如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
产品准备检查清单
TheThethe AWS Security Hub APN合作伙伴团队使用此检查清单验证整合是否已准备就绪。
ASFF映射
这些问题与AWS安全发现格式(ASFF)的映射有关。
- 所有合作伙伴的查找数据都映射到ASFF吗?
-
以某种方式将所有调查结果地图。
使用建模资源类型等策划字段,
Network
,Malware
,或ThreatIntelIndicators
.将其他任何内容映射到
Resource.Details.Other
或ProductFields
如适用。 - 合作伙伴是否使用
Resource.Details
字段,例如AwsEc2instance
,AwsS3Bucket
,和Container
? 合作伙伴是否使用Resource.Details.Other
要定义未在ASFF中建模的资源详情? -
在可能的情况下,在您的调查结果中使用EC2实例、S3桶和安全组等规划资源的提供字段。
将与资源相关的其他信息映射到
Resource.Details.Other
只有在没有直接匹配的情况下。 - 合作伙伴地图值是否为
UserDefinedFields
? -
请勿使用
UserDefinedFields
。考虑使用另一个策划字段,例如
Resource.Details.Other
或ProductFields
. - 合作伙伴地图信息是否为
ProductFields
可以映射到其他ASFF字段? -
仅使用
ProductFields
对于特定于产品的信息,例如版本控制信息、产品特定的严重性结果或无法映射到策划字段或Resources.Details.Other
. - 合作伙伴是否导入自己的时间戳
FirstObservedAt
? -
TheThethe
FirstObservedAt
时间戳用于记录在产品中观察到发现的时间。如果可能,映射此字段。 - 合作伙伴是否提供针对每个查找标识符生成的唯一值,但他们希望更新的结果除外?
-
所有调查结果 Security Hub 在查找标识符上编制索引(
Id
属性)。该值必须始终是唯一的,以确保结果不会意外更新。您还应该维护查找标识符状态以更新结果。
- 合作伙伴是否提供将结果映射到发生器ID的值?
-
GeneratorID
不应与查找ID的值相同。GeneratorID
应能够根据生成的结果来实现逻辑链接结果。这可以是产品(产品A-漏洞与产品A-EDR)或类似物品的子组件。
- 合作伙伴是否使用与其产品相关的所需查找类型名称Pacpaces? 合作伙伴是否使用建议的查找类型类别或分类器来查找其类型?
-
发现类型分类应密切地映射产品生成的结果。
AWS安全发现格式中概述的一级命名空间是必需的。
您可以使用二级和三级命名空间(类别或分类器)的自定义值。
- 合作伙伴是否采集网络流信息
Network
字段,如果他们有网络数据? -
如果您的产品捕获Netflow信息,请将其映射到
Network
字段。 - 合作伙伴捕获流程(PID)信息是否在
Process
字段,如果他们有流程数据? -
如果产品捕获流程信息,请将其映射到
Process
字段。 - 合作伙伴是否在
Malware
字段,如果他们有恶意软件数据? -
如果您的产品捕获恶意软件信息,请将其映射到
Malware
字段。 - 合作伙伴是否会在
ThreatIntelIndicators
字段,如果他们有威胁情报数据? -
如果您的产品捕获威胁情报信息,请将其映射到
ThreatIntelIndicators
字段。 - 合作伙伴是否为发现提供了信心评级? 如果他们做的话,是否提供了理由?
-
在您使用该字段时,请在您的文件和清单中提供理由。
- 合作伙伴是否在发现中使用资源ID的典型ID或ARN?
-
识别 AWS 资源,最好的做法是使用ARN。如果ARN不可用,请使用典型资源ID。
集成设置和功能
这些问题与整合的设置和日常功能有关。
- 合作伙伴是否提供基础架构为代码(IAC)模板来部署与 Security Hub,例如Terraform, AWS CloudFormation,或 AWS 云开发工具包 (AWS CDK)?
-
对于将从客户账户或使用中发出的结果 CloudWatch Events 要消耗结果,需要一些IAC模板形式。
AWS CloudFormation 优先,但是 AWS CDK 也可以使用Terraform。
- 合作伙伴产品是否在其控制台上安装一键式设置,以便与 Security Hub?
-
某些合作伙伴产品使用产品中的切换或类似机制来激活集成。这可能会自动配置资源和权限。如果您从产品帐户发出结果,一键式设置是首选方法。
- 合作伙伴是否仅发送价值发现?
-
您通常只发送具有安全值的结果 Security Hub 客户。
Security Hub 不是一般日志管理工具。您不应将每个可能的日志发送到 Security Hub.
- 合作伙伴是否提供了每个客户每天发送的发现的估计结果,以及频率(平均和突发)?
-
用于计算负载的唯一结果数量 Security Hub. 独特的发现定义为从另一个发现中具有不同ASFF映射的发现。
例如,如果只填充一个查找
ThreatIntelndicators
另一个已填充Resources.Details.AWSEc2Instance
,这些是两个独特的发现。 - 合作伙伴是否拥有处理4XX和5XX错误的优雅方式,这样他们不会受到限制,而且可以稍后发出所有调查结果?
-
目前有30个–50TPS突发速率
BatchImportFindings
API操作。如果返回了4xx或5xx错误,您必须保留这些失败的结果的状态,以便您可以在Totality后重试。您可以通过一个死字母队列或其他 AWS 消息传递服务,如 Amazon SNS 或 Amazon SQS. - 合作伙伴是否维持发现状态,以便他们知道存档结果不再存在?
-
如果您计划通过覆盖原始发现ID来更新结果,则必须有一个保留状态的机制,以便更新正确的信息。
如果您提供发现,请勿使用
BatchUpdateFindings
操作以更新结果。此操作只能由客户使用。您仅使用BatchUpdateFindings
当您调查并对结果采取行动时。 - 合作伙伴的处理是否以之前发送成功发现的方式重试?
-
您应该有一种机制来保留错误情况下的原始查找ID,以便在错误中不复制或覆盖成功的结果。
- 合作伙伴是否通过致电
BatchImportFindings
使用现有结果的查找ID的操作? -
要更新查找,您必须通过提交相同的查找ID来覆盖现有查找。
TheThethe
BatchUpdateFindings
操作只能由客户使用。 - 合作伙伴是否使用
BatchUpdateFindings
API? -
如果您对结果采取行动,您可以使用
BatchUpdateFindings
操作以更新特定字段。 - 合作伙伴是否提供有关创建发现的时间范围以及从产品发送到 Security Hub?
-
您应尽量减少延迟,以确保客户尽快查看结果 Security Hub.
清单中需要此信息。
- 如果合作伙伴的架构是从客户账户发送结果到安全枢纽,他们是否已成功展示这一点? 如果合作伙伴的体系结构是将结果发送到 Security Hub 在他们自己的账户中,他们是否已成功展示这一点?
-
在测试期间,必须从您拥有的账户中成功发送结果,该帐户与产品ARN提供的帐户不同。
从产品ARN业主帐户发送查找可以绕过API操作的某些错误例外。
- 合作伙伴是否会发现 Security Hub?
-
要显示您的集成正常工作,您应发送心跳结果。心跳发现每5分钟发送一次,并使用查找类型
Heartbeat
.如果您从产品账户发出结果,这很重要。
- 合作伙伴是否与 Security Hub 测试期间的产品团队帐户?
-
在生产前验证期间,您应将发现示例发送到 Security Hub 产品团队 AWS 账户。这些示例显示发现结果已正确发送和映射。
文档:
这些问题与您提供的整合文件相关。
- 合作伙伴是否在专用网站上主持文档?
-
文档应作为静态网页、Wiki、阅读文件或其他专用格式托管在您的网站上。
Github上的托管文件不符合专用网站要求。
- 合作伙伴文件是否提供了如何设置 Security Hub 集成?
-
您可以使用IAC模板或基于控制台的“一键式”集成来设置集成。
- 合作伙伴文件是否提供其使用案例的描述?
-
您在清单中提供的使用情况也应在文件中描述
- 合作伙伴文件是否为发现发现提供理由?
-
您应该提供发出的结果类型的理由。
例如,您的产品可能会产生漏洞、恶意软件和防病毒的结果,但您只会将漏洞和恶意软件发现发送到 Security Hub. 在这种情况下,您必须提供您不发送防病毒发现的理由。
- 合作伙伴文件是否提供了合作伙伴如何将结果映射到ASFF的理由?
-
您应该提供产品本地发现对ASFF的映射理由。客户想知道哪里寻找特定产品信息。
- 合作伙伴文件是否提供了如何更新结果的合作伙伴更新结果的指导?
-
向客户提供如何保留状态的信息、确保能效以及使用最新信息覆盖发现的信息。
- 合作伙伴文件是否描述了发现延迟?
-
最大限度地减少延迟,以确保客户尽快查看结果 Security Hub.
清单中需要此信息。
- 合作伙伴文件是否描述了其严重性评分如何映射到ASFF严重性评分?
-
提供有关您如何地图的信息
Severity.Original
至Severity.Label
.例如,如果您的严重性值为字母级别(A,B,C),您应该提供如何将字母级别映射至严重性标签的信息。
- 合作伙伴文件是否提供了信心评级的理由?
-
如果您提供信心评分,这些分数应排列。
如果您使用来自人工智能或机器学习的静态填充的信心评分或映射,则应提供其他背景。
- 合作伙伴文件是否记录合作伙伴所做的哪些地区并且不支持?
-
注意不支持或不支持的地区,以便客户知道哪些地区不会尝试集成。
产品卡信息
这些问题与显示在 集成 第页,共页 Security Hub 控制台。
- 提供的 AWS 帐户ID有效,包含12位数字?
-
账户标识符长12位。如果帐户ID包含少于12位数,则产品ARN将无效。
- 产品描述是否包含200个或更少字符?
-
清单中的JSON中提供的产品描述不应超过200个字符,包括空格。
- 配置链接是否导致集成的文档?
-
配置链接应导致您的在线文档。它不应导致您的主网站或营销页面。
- 购买链接(如果提供)导致 AWS Marketplace 产品列表?
-
如果您提供购买链接,则必须为 AWS Marketplace 条目。 Security Hub 不接受未由 AWS.
- 产品类别是否正确描述产品?
-
在清单中,您可以提供最多三个产品类别。这些应与JSON匹配,不能为自定义。您不能提供三个以上的产品类别。
- 公司和产品名称是否有效且正确?
-
公司名称必须为16个或更少个字符。
产品名称必须为24个或更少字符。
产品卡JSON中的产品名称必须与清单中的名称匹配。
营销信息
这些问题与整合的营销相关。
- 是指 Security Hub 在700个字符内的合作伙伴页面,包括空格?
-
TheThethe Security Hub 合作伙伴页面最多可接受700个字符,包括空格。
团队将编辑更长的描述。
- 是 Security Hub 合作伙伴页面徽标不超过600x300px?
-
在PNG或JPG中提供公司徽标的公开访问URL,不超过600x300像素。
- 在 Security Hub 合作伙伴页面向合作伙伴的专用网页提供了关于整合的专用网页?
-
TheThethe 了解更多 链接不应导致合作伙伴的主网站或文件信息。
该链接应始终向专用网页上提供有关整合的营销信息。
- 合作伙伴是否为如何使用其集成提供演示或教学视频?
-
演示或集成巡视视频是可选的,但建议使用。
- 是 AWS 合作伙伴网络博客发布在合作伙伴及其合作伙伴发展经理或合作伙伴发展代表中?
-
AWS 合作伙伴网络博客帖子应提前与合作伙伴发展经理或合作伙伴发展代表协调。
它们与您自己创建的任何博客帖子分开。
允许4人–6周交货期。在使用私人产品ARN完成测试后,应开始此工作。
- 是否已发布合作伙伴指导的新闻稿?
-
您可以与您的合作伙伴发展经理或合作伙伴发展代表合作,获得外部安全服务副总裁的报价。您可以在新闻稿中使用此报价。
- 是否发布了合作伙伴主导的博客帖子?
-
您可以创建自己的博客帖子,以展示 AWS 合作伙伴网络博客。
- 是否发布了合作伙伴主导的网络研讨会?
-
您可以创建自己的网络研讨会来展示整合。
如果您需要 Security Hub 在使用私人产品ARN完成测试后,与产品团队合作。
- 合作伙伴是否请求社交媒体支持 AWS?
-
发布后,您可以使用 AWS 安全营销领导者使用 AWS 官方社交媒体渠道,分享有关您在线研讨会的详细信息。