Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richtlinien und Checklisten
Verwenden Sie bei der Vorbereitung der erforderlichen Materialien für Ihre AWS Security Hub CSPM Integration diese Richtlinien.
Die Bereitschafts-Checkliste wird verwendet, um eine abschließende Überprüfung der Integration durchzuführen, bevor Security Hub CSPM sie Security Hub CSPM-Kunden zur Verfügung stellt.
**Topics**
+ [
# Richtlinien für das Logo, das auf der Konsole angezeigt werden soll AWS Security Hub CSPM
](guidelines-console-logo.md)
+ [
# Grundsätze für die Erstellung und Aktualisierung von Ergebnissen
](tenets-update-create-findings.md)
+ [
# Richtlinien für die Zuordnung von Ergebnissen zum AWS Security Finding Format (ASFF)
](guidelines-asff-mapping.md)
+ [
# Richtlinien für die Verwendung der API `BatchImportFindings`
](guidelines-batchimportfindings.md)
+ [
# Checkliste zur Eignung des Produkts
](product-readiness-checklist.md)
# Richtlinien für das Logo, das auf der Konsole angezeigt werden soll AWS Security Hub CSPM
Damit das Logo auf der AWS Security Hub CSPM Konsole angezeigt wird, befolgen Sie diese Richtlinien.
**Heller und dunkler Modus**
Sie müssen sowohl eine Hellmodus- als auch eine Dunkelmodus-Version des Logos bereitstellen.
**Format**
SVG-Dateiformat
**Hintergrundfarbe**
Transparent
**Größe**
Das ideale Verhältnis ist 175 px breit und 40 px hoch.
Die Mindesthöhe beträgt 40 px.
Rechteckige Logos funktionieren am besten.
Die folgende Abbildung zeigt, wie ein ideales Logo auf der Security Hub CSPM-Konsole angezeigt wird.
![\[Beispiel für eine Karte für eine Produktintegration mit einem Logo in idealer Größe\]](http://docs.aws.amazon.com/de_de/securityhub/latest/partnerguide/images/partner-logo-display-ideal.png)
Wenn Ihr Logo diesen Abmessungen nicht entspricht, reduziert Security Hub die Größe auf eine maximale Höhe von 40 px und eine maximale Breite von 175 px. Dies wirkt sich darauf aus, wie das Logo auf der Security Hub CSPM-Konsole angezeigt wird.
In der folgenden Abbildung wird die Anzeige eines Logos mit der idealen Größe mit Logos verglichen, die breiter oder höher waren.
![\[Beispiele für Karten für Produktintegrationen, bei denen die Größe des Logos geändert wird\]](http://docs.aws.amazon.com/de_de/securityhub/latest/partnerguide/images/partner-logo-display-variations.png)
**Zuschneiden**
Schneide das Logobild so nah wie möglich zu. Sorgen Sie nicht für zusätzliche Polsterung.
Die folgende Abbildung zeigt den Unterschied zwischen einem Logo, das eng beschnitten ist, und einem Logo mit zusätzlicher Polsterung.
![\[Beispiele für Produktintegrationskarten mit unterschiedlich beschnittenen Logos\]](http://docs.aws.amazon.com/de_de/securityhub/latest/partnerguide/images/partner-logo-display-cropping.png)
# Grundsätze für die Erstellung und Aktualisierung von Ergebnissen
Beachten Sie bei der Planung, wie Sie Ergebnisse in erstellen und aktualisieren werden AWS Security Hub CSPM, die folgenden Grundsätze.
**Machen Sie die Ergebnisse spezifisch, damit Kunden problemlos Maßnahmen ergreifen können.**
Kunden möchten Reaktions- und Abhilfemaßnahmen automatisieren und die Ergebnisse mit anderen Ergebnissen korrelieren. Um dies zu belegen, sollten die Ergebnisse die folgenden Merkmale aufweisen:
+ Sie sollten sich in der Regel auf eine einzelne Ressource oder eine Primärressource beziehen.
+ Sie sollten einen einzigen Befundtyp haben.
+ Sie sollten sich mit einem einzigen Sicherheitsereignis befassen.
Wenn ein Ergebnis Daten für mehrere Sicherheitsereignisse enthält, ist es für Kunden schwieriger, Maßnahmen zu ergreifen.
**Ordnen Sie all Ihre Ergebnisfelder dem AWS Security Finding Format (ASFF) zu. Ermöglichen Sie es Kunden, sich auf Security Hub CSPM als Informationsquelle zu verlassen.**
Kunden erwarten, dass jedes Feld, das in Ihrem nativen Suchformat vorliegt, auch im Security Hub CSPM ASFF vertreten ist.
Kunden möchten, dass alle Daten in der Security Hub CSPM-Version des Ergebnisses vorhanden sind. Fehlende Daten führen dazu, dass sie das Vertrauen in Security Hub CSPM als zentrale Quelle für Sicherheitsinformationen verlieren.
**Minimiert die Redundanz der Ergebnisse. Überfordern Sie Ihre Kunden nicht mit der Suche nach Volumen.**
Security Hub CSPM ist kein allgemeines Protokollverwaltungstool. Sie sollten Ergebnisse an Security Hub CSPM senden, die sehr umsetzbar sind und auf die Kunden direkt reagieren, diese korrigieren oder mit anderen Ergebnissen korrelieren können.
Wenn sich das Ergebnis nur geringfügig ändert, aktualisieren Sie das Ergebnis, anstatt ein neues Ergebnis zu erstellen.
Wenn sich das Ergebnis erheblich ändert, z. B. der Schweregrad oder die Ressourcen-ID, erstellen Sie ein neues Ergebnis.
Es ist beispielsweise nicht sehr umsetzbar, Ergebnisse für einzelne Port-Scans in Echtzeit zu erstellen. Da Port-Scans kontinuierlich durchgeführt werden können, würde dies zu einer großen Menge an Ergebnissen führen. Es ist weitaus überzeugender und präziser, bei einem Portscan auf einem MongoDB-Port von einem TOR-Knoten aus einfach die Uhrzeit des letzten Scans und die Anzahl der Scans anhand eines einzigen Ergebnisses zu aktualisieren.
**Ermöglichen Sie es Kunden, ihre Ergebnisse individuell anzupassen, um sie aussagekräftiger zu machen.**
Kunden möchten in der Lage sein, bestimmte Suchfelder so anzupassen, dass sie für ihre Umgebung oder ihre Anforderungen relevanter sind.
Kunden möchten beispielsweise in der Lage sein, Notizen und Stichwörter hinzuzufügen und den Schweregrad je nach Kontotyp oder Ressourcentyp, mit dem das Ergebnis verknüpft ist, anzupassen.
# Richtlinien für die Zuordnung von Ergebnissen zum AWS Security Finding Format (ASFF)
Verwenden Sie die folgenden Richtlinien, um Ihre Ergebnisse dem ASFF zuzuordnen. *Eine ausführliche Beschreibung der einzelnen ASFF-Felder und -Objekte [finden Sie im AWS Benutzerhandbuch unter Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).AWS Security Hub *
## Identifizierende Informationen
`SchemaVersion` ist immer `2018-10-08`.
`ProductArn`ist der ARN, der Ihnen AWS Security Hub CSPM zugewiesen wird.
`Id`ist der Wert, den Security Hub CSPM verwendet, um Ergebnisse zu indexieren. Die Ergebnis-ID muss eindeutig sein, um sicherzustellen, dass andere Ergebnisse nicht überschrieben werden. Um ein Ergebnis zu aktualisieren, reichen Sie das Ergebnis erneut mit derselben Kennung ein.
`GeneratorId`kann mit einer diskreten Logikeinheit identisch sein `Id` oder sich auf eine solche beziehen, z. B. eine GuardDuty Amazon-Detektor-ID, AWS Config Rekorder-ID oder IAM Access Analyzer-ID.
## Title und Description
`Title`sollte einige Informationen über die betroffene Ressource enthalten. `Title`ist auf 256 Zeichen einschließlich Leerzeichen begrenzt.
Fügen Sie ausführlichere Informationen zu hinzu`Description`. `Description`ist auf 1024 Zeichen einschließlich Leerzeichen begrenzt. Sie können erwägen, Beschreibungen zu kürzen. Hier ein Beispiel:
```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```
## Erkenntnistypen
Sie geben Informationen zu Ihrem Suchtyp unter an`FindingProviderFields.Types`.
`Types`sollte der [Typen-Taxonomie für](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html) ASFF entsprechen.
Bei Bedarf können Sie einen benutzerdefinierten Klassifikator (den dritten Namespace) angeben.
## Zeitstempel
Das ASFF-Format enthält einige verschiedene Zeitstempel.
**`CreatedAt` und `UpdatedAt`**
Sie müssen `UpdatedAt` jedes Mal, wenn Sie anrufen [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html), jedes Ergebnis einreichen`CreatedAt`.
Die Werte müssen dem ISO8601 Format in Python 3.8 entsprechen.
```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```
**`FirstObservedAt` und `LastObservedAt`**
`FirstObservedAt`und `LastObservedAt` müssen mit dem Zeitpunkt übereinstimmen, zu dem Ihr System den Befund beobachtet hat. Wenn Sie diese Informationen nicht aufzeichnen, müssen Sie diese Zeitstempel nicht einreichen.
Die Werte entsprechen dem ISO8601 Format in Python 3.8.
```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```
## Severity
Sie geben Informationen zum Schweregrad in das `FindingProviderFields.Severity` Objekt ein, das die folgenden Felder enthält.
**`Original`**
Der Schweregradwert aus Ihrem System. `Original`kann eine beliebige Zeichenfolge sein, die dem von Ihnen verwendeten System entspricht.
**`Label`**
Der erforderliche Security Hub CSPM-Indikator für den Schweregrad des Fundes. Die zulässigen Werte lauten wie folgt.
+ `INFORMATIONAL`— Es wurde kein Problem gefunden.
+ `LOW`— Das Problem erfordert keine eigenständigen Maßnahmen.
+ `MEDIUM`— Das Problem muss angegangen werden, aber nicht dringend.
+ `HIGH`— Das Problem muss vorrangig angegangen werden.
+ `CRITICAL`— Das Problem muss sofort behoben werden, um weiteren Schaden zu vermeiden.
Feststellungen, die konform sind, hätten immer auf `INFORMATIONAL` Folgendes `Label` eingestellt werden müssen. Beispiele für `INFORMATIONAL` Ergebnisse sind Ergebnisse von Sicherheitsüberprüfungen, die bestanden wurden, und AWS Firewall Manager Ergebnisse, die behoben wurden.
Kunden sortieren die Ergebnisse häufig nach ihrem Schweregrad, um ihren Sicherheitsteams eine Aufgabenliste zu geben. Seien Sie vorsichtig, wenn Sie den Schweregrad der Ergebnisse auf `HIGH` oder `CRITICAL` setzen.
Ihre Integrationsdokumentation muss Ihre Begründung für die Zuordnung enthalten.
## Remediation
`Remediation`besteht aus zwei Elementen. Diese Elemente werden auf der Security Hub CSPM-Konsole kombiniert.
`Remediation.Recommendation.Text`wird im Abschnitt „**Problembehebung**“ der Ergebnisdetails angezeigt. Es ist mit dem Wert von verlinkt. `Remediation.Recommendation.Url`
Derzeit enthalten nur Ergebnisse der Security Hub CSPM-Standards, IAM Access Analyzer und Firewall Manager Hyperlinks zu Dokumentationen zur Behebung des Fehlers.
## SourceUrl
Verwenden Sie diese Option nur`SourceUrl`, wenn Sie eine Deep-Link-URL zu Ihrer Konsole für diesen spezifischen Befund angeben können. Andernfalls sollten Sie es in der Zuordnung weglassen.
Security Hub CSPM unterstützt keine Hyperlinks aus diesem Feld, es ist jedoch auf der Security Hub CSPM-Konsole verfügbar.
## Malware, Network, Process, ThreatIntelIndicators
Verwenden `Malware` Sie gegebenenfalls,, oder. `Network` `Process` `ThreatIntelIndicators` Jedes dieser Objekte ist in der Security Hub CSPM-Konsole verfügbar. Verwenden Sie diese Objekte im Kontext des Ergebnisses, das Sie senden.
Wenn Sie beispielsweise Malware entdecken, die eine ausgehende Verbindung zu einem bekannten Command-and-Control-Knoten herstellt, geben Sie die Details für die EC2-Instance in an. `Resource.Details.AwsEc2Instance` Geben Sie die relevanten `Malware``Network`, und `ThreatIntelIndicator` Objekte für diese EC2-Instance an.
### Malware
`Malware`ist eine Liste, die bis zu fünf Arrays mit Malware-Informationen akzeptiert. Machen Sie die Malware-Einträge relevant für die Ressource und das Ergebnis.
Jeder Eintrag hat die folgenden Felder.
**`Name`**
Der Name der Malware. Der Wert ist eine Zeichenfolge mit bis zu 64 Zeichen.
`Name`sollte aus einer geprüften Quelle für Bedrohungsinformationen oder Forscher stammen.
**`Path`**
Der Pfad zur Malware. Der Wert ist eine Zeichenfolge mit bis zu 512 Zeichen. `Path`sollte ein Linux- oder Windows-Systemdateipfad sein, außer in den folgenden Fällen.
+ Wenn Sie Objekte in einem S3-Bucket oder einem EFS-Share anhand der YARA-Regeln scannen, `Path` ist dies der S3: //- oder HTTPS-Objektpfad.
+ Wenn Sie Dateien in einem Git-Repository scannen, `Path` ist dies die Git-URL oder der Klonpfad.
**`State`**
Der Status der Malware. Die zulässigen Werte sind `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.
Stellen Sie sicher, dass Sie im Titel und in der Beschreibung des Befundes einen Kontext dafür angeben, was mit der Malware passiert ist.
Wenn dies beispielsweise der Fall `Malware.State` ist`REMOVED`, sollten der Titel und die Beschreibung des Befundes darauf hinweisen, dass Ihr Produkt die Malware entfernt hat, die sich auf dem Pfad befindet.
Falls ja `Malware.State``OBSERVED`, sollten der Titel und die Beschreibung des Ergebnisses darauf hinweisen, dass Ihr Produkt auf diese Schadsoftware gestoßen ist, die sich im Pfad befindet.
**`Type`**
Gibt die Art der Malware an. Die zulässigen Werte sind `ADWARE` \$1 \$1 `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` \$1 `KEYLOGGER` \$1 \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.
Wenn Sie einen zusätzlichen Wert für benötigen`Type`, wenden Sie sich an das Security Hub CSPM-Team.
### Network
`Network`ist ein einzelnes Objekt. Sie können nicht mehrere netzwerkbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.
**Ziel- und Quellinformationen**
Ziel und Quelle können einfach TCP- oder VPC-Flow-Logs oder WAF-Logs zugeordnet werden. Sie sind schwieriger zu verwenden, wenn Sie Netzwerkinformationen beschreiben, um Erkenntnisse über einen Angriff zu erhalten.
In der Regel handelt es sich bei der Quelle um den Ursprung des Angriffs, es könnte sich aber auch um andere Quellen handeln, wie unten aufgeführt. Sie sollten die Quelle in Ihrer Dokumentation erläutern und sie auch im Titel und in der Beschreibung der Ergebnisse beschreiben.
+ Bei einem DDoS-Angriff auf eine EC2-Instance ist der Angreifer die Quelle, obwohl ein echter DDoS-Angriff Millionen von Hosts nutzen kann. Das Ziel ist die öffentliche IPv4-Adresse der EC2-Instance. `Direction`ist IN.
+ Bei Schadsoftware, bei der beobachtet wird, dass sie von einer EC2-Instance zu einem bekannten Command-and-Control-Knoten kommuniziert, ist die Quelle die IPV4-Adresse der EC2-Instance. Das Ziel ist der Befehls- und Kontrollknoten. `Direction`ist`OUT`. Sie würden auch bereitstellen `Malware` und`ThreatIntelIndicators`.
**`Protocol`**
`Protocol`wird immer einem bei der Internet Assigned Numbers Authority (IANA) registrierten Namen zugeordnet, es sei denn, Sie können ein bestimmtes Protokoll angeben. Sie sollten dies immer verwenden und die Portinformationen angeben.
`Protocol`ist unabhängig von den Quell- und Zielinformationen. Geben Sie sie nur an, wenn es sinnvoll ist.
**`Direction`**
`Direction`ist immer relativ zu den AWS Netzwerkgrenzen.
+ `IN`bedeutet, dass es eintritt AWS (VPC, Service).
+ `OUT`bedeutet, dass es die AWS Netzwerkgrenzen verlässt.
### Process
`Process`ist ein einzelnes Objekt. Sie können nicht mehrere prozessbezogene Details hinzufügen. Beachten Sie bei der Zuordnung der Felder die folgenden Richtlinien.
**`Name`**
`Name`sollte dem Namen der ausführbaren Datei entsprechen. Es akzeptiert bis zu 64 Zeichen.
****`Path`****
`Path`ist der Dateisystempfad zur ausführbaren Datei des Prozesses. Er akzeptiert bis zu 512 Zeichen.
**`Pid`, `ParentPid`**
`Pid`und `ParentPid` sollte mit der Linux-Prozess-ID (PID) oder der Windows-Ereignis-ID übereinstimmen. Verwenden Sie zur Differenzierung EC2 Amazon Machine Images (AMI), um die Informationen bereitzustellen. Kunden können wahrscheinlich zwischen Windows und Linux unterscheiden.
**Zeitstempel (`LaunchedAt`und`TerminatedAt`)**
Wenn Sie diese Informationen nicht zuverlässig abrufen können und sie nicht auf die Millisekunde genau sind, geben Sie sie nicht an.
Wenn sich ein Kunde bei forensischen Untersuchungen auf Zeitstempel verlässt, ist es besser, keinen Zeitstempel zu haben als einen falschen Zeitstempel zu haben.
### ThreatIntelIndicators
`ThreatIntelIndicators`akzeptiert ein Array von bis zu fünf Threat-Intelligence-Objekten.
Steht für jeden `Type` Eintrag im Kontext der spezifischen Bedrohung. Die zulässigen Werte sind `DOMAIN` \$1 \$1 `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` \$1 \$1 `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.
Im Folgenden finden Sie einige Beispiele für die Zuordnung von Threat Intelligence-Indikatoren:
+ Sie haben einen Prozess gefunden, von dem Sie wissen, dass er mit Cobalt Strike zusammenhängt. Sie haben das aus FireEye unserem Blog gelernt.
Setzen Sie `Type` auf `PROCESS`. Erstellen Sie auch ein `Process` Objekt für den Prozess.
+ Ihr E-Mail-Filter hat festgestellt, dass jemand ein bekanntes Hash-Paket von einer bekannten bösartigen Domain gesendet hat.
Erstellen Sie zwei `ThreatIntelIndicator` Objekte. Ein Objekt ist für die`DOMAIN`. Der andere ist für den`HASH_SHA1`.
+ Sie haben Malware mit einer Yara-Regel gefunden (Loki, Fenrir, Awss3,). VirusScan BinaryAlert
`ThreatIntelIndicator`Erstellen Sie zwei Objekte. Eines ist für die Malware. Der andere ist für die`HASH_SHA1`.
## Resources
Verwenden Sie für`Resources`, wann immer möglich, unsere bereitgestellten Ressourcentypen und Detailfelder. Security Hub CSPM erweitert die ASFF ständig um neue Ressourcen. Um ein monatliches Protokoll der Änderungen an ASFF zu erhalten, wenden Sie sich an securityhub-partners@amazon.com.
Wenn Sie die Informationen nicht in die Detailfelder für einen modellierten Ressourcentyp einpassen können, ordnen Sie die restlichen Details zu. `Details.Other`
Stellen Sie für eine Ressource, die nicht in ASFF modelliert ist, auf ein. `Type` `Other` Nähere Informationen finden Sie unter. `Details.Other`
Sie können den `Other` Ressourcentyp auch für AWS Nichtergebnisse verwenden.
## ProductFields
Verwenden Sie diese Option nur, `ProductFields` wenn Sie kein anderes kuratiertes Feld `Resources` oder ein beschreibendes Objekt wie `ThreatIntelIndicators``Network`, oder verwenden können. `Malware`
Wenn Sie es verwenden`ProductFields`, müssen Sie diese Entscheidung genau begründen.
## Compliance
Verwenden Sie diese Option nur`Compliance`, wenn sich Ihre Ergebnisse auf die Einhaltung der Vorschriften beziehen.
Security Hub CSPM verwendet `Compliance` für die Ergebnisse, die es auf der Grundlage von Kontrollen generiert.
Firewall Manager verwendet `Compliance` für seine Ergebnisse, da sie sich auf die Einhaltung der Vorschriften beziehen.
## Eingeschränkte Felder
Diese Felder dienen Kunden dazu, den Überblick über ihre Untersuchungen zu einem Ergebnis zu behalten.
Ordnen Sie diese Felder oder Objekte nicht zu.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Ordnen Sie diese Felder den Feldern zu, die sich im `FindingProviderFields` Objekt befinden. Ordnen Sie sie nicht den Feldern der obersten Ebene zu.
+ `Confidence`— Geben Sie nur dann einen Konfidenzwert (0-99) an, wenn Ihr Service über eine ähnliche Funktionalität verfügt oder wenn Sie zu 100% zu Ihrem Ergebnis stehen.
+ `Criticality`— Der Kritikalitätswert (0-99) soll die Bedeutung der mit dem Ergebnis verbundenen Ressource ausdrücken.
+ `RelatedFindings`— Geben Sie nur dann verwandte Ergebnisse an, wenn Sie den Überblick über Ergebnisse behalten können, die sich auf dieselbe Ressource oder denselben Befundtyp beziehen. Um ein verwandtes Ergebnis zu identifizieren, müssen Sie auf die Ergebnis-ID eines Befundes verweisen, das sich bereits in Security Hub CSPM befindet.
# Richtlinien für die Verwendung der API `BatchImportFindings`
Beachten Sie die folgenden Richtlinien, wenn Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API-Vorgang verwenden AWS Security Hub CSPM, um Ergebnisse an zu senden.
+ Sie müssen [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)über das Konto anrufen, das mit den Ergebnissen verknüpft ist. Die Kennung des zugehörigen Kontos ist der Wert des `AwsAccountId` Attributs für den Befund.
+ Senden Sie den größten Stapel, den Sie können. Security Hub CSPM akzeptiert bis zu 100 Ergebnisse pro Stapel, bis zu 240 KB pro Ergebnis und bis zu 6 MB pro Stapel.
+ Die Drosselungsrate ist auf 10 TPS pro Konto und Region begrenzt, bei einem Burst-Wert von 30 TPS.
+ Sie müssen einen Mechanismus implementieren, um den Stand der Ergebnisse beizubehalten, falls Drosselungen oder Netzwerkprobleme auftreten. Außerdem benötigen Sie den Status der Ergebnisse, damit Sie Aktualisierungen der Ergebnisse einreichen können, wenn ein Ergebnis immer mehr konform ist oder nicht.
+ Informationen zur maximalen Länge von Zeichenketten und zu anderen Einschränkungen [finden Sie im *AWS Security Hub Benutzerhandbuch* unter AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
# Checkliste zur Eignung des Produkts
Die Teams AWS Security Hub CSPM und die APN-Partnerteams überprüfen anhand dieser Checkliste, ob die Integration startbereit ist.
## ASFF-Zuordnung
Diese Fragen beziehen sich auf die Zuordnung Ihres Ergebnisses zum AWS Security Finding Format (ASFF).
**Sind alle Ergebnisdaten des Partners ASFF zugeordnet?**
Ordnen Sie all Ihre Ergebnisse auf irgendeine Weise dem ASFF zu.
Verwenden Sie kuratierte Felder wie modellierte Ressourcentypen,`Network`, `Malware` oder. `ThreatIntelIndicators`
Ordnen Sie alles andere zu `Resource.Details.Other` oder nach `ProductFields` Bedarf zu.
**Verwendet der Partner `Resource.Details` Felder wie `AwsEc2instance``AwsS3Bucket`, und`Container`? Definiert der Partner `Resource.Details.Other` damit Ressourcendetails, die nicht im ASFF modelliert sind?**
Verwenden Sie in Ihren Ergebnissen nach Möglichkeit die bereitgestellten Felder für kuratierte Ressourcen wie EC2-Instances, S3-Buckets und Sicherheitsgruppen.
Ordnen Sie andere Informationen, die sich auf Ressourcen beziehen, `Resource.Details.Other` nur zu, wenn keine direkte Übereinstimmung besteht.
**Ordnet der Partner Werte zu`UserDefinedFields`?**
Verwenden Sie nicht `UserDefinedFields`.
Erwägen Sie, ein anderes kuratiertes Feld zu verwenden, z. B. `Resource.Details.Other` oder`ProductFields`.
**Ordnet der Partner Informationen zu`ProductFields`, die anderen ASFF-Feldern zugeordnet werden könnten?**
Nur `ProductFields` für produktspezifische Informationen wie Versionsinformationen, produktspezifische Schweregrade oder andere Informationen verwenden, die nicht einem kuratierten Feld oder zugeordnet werden können. `Resources.Details.Other`
**Importiert der Partner seine eigenen Zeitstempel für? `FirstObservedAt`**
Der `FirstObservedAt` Zeitstempel soll den Zeitpunkt aufzeichnen, zu dem ein Befund im Produkt beobachtet wurde. Ordnen Sie dieses Feld nach Möglichkeit zu.
****Stellt der Partner eindeutige Werte bereit, die für jede Ergebnis-ID generiert werden, mit Ausnahme von Ergebnissen, die er aktualisieren möchte?****
Alle Ergebnisse in Security Hub CSPM werden anhand der Ergebnis-ID (`Id`Attribut) indexiert. Dieser Wert muss immer eindeutig sein, um sicherzustellen, dass die Ergebnisse nicht versehentlich aktualisiert werden.
Sie sollten auch den Status der Ergebnis-ID beibehalten, um die Ergebnisse zu aktualisieren.
**Stellt der Partner einen Wert bereit, der Ergebnisse einer Generator-ID zuordnet? **
`GeneratorID`sollte nicht denselben Wert wie die Ergebnis-ID haben.
`GeneratorID`sollte in der Lage sein, Ergebnisse logisch danach zu verknüpfen, was sie generiert hat.
Dabei kann es sich um eine Unterkomponente innerhalb eines Produkts (Produkt A — Sicherheitslücke oder Produkt A — EDR) oder etwas Ähnliches handeln.
**Verwendet der Partner die Namespaces der erforderlichen Findingtypen auf eine Weise, die für sein Produkt relevant ist? Verwendet der Partner die empfohlenen Kategorien oder Klassifikatoren für Suchtypen in seinen Suchtypen?**
Die Taxonomie des Befundtyps sollte eng mit den Ergebnissen übereinstimmen, die das Produkt generiert.
Die Namespaces der ersten Ebene, die im Security Finding Format beschrieben sind, sind erforderlich AWS .
Sie können benutzerdefinierte Werte für die Namespaces der zweiten und dritten Ebene (Kategorien oder Klassifikatoren) verwenden.
**Erfasst der Partner Netzwerkflussinformationen in den `Network` Feldern, wenn er über Netzwerkdaten verfügt?**
Wenn Ihr Produkt NetFlow Informationen erfasst, ordnen Sie sie dem `Network` Feld zu.
****Erfasst der Partner Prozessinformationen (PID) in den `Process` Feldern, wenn er über Prozessdaten verfügt?****
Wenn Ihr Produkt Prozessinformationen erfasst, ordnen Sie sie dem `Process` Feld zu.
**Erfasst der Partner Malware-Informationen in den `Malware` Feldern, wenn er über Malware-Daten verfügt?**
Wenn Ihr Produkt Malware-Informationen erfasst, ordnen Sie diese dem `Malware` Feld zu.
**Erfasst der Partner Bedrohungsinformationen vor Ort`ThreatIntelIndicators`, wenn er über Bedrohungsdaten verfügt?**
Wenn Ihr Produkt Bedrohungsinformationen erfasst, ordnen Sie diese dem `ThreatIntelIndicators` Feld zu.
**Gibt der Partner eine Vertrauensbewertung für die Ergebnisse ab? Falls ja, wird eine Begründung angegeben?**
Wann immer Sie dieses Feld verwenden, geben Sie in Ihrer Dokumentation und Ihrem Manifest eine Begründung an.
**Verwendet der Partner im Ergebnis eine kanonische ID oder einen ARN für die Ressourcen-ID?**
Bei der Identifizierung von AWS Ressourcen empfiehlt es sich, den ARN zu verwenden. Wenn kein ARN verfügbar ist, verwenden Sie die kanonische Ressourcen-ID.
## Einrichtung und Funktion der Integration
Diese Fragen beziehen sich auf den Aufbau und die day-to-day Funktion der Integration.
**Stellt der Partner eine infrastructure-as-code (IaC-) Vorlage für die Implementierung der Integration mit Security Hub CSPM bereit, z. B. Terraform,, oder? CloudFormation AWS Cloud Development Kit (AWS CDK)**
Für Integrationen, die Ergebnisse aus dem Kundenkonto senden oder CloudWatch Ereignisse verwenden, um Ergebnisse zu nutzen, ist eine IaC-Vorlage erforderlich.
CloudFormation wird bevorzugt, es kann aber auch AWS CDK Terraform verwendet werden.
**Hat das Partnerprodukt auf seiner Konsole eine Einrichtung mit einem Klick für die Integration mit Security Hub CSPM?**
Einige Partnerprodukte verwenden einen Schalter oder einen ähnlichen Mechanismus in ihrem Produkt, um die Integration zu aktivieren. Dies kann die automatische Bereitstellung von Ressourcen und Berechtigungen beinhalten. Wenn Sie Ergebnisse von einem Produktkonto aus senden, ist die Einrichtung mit einem Klick die bevorzugte Methode.
**Sendet der Partner nur wertvolle Ergebnisse?**
Generell sollten Sie nur Ergebnisse, die einen Sicherheitswert haben, an Security Hub CSPM-Kunden senden.
Security Hub CSPM ist kein allgemeines Protokollverwaltungstool. Sie sollten nicht jedes mögliche Protokoll an Security Hub CSPM senden.
**Hat der Partner eine Schätzung abgegeben, wie viele Ergebnisse er pro Tag und pro Kunde senden wird und mit welcher Häufigkeit (Durchschnitt und Burst)?**
Eine Reihe einzigartiger Ergebnisse wird verwendet, um die Auslastung von Security Hub CSPM zu berechnen. Ein eindeutiges Ergebnis ist definiert als ein Befund, dessen ASFF-Zuordnung sich von einem anderen Befund unterscheidet.
Wenn beispielsweise nur ein Ergebnis `ThreatIntelndicators` und ein anderes nur aufgefüllt wird`Resources.Details.AWSEc2Instance`, handelt es sich um zwei eindeutige Ergebnisse.
**Verfügt der Partner über eine elegante Art, 4xx- und 5xx-Fehler zu behandeln, sodass sie nicht gedrosselt werden und alle Ergebnisse zu einem späteren Zeitpunkt gesendet werden können?**
Der API-Vorgang weist derzeit eine Burst-Rate von 30—50 TPS auf. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) Wenn 4xx- oder 5xx-Fehler zurückgegeben werden, müssen Sie den Status dieser fehlgeschlagenen Ergebnisse beibehalten, damit Sie sie später vollständig wiederholen können. Sie können dies über eine Warteschlange für unzustellbare Nachrichten oder über andere AWS Messaging-Dienste wie Amazon SNS oder Amazon SQS tun.
**Behält der Partner den Status seiner Ergebnisse bei, sodass er nicht mehr vorhandene Ergebnisse archivieren kann?**
Wenn Sie beabsichtigen, Ergebnisse zu aktualisieren, indem Sie die ursprüngliche Fund-ID überschreiben, müssen Sie über einen Mechanismus verfügen, um den Status beizubehalten, sodass die richtigen Informationen für den richtigen Befund aktualisiert werden.
Wenn Sie Ergebnisse angeben, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang nicht, um Ergebnisse zu aktualisieren. Dieser Vorgang sollte nur von Kunden verwendet werden. Sie verwenden ihn nur [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html), wenn Sie die Ergebnisse untersuchen und entsprechende Maßnahmen ergreifen.
**Behandelt der Partner Wiederholungsversuche so, dass zuvor gesendete, erfolgreich gesendete Ergebnisse nicht beeinträchtigt werden?**
Sie sollten über einen Mechanismus verfügen, mit dem das ursprüngliche Ergebnis IDs im Fehlerfall beibehalten wird, sodass Sie erfolgreiche Ergebnisse nicht duplizieren oder irrtümlich überschreiben.
**Aktualisiert der Partner die Ergebnisse, indem er den `BatchImportFindings` Vorgang mit der Finde-ID der vorhandenen Ergebnisse aufruft?**
Um ein Ergebnis zu aktualisieren, müssen Sie das vorhandene Ergebnis überschreiben, indem Sie dieselbe Ergebnis-ID einreichen.
Der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang sollte nur von Kunden verwendet werden.
**Aktualisiert der Partner die Ergebnisse mithilfe der `BatchUpdateFindings` API?**
Wenn Sie aufgrund der Ergebnisse Maßnahmen ergreifen, können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang verwenden, um bestimmte Felder zu aktualisieren.
**Stellt der Partner Informationen zur Latenz zwischen dem Zeitpunkt, zu dem ein Ergebnis erstellt wird, und dem Zeitpunkt, zu dem es von seinem Produkt an Security Hub CSPM gesendet wird, zur Verfügung?**
Sie sollten die Latenz minimieren, um sicherzustellen, dass Kunden die Ergebnisse so schnell wie möglich in Security Hub CSPM sehen.
Diese Informationen sind im Manifest erforderlich.
**Wenn die Architektur des Partners darin besteht, Ergebnisse von einem Kundenkonto an Security Hub CSPM zu senden, hat er dies erfolgreich nachgewiesen? Wenn die Architektur des Partners Ergebnisse von seinem eigenen Konto aus an Security Hub CSPM senden soll, hat er dies erfolgreich nachgewiesen?**
Während des Tests müssen die Ergebnisse erfolgreich von einem Konto gesendet werden, das Ihnen gehört und das sich von dem für den Produkt-ARN bereitgestellten Konto unterscheidet.
Durch das Senden eines Ergebnisses über das Konto des Produkt-ARN-Besitzers können bestimmte Fehlerausnahmen aus den API-Vorgängen umgangen werden.
**Stellt der Partner Security Hub CSPM einen Heartbeat-Beat zur Verfügung?**
Um nachzuweisen, dass Ihre Integration korrekt funktioniert, sollten Sie einen Heartbeat-Befund senden. Der Heartbeat-Befund wird alle fünf Minuten gesendet und verwendet den Befundtyp. `Heartbeat`
Dies ist wichtig, wenn Sie Ergebnisse von einem Produktkonto aus senden.
**Hat der Partner während des Tests das Konto des Security Hub CSPM-Produktteams integriert?**
Während der Validierung vor der Produktion sollten Sie Fundbeispiele an das Konto des Security Hub CSPM-Produktteams senden. AWS Diese Beispiele zeigen, dass die Ergebnisse korrekt gesendet und zugeordnet wurden.
## Dokumentation
Diese Fragen beziehen sich auf die von Ihnen bereitgestellte Dokumentation der Integration.
**Hostet der Partner seine Dokumentation auf einer speziellen Website?**
Die Dokumentation sollte auf Ihrer Website als statische Webseite, Wiki, Read the Docs oder in einem anderen speziellen Format gehostet werden.
Das Hosten der Dokumentation auf erfüllt GitHub nicht die Anforderungen an eine spezielle Website.
**Enthält die Partnerdokumentation Anweisungen zur Einrichtung der Security Hub CSPM-Integration?**
Sie können die Integration entweder mithilfe einer IaC-Vorlage oder mithilfe einer konsolenbasierten Ein-Klick-Integration einrichten.
**Enthält die Partnerdokumentation eine Beschreibung ihres Anwendungsfalls?**
Der Anwendungsfall, den Sie im Manifest angeben, sollte auch in der Dokumentation beschrieben werden
**Enthält die Partnerdokumentation eine Begründung für die von ihnen übermittelten Ergebnisse?**
Sie sollten die Art der von Ihnen gesendeten Ergebnisse begründen.
Ihr Produkt könnte beispielsweise Ergebnisse für Sicherheitslücken, Malware und Virenschutz liefern, aber Sie senden die Ergebnisse von Schwachstellen und Malware nur an Security Hub CSPM. In diesem Fall müssen Sie begründen, warum Sie keine Antiviren-Ergebnisse senden.
**Enthält die Partnerdokumentation eine Begründung dafür, wie der Partner seine Ergebnisse ASFF zuordnet?**
Sie sollten die Gründe für die Zuordnung der systemeigenen Ergebnisse eines Produkts zu ASFF angeben. Kunden möchten wissen, wo sie nach bestimmten Produktinformationen suchen können.
**Enthält die Partnerdokumentation Hinweise dazu, wie der Partner die Ergebnisse aktualisiert, falls er die Ergebnisse aktualisiert?**
Informieren Sie Kunden darüber, wie Sie den Status beibehalten, die Idempotenz sicherstellen und die Ergebnisse mit Informationen überschreiben. up-to-date
**Wird in der Partnerdokumentation beschrieben, wie Latenz festgestellt wird?**
Minimiere die Latenz, um sicherzustellen, dass Kunden die Ergebnisse so schnell wie möglich in Security Hub CSPM sehen.
Diese Informationen sind im Manifest erforderlich.
**Beschreibt die Partnerdokumentation, wie ihre Schweregradbewertung der ASFF-Schweregradbewertung entspricht?**
Geben Sie Informationen darüber an, wie Sie `Severity.Original` sich `Severity.Label` zuordnen.
Wenn es sich bei Ihrem Schweregrad beispielsweise um einen Buchstabengrad (A, B, C) handelt, sollten Sie angeben, wie Sie den Schweregrad dem Schweregrad zuordnen.
**Enthält die Partnerdokumentation eine Begründung für Konfidenzbewertungen?**
Wenn Sie Konfidenzwerte angeben, sollten diese Werte nach einer Rangfolge geordnet werden.
Wenn Sie statisch aufgefüllte Konfidenzwerte oder Zuordnungen verwenden, die auf künstlicher Intelligenz oder maschinellem Lernen basieren, sollten Sie zusätzlichen Kontext angeben.
**Ist in der Partnerdokumentation angegeben, welche Regionen der Partner unterstützt und welche nicht?**
Notieren Sie sich Regionen, die unterstützt werden oder nicht, damit Kunden wissen, in welchen Regionen sie eine Integration nicht versuchen sollten.
## Informationen zur Produktkarte
Diese Fragen beziehen sich auf die Karte für das Produkt, die auf der **Integrationsseite** der Security Hub CSPM-Konsole angezeigt wird.
**Ist die angegebene AWS Konto-ID gültig und besteht sie aus 12 Ziffern?**
Konto-Identifikatoren sind 12-stellig. Wenn eine Konto-ID weniger als 12 Ziffern enthält, ist der Produkt-ARN nicht gültig.
**Enthält die Produktbeschreibung 200 oder weniger Zeichen?**
Die im JSON-Format innerhalb des Manifests angegebene Produktbeschreibung sollte nicht länger als 200 Zeichen sein, einschließlich Leerzeichen.
**Führt der Konfigurationslink zur Dokumentation für die Integration?**
Der Konfigurationslink sollte zu Ihrer Online-Dokumentation führen. Er sollte nicht zu Ihrer Hauptwebsite oder zu Marketingseiten führen.
**Führt der Kauflink (falls angegeben) zum AWS Marketplace Angebot für das Produkt?**
Wenn Sie einen Kauflink angeben, muss es sich um einen AWS Marketplace Eintrag handeln. Security Hub CSPM akzeptiert keine Kauflinks, die nicht von gehostet werden. AWS
**Beschreiben die Produktkategorien das Produkt korrekt?**
Im Manifest können Sie bis zu drei Produktkategorien angeben. Diese sollten mit dem JSON übereinstimmen und dürfen nicht benutzerdefiniert sein. Sie können nicht mehr als drei Produktkategorien angeben.
**Sind die Firmen- und Produktnamen gültig und korrekt?**
Der Firmenname muss 16 oder weniger Zeichen lang sein.
Der Produktname muss 24 oder weniger Zeichen lang sein.
Der Produktname in der JSON-Produktkarte muss mit dem Namen im Manifest übereinstimmen.
## Informationen zu Marketingzwecken
Diese Fragen beziehen sich auf das Marketing für die Integration.
**Hat die Produktbeschreibung für die Security Hub CSPM-Partnerseite eine Länge von 700 Zeichen, einschließlich Leerzeichen?**
Die Security Hub CSPM-Partnerseite akzeptiert nur bis zu 700 Zeichen, einschließlich Leerzeichen.
Das Team wird längere Beschreibungen bearbeiten.
**Ist das Logo der Security Hub CSPM-Partnerseite nicht größer als 600 x 300 px?**
Geben Sie eine öffentlich zugängliche URL mit einem Firmenlogo in PNG oder JPG an, das nicht größer als 600 x 300 Pixel ist.
**Führt der Hyperlink Weitere Informationen auf der Security Hub CSPM-Partnerseite zur speziellen Webseite des Partners über die Integration?**
Der Link **Weitere Informationen** sollte nicht zur Haupt-Website des Partners oder zu den Dokumentationsinformationen führen.
Dieser Link sollte immer zu einer speziellen Webseite mit Marketinginformationen über die Integration führen.
**Stellt der Partner eine Demo oder ein Anleitungsvideo zur Verwendung der Integration zur Verfügung?**
Ein Demo- oder Integrationsvideo ist optional, wird aber empfohlen.
**Wird zusammen mit dem AWS Partner und seinem Partner Development Manager oder einem Vertreter für Partnerentwicklung ein Blogbeitrag von Partner Network veröffentlicht?**
AWS Blogbeiträge des Partnernetzwerks sollten im Voraus mit dem Partnerentwicklungsmanager oder dem Beauftragten für Partnerentwicklung abgestimmt werden.
Diese sind unabhängig von allen Blogbeiträgen, die Sie selbst erstellen.
Rechnen Sie mit 4—6 Wochen Vorlaufzeit. Diese Bemühungen sollten gestartet werden, nachdem die Tests mit dem privaten Produkt ARN abgeschlossen sind.
**Wird eine von Partnern geleitete Pressemitteilung veröffentlicht?**
Sie können mit Ihrem Partner Development Manager oder einem Vertreter für Partnerentwicklung zusammenarbeiten, um ein Angebot vom VP of External Security Services zu erhalten. Sie können dieses Zitat in Ihrer Pressemitteilung verwenden.
**Wird ein von Partnern geführter Blogbeitrag veröffentlicht?**
Sie können Ihre eigenen Blogbeiträge erstellen, um die Integration außerhalb des AWS Partner Network-Blogs vorzustellen.
**Wird ein von Partnern geführtes Webinar veröffentlicht?**
Sie können Ihre eigenen Webinare erstellen, um die Integration zu präsentieren.
Wenn Sie Unterstützung vom Security Hub CSPM-Team benötigen, arbeiten Sie nach Abschluss der Tests mit dem privaten Produkt-ARN mit dem Produktteam zusammen.
**Hat der Partner Unterstützung in den sozialen Medien angefordert? AWS**
Nach Ihrer Veröffentlichung können Sie gemeinsam mit dem AWS Marketingleiter für Sicherheit die AWS offiziellen Social-Media-Kanäle nutzen, um Einzelheiten zu Ihren Webinaren auszutauschen.