产品准备清单

将您所有调查发现都以某种方式映射到 ASFF。

使用辅助字段，例如建模资源类型、Network、Malware 或 ThreatIntelIndicators。

酌情将其他任何内容映射到 Resource.Details.Other 或 ProductFields。

只要有可能，请在调查结果中使用提供的精选资源（例如 EC2 实例、S3 存储桶和安全组）字段。

仅在没有直接匹配项时，才将与资源相关的其他信息映射到 Resource.Details.Other。

切勿使用 UserDefinedFields。

考虑使用其他辅助字段，例如 Resource.Details.Other 或 ProductFields。

仅将 ProductFields 用于特定产品信息，例如版本控制信息、特定产品的严重性调查发现以及其他无法映射到辅助字段的信息或 Resources.Details.Other。

FirstObservedAt 时间戳旨在记录在产品中观察到调查发现的时间。如有可能，应映射此字段。

Security Hub 中的所有搜索调查发现都以调查发现标识符（Id 属性）为索引。此值必须始终是唯一的，以避免意外更新调查发现。

您还应保持调查发现标识符状态，以便更新调查发现。

GeneratorID 不应与调查发现 ID 具有相同的值。

GeneratorID 应能够根据调查发现的生成原因，将调查发现有逻辑地联系起来。

这可以是产品中的子组件（产品 A - 漏洞与产品 A - EDR）或类似物品。

调查发现类型分类法应与产品生成的调查发现紧密对应。

Amazon 安全调查结果格式中列出的第一级命名空间是必填的。

您可以为二级和三级命名空间（类别或分类器）使用自定义值。

如果您的产品捕获了 NetFlow 信息，请将其映射到现Network场。

如果您的产品捕获到进程信息，则将其映射到 Process 字段。

如果您的产品捕获到恶意软件信息，则将其映射到 Malware 字段。

如果您的产品捕获到威胁情报信息，则将其映射到 ThreatIntelIndicators 字段。

每次使用此字段，您都要在文档和清单中说明理由。

识别 Amazon 资源时，最佳做法是使用 ARN。如果 ARN 不可用，则应使用规范资源 ID。

对于将从客户账户发送调查结果或使用 CloudWatch 事件来使用调查结果的集成，需要某种形式的 IaC 模板。

Amazon CloudFormation 是首选，但 Amazon CDK 也可以使用 Terraform。

一些合作伙伴产品在其产品中使用开关或类似机制来激活集成。这可能需要自动配置资源和权限。如果您要从产品帐户发送调查发现，首选方法当属一键设置。

通常，您应该只向 Security Hub 客户发送具有安全价值的调查发现。

Security Hub 不是一个通用的日志管理工具。您不应将所有可能的日志都发送到 Security Hub。

唯一调查发现的数量用于计算 Security Hub 的负载。唯一调查发现的定义是与另一个调查发现具有不同 ASFF 映射的调查发现。

例如，如果一个调查发现仅填充 ThreatIntelndicators，另一个仅填充 Resources.Details.AWSEc2Instance，则这两个均为唯一调查发现。

目前，BatchImportFindings API 操作的突发速率为 30 - 50 TPS。如果返回 4xx 或 5xx 错误，您必须保留这些失败的调查发现状态，以便稍后可以全部重试。您可以通过死信队列或其他 Amazon 消息服务（例如 Amazon SNS 或 Amazon SQS）来执行此操作。

如果您计划通过覆盖原始调查发现 ID 来更新调查发现，则必须使用一种机制来保留状态，以便为正确的调查发现更新正确的信息。

如果您提供调查发现，切勿使用 BatchUpdateFindings 操作来更新调查发现。此操作只能由客户使用。您只有在对调查发现进行调查并采取行动时，才能使用 BatchUpdateFindings。

您应该有一种机制，可以在出现错误时保留原始调查 IDs 结果，这样您就不会错误地重复或覆盖成功的搜索结果。

如要更新调查发现，您必须提交相同的调查发现 ID 来覆盖现有调查发现。

该 BatchUpdateFindings 操作只能由客户使用。

如果您要对调查发现采取行动，则可以使用 BatchUpdateFindings 操作来更新特定字段。

您应尽量减少延迟，确保客户尽快在 Security Hub 中看到调查发现。

清单中必须提供此信息。

在测试期间，必须从您拥有的账户成功发送调查发现，该账户不同于为产品 ARN 提供的账户。

从产品 ARN 所有者的账户发送调查发现可以绕过 API 操作中的某些错误异常。

要证明您的集成运行正常，您应该发送心跳调查发现。每五分钟发送一次心跳调查发现，并使用 Heartbeat 调查发现类型。

如果您从产品账户发送调查发现，这一点便很重要。

在预制作验证期间，您应将发现示例发送到 Security Hub 产品团队的 Amazon 账户。这些示例证明，调查发现的发送和映射都是正确的。

文档应以静态网页、wiki、Read the Docs 或其他专用格式托管在您的网站上。

在上托管文档 GitHub 不符合专用网站的要求。

您可以使用 IaC 模板或基于控制台的“一键式”集成来设置集成。

您在清单中提供的使用案例也应在文档中加以描述

您应为所发送调查发现类型提供依据。

例如，您的产品可能会生成漏洞、恶意软件和防病毒的调查发现，但您只能将漏洞和恶意软件调查发现发送到 Security Hub。在这种情况下，您必须提供不发送防病毒调查发现的依据。

您应该提供将产品的本机调查发现映射到 ASFF 的原理。客户希望知道在哪里可以找到具体的商品信息。

向客户提供有关您如何保留状态的信息，确保偶然性，并用信息覆盖调查结果。 up-to-date

尽量减少延迟，确保客户尽快在 Security Hub 中看到调查发现。

清单中必须提供此信息。

提供有关您如何将 Severity.Original 映射到 Severity.Label 的信息。

例如，如果您的严重性值为字母等级（A、B、C），您应提供有关如何将字母等级映射到严重性标签的信息。

如果您提供置信度分数，则应对这些分数进行排序。

如果您使用静态填充的置信度分数或源自人工智能或机器学习的映射，则应提供其他背景信息。

您应记录支持或不支持的区域，以便客户知道不应在哪些区域尝试集成。

账户标识符的长度为 12 位数。如果账户 ID 包含的数字少于 12 位，则产品 ARN 将无效。

清单中 JSON 部分的产品描述不应超过 200 个字符（包括空格）。

配置链接应指向您的在线文档。它不应指向您的主网站或营销页面。

如果您提供购买链接，则该链接必须用于 Amazon Web Services Marketplace 参赛作品。Security Hub 不接受非 Amazon托管的购买链接。

在清单中，您最多可以提供三个产品类别。它们应与 JSON 相匹配，不能自定义。您提供的产品类别不能超过三个。

公司名称长度必须等于或少于 16 个字符。

产品名称长度必须等于或少于 24 个字符。

产品卡片 JSON 中的产品名称必须与清单中的名称相同。

Security Hub 合作伙伴页面最多只能接受 700 个字符，包括空格。

团队会删减较长的描述。

提供一个可公开访问的 URL，并附上不大于 600 x 300 像素的公司徽标（PNG 或 JPG 格式）。

“了解更多”链接不应指向合作伙伴的主网站或文档信息。

此链接应始终指向提供集成营销信息的专用网页。

演示或集成演练视频不是强制要求，但建议提供。

Amazon Partner Network 的博客文章应事先与合作伙伴发展经理或合作伙伴发展代表进行协调。

这些内容独立于您自己撰写的任何博文。

您应留出 4 - 6 周的准备时间。这项工作应在私有产品 ARN 测试完成后开始。

您可以与您的合作伙伴开发经理或合作伙伴发展代表合作，从外部安全服务副总裁处获得报价。您可在新闻稿中使用此报价。

您可以创建自己的博客文章，在 Amazon 合作伙伴网络博客之外展示您的集成。

您可以创建自己的网络研讨会来展示集成。

如果您需要 Security Hub 团队的帮助，请在使用私有产品 ARN 完成测试后与产品团队合作。

发布后，您可以与 Amazon 安全营销主管合作，使用 Amazon 官方社交媒体渠道分享有关您的网络研讨会的详细信息。