AWS Security Hub CSPMPerguntas frequentes sobre parceiros - AWS Security Hub CSPM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Security Hub CSPMPerguntas frequentes sobre parceiros

A seguir estão perguntas comuns sobre como configurar e manter uma integração com o AWS Security Hub CSPM.

  1. Quais são os benefícios da integração com o CSPM do Security Hub?

    • Satisfação do cliente — O principal motivo para a integração com o CSPM do Security Hub é porque você tem solicitações de clientes para fazer isso.

      O Security Hub CSPM é o centro de segurança e conformidade dos clientes. AWS Ele foi projetado como a primeira parada em que os profissionais de AWS segurança e conformidade vão todos os dias para entender seu estado de segurança e conformidade.

      Ouça seus clientes. Eles dirão se querem ver suas descobertas no Security Hub.

    • Oportunidades de descoberta — Promovemos parceiros com integrações certificadas dentro do console CSPM do Security Hub, incluindo links para suas listagens. AWS Marketplace Essa é uma ótima maneira de os clientes descobrirem novos produtos de segurança.

    • Oportunidades de marketing — Fornecedores com integrações aprovadas podem participar de webinars, emitir comunicados à imprensa, criar planilhas simples e demonstrar suas integrações aos clientes. AWS

  2. Que tipos de parceiros existem?

    • Parceiros que enviam descobertas para o Security Hub CSPM

    • Parceiro que recebe descobertas do Security Hub CSPM

    • Parceiros que enviam e recebem descobertas

    • Parceiros de consultoria que ajudam os clientes a configurar, personalizar e usar o Security Hub CSPM em seu ambiente

  3. Como a integração de um parceiro com o Security Hub CSPM funciona em alto nível?

    Você coleta descobertas de uma conta de cliente ou de sua própria AWS conta e transforma o formato das descobertas no Formato de descoberta AWS de segurança (ASFF). Em seguida, você envia essas descobertas para o endpoint regional CSPM apropriado do Security Hub.

    Você também pode usar CloudWatch Eventos para receber descobertas do CSPM do Security Hub.

  4. Quais são as etapas básicas para concluir uma integração com o Security Hub CSPM?

    1. Enviar as informações do manifesto do seu parceiro.

    2. Receba ARNs o produto para usar com o CSPM do Security Hub, se você estiver enviando descobertas para o Security Hub.

    3. Mapear suas descobertas para o ASFF. Consulte Diretrizes para mapear descobertas no AWS Security Finding Format (ASFF).

    4. Defina sua arquitetura para enviar e receber descobertas do Security Hub CSPM. Seguir os princípios descritos em Princípios para criar e atualizar descobertas.

    5. Criar um framework de implantação para os clientes. Por exemplo, CloudFormation scripts podem servir a esse propósito.

    6. Documentar sua configuração e fornecer instruções de configuração para os clientes.

    7. Definir quaisquer insights personalizados (regras de correlação) que os clientes possam usar com seu produto.

    8. Demonstre sua integração com a equipe CSPM do Security Hub.

    9. Enviar informações de marketing para aprovação (idioma do site, comunicado à imprensa, slide de arquitetura, vídeo, planilha simples).

  5. Qual é o processo para enviar o manifesto de parceiro? E para que AWS os serviços enviem descobertas ao Security Hub CSPM?

    Você recebe o produto ARNs dentro de sete dias corridos.

  6. Que tipos de descobertas devo enviar para o CSPM do Security Hub?

    O preço do CSPM do Security Hub é parcialmente baseado no número de descobertas ingeridas. Por esse motivo, você deve evitar enviar descobertas que não agreguem valor aos clientes.

    Por exemplo, alguns fornecedores de gerenciamento de vulnerabilidades só enviam descobertas com uma pontuação do Common Vulnerability Scoring System (CVSS) de 3 ou mais em 10 possíveis.

  7. Quais são as diferentes abordagens para eu enviar descobertas ao CSPM do Security Hub?

    Estas são as principais abordagens:

    • Você envia descobertas de sua própria AWS conta designada usando a BatchImportFindingsoperação.

    • Você envia descobertas de dentro da conta do cliente usando a operação BatchImportFindings. Você pode usar abordagens assume-role, mas essas abordagens não são obrigatórias.

    Para obter diretrizes gerais sobre o uso de BatchImportFindings, consulte Diretrizes para o uso da API BatchImportFindings.

  8. Como faço para reunir minhas descobertas e enviá-las para um endpoint regional CSPM do Security Hub?

    Os parceiros usaram abordagens diferentes para isso, pois é altamente dependente da arquitetura da sua solução.

    Por exemplo, alguns parceiros criam um aplicativo em Python que pode ser implantado como um script. CloudFormation O script reúne as descobertas do parceiro no ambiente do cliente, as transforma em ASFF e as envia para o endpoint regional CSPM do Security Hub.

    Outros parceiros criam um assistente completo que oferece ao cliente uma experiência com um único clique para enviar as descobertas ao CSPM do Security Hub.

  9. Como posso saber quando começar a enviar descobertas para o Security Hub CSPM?

    O CSPM do Security Hub oferece suporte à autorização parcial em lote para a operação da BatchImportFindingsAPI, para que você possa enviar todas as suas descobertas ao CSPM do Security Hub para todos os seus clientes.

    Se alguns de seus clientes ainda não se inscreveram no CSPM do Security Hub, o Security Hub CSPM não ingere essas descobertas. Ele ingere apenas as descobertas autorizadas que estão no lote.

  10. Quais etapas eu preciso concluir para enviar as descobertas para a instância CSPM do Security Hub de um cliente?

    1. Garanta que as políticas corretas do IAM estejam em vigor.

    2. Habilite uma assinatura de produto (políticas de recursos) para as contas. Use a operação de API EnableImportFindingsForProduct ou a página Integrações. O cliente pode fazer isso ou você pode usar funções entre contas para agir em nome do cliente.

    3. O ProductArn da descoberta dever ser o ARN público do seu produto.

    4. O AwsAccountId da descoberta deve ser o ID da conta do cliente.

    5. Certifique-se de que suas descobertas não tenham dados malformados de acordo com o AWS Security Finding Format (ASFF). Por exemplo, os campos obrigatórios são preenchidos e não há valores inválidos.

    6. Envie descobertas em lotes para o endpoint regional correto.

  11. Quais permissões do IAM devem estar em vigor para que eu envie as descobertas?

    As políticas do IAM devem ser configuradas para o usuário ou o perfil do IAM que chama BatchImportFindings ou para outras chamadas de API.

    O teste mais fácil é fazer isso em uma conta de administrador. Você pode restringi-los a action: ‘securityhub:BatchImportFindings’ e resource: <productArn and/or productSubscriptionArn>.

    Os recursos na mesma conta podem ser configurados com políticas do IAM sem exigir políticas de recursos.

    Para descartar problemas de política do IAM do chamador de BatchImportFindings, defina a política do IAM para o chamador da seguinte forma:

    {
    Action: 'securityhub:*',
    Effect: 'Allow',
    Resource: '*'
}

    Verifique se não há nenhuma política Deny para o chamador. Depois de fazer com que funcione dessa forma, você pode restringir a política ao seguinte:

    {
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct'
},
{
    Action: 'securityhub:BatchImportFindings',
    Effect: 'Allow',
    Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct'
}

  12. O que é uma assinatura de produto?

    Para receber descobertas de um produto parceiro específico, o cliente (ou o parceiro com funções em várias contas trabalhando em nome do cliente) deve estabelecer uma assinatura do produto. Para fazer isso no console, eles usam a página Integrações. Para fazer por meio da API, eles usam a operação de API EnableImportFindingsForProduct.

    A assinatura do produto cria uma política de recursos que autoriza que as descobertas do parceiro sejam recebidas ou enviadas pelo cliente. Para obter detalhes, consulte Casos de uso de integração e permissões necessárias.

    O Security Hub CSPM tem os seguintes tipos de políticas de recursos para parceiros:

    • BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT

    • BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT

    Durante o processo de integração do parceiro, você pode solicitar um ou os dois tipos de política.

    ComBATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT, você só pode enviar descobertas para o CSPM do Security Hub a partir da conta listada no ARN do seu produto.

    Com BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT, você só pode enviar descobertas da conta do cliente que se inscreveu com você.

  13. Suponha que um cliente tenha criado uma conta de administrador e adicionado algumas contas de membros. O cliente precisa inscrever cada conta de membro comigo? Ou o cliente só se inscreve na conta do administrador e eu posso então enviar descobertas com base nos recursos de todas as contas dos membros?

    Essa pergunta questiona se as permissões foram criadas para todas as contas de membros com base no registro da conta de administrador.

    O cliente deve estabelecer uma assinatura de produto para cada conta. Eles podem fazer isso programaticamente por meio da API.

  14. Qual é o ARN do meu produto?

    O ARN do produto é o identificador exclusivo que o Security Hub CSPM gera para você e que você usa para enviar descobertas. Você recebe um ARN de produto para cada produto que você integra com o Security Hub CSPM. O ARN correto do produto deve fazer parte de cada descoberta enviada ao CSPM do Security Hub. As descobertas sem o ARN do produto são descartadas. Esse ARN do produto usa o seguinte formato:

    arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]

    Exemplo:

    arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro

    Você recebe um ARN de produto para cada região em que o Security Hub CSPM está implantado. O ID da conta, a empresa e os nomes dos produtos são determinados pelos envios do manifesto de seu parceiro. Você nunca altera nenhuma informação associada ao ARN do seu produto, exceto o código da região. O código da região deve corresponder à região para a qual você envia as descobertas.

    Um erro comum é alterar o ID da conta para corresponder à conta na qual você está trabalhando atualmente. O ID da conta não muda. Você envia um ID de conta “inicial” como parte do envio do manifesto. Esse ID da conta está bloqueado no ARN do seu produto.

    Quando o Security Hub CSPM é lançado em novas regiões, ele usa automaticamente os códigos de região padrão para gerar seu produto ARNs para essas regiões.

    Cada conta também é provisionada automaticamente com um ARN de produto privado. Você pode usar esse ARN para testar a importação de descobertas em sua própria conta de desenvolvimento antes de receber o ARN oficial do produto público.

  15. Qual formato deve ser usado para enviar as descobertas ao CSPM do Security Hub?

    As descobertas devem ser fornecidas no Formato AWS de Conclusão de Segurança (ASFF). Para mais detalhes, consulte AWS Security Finding Format (ASFF) no Guia do usuário do AWS Security Hub.

    A expectativa é que todas as informações em suas descobertas nativas sejam totalmente refletidas no ASFF. Campos personalizados, como ProductFields e Resource.Details.Other, permitem mapear dados que não se encaixam perfeitamente nos campos predefinidos.

  16. Qual é o endpoint regional correto a ser usado?

    Você deve enviar as descobertas para o endpoint regional CSPM do Security Hub que está associado à conta do cliente.

  17. Onde posso encontrar a lista de endpoints regionais?

    Consulte a lista de endpoints CSPM do Security Hub.

  18. Posso enviar descobertas entre regiões?

    O Security Hub CSPM ainda não suporta o envio de descobertas entre regiões para os AWS serviços nativos, como Amazon, Amazon GuardDuty Macie e Amazon Inspector. Se seu cliente permitir, o CSPM do Security Hub não impede que você envie descobertas de diferentes regiões.

    Nesse sentido, você pode chamar um endpoint regional de qualquer lugar, e as informações de recursos do ASFF não precisam corresponder à região do endpoint. No entanto, o ProductArn deve corresponder à região do endpoint.

  19. Quais são as regras e diretrizes para enviar lotes de descobertas?

    Você pode agrupar até 100 descobertas ou 240 KB em uma única chamada de BatchImportFindings. Coloque em fila e agrupe o maior número possível de descobertas até esse limite.

    Você pode agrupar um conjunto de descobertas de contas diferentes. No entanto, se alguma das contas do lote não estiver inscrita no CSPM do Security Hub, o lote inteiro falhará. Essa é uma limitação do modelo básico de autorização do API Gateway.

    Consulte Diretrizes para o uso da API BatchImportFindings.

  20. Posso enviar atualizações das descobertas que criei?

    Sim, se você enviar uma descoberta com o mesmo ARN do produto e o mesmo ID da descoberta, ela substituirá os dados anteriores dessa descoberta. Observe que todos os dados são sobrescritos, então você deve enviar uma descoberta completa.

    Os clientes são medidos e cobrados tanto pelas novas descobertas quanto pelas atualizações das descobertas.

  21. Posso enviar atualizações das descobertas que criei?

    Sim, se o cliente conceder acesso à operação de API BatchUpdateFindings, você poderá atualizar determinados campos usando essa operação. Essa operação foi projetada para ser usada por clientes SIEMs, sistemas de tíquetes e plataformas de orquestração, automação e resposta de segurança (SOAR).

  22. Como as descobertas se tornam obsoletas?

    O Security Hub CSPM expira as descobertas 90 dias após a data da última atualização. Após esse período, as descobertas obsoletas são removidas do cluster CSPM do Security Hub. OpenSearch

    Se você atualizar uma descoberta com a mesma ID de descoberta e ela estiver desatualizada, uma nova descoberta será criada no CSPM do Security Hub.

    Os clientes podem usar o CloudWatch Events para retirar as descobertas do CSPM do Security Hub. Isso permite que todas as descobertas sejam enviadas aos alvos escolhidos pelo cliente.

    Em geral, o Security Hub CSPM recomenda que você crie novas descobertas a cada 90 dias e não as atualize para sempre.

  23. Quais aceleradores o Security Hub CSPM implementa?

    O CSPM do Security Hub acelera as chamadas de GetFindings API, pois a abordagem recomendada para acessar as descobertas é usar Eventos. CloudWatch

    O Security Hub CSPM não implementa nenhuma outra limitação em serviços, parceiros ou clientes internos além da imposta pelas invocações do API Gateway e do Lambda.

  24. Qual é a pontualidade, a latência SLAs ou as expectativas das descobertas enviadas ao CSPM do Security Hub a partir dos serviços de origem?

    O objetivo é ser o mais próximo possível em tempo real, tanto para as descobertas iniciais quanto para as atualizações das descobertas. Você deve enviar as descobertas para o CSPM do Security Hub dentro de cinco minutos após a criação.

  25. Como posso receber descobertas do CSPM do Security Hub?

    Para receber descobertas, use um dos métodos a seguir.

    • Todas as descobertas são enviadas automaticamente para CloudWatch Eventos. Um cliente pode criar regras de CloudWatch eventos específicas para enviar descobertas para alvos específicos, como um SIEM ou um bucket S3. Esse recurso substituiu a operação herdada da API GetFindings.

    • Use CloudWatch Eventos para ações personalizadas. O Security Hub CSPM permite que os clientes selecionem descobertas específicas ou grupos de descobertas no console e tomem medidas com base nelas. Por exemplo, eles podem enviar descobertas para um SIEM, sistema de emissão de tíquetes, plataforma de bate-papo ou fluxo de trabalho de correção. Isso faria parte de um fluxo de trabalho de triagem de alertas que um cliente executa no CSPM do Security Hub. Essas ações são chamadas de ações personalizadas.

      Quando um usuário seleciona uma ação personalizada, um CloudWatch evento é criado para essas descobertas específicas. Você pode aproveitar esse recurso e criar regras e metas de CloudWatch eventos para um cliente usar como parte de uma ação personalizada. Observe que esse recurso não é usado para enviar automaticamente todas as descobertas de um determinado tipo ou classe para CloudWatch Eventos. Cabe ao usuário agir com base em descobertas específicas.

      Você pode usar as operações da API de ação personalizadaCreateActionTarget, como, para criar automaticamente ações disponíveis para seu produto (como usar CloudFormation modelos). Você também CloudWatch usaria as operações da API de regras de CloudWatch eventos para criar regras de eventos correspondentes associadas à ação personalizada. Usando CloudFormation modelos, você também pode criar regras de CloudWatch eventos para ingerir automaticamente do CSPM do Security Hub todas as descobertas ou todas as descobertas com determinadas características.

  26. Quais são os requisitos para que um provedor de serviços gerenciados de segurança (MSSP) se torne um parceiro CSPM do Security Hub?

    Você deve demonstrar como o CSPM do Security Hub é usado como parte da prestação de serviços aos clientes.

    Você deve ter a documentação do usuário que explique o uso do CSPM do Security Hub.

    Se o MSSP for um provedor de busca, ele deverá demonstrar o envio das descobertas para o CSPM do Security Hub.

    Se o MSSP receber apenas descobertas do Security Hub CSPM, ele deverá, no mínimo, ter um CloudFormation modelo para configurar as regras de eventos apropriadas. CloudWatch

  27. Quais são os requisitos para que um parceiro de consultoria da APN que não seja MSSP se torne um parceiro CSPM do Security Hub?

    Se você for um parceiro de consultoria da APN, você pode se tornar um parceiro CSPM do Security Hub. Você deve enviar dois estudos de caso particulares sobre como você ajudou um cliente específico a:

    • Configure o CSPM do Security Hub com as permissões do IAM de que o cliente precisa.

    • Ajude a conectar soluções de fornecedores independentes de software (ISV) já integradas ao CSPM do Security Hub usando as instruções de configuração na página do parceiro no console.

    • Realizar integrações personalizadas de produtos.

    • Criar insights personalizados relevantes para as necessidades e conjuntos de dados do cliente.

    • Criar ações personalizadas.

    • Criar manuais de correção.

    • Crie guias de início rápido que se alinhem aos padrões de conformidade CSPM do Security Hub. Eles devem ser validados pela equipe CSPM do Security Hub.

    Os nomes de compilações não precisam ser exclusivos.

  28. Quais são os requisitos de como eu implanto minha integração com o Security Hub CSPM com meus clientes?

    As arquiteturas de integração entre o Security Hub CSPM e os produtos de parceiros variam de parceiro para parceiro em termos de como a solução desse parceiro é operada. Você deve garantir que o processo de configuração da integração não demore mais do que 15 minutos.

    Se você estiver implantando software de integração no AWS ambiente do cliente, deverá utilizar CloudFormation modelos para simplificar a integração. Alguns parceiros criaram uma integração com um clique, o que é altamente recomendável.

  29. Quais são meus requisitos de documentação?

    Você deve fornecer um link para a documentação que descreva o processo de integração e configuração entre seu produto e o CSPM do Security Hub, incluindo o uso de CloudFormation modelos.

    Essa documentação também deve incluir informações sobre o uso do ASFF. Especificamente, isso deve listar os tipos de descoberta do ASFF que você está usando para suas diferentes descobertas. Se você usar as credenciais do, recomendamos que também as mude regularmente.

    Considere incluir outras informações possíveis:

    • Seu caso de uso para integração com o Security Hub CSPM

    • Volume médio de descobertas enviadas

    • Sua arquitetura de integração

    • As regiões às quais você atende e não atende

    • Latência entre o momento em que as descobertas são criadas e o momento em que são enviadas ao Security Hub

    • Se você atualiza as descobertas

  30. O que são insights personalizados?

    É recomendável que você defina insights personalizados para suas descobertas. Os insights são regras de correlação leves que ajudam o cliente a priorizar quais descobertas e recursos mais exigem atenção e ação.

    O Security Hub CSPM tem uma operação de CreateInsight API. Você pode criar insights personalizados dentro de uma conta de cliente como parte do seu CloudFormation modelo. Esses insights aparecem no console do cliente.

  31. Posso enviar widgets do painel?

    Não neste momento. Você só pode criar insights gerenciados.

  32. Qual é o seu modelo de preços?

    Consulte as informações de preços do CSPM do Security Hub.

  33. Como faço para enviar as descobertas para a conta de demonstração do CSPM do Security Hub como parte do processo final de aprovação da minha integração?

    Envie as descobertas para a conta de demonstração do CSPM do Security Hub usando o ARN do produto fornecido, usando us-west-2 como Região. As descobertas devem incluir o número da conta de demonstração no campo AwsAccountId do ASFF. Para obter o número da conta demo, entre em contato com a equipe CSPM do Security Hub.

    Não nos envie dados confidenciais ou informações de identificação pessoal. Esses dados são usados para demonstrações públicas. Quando você nos envia esses dados, você nos autoriza a usá-los em demonstrações.

  34. Quais mensagens de erro ou de sucesso BatchImportFindings fornece?

    O Security Hub CSPM fornece uma resposta para autorização e uma resposta para. BatchImportFindings Mais mensagens atualizadas de sucesso, insucesso e erro estão em desenvolvimento.

  35. Por qual tratamento de erros o serviço de origem é responsável?

    Os serviços de origem são responsáveis por todo o tratamento de erros. Eles devem lidar com mensagens de erro, novas tentativas, controle de utilização e alarmes. Eles também devem lidar com comentários ou mensagens de erro enviados por meio do mecanismo de feedback CSPM do Security Hub.

  36. Quais são algumas soluções para problemas comuns?

    Uma AuthorizerConfigurationException é causada por uma malformação de AwsAccountId ou ProductArn.

    Após a refragmentação, observe o seguinte:

    • AwsAccountId deve ter exatamente 12 dígitos.

    • ProductArndeve estar no seguinte formato: arn:aws:securityhub: ::product//<us-west-2 or us-east-1><accountId><company-id><product-id>

      A ID da conta não muda em relação à que a equipe CSPM do Security Hub incluiu no produto ARNs que eles forneceram a você.

    AccessDeniedException é causada quando uma descoberta é enviada para ou da conta errada, ou quando a conta não tem uma ProductSubscription. A mensagem de erro conterá um ARN com um tipo de recurso de product ou product-subscription. Esse erro ocorre somente durante chamadas entre contas. Se você chamar BatchImportFindings com sua própria conta para a mesma conta em AwsAccountId e ProductArn, a operação usará políticas do IAM e não tem nada a ver com ProductSubscriptions.

    Certifique-se de que a conta do cliente e a conta do produto que você usa sejam as contas registradas reais. Alguns parceiros usaram um número de conta do ARN do produto para o produto, mas tentam usar uma conta totalmente diferente para chamar BatchImportFindings. Em outros casos, eles criaram ProductSubscriptions para outras contas de clientes ou até mesmo para sua própria conta de produto. Eles não criaram ProductSubscriptions para a conta do cliente para a qual tentaram importar as descobertas.

  37. Para onde envio perguntas, comentários e bugs?

  38. Para qual região eu envio descobertas de itens relacionados a serviços da AWS globais? Por exemplo, para onde envio as descobertas relacionadas ao IAM?

    Envie as descobertas para a mesma região em que a descoberta foi detectada. Para um serviço como o IAM, sua solução provavelmente encontrará o mesmo problema de IAM em várias regiões. Nesse caso, a descoberta é enviada para todas as regiões em que o problema foi detectado.

    Se o cliente executa o Security Hub CSPM em três regiões e o mesmo problema de IAM é detectado em todas as três regiões, envie a descoberta para todas as três regiões.

    Quando um problema for resolvido, envie a atualização da descoberta a todas as regiões para as quais você enviou a descoberta original.