本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 产品准备清单
<a name="product-readiness-checklist"></a>

 AWS Security Hub CSPM 和 APN 合作伙伴团队使用此清单来验证集成是否已准备就绪，可以启动。

## ASFF 映射
<a name="readiness-asff-mapping"></a>

这些问题与您的发现与 AWS 安全调查结果格式 (ASFF) 的映射有关。

**合作伙伴的所有调查发现数据是否都已映射到 ASFF？**  
将您所有调查发现都以某种方式映射到 ASFF。  
使用辅助字段，例如建模资源类型、`Network`、`Malware` 或 `ThreatIntelIndicators`。  
酌情将其他任何内容映射到 `Resource.Details.Other` 或 `ProductFields`。

**合作伙伴是否使用 `Resource.Details` 字段，例如 `AwsEc2instance`、`AwsS3Bucket` 和 `Container`？ 合作伙伴是否使用 `Resource.Details.Other` 来定义未在 ASFF 中建模的资源详细信息？**  
尽可能在您的调查发现中使用提供的辅助资源字段，例如 EC2 实例、S3 桶和安全组等。  
仅在没有直接匹配项时，才将与资源相关的其他信息映射到 `Resource.Details.Other`。

**合作伙伴是否将值映射到 `UserDefinedFields`？**  
切勿使用 `UserDefinedFields`。  
考虑使用其他辅助字段，例如 `Resource.Details.Other` 或 `ProductFields`。

**合作伙伴是否将信息映射到 `ProductFields`（该字段可映射到其他 ASFF 字段）？**  
仅将 `ProductFields` 用于特定产品信息，例如版本控制信息、特定产品的严重性调查发现以及其他无法映射到辅助字段的信息或 `Resources.Details.Other`。

**合作伙伴是否已为 `FirstObservedAt` 导入自己的时间戳？**  
`FirstObservedAt` 时间戳旨在记录在产品中观察到调查发现的时间。如有可能，应映射此字段。

****除了想要更新的调查发现外，合作伙伴是否提供为每个调查发现标识符生成的唯一值？****  
Security Hub CSPM 中的所有发现都以查找结果标识符（`Id`属性）为索引。此值必须始终是唯一的，以避免意外更新调查发现。  
您还应保持调查发现标识符状态，以便更新调查发现。

**合作伙伴是否提供可将调查发现映射到生成器 ID 的值？ **  
`GeneratorID` 不应与调查发现 ID 具有相同的值。  
`GeneratorID` 应能够根据调查发现的生成原因，将调查发现有逻辑地联系起来。  
这可以是产品中的子组件（产品 A - 漏洞与产品 A - EDR）或类似物品。

**合作伙伴是否以与其产品相关的方式使用所需的调查发现类型命名空间？ 合作伙伴是否在其调查发现类型中使用推荐的调查发现类型类别或分类器？**  
调查发现类型分类法应与产品生成的调查发现紧密对应。  
 AWS 安全调查结果格式中列出的第一级命名空间是必填的。  
您可以为二级和三级命名空间（类别或分类器）使用自定义值。

**如果合作伙伴有网络数据，他们是否会在 `Network` 字段捕获网络流量信息？**  
如果您的产品捕获了 NetFlow 信息，请将其映射到现`Network`场。

****如果合作伙伴有进程（PID）数据，他们是否会在 `Process` 字段中捕获进程信息？****  
如果您的产品捕获到进程信息，则将其映射到 `Process` 字段。

**如果合作伙伴有恶意软件数据，他们是否会在 `Malware` 字段捕获恶意软件信息？**  
如果您的产品捕获到恶意软件信息，则将其映射到 `Malware` 字段。

**如果合作伙伴有威胁情报数据，他们是否会在 `ThreatIntelIndicators` 字段捕获威胁情报信息？**  
如果您的产品捕获到威胁情报信息，则将其映射到 `ThreatIntelIndicators` 字段。

**合作伙伴是否为调查发现提供置信度评级？ 如果有，他们是否提供了理由？**  
每次使用此字段，您都要在文档和清单中说明理由。

**合作伙伴是否在调查发现中将规范 ID 或 ARN 用作资源 ID？**  
识别 AWS 资源时，最佳做法是使用 ARN。如果 ARN 不可用，则应使用规范资源 ID。

## 集成设置和功能
<a name="readiness-integration-setup"></a>

这些问题与集成的设置和 day-to-day功能有关。

**合作伙伴是否提供 infrastructure-as-code (IaC) 模板来部署与 Security Hub CSPM 的集成，例如 Terraform、或？ CloudFormation AWS Cloud Development Kit (AWS CDK)**  
对于将从客户账户发送调查结果或使用 CloudWatch 事件来使用调查结果的集成，需要某种形式的 IaC 模板。  
CloudFormation 是首选，但 AWS CDK 也可以使用 Terraform。

**合作伙伴产品的控制台上是否有一键设置以便与 Security Hub CSPM 集成？**  
一些合作伙伴产品在其产品中使用开关或类似机制来激活集成。这可能需要自动配置资源和权限。如果您要从产品帐户发送调查发现，首选方法当属一键设置。

**合作伙伴是否只发送有价值的调查发现？**  
通常，您应该只向 Security Hub CSPM 客户发送具有安全价值的调查结果。  
Security Hub CSPM 不是一个通用的日志管理工具。您不应将所有可能的日志发送到 Security Hub CSPM。

**合作伙伴是否提供了他们每天将向每位客户发送多少个调查发现以及发送频率（平均和突发）的估计值？**  
唯一发现的数量用于计算 Security Hub CSPM 的负载。唯一调查发现的定义是与另一个调查发现具有不同 ASFF 映射的调查发现。  
例如，如果一个调查发现仅填充 `ThreatIntelndicators`，另一个仅填充 `Resources.Details.AWSEc2Instance`，则这两个均为唯一调查发现。

**合作伙伴是否有妥善处理 4xx 和 5xx 错误的方法，让其不会受到节流，并在稍后时间发送所有调查发现？**  
目前，[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) API 操作的突发速率为 30 - 50 TPS。如果返回 4xx 或 5xx 错误，您必须保留这些失败的调查发现状态，以便稍后可以全部重试。您可以通过死信队列或其他 AWS 消息服务（例如 Amazon SNS 或 Amazon SQS）来执行此操作。

**合作伙伴是否会保留其调查发现的状态，以便他们知道是否该归档不再存在的调查发现？**  
如果您计划通过覆盖原始调查发现 ID 来更新调查发现，则必须使用一种机制来保留状态，以便为正确的调查发现更新正确的信息。  
如果您提供调查发现，切勿使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作来更新调查发现。此操作只能由客户使用。您只有在对调查发现进行调查并采取行动时，才能使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)。

**合作伙伴处理重试的方式是否会影响先前发送的成功调查发现？**  
您应该有一种机制，可以在出现错误时保留原始调查 IDs 结果，这样您就不会错误地重复或覆盖成功的搜索结果。

**合作伙伴是否使用现有调查发现的调查发现 ID 来调用 `BatchImportFindings` 操作，从而更新调查发现？**  
如要更新调查发现，您必须提交相同的调查发现 ID 来覆盖现有调查发现。  
该 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作只能由客户使用。

**合作伙伴是否使用 `BatchUpdateFindings` API 来更新调查发现？**  
如果您要对调查发现采取行动，则可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作来更新特定字段。

**合作伙伴是否提供有关从创建调查结果到将其从其产品发送到 Security Hub CSPM 之间的延迟时间的信息？**  
您应尽量减少延迟，确保客户尽快在 Security Hub CSPM 中看到调查结果。  
清单中必须提供此信息。

**如果合作伙伴的架构是从客户账户向 Security Hub CSPM 发送调查结果，那么他们是否成功地证明了这一点？ 如果合作伙伴的架构是通过自己的账户向 Security Hub CSPM 发送调查结果，那么他们是否成功地证明了这一点？**  
在测试期间，必须从您拥有的账户成功发送调查发现，该账户不同于为产品 ARN 提供的账户。  
从产品 ARN 所有者的账户发送调查发现可以绕过 API 操作中的某些错误异常。

**合作伙伴是否向 Security Hub CSPM 提供了心跳调查结果？**  
要证明您的集成运行正常，您应该发送心跳调查发现。每五分钟发送一次心跳调查发现，并使用 `Heartbeat` 调查发现类型。  
如果您从产品账户发送调查发现，这一点便很重要。

**在测试期间，合作伙伴是否与 Security Hub CSPM 产品团队的账户进行了集成？**  
在预制作验证期间，您应将发现示例发送到 Security Hub CSPM 产品团队的账户。 AWS 这些示例证明，调查发现的发送和映射都是正确的。

## 文档
<a name="readiness-documentation"></a>

这些问题与您提供的集成文档有关。

**合作伙伴是否将其文档托管在专门的网站上？**  
文档应以静态网页、wiki、Read the Docs 或其他专用格式托管在您的网站上。  
在上托管文档 GitHub 不符合专用网站的要求。

**合作伙伴文档是否提供了有关如何设置 Security Hub CSPM 集成的说明？**  
您可以使用 IaC 模板或基于控制台的“一键式”集成来设置集成。

**合作伙伴文档是否提供了其使用案例的描述？**  
您在清单中提供的使用案例也应在文档中加以描述

**合作伙伴文档是否说明了其所发送调查发现的依据？**  
您应为所发送调查发现类型提供依据。  
例如，您的产品可能会生成漏洞、恶意软件和防病毒的发现，但您只能将漏洞和恶意软件发现结果发送到 Security Hub CSPM。在这种情况下，您必须提供不发送防病毒调查发现的依据。

**合作伙伴文档是否说明了合作伙伴如何将其调查发现映射到 ASFF 的原理？**  
您应该提供将产品的本机调查发现映射到 ASFF 的原理。客户希望知道在哪里可以找到具体的商品信息。

**如果合作伙伴更新了调查发现，合作伙伴文档是否就其如何更新调查发现提供了指导？**  
向客户提供有关您如何保留状态的信息，确保偶然性，并用信息覆盖调查结果。 up-to-date

**合作伙伴文档是否描述了调查发现延迟？**  
最大限度地减少延迟，确保客户尽快在 Security Hub CSPM 中看到调查结果。  
清单中必须提供此信息。

**合作伙伴文档是否描述了其严重性评分与 ASFF 严重性评分的对应关系？**  
提供有关您如何将 `Severity.Original` 映射到 `Severity.Label` 的信息。  
例如，如果您的严重性值为字母等级（A、B、C），您应提供有关如何将字母等级映射到严重性标签的信息。

**合作伙伴文档是否提供了置信度评级依据？**  
如果您提供置信度分数，则应对这些分数进行排序。  
如果您使用静态填充的置信度分数或源自人工智能或机器学习的映射，则应提供其他背景信息。

**合作伙伴文档是否记录了合作伙伴支持和不支持哪些区域？**  
您应记录支持或不支持的区域，以便客户知道不应在哪些区域尝试集成。

## 产品卡片信息
<a name="readiness-product-card"></a>

这些问题与 Security Hub CSPM 控制台的 “**集成**” 页面上显示的产品卡片有关。

**提供的 AWS 账户 ID 是否有效且包含 12 位数字？**  
账户标识符的长度为 12 位数。如果账户 ID 包含的数字少于 12 位，则产品 ARN 将无效。

**商品描述中是否包含 200 个或更少的字符？**  
清单中 JSON 部分的产品描述不应超过 200 个字符（包括空格）。

**配置链接是否指向集成文档？**  
配置链接应指向您的在线文档。它不应指向您的主网站或营销页面。

**购买链接（如果提供）是否会指向该 AWS Marketplace 商品的上架信息？**  
如果您提供购买链接，则该链接必须用于 AWS Marketplace 参赛作品。Security Hub CSPM 不接受不是由托管的购买链接。 AWS

**产品类别对产品的描述是否正确？**  
在清单中，您最多可以提供三个产品类别。它们应与 JSON 相匹配，不能自定义。您提供的产品类别不能超过三个。

**公司名称和产品名称是否正确有效？**  
公司名称长度必须等于或少于 16 个字符。  
产品名称长度必须等于或少于 24 个字符。  
产品卡片 JSON 中的产品名称必须与清单中的名称相同。

## 营销信息
<a name="readiness-marketing"></a>

这些问题与集成营销有关。

**Security Hub CSPM 合作伙伴页面的产品描述是否在 700 个字符以内（包括空格）？**  
Security Hub CSPM 合作伙伴页面最多只能接受 700 个字符，包括空格。  
团队会删减较长的描述。

**Security Hub CSPM 合作伙伴页面徽标是否不超过 600 x 300 像素？**  
提供一个可公开访问的 URL，并附上不大于 600 x 300 像素的公司徽标（PNG 或 JPG 格式）。

**Security Hub CSPM 合作伙伴页面上的 “了解更多” 超链接是否指向合作伙伴关于集成的专用网页？**  
“**了解更多**”链接不应指向合作伙伴的主网站或文档信息。  
此链接应始终指向提供集成营销信息的专用网页。

**合作伙伴是否提供演示或教学视频，说明如何使用其集成？**  
演示或集成演练视频不是强制要求，但建议提供。

** AWS 合作伙伴网络博客文章是否与合作伙伴及其合作伙伴发展经理或合作伙伴发展代表一起发布？**  
AWS Partner Network 的博客文章应事先与合作伙伴发展经理或合作伙伴发展代表进行协调。  
这些内容独立于您自己撰写的任何博文。  
您应留出 4 - 6 周的准备时间。这项工作应在私有产品 ARN 测试完成后开始。

**是否会发布合作伙伴主导的新闻稿？**  
您可以与您的合作伙伴开发经理或合作伙伴发展代表合作，从外部安全服务副总裁处获得报价。您可在新闻稿中使用此报价。

**是否会发布合作伙伴主导的博文？**  
您可以创建自己的博客文章，在 AWS 合作伙伴网络博客之外展示您的集成。

**是否发布合作伙伴主导的网络研讨会？**  
您可以创建自己的网络研讨会来展示集成。  
如果您需要 Security Hub CSPM 团队的帮助，请在使用私有产品 ARN 完成测试后与产品团队合作。

**合作伙伴是否向其请求社交媒体支持 AWS？**  
发布后，您可以与 AWS 安全营销主管合作，使用 AWS 官方社交媒体渠道分享有关您的网络研讨会的详细信息。