件还应包含有关您使用ASFF的信息。具体来说,这应该列出您用于不同结果的ASFF查找类型。如果您有任何默认洞察定义,我们建议您在此处添加这些定义。

    考虑包括其他潜在信息:

    • 与 Security Hub

    • 发现的结果平均数

    • 您的集成架构

    • 您所做的地区并不支持

    • 创建结果时的延迟以及发送至安全中心的时间

    • 您是否更新了结果

  30. 什么是自定义洞察?

    我们鼓励您为您的发现定义自定义见解。洞察是轻质的相关性规则,帮助客户优先考虑最需要关注和行动的结果和资源。

    Security Hub 拥有 CreateInsight API操作。您可以在客户帐户内创建自定义洞察,作为 AWS CloudFormation 模板。这些见解显示在客户控制台上。

  31. 我能提交仪表板窗口小部件吗?

    目前不可以。您只能创建管理的洞察。

  32. 您的定价模式是什么?

    查看 Security Hub 定价信息.

  33. 如何将调查结果提交给 Security Hub 演示账户是我整合的最终批准流程的一部分?

    将结果发送到 Security Hub 演示账户使用您提供的产品ARN,使用 us-west-2 作为区域。研究结果应该包括 AwsAccountId ASFF字段。要获取演示账号,请联系 Security Hub 团队。

    请勿向我们发送任何敏感数据或个人身份信息。此数据用于公共演示。当您向我们发送这些数据时,您授权我们在演示中使用。

  34. 什么是错误或成功消息 BatchImportFindings 提供?

    Security Hub 提供授权的响应和响应 BatchImportFindings。更多的成功、故障和错误消息正在发展。

  35. 来源服务负责的处理错误是什么?

    源服务负责处理所有错误。他们必须处理错误消息、重试、限制和报警。他们还必须处理通过 Security Hub 反馈机制。

  36. 常见问题的解决方法有哪些?

    一个 AuthorizerConfigurationException 由一种畸形造成 AwsAccountIdProductArn.

    故障排除时,请注意以下事项:

    • AwsAccountId 必须为12位数字。

    • ProductArn 必须采用以下格式: arn:aws-cn:SecurityHub:<us-west-2 or us-east-1>:<accountId>:产品/<company-id>/<product-id>

      账户ID不会更改为 Security Hub 在产品ARNS中提供给您的团队。

    AccessDeniedException 当发现发送到错误账户或账户不具有 ProductSubscription。错误消息将包含一个资源类型 productproduct-subscription。此错误仅在跨帐户呼叫期间发生。如果您致电 BatchImportFindings 使用您自己的账户,在 AwsAccountIdProductArn,操作使用 IAM 与政策有关 ProductSubscriptions.

    确保您使用的客户账户和产品帐户是实际注册账户。某些合作伙伴已使用产品ARN的产品账号,但尝试使用完全不同的帐户来呼叫 BatchImportFindings。在其他情况下,他们创建了 ProductSubscriptions 对于其他客户账户,甚至是他们自己的产品帐户。他们没有创造 ProductSubscriptions 对于他们尝试将结果导入到的客户帐户。

  37. 我在哪里发送问题、评论和漏洞?

  38. 我将发现发现给与全球相关的项目 AWS 服务? 例如,我在哪里发送 IAM 相关结果?

    将结果发送到检测到发现的同一区域。服务,例如 IAM,您的解决方案可能会发现 IAM 多个区域的问题。在这种情况下,发现发现发生在检测到问题的每个区域。

    如果客户运行 Security Hub 在三个地区和相同的 IAM 在所有三个地区检测到问题,然后将发现发送到所有三个地区。

    解决问题时,将更新发送到发送原始发现所在地区的所有地区。