本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Security Hub CSPM合作夥伴常見問答集
以下是有關設定和維護與 整合的常見問題AWS Security Hub CSPM。
-
Security Hub CSPM 整合有哪些優點?
-
客戶滿意度 – 與 Security Hub CSPM 整合的首要原因是您有客戶請求這樣做。
Security Hub CSPM 是AWS客戶的安全和合規中心。它被設計為AWS安全與合規專業人員每天了解其安全與合規狀態的第一站。
聆聽您的客戶。他們將告訴您他們是否想要在 Security Hub 中查看您的問題清單。
-
探索機會:我們在 Security Hub CSPM 主控台中推廣具有認證整合的合作夥伴,包括其AWS Marketplace清單的連結。這是讓客戶探索新安全產品的好方法。
-
行銷機會 – 具有核准整合的供應商可以參與網路研討會、發佈新聞發佈、建立配量表,以及AWS向客戶展示其整合。
-
-
有哪些類型的合作夥伴?
-
將問題清單傳送至 Security Hub CSPM 的合作夥伴
-
從 Security Hub CSPM 接收問題清單的合作夥伴
-
同時傳送和接收問題清單的合作夥伴
-
協助客戶在其環境中設定、自訂和使用 Security Hub CSPM 的諮詢合作夥伴
-
-
與 Security Hub CSPM 的合作夥伴整合如何在高階運作?
您可以從客戶帳戶或自己的AWS帳戶收集問題清單,並將問題清單的格式轉換為AWS安全性問題清單格式 (ASFF)。然後,將這些調查結果推送到適當的 Security Hub CSPM 區域端點。
您也可以使用 CloudWatch Events 接收 Security Hub CSPM 的問題清單。
-
完成與 Security Hub CSPM 整合的基本步驟是什麼?
-
提交您的合作夥伴資訊清單資訊。
-
如果您要將問題清單傳送到 Security Hub,請接收要與 Security Hub CSPM 搭配使用的產品 ARNs。
-
將您的問題清單映射至 ASFF。請參閱 將問題清單映射到AWS安全問題清單格式 (ASFF) 的指導方針。
-
定義您的架構,以將問題清單傳送至 Security Hub CSPM 並從中接收問題清單。遵循 中概述的原則用於建立和更新問題清單的 Tenet。
-
為客戶建立部署架構。例如,CloudFormation指令碼可以實現此目的。
-
記錄您的設定,並為客戶提供組態指示。
-
定義客戶可與產品搭配使用的任何自訂洞見 (關聯規則)。
-
示範您與 Security Hub CSPM 團隊的整合。
-
提交行銷資訊以供核准 (網站語言、新聞發佈、架構投影片、影片、配量表)。
-
-
提交合作夥伴資訊清單的程序為何? 對於將問題清單傳送到 Security Hub CSPM AWS的服務?
若要將資訊清單資訊提交至 Security Hub CSPM 團隊,請使用
<securityhub-partners@amazon.com>。您會在七天內收到產品 ARNs。
-
我應該將哪些類型的問題清單傳送至 Security Hub CSPM?
Security Hub CSPM 定價部分取決於擷取的問題清單數量。因此,您應該避免傳送未為客戶提供價值的問題清單。
例如,某些漏洞管理供應商只會傳送可能 10 個漏洞評分系統 (CVSS) 分數為 3 或更高的問題清單。
-
將問題清單傳送到 Security Hub CSPM 的方法有哪些?
以下是主要方法:
-
您可以使用
BatchImportFindings操作從自己的指定AWS帳戶傳送問題清單。 -
您可以使用
BatchImportFindings操作從客戶帳戶內傳送問題清單。您可以使用擔任角色方法,但不需要這些方法。
如需使用 的整體指導方針
BatchImportFindings,請參閱 使用 BatchImportFindings API 的指導方針。 -
-
如何收集問題清單並將其推送至 Security Hub CSPM 區域端點?
合作夥伴對此使用了不同的方法,因為它高度依賴解決方案的架構。
例如,有些合作夥伴會建置 Python 應用程式,以部署為CloudFormation指令碼。指令碼會從客戶環境收集合作夥伴的問題清單,將其轉換為 ASFF,並將其傳送至 Security Hub CSPM 區域端點。
其他合作夥伴會建置完整的精靈,為客戶提供一鍵式體驗,將問題清單推送至 Security Hub CSPM。
-
如何知道何時開始將問題清單傳送至 Security Hub CSPM?
Security Hub CSPM 支援
BatchImportFindingsAPI 操作的部分批次授權,因此您可以為所有客戶將所有問題清單傳送至 Security Hub CSPM。如果您的部分客戶尚未訂閱 Security Hub CSPM,Security Hub CSPM 不會擷取這些調查結果。它只會擷取批次中的授權調查結果。
-
我需要完成哪些步驟,才能將問題清單傳送至客戶的 Security Hub CSPM 執行個體?
-
確保有正確的 IAM 政策。
-
為帳戶啟用產品訂閱 (資源政策)。使用
EnableImportFindingsForProductAPI 操作或整合頁面。客戶可以這樣做,或者您可以使用跨帳戶角色來代表客戶採取行動。 -
確定問題清單
ProductArn的 是您產品的公有 ARN。 -
確定調查結果
AwsAccountId的 是客戶的帳戶 ID。 -
確保您的問題清單沒有任何根據AWS安全問題清單格式 (ASFF) 的格式不正確的資料。例如,會填入必要欄位,而且沒有無效的值。
-
將問題清單批次傳送至正確的區域端點。
-
-
我必須具備哪些 IAM 許可才能傳送問題清單?
必須針對呼叫 或其他 API 呼叫的 IAM 使用者
BatchImportFindings或角色設定 IAM 政策。最簡單的測試是從管理員帳戶執行此操作。您可以將這些限制為
action: ‘securityhub:BatchImportFindings’和resource:。<productArn and/or productSubscriptionArn>相同帳戶中的資源可以使用 IAM 政策設定,而不需要資源政策。
若要排除 發起人的 IAM 政策問題
BatchImportFindings,請為發起人設定 IAM 政策,如下所示:{ Action: 'securityhub:*', Effect: 'Allow', Resource: '*' }請務必檢查呼叫者沒有
Deny政策。取得它以使用之後,您可以將政策限制為下列內容:{ Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:<account>:product/mycompany/myproduct' }, { Action: 'securityhub:BatchImportFindings', Effect: 'Allow', Resource: 'arn:aws:securityhub:<region>:*:product-subscription/mycompany/myproduct' } -
什麼是產品訂閱?
若要從特定的合作夥伴產品接收問題清單,客戶 (或具有代表客戶的跨帳戶角色的合作夥伴) 必須建立產品訂閱。若要從主控台執行此操作,他們會使用整合頁面。若要從 API 執行此操作,他們會使用
EnableImportFindingsForProductAPI 操作。產品訂閱會建立資源政策,授權客戶接收或傳送來自合作夥伴的問題清單。如需詳細資訊,請參閱整合使用案例和必要的許可。
Security Hub CSPM 有下列類型的合作夥伴資源政策:
-
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT -
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT
在合作夥伴加入程序中,您可以請求其中一種或兩種類型的政策。
使用
BATCH_IMPORT_FINDINGS_FROM_PRODUCT_ACCOUNT,您只能從產品 ARN 中列出的帳戶傳送問題清單至 Security Hub CSPM。使用
BATCH_IMPORT_FINDINGS_FROM_CUSTOMER_ACCOUNT,您只能從訂閱您的客戶帳戶傳送問題清單。 -
-
假設客戶建立了管理員帳戶,並新增了幾個成員帳戶。客戶是否需要訂閱每個成員帳戶? 或者,客戶只訂閱管理員帳戶,然後我可以針對所有成員帳戶中的資源傳送問題清單?
此問題會根據管理員帳戶註冊,詢問是否已為所有成員帳戶建立許可。
客戶必須為每個帳戶設定產品訂閱。他們可以透過 API 以程式設計方式執行此操作。
-
什麼是我的產品 ARN?
您的產品 ARN 是 Security Hub CSPM 為您產生的唯一識別符,用於提交問題清單。您會收到與 Security Hub CSPM 整合之每個產品的產品 ARN。正確的產品 ARN 必須是您傳送至 Security Hub CSPM 的每個調查結果的一部分。沒有產品 ARN 的調查結果會被捨棄。產品 ARN 使用以下格式:
arn:aws:securityhub:[region code]:[account ID]:product/[company name]/[product name]請見此處範例:
arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro您會收到部署 Security Hub CSPM 的每個區域的產品 ARN。帳戶 ID、公司和產品名稱是由您的合作夥伴資訊清單提交所決定。您永遠不會變更與產品 ARN 相關聯的任何資訊,區域代碼除外。區域碼必須符合您提交問題清單的區域。
常見的錯誤是變更帳戶 ID 以符合您目前工作的 帳戶。帳戶 ID 不會變更。您可以在資訊清單提交中提交 "home" 帳戶 ID。此帳戶 ID 會鎖定在您的產品 ARN 中。
當 Security Hub CSPM 在新區域中啟動時,它會自動使用標準區域代碼來產生這些區域的產品 ARNs。
每個帳戶也會自動使用私有產品 ARN 佈建。您可以在收到官方公開產品 ARN 之前,使用此 ARN 在您自己的開發帳戶中測試匯入問題清單。
-
應該使用哪種格式將問題清單傳送到 Security Hub CSPM?
問題清單必須以AWS安全問題清單格式 (ASFF) 提供。如需詳細資訊,請參閱AWS Security Hub《 使用者指南》中的AWS安全問題清單格式 (ASFF)。
預期原生調查結果中的所有資訊都會完全反映在 ASFF 中。自訂欄位,例如
ProductFields和Resource.Details.Other可讓您將不適合的資料映射到預先定義的欄位。 -
要使用的正確區域端點是什麼?
您必須將問題清單傳送至與客戶帳戶相關聯的 Security Hub CSPM 區域端點。
-
哪裡可以找到區域端點的清單?
-
我可以提交跨區域調查結果嗎?
Security Hub CSPM 尚不支援跨區域提交原生AWS服務的問題清單,例如 Amazon GuardDuty、Amazon Macie 和 Amazon Inspector。如果您的客戶允許,Security Hub CSPM 不會阻止您從不同區域提交問題清單。
因此,您可以從任何地方呼叫區域端點,ASFF 的資源資訊不必符合端點的區域。不過,
ProductArn必須符合端點的區域。 -
傳送問題清單批次的規則和指導方針是什麼?
您最多可以在 的單一呼叫中批次處理 100 個問題清單或 240 KB
BatchImportFindings。盡可能將問題清單排入佇列並進行批次處理,直到達到此限制為止。您可以從不同的帳戶批次處理一組問題清單。不過,如果批次中的任何帳戶未訂閱 Security Hub CSPM,則整個批次會失敗。這是 API Gateway 基準授權模型的限制。
-
我可以將更新傳送到我建立的問題清單嗎?
是,如果您提交具有相同產品 ARN 和相同問題清單 ID 的問題清單,則會覆寫該問題清單的先前資料。請注意,所有資料都會遭到覆寫,因此您應該提交完整的問題清單。
會針對新問題清單和問題清單更新來衡量和計費客戶。
-
我可以將更新傳送到其他人建立的問題清單嗎?
是,如果客戶授予您
BatchUpdateFindingsAPI 操作的存取權,您可以使用該操作更新特定欄位。此操作旨在供客戶、SIEMs、票證系統和安全協調、自動化和回應 (SOAR) 平台使用。 -
問題清單如何過時?
Security Hub CSPM 會在上次更新日期的 90 天後淘汰問題清單。在此期間之後,會將過時的問題清單從 Security Hub CSPM OpenSearch 叢集中清除。
如果您使用相同的問題清單 ID 更新問題清單,且問題清單已過時,則會在 Security Hub CSPM 中建立新的問題清單。
客戶可以使用 CloudWatch Events 將問題清單移出 Security Hub CSPM。這樣做可讓所有調查結果傳送到客戶選擇的目標。
一般而言,Security Hub CSPM 建議您每 90 天建立新的問題清單,而且不要永遠更新問題清單。
-
Security Hub CSPM 設置了哪些調節?
Security Hub CSPM 會調節
GetFindingsAPI 呼叫,因為存取問題清單的建議方法是使用 CloudWatch Events。Security Hub CSPM 不會在 API Gateway 和 Lambda 調用強制執行的內部服務、合作夥伴或客戶上執行任何其他限流。
-
對於從來源服務傳送至 Security Hub CSPM 的問題清單,SLAs 或預期的時間或延遲為何?
目標是在初始問題清單和問題清單更新中盡可能近乎即時。您應該在問題清單建立後五分鐘內將問題清單傳送到 Security Hub CSPM。
-
如何從 Security Hub CSPM 接收問題清單?
若要接收問題清單,請使用下列其中一種方法。
-
所有問題清單都會自動傳送至 CloudWatch Events。客戶可以建立特定的 CloudWatch Events 規則,將問題清單傳送至特定目標,例如 SIEM 或 S3 儲存貯體。此功能取代了舊版
GetFindingsAPI 操作。 -
將 CloudWatch Events 用於自訂動作。Security Hub CSPM 可讓客戶從主控台中選取特定問題清單或問題清單群組,並對其採取動作。例如,他們可以將問題清單傳送到 SIEM、票證系統、聊天平台或修復工作流程。這將成為客戶在 Security Hub CSPM 中執行的警示分類工作流程的一部分。這些稱為自訂動作。
當使用者選取自訂動作時,會為這些特定問題清單建立 CloudWatch 事件。您可以利用此功能,並建置 CloudWatch Events 規則和目標,供客戶做為自訂動作的一部分使用。請注意,此功能不會用來自動將特定類型或類別的所有問題清單傳送至 CloudWatch Events。這是供使用者對特定問題清單採取動作。
您可以使用自訂動作 API 操作,例如
CreateActionTarget,自動為您的產品建立可用的動作 (例如使用 CloudFormation範本)。您也可以使用 CloudWatch Events 規則 API 操作來建立與自訂動作相關聯的對應 CloudWatch Events 規則。您也可以使用 CloudFormation範本建立 CloudWatch Events 規則,從 Security Hub CSPM 自動擷取所有調查結果或具有特定特性的所有調查結果。
-
-
受管安全服務提供者 (MSSP) 成為 Security Hub CSPM 合作夥伴有哪些要求?
您必須示範如何使用 Security Hub CSPM 做為交付給客戶服務的一部分。
您應該有說明您使用 Security Hub CSPM 的使用者文件。
如果 MSSP 是調查結果提供者,則必須示範將調查結果傳送至 Security Hub CSPM。
如果 MSSP 只收到來自 Security Hub CSPM 的問題清單,他們必須至少有範本CloudFormation來設定適當的 CloudWatch Events 規則。
-
非 MSSP APN 諮詢合作夥伴成為 Security Hub CSPM 合作夥伴有哪些要求?
如果您是 APN 諮詢合作夥伴,您可以成為 Security Hub CSPM 合作夥伴。您應該提交兩個私有案例研究,了解您如何協助特定客戶執行下列動作。
-
使用客戶所需的 IAM 許可設定 Security Hub CSPM。
-
使用 主控台中合作夥伴頁面上的組態指示,協助將已整合的獨立軟體廠商 (ISV) 解決方案連線至 Security Hub CSPM。
-
協助客戶進行自訂產品整合。
-
建立與客戶需求和資料集相關的自訂洞見。
-
建置自訂動作。
-
建置修復手冊。
-
建置符合 Security Hub CSPM 合規標準的 Quickstarts。這些必須由 Security Hub CSPM 團隊驗證。
案例研究不需要可公開共用。
-
-
如何與客戶部署與 Security Hub CSPM 的整合有哪些要求?
Security Hub CSPM 和合作夥伴產品之間的整合架構在合作夥伴的解決方案運作方式方面因合作夥伴而異。您應該確保整合的設定程序不超過 15 分鐘。
如果您要將整合軟體部署到客戶AWS的環境,您應該利用 CloudFormation範本來簡化整合。有些合作夥伴已建立一鍵式整合,我們強烈建議您這麼做。
-
我的文件要求是什麼?
您必須提供說明產品與 Security Hub CSPM 之間整合和設定程序的文件連結,包括CloudFormation範本的使用。
該文件也應包含 ASFF 用量的相關資訊。具體而言,這應該會列出您用於不同問題清單的 ASFF 問題清單類型。如果您有任何預設洞見定義,建議您也在此包含這些定義。
考慮包含其他潛在資訊:
-
與 Security Hub CSPM 整合的使用案例
-
傳送的問題清單平均數量
-
您的整合架構
-
您執行和不支援的區域
-
問題清單建立和傳送到 Security Hub 之間的延遲
-
您是否更新問題清單
-
-
什麼是自訂洞見?
建議您為問題清單定義自訂洞見。Insights 是輕量型相互關聯規則,可協助客戶排定哪些問題清單和資源最需要關注和採取行動的優先順序。
Security Hub CSPM 具有
CreateInsightAPI 操作。您可以在客戶帳戶內建立自訂洞見,做為CloudFormation範本的一部分。這些洞見會出現在客戶的主控台上。 -
我可以提交儀表板小工具嗎?
否,目前沒有。您只能建立受管洞見。
-
您的定價模式是什麼?
-
作為整合最終核准程序的一部分,如何將調查結果提交至 Security Hub CSPM 示範帳戶?
使用
us-west-2做為區域,使用您提供的產品 ARN 將問題清單傳送至 Security Hub CSPM 示範帳戶。調查結果應該在 ASFF 的AwsAccountId欄位中包含示範帳戶號碼。若要取得示範帳戶號碼,請聯絡 Security Hub CSPM 團隊。請勿將任何敏感資料或個人身分識別資訊傳送給我們。此資料用於公開示範。當您傳送此資料給我們時,您授權我們在示範中使用它。
-
BatchImportFindings提供哪些錯誤或成功訊息?Security Hub CSPM 提供授權的回應和 的回應
BatchImportFindings。更清晰的成功、失敗和錯誤訊息正在開發中。 -
來源服務負責處理什麼錯誤?
來源服務負責處理所有錯誤。它們必須處理錯誤訊息、重試、限流和警示。他們也必須處理透過 Security Hub CSPM 意見回饋機制傳送的意見回饋或錯誤訊息。
-
常見問題有哪些解決方法?
AuthorizerConfigurationException是由格式不正確AwsAccountId或 引起的ProductArn。疑難排解時,請注意下列事項:
-
AwsAccountId必須是 12 位數。 -
ProductArn必須採用下列格式:arn:aws:securityhub:<us-west-2 或 us-east-1>:<accountId>:product/<company-id>/<product-id>帳戶 ID 不會變更 Security Hub CSPM 團隊包含在他們提供給您的產品 ARNs中的 ID。
AccessDeniedException是當問題清單傳送至錯誤帳戶或從錯誤帳戶傳送時,或當帳戶沒有 時所造成ProductSubscription。錯誤訊息將包含資源類型為product或 的 ARNproduct-subscription。此錯誤只會在跨帳戶呼叫期間發生。如果您在BatchImportFindingsAwsAccountId和 中使用自己的 帳戶呼叫ProductArn,操作會使用 IAM 政策,而且與 無關ProductSubscriptions。請確定您使用的客戶帳戶和產品帳戶是實際註冊的帳戶。有些合作夥伴已使用產品 ARN 中產品的 帳戶號碼,但嘗試使用完全不同的 帳戶來呼叫
BatchImportFindings。在其他情況下,它們會ProductSubscriptions為其他客戶帳戶建立,甚至為自己的產品帳戶建立。他們沒有ProductSubscriptions為嘗試匯入問題清單的客戶帳戶建立 。 -
-
我應該將問題、評論和錯誤傳送到哪裡?
-
對於與 全球AWS服務相關的項目,我應該將問題清單傳送到哪個區域? 例如,我應該將 IAM 相關調查結果傳送到哪裡?
將問題清單傳送至偵測到問題清單的相同區域。對於 IAM 等服務,您的解決方案可能會在多個區域中發現相同的 IAM 問題。在此情況下,問題清單會傳送至偵測到問題的每個區域。
如果客戶在三個區域中執行 Security Hub CSPM,且在全部三個區域中偵測到相同的 IAM 問題,則將調查結果傳送至全部三個區域。
當問題解決時,請將問題清單的更新傳送到您傳送原始問題清單的所有區域。
