AWS Security Hub CSPMHäufig gestellte Fragen für Partner - AWS Security Hub CSPM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Security Hub CSPMHäufig gestellte Fragen für Partner

Im Folgenden finden Sie häufig gestellte Fragen zum Einrichten und Verwalten einer Integration mitAWS Security Hub CSPM.

  1. Was sind die Vorteile der Security Hub CSPM-Integration?

    • Kundenzufriedenheit — Der Hauptgrund für die Integration mit Security Hub CSPM ist, dass Sie Kundenanfragen dazu haben.

      Security Hub CSPM ist das Sicherheits- und Compliance-Center für AWS Kunden. Es ist als erste Anlaufstelle konzipiert, an die sich AWS Sicherheits- und Compliance-Experten täglich wenden, um sich über ihren Sicherheits- und Compliance-Status zu informieren.

      Hören Sie Ihren Kunden zu. Sie werden Ihnen sagen, ob sie Ihre Ergebnisse im Security Hub sehen möchten.

    • Entdeckungsmöglichkeiten — Wir bewerben Partner mit zertifizierten Integrationen in der Security Hub CSPM-Konsole, einschließlich Links zu ihren Angeboten. AWS Marketplace Dies ist eine hervorragende Möglichkeit für Kunden, neue Sicherheitsprodukte zu entdecken.

    • Marketingmöglichkeiten — Anbieter mit zugelassenen Integrationen können an Webinaren teilnehmen, Pressemitteilungen herausgeben, Übersichtsblätter erstellen und ihren Kunden ihre Integrationen vorführen. AWS

  2. Welche Arten von Partnern gibt es?

    • Partner, die Ergebnisse an Security Hub CSPM senden

    • Partner, die Ergebnisse von Security Hub CSPM erhalten

    • Partner, die Ergebnisse sowohl senden als auch empfangen

    • Beratungspartner, die Kunden bei der Einrichtung, Anpassung und Verwendung von Security Hub CSPM in ihrer Umgebung unterstützen

  3. Wie funktioniert eine Partnerintegration mit Security Hub CSPM auf hohem Niveau?

    Sie sammeln Ergebnisse aus einem Kundenkonto oder aus Ihrem eigenen AWS Konto und wandeln das Format der Ergebnisse in das AWS Security Finding Format (ASFF) um. Anschließend übertragen Sie diese Ergebnisse an den entsprechenden regionalen Security Hub CSPM-Endpunkt.

    Sie können CloudWatch Ereignisse auch verwenden, um Ergebnisse von Security Hub CSPM zu erhalten.

  4. Was sind die grundlegenden Schritte für den Abschluss einer Integration mit Security Hub CSPM?

    1. Reichen Sie Ihre Partner-Manifestinformationen ein.

    2. Sie erhalten ein Produkt ARNs zur Verwendung mit Security Hub CSPM, wenn Sie Ergebnisse an Security Hub senden möchten.

    3. Ordnen Sie Ihre Ergebnisse ASFF zu. Siehe Richtlinien für die Zuordnung von Ergebnissen zum AWS Security Finding Format (ASFF).

    4. Definieren Sie Ihre Architektur für das Senden von Ergebnissen an und das Empfangen von Ergebnissen von Security Hub CSPM. Folgen Sie den Grundsätzen, die unter beschrieben sind. Grundsätze für die Erstellung und Aktualisierung von Ergebnissen

    5. Erstellen Sie ein Bereitstellungs-Framework für Kunden. CloudFormationSkripte können diesem Zweck beispielsweise dienen.

    6. Dokumentieren Sie Ihr Setup und stellen Sie Ihren Kunden Konfigurationsanweisungen zur Verfügung.

    7. Definieren Sie alle benutzerdefinierten Erkenntnisse (Korrelationsregeln), die Kunden für Ihr Produkt verwenden können.

    8. Demonstrieren Sie Ihre Integration mit dem Security Hub CSPM-Team.

    9. Reichen Sie Marketinginformationen zur Genehmigung ein (Sprache der Website, Pressemitteilung, Architekturfolie, Video, Übersichtsblatt).

  5. Wie wird das Partnermanifest eingereicht? Und für AWS Dienste, die Ergebnisse an Security Hub CSPM senden?

    Das Produkt wird Ihnen ARNs innerhalb von sieben Kalendertagen ausgestellt.

  6. Welche Arten von Ergebnissen sollte ich an Security Hub CSPM senden?

    Die Preisgestaltung von Security Hub CSPM basiert teilweise auf der Anzahl der aufgenommenen Ergebnisse. Aus diesem Grund sollten Sie davon absehen, Ergebnisse zu versenden, die für Kunden keinen Mehrwert bieten.

    Beispielsweise senden einige Anbieter von Vulnerability Management nur Ergebnisse mit einem Common Vulnerability Scoring System (CVSS) -Score von 3 oder mehr von möglichen 10 Punkten.

  7. Was sind die verschiedenen Methoden für mich, um Ergebnisse an Security Hub CSPM zu senden?

    Dies sind die wichtigsten Ansätze:

    • Mithilfe der BatchImportFindingsOperation senden Sie Ergebnisse von ihrem eigenen AWS Konto aus.

    • Mithilfe des BatchImportFindingsVorgangs senden Sie Ergebnisse aus dem Kundenkonto heraus. Sie könnten Ansätze zur Rollenübernahme verwenden, diese Ansätze sind jedoch nicht erforderlich.

    Allgemeine Richtlinien zur Verwendung finden Sie unter BatchImportFindings. Richtlinien für die Verwendung der API BatchImportFindings

  8. Wie sammle ich meine Ergebnisse und übertrage sie an einen regionalen Security Hub CSPM-Endpunkt?

    Partner haben dafür unterschiedliche Ansätze verwendet, da dies stark von der Architektur Ihrer Lösung abhängt.

    Einige Partner erstellen beispielsweise eine Python-App, die als CloudFormation Skript bereitgestellt werden kann. Das Skript sammelt die Ergebnisse des Partners aus der Kundenumgebung, wandelt sie in ASFF um und sendet sie an den Security Hub CSPM Regional Endpoint.

    Andere Partner entwickeln einen umfassenden Assistenten, mit dem der Kunde seine Ergebnisse mit nur einem Klick an Security Hub CSPM weiterleiten kann.

  9. Woher weiß ich, wann ich anfangen muss, Ergebnisse an Security Hub CSPM zu senden?

    Security Hub CSPM unterstützt die teilweise Batch-Autorisierung für den BatchImportFindingsAPI-Vorgang, sodass Sie alle Ihre Ergebnisse für all Ihre Kunden an Security Hub CSPM senden können.

    Wenn einige Ihrer Kunden Security Hub CSPM noch nicht abonniert haben, nimmt Security Hub CSPM diese Ergebnisse nicht auf. Es nimmt nur autorisierte Ergebnisse auf, die im Batch enthalten sind.

  10. Welche Schritte muss ich ausführen, um Ergebnisse an die Security Hub CSPM-Instanz eines Kunden zu senden?

    1. Stellen Sie sicher, dass die richtigen IAM-Richtlinien vorhanden sind.

    2. Aktivieren Sie ein Produktabonnement (Ressourcenrichtlinien) für die Konten. Verwenden Sie entweder den EnableImportFindingsForProductAPI-Vorgang oder die Seite Integrationen. Der Kunde kann dies tun, oder Sie können kontoübergreifende Rollen verwenden, um im Namen des Kunden zu handeln.

    3. Stellen Sie sicher, dass es sich bei dem Ergebnis um den öffentlichen ARN Ihres Produkts handelt. ProductArn

    4. Stellen Sie sicher, dass es sich bei dem Ergebnis um die Konto-ID des Kunden handelt. AwsAccountId

    5. Stellen Sie sicher, dass Ihre Ergebnisse keine fehlerhaften Daten gemäß dem AWS Security Finding Format (ASFF) enthalten. Beispielsweise sind Pflichtfelder ausgefüllt und es gibt keine ungültigen Werte.

    6. Senden Sie die Ergebnisse stapelweise an den richtigen regionalen Endpunkt.

  11. Welche IAM-Berechtigungen müssen vorhanden sein, damit ich Ergebnisse senden kann?

    IAM-Richtlinien müssen für den IAM-Benutzer oder die IAM-Rolle konfiguriert werden, der oder die andere API-Aufrufe aufruft BatchImportFindings.

    Der einfachste Test besteht darin, dies von einem Administratorkonto aus durchzuführen. Sie können diese auf action: ‘securityhub:BatchImportFindings’ und resource: <productArn and/or productSubscriptionArn> beschränken.

    Ressourcen in demselben Konto können mit IAM-Richtlinien konfiguriert werden, ohne dass Ressourcenrichtlinien erforderlich sind.

    Um auszuschließen, dass der Anrufer von Probleme mit der IAM-Richtlinie hat BatchImportFindings, legen Sie die IAM-Richtlinie für den Anrufer wie folgt fest:

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    Stellen Sie sicher, dass es keine Deny Richtlinien für den Anrufer gibt. Nachdem Sie es damit zum Laufen gebracht haben, können Sie die Richtlinie auf Folgendes beschränken:

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. Was ist ein Produktabonnement?

    Um Erkenntnisse aus einem bestimmten Partnerprodukt zu erhalten, muss der Kunde (oder der Partner mit kundenübergreifenden Rollen, der im Namen des Kunden arbeitet) ein Produktabonnement abschließen. Dazu verwenden sie die Seite Integrationen von der Konsole aus. Um dies von der API aus zu tun, verwenden sie die EnableImportFindingsForProductAPI-Operation.

    Das Produktabonnement erstellt eine Ressourcenrichtlinie, die den Empfang oder Versand der Ergebnisse des Partners durch den Kunden autorisiert. Details hierzu finden Sie unter Anwendungsfälle für die Integration und erforderliche Berechtigungen.

    Security Hub CSPM bietet die folgenden Arten von Ressourcenrichtlinien für Partner:

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    Während des Partner-Onboarding-Prozesses können Sie entweder eine oder beide Arten von Richtlinien anfordern.

    Mit BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT können Sie Ergebnisse nur von dem Konto aus, das in Ihrem Produkt-ARN aufgeführt ist, an Security Hub CSPM senden.

    Mit BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT können Sie nur Ergebnisse von dem Kundenkonto senden, das Sie abonniert hat.

  13. Angenommen, ein Kunde hat ein Administratorkonto erstellt und einige Mitgliedskonten hinzugefügt. Muss der Kunde jedes Mitgliedskonto bei mir abonnieren? Oder abonniert der Kunde nur über das Administratorkonto, und ich kann dann Ergebnisse zu Ressourcen in allen Mitgliedskonten senden?

    Bei dieser Frage wird gefragt, ob die Berechtigungen für alle Mitgliedskonten auf der Grundlage der Registrierung des Administratorkontos erstellt wurden.

    Der Kunde muss für jedes Konto ein Produktabonnement abschließen. Sie können dies programmgesteuert über die API tun.

  14. Was ist mein Produkt-ARN?

    Ihr Produkt-ARN ist Ihre eindeutige Kennung, die Security Hub CSPM für Sie generiert und die Sie verwenden, um Ergebnisse einzureichen. Sie erhalten einen Produkt-ARN für jedes Produkt, das Sie in Security Hub CSPM integrieren. Der richtige Produkt-ARN muss in jedem Ergebnis enthalten sein, das Sie an Security Hub CSPM senden. Ergebnisse ohne das Produkt ARN werden gelöscht. Das Produkt ARN verwendet das folgende Format:

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    Ein Beispiel:

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Sie erhalten einen Produkt-ARN für jede Region, in der Security Hub CSPM eingesetzt wird. Die Konto-ID, das Unternehmen und die Produktnamen werden durch die von Ihnen eingereichten Partnermanifeste bestimmt. Sie ändern niemals die Informationen, die mit Ihrem Produkt-ARN verknüpft sind, mit Ausnahme des Regionalcodes. Der Regionalcode muss mit der Region übereinstimmen, für die Sie Ergebnisse einreichen.

    Ein häufiger Fehler besteht darin, die Konto-ID so zu ändern, dass sie dem Konto entspricht, von dem aus Sie gerade arbeiten. Die Konto-ID ändert sich nicht. Im Rahmen der Einreichung des Manifests reichen Sie eine Konto-ID für Ihr Privatkonto ein. Diese Konto-ID ist mit Ihrem Produkt-ARN ARN.

    Wenn Security Hub CSPM in neuen Regionen eingeführt wird, verwendet es automatisch die Standard-Regionscodes, um Ihr Produkt ARNs für diese Regionen zu generieren.

    Jedes Konto wird außerdem automatisch mit einem privaten Produkt-ARN ARN. Sie können diesen ARN verwenden, um den Import von Ergebnissen in Ihrem eigenen Entwicklungskonto zu testen, bevor Sie Ihren offiziellen öffentlichen Produkt-ARN erhalten.

  15. Welches Format sollte verwendet werden, um Ergebnisse an Security Hub CSPM zu senden?

    Die Ergebnisse müssen im AWS Security Finding Format (ASFF) bereitgestellt werden. Einzelheiten finden Sie unter AWSSecurity Finding Format (ASFF) im AWS Security HubBenutzerhandbuch.

    Es wird erwartet, dass alle Informationen in Ihren systemeigenen Ergebnissen vollständig in der ASFF wiedergegeben werden. Benutzerdefinierte Felder wie ProductFields und Resource.Details.Other ermöglichen es Ihnen, Daten zuzuordnen, die nicht genau in die vordefinierten Felder passen.

  16. Welcher regionale Endpunkt ist der richtige zu verwendende?

    Sie müssen die Ergebnisse an den Security Hub CSPM Regional Endpoint senden, der mit dem Kundenkonto verknüpft ist.

  17. Wo finde ich die Liste der regionalen Endpunkte?

    Weitere Informationen finden Sie in der Liste der Security Hub CSPM-Endpunkte.

  18. Kann ich regionsübergreifende Ergebnisse einreichen?

    Security Hub CSPM unterstützt noch nicht die regionsübergreifende Übermittlung von Ergebnissen für native AWS Dienste wie Amazon GuardDuty, Amazon Macie und Amazon Inspector. Wenn Ihr Kunde dies zulässt, hindert Sie Security Hub CSPM nicht daran, Ergebnisse aus verschiedenen Regionen einzureichen.

    In diesem Sinne können Sie einen regionalen Endpunkt von überall aus aufrufen, und die Ressourceninformationen des ASFF müssen nicht mit der Region des Endpunkts übereinstimmen. Sie ProductArn müssen jedoch mit der Region des Endpunkts übereinstimmen.

  19. Welche Regeln und Richtlinien gelten für den Versand von Befundstapeln?

    Sie können bis zu 100 Ergebnisse oder 240 KB in einem einzigen Anruf von BatchImportFindingsstapeln. Stellen Sie eine Warteschlange auf und stapeln Sie so viele Ergebnisse wie möglich bis zu diesem Limit.

    Sie können eine Reihe von Ergebnissen aus verschiedenen Konten stapeln. Wenn jedoch eines der Konten im Batch kein Security Hub CSPM abonniert hat, schlägt der gesamte Batch fehl. Dies ist eine Einschränkung des API Gateway Gateway-Baseline-Autorisierungsmodells.

    Siehe Richtlinien für die Verwendung der API BatchImportFindings.

  20. Kann ich Updates zu Ergebnissen senden, die ich erstellt habe?

    Ja, wenn Sie ein Ergebnis mit demselben Produkt-ARN und derselben Ergebnis-ID einreichen, werden die vorherigen Daten für dieses Ergebnis überschrieben. Beachten Sie, dass alle Daten überschrieben werden. Sie sollten daher ein vollständiges Ergebnis einreichen.

    Den Kunden werden sowohl neue Ergebnisse als auch Aktualisierungen der Ergebnisse in Rechnung gestellt.

  21. Kann ich Updates zu Ergebnissen senden, die von einer anderen Person erstellt wurden?

    Ja, wenn der Kunde Ihnen Zugriff auf den BatchUpdateFindingsAPI-Vorgang gewährt, können Sie mit diesem Vorgang bestimmte Felder aktualisieren. Dieser Vorgang ist für die Nutzung durch Kunden SIEMs, Ticketsysteme und SOAR-Plattformen (Security Orchestration, Automation and Response) konzipiert.

  22. Wie veralten die Ergebnisse?

    Security Hub CSPM veraltert Ergebnisse 90 Tage nach dem letzten Aktualisierungsdatum. Nach Ablauf dieser Zeit werden die veralteten Ergebnisse aus dem Security Hub CSPM-Cluster gelöscht. OpenSearch

    Wenn Sie ein Ergebnis mit derselben Ergebnis-ID aktualisieren und es veraltet ist, wird ein neues Ergebnis in Security Hub CSPM erstellt.

    Kunden können CloudWatch Events verwenden, um Ergebnisse aus Security Hub CSPM zu übertragen. Auf diese Weise können alle Ergebnisse an Ziele nach Wahl des Kunden gesendet werden.

    Im Allgemeinen empfiehlt Security Hub CSPM, dass Sie alle 90 Tage neue Ergebnisse erstellen und die Ergebnisse nicht für immer aktualisieren.

  23. Welche Drosselungen führt Security Hub CSPM ein?

    Security Hub CSPM drosselt GetFindings API-Aufrufe, da der empfohlene Ansatz für den Zugriff auf Ergebnisse die Verwendung von Ereignissen ist. CloudWatch

    Security Hub CSPM implementiert keine weitere Drosselung für interne Dienste, Partner oder Kunden, die über die durch API Gateway- und Lambda-Aufrufe erzwungenen Einschränkungen hinausgehen.

  24. Wie hoch ist die Aktualität, Latenz SLAs oder Erwartungen bei Ergebnissen, die von Quelldiensten an Security Hub CSPM gesendet werden?

    Ziel ist es, sowohl für erste Ergebnisse als auch für Aktualisierungen der Ergebnisse so nahe wie möglich in Echtzeit zu sein. Sie sollten die Ergebnisse innerhalb von fünf Minuten nach ihrer Erstellung an Security Hub CSPM senden.

  25. Wie kann ich Ergebnisse von Security Hub CSPM erhalten?

    Verwenden Sie eine der folgenden Methoden, um Ergebnisse zu erhalten.

    • Alle Ergebnisse werden automatisch an CloudWatch Events gesendet. Ein Kunde kann spezifische Regeln für CloudWatch Ereignisse erstellen, um Ergebnisse an bestimmte Ziele zu senden, z. B. an ein SIEM oder einen S3-Bucket. Diese Funktion ersetzte den alten GetFindings API-Betrieb.

    • Verwenden Sie CloudWatch Ereignisse für benutzerdefinierte Aktionen. Security Hub CSPM ermöglicht es Kunden, bestimmte Ergebnisse oder Gruppen von Ergebnissen aus der Konsole auszuwählen und entsprechende Maßnahmen zu ergreifen. Sie können die Ergebnisse beispielsweise an ein SIEM, ein Ticketsystem, eine Chat-Plattform oder einen Workflow zur Problembehebung senden. Dies wäre Teil eines Alert-Triage-Workflows, den ein Kunde innerhalb von Security Hub CSPM durchführt. Diese Aktionen werden als benutzerdefinierte Aktionen bezeichnet.

      Wenn ein Benutzer eine benutzerdefinierte Aktion auswählt, wird ein CloudWatch Ereignis für diese spezifischen Ergebnisse erstellt. Sie könnten diese Funktion nutzen und Regeln und Ziele für CloudWatch Ereignisse erstellen, die ein Kunde als Teil einer benutzerdefinierten Aktion verwenden kann. Beachten Sie, dass diese Funktion nicht verwendet wird, um automatisch alle Ergebnisse eines bestimmten Typs oder einer bestimmten Klasse an CloudWatch Events zu senden. Es ist Sache eines Benutzers, auf der Grundlage bestimmter Ergebnisse Maßnahmen zu ergreifen.

      Sie können die API-Operationen für benutzerdefinierte Aktionen verwendenCreateActionTarget, um z. B. automatisch verfügbare Aktionen für Ihr Produkt zu erstellen (z. B. mithilfe von CloudFormation Vorlagen). Sie würden auch API-Operationen für CloudWatch Ereignisregeln verwenden, um entsprechende CloudWatch Ereignisregeln zu erstellen, die der benutzerdefinierten Aktion zugeordnet sind. Mithilfe von CloudFormation Vorlagen können Sie auch Regeln für CloudWatch Ereignisse erstellen, um automatisch alle Ergebnisse oder alle Ergebnisse mit bestimmten Merkmalen aus Security Hub CSPM aufzunehmen.

  26. Was sind die Voraussetzungen für einen Managed Security Service Provider (MSSP), um ein Security Hub CSPM-Partner zu werden?

    Sie müssen nachweisen, wie Security Hub CSPM im Rahmen Ihrer Servicebereitstellung für Kunden verwendet wird.

    Sie sollten über eine Benutzerdokumentation verfügen, die Ihre Verwendung von Security Hub CSPM erklärt.

    Wenn es sich bei dem MSSP um einen Suchdienstleister handelt, muss er nachweisen, dass er die Ergebnisse an Security Hub CSPM gesendet hat.

    Wenn der MSSP nur Ergebnisse von Security Hub CSPM erhält, muss er mindestens über eine CloudFormation Vorlage verfügen, um die entsprechenden Event-Regeln einzurichten. CloudWatch

  27. Was sind die Voraussetzungen, damit ein APN-Beratungspartner, der kein MSSP ist, ein Security Hub CSPM-Partner werden kann?

    Wenn Sie ein APN-Beratungspartner sind, können Sie ein Security Hub CSPM-Partner werden. Sie sollten zwei private Fallstudien darüber einreichen, wie Sie einem bestimmten Kunden dabei geholfen haben, Folgendes zu tun.

    • Richten Sie Security Hub CSPM mit IAM-Berechtigungen ein, die der Kunde benötigt.

    • Helfen Sie dabei, bereits integrierte ISV-Lösungen (Independent Software Vendor) mit Security Hub CSPM zu verbinden. Verwenden Sie dazu die Konfigurationsanweisungen auf der Partnerseite in der Konsole.

    • Unterstützen Sie Kunden mit maßgeschneiderten Produktintegrationen.

    • Gewinnen Sie maßgeschneiderte Erkenntnisse, die für die Kundenbedürfnisse und Datensätze relevant sind.

    • Erstellen Sie benutzerdefinierte Aktionen.

    • Erstellen Sie Playbooks zur Problembehebung.

    • Erstellen Sie Schnellstarts, die den CSPM-Compliance-Standards von Security Hub entsprechen. Diese müssen vom Security Hub CSPM-Team validiert werden.

    Fallstudien müssen nicht öffentlich zugänglich sein.

  28. Welche Anforderungen gelten für die Implementierung meiner Integration mit Security Hub CSPM bei meinen Kunden?

    Die Integrationsarchitekturen zwischen Security Hub CSPM und Partnerprodukten unterscheiden sich von Partner zu Partner in Bezug auf die Art und Weise, wie die Lösung dieses Partners betrieben wird. Sie sollten sicherstellen, dass der Einrichtungsprozess für die Integration nicht länger als 15 Minuten dauert.

    Wenn Sie Integrationssoftware in der AWS Kundenumgebung einsetzen, sollten Sie CloudFormation Vorlagen nutzen, um die Integration zu vereinfachen. Einige Partner haben eine Ein-Klick-Integration eingeführt, die dringend empfohlen wird.

  29. Was sind meine Dokumentationsanforderungen?

    Sie müssen einen Link zur Dokumentation bereitstellen, in der der Integrations- und Einrichtungsprozess zwischen Ihrem Produkt und Security Hub CSPM beschrieben wird, einschließlich Ihrer Verwendung von CloudFormation Vorlagen.

    Diese Dokumentation sollte auch Informationen zu Ihrer Verwendung von ASFF enthalten. Insbesondere sollten darin die ASFF-Suchttypen aufgeführt sein, die Sie für Ihre verschiedenen Ergebnisse verwenden. Wenn Sie über Standarddefinitionen für Erkenntnisse verfügen, empfehlen wir, dass Sie diese auch hier angeben.

    Erwägen Sie die Aufnahme weiterer potenzieller Informationen:

    • Ihr Anwendungsfall für die Integration mit Security Hub CSPM

    • Durchschnittliches Volumen der gesendeten Ergebnisse

    • Ihre Integrationsarchitektur

    • Die Regionen, die Sie unterstützen und die Sie nicht unterstützen

    • Latenz zwischen dem Zeitpunkt, an dem Ergebnisse erstellt werden, und dem Zeitpunkt, zu dem sie an Security Hub gesendet werden

    • Ob Sie die Ergebnisse aktualisieren

  30. Was sind benutzerdefinierte Erkenntnisse?

    Sie werden ermutigt, benutzerdefinierte Erkenntnisse für Ihre Ergebnisse zu definieren. Bei Erkenntnissen handelt es sich um einfache Korrelationsregeln, anhand derer ein Kunde priorisieren kann, welche Ergebnisse und Ressourcen am dringendsten Aufmerksamkeit und Maßnahmen erfordern.

    Security Hub CSPM hat einen CreateInsight API-Betrieb. Sie können benutzerdefinierte Einblicke in einem Kundenkonto als Teil Ihrer CloudFormation Vorlage erstellen. Diese Erkenntnisse werden auf der Kundenkonsole angezeigt.

  31. Kann ich Dashboard-Widgets einreichen?

    Nein, derzeit nicht. Sie können nur verwaltete Einblicke erstellen.

  32. Was ist Ihr Preismodell?

    Weitere Informationen finden Sie in den Security Hub CSPM-Preisinformationen.

  33. Wie reiche ich die Ergebnisse im Rahmen des endgültigen Genehmigungsprozesses für meine Integration an das Security Hub CSPM-Demokonto ein?

    Senden Sie die Ergebnisse an das Security Hub CSPM-Demokonto mit dem von Ihnen angegebenen Produkt-ARN us-west-2 als Region. Die Ergebnisse sollten die Demo-Kontonummer im AwsAccountId Bereich ASFF enthalten. Um die Demo-Kontonummer zu erhalten, wenden Sie sich an das Security Hub CSPM-Team.

    Senden Sie uns keine sensiblen Daten oder persönlich identifizierbaren Informationen. Diese Daten werden für öffentliche Demos verwendet. Wenn Sie uns diese Daten senden, autorisieren Sie uns, sie für Demos zu verwenden.

  34. Welche Fehler- oder Erfolgsmeldungen werden angezeigt? BatchImportFindings

    Security Hub CSPM bietet eine Antwort auf die Autorisierung und eine Antwort für. BatchImportFindings Weitere klare Erfolgs-, Misserfolgs- und Fehlermeldungen sind in Entwicklung.

  35. Für welche Fehlerbehandlung ist der Quelldienst verantwortlich?

    Die Quelldienste sind für die gesamte Fehlerbehandlung verantwortlich. Sie müssen mit Fehlermeldungen, Wiederholungsversuchen, Drosselungen und Alarmen umgehen. Sie müssen auch Feedback oder Fehlermeldungen verarbeiten, die über den CSPM-Feedback-Mechanismus von Security Hub gesendet werden.

  36. Was sind einige Lösungen für häufig auftretende Probleme?

    An AuthorizerConfigurationException wird entweder durch eine Fehlbildung AwsAccountId oder ProductArn verursacht.

    Beachten Sie bei der Fehlerbehebung Folgendes:

    • AwsAccountIdmuss genau aus 12 Ziffern bestehen.

    • ProductArnmuss das folgende Format haben: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>

      Die Konto-ID ändert sich nicht von der, die das Security Hub CSPM-Team dem Produkt beigefügt hat ARNs , das es Ihnen zur Verfügung gestellt hat.

    AccessDeniedExceptionwird verursacht, wenn ein Ergebnis an oder von dem falschen Konto gesendet wird oder wenn das Konto kein Konto hat. ProductSubscription Die Fehlermeldung enthält einen ARN mit dem Ressourcentyp product oderproduct-subscription. Dieser Fehler tritt nur bei kontoübergreifenden Anrufen auf. Wenn Sie BatchImportFindingsmit Ihrem eigenen Konto für dasselbe Konto in AwsAccountId und anrufenProductArn, verwendet der Vorgang IAM-Richtlinien und hat nichts damit zu tun. ProductSubscriptions

    Vergewissern Sie sich, dass es sich bei dem von Ihnen verwendeten Kundenkonto und Produktkonto um die tatsächlich registrierten Konten handelt. Einige Partner haben eine Kontonummer für das Produkt aus dem Produkt-ARN verwendet, versuchen aber, ein völlig anderes Konto für den Anruf zu verwenden BatchImportFindings. In anderen Fällen haben sie Konten ProductSubscriptions für andere Kunden oder sogar für ihr eigenes Produktkonto erstellt. Sie haben kein Kundenkonto erstelltProductSubscriptions, in das sie die Ergebnisse importieren wollten.

  37. An wen sende ich Fragen, Kommentare und Bugs?

  38. In welche Region sende ich Ergebnisse für Artikel im Zusammenhang mit globalen AWS Dienstleistungen? Wohin sende ich beispielsweise Ergebnisse im Zusammenhang mit IAM?

    Senden Sie Ergebnisse an dieselbe Region, in der der Befund entdeckt wurde. Bei einem Dienst wie IAM wird Ihre Lösung wahrscheinlich in mehreren Regionen auf dasselbe IAM-Problem stoßen. In diesem Fall wird der Befund an alle Regionen gesendet, in denen das Problem festgestellt wurde.

    Wenn der Kunde Security Hub CSPM in drei Regionen ausführt und dasselbe IAM-Problem in allen drei Regionen festgestellt wird, senden Sie das Ergebnis an alle drei Regionen.

    Wenn ein Problem behoben ist, senden Sie die Aktualisierung des Ergebnisses an alle Regionen, in die Sie das ursprüngliche Ergebnis gesendet haben.