Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Directives et listes de contrôle
<a name="integration-guidelines-checklists"></a>

Lorsque vous préparez le matériel requis pour votre AWS Security Hub CSPM intégration, suivez ces directives.

La liste de vérification du niveau de préparation est utilisée pour effectuer un examen final de l'intégration avant que Security Hub CSPM ne la mette à la disposition des clients de Security Hub CSPM.

**Topics**
+ [Instructions relatives à l'affichage du logo sur la AWS Security Hub CSPM console](guidelines-console-logo.md)
+ [Principes de création et de mise à jour des résultats](tenets-update-create-findings.md)
+ [Directives pour mapper les résultats dans le format ASFF ( AWS Security Finding Format)](guidelines-asff-mapping.md)
+ [Directives d'utilisation de l'`BatchImportFindings`API](guidelines-batchimportfindings.md)
+ [Liste de contrôle du niveau de préparation du produit](product-readiness-checklist.md)

# Instructions relatives à l'affichage du logo sur la AWS Security Hub CSPM console
<a name="guidelines-console-logo"></a>

Pour que le logo s'affiche sur la AWS Security Hub CSPM console, suivez ces instructions.

**Modes clair et foncé**  
Vous devez fournir une version du logo en mode clair et une version en mode sombre.

**Format**  
Format de fichier SVG

**Couleur d’arrière-plan**  
Transparent

**Size**  
Le ratio idéal est de 175 pixels de large sur 40 pixels de haut.  
La hauteur minimale est de 40 pixels.  
Les logos rectangulaires fonctionnent le mieux.  
L'image suivante montre comment le logo idéal est affiché sur la console Security Hub CSPM.  

![\[Exemple de carte pour l'intégration d'un produit avec un logo de taille idéale\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/partnerguide/images/partner-logo-display-ideal.png)

Si votre logo ne correspond pas à ces dimensions, Security Hub réduit la taille à une hauteur maximale de 40 pixels et à une largeur maximale de 175 pixels. Cela affecte la façon dont le logo est affiché sur la console Security Hub CSPM.  
L'image suivante compare l'affichage d'un logo dont la taille était idéale à celui de logos plus larges ou plus hauts.  

![\[Exemples de cartes pour les intégrations de produits où le logo est redimensionné\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/partnerguide/images/partner-logo-display-variations.png)


**Recadrage**  
Recadrez l'image du logo le plus près possible. Ne fournissez pas de rembourrage supplémentaire.  
L'image suivante montre la différence entre un logo recadré de près et un logo doté d'un rembourrage supplémentaire.  

![\[Exemples de cartes d'intégration de produits comportant des logos avec un recadrage différent\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/partnerguide/images/partner-logo-display-cropping.png)


# Principes de création et de mise à jour des résultats
<a name="tenets-update-create-findings"></a>

Lorsque vous planifiez la manière dont vous allez créer et mettre à jour les résultats dans AWS Security Hub CSPM, gardez les principes suivants à l'esprit.

**Spécifiez les résultats afin que les clients puissent facilement prendre des mesures en conséquence.**  
Les clients souhaitent automatiser les actions de réponse et de correction et corréler les résultats avec les autres résultats. À l'appui de cette affirmation, les résultats devraient présenter les caractéristiques suivantes :  
+ Ils doivent généralement traiter d'une ressource unique ou primaire.
+ Ils doivent avoir un seul type de recherche.
+ Ils doivent faire face à un seul événement de sécurité.
Lorsqu'un résultat contient des données relatives à plusieurs événements de sécurité, il est plus difficile pour les clients de prendre des mesures en conséquence. 

**Mappez tous vos champs de recherche au format ASFF ( AWS Security Finding Format). Permettez aux clients de compter sur Security Hub CSPM comme source de vérité.**  
Les clients s'attendent à ce que chaque champ correspondant à votre format de recherche natif soit également représenté dans le Security Hub CSPM ASFF.  
Les clients souhaitent que toutes les données soient présentes dans la version Security Hub CSPM du résultat. L'absence de données les amène à perdre confiance dans Security Hub CSPM en tant que source centrale d'informations de sécurité. 

**Minimisez la redondance des résultats. Ne surchargez pas les clients à trouver des volumes.**  
Security Hub CSPM n'est pas un outil général de gestion des journaux. Vous devez envoyer à Security Hub CSPM des résultats hautement exploitables auxquels les clients peuvent directement répondre, corriger ou corréler avec d'autres résultats.  
Lorsqu'une modification mineure est apportée à la constatation, mettez-la à jour au lieu d'en créer une nouvelle.  
En cas de modification majeure du résultat, par exemple du score de gravité ou de l'identifiant de ressource, créez un nouveau résultat.  
Par exemple, créer des résultats pour des scans de ports individuels en temps réel n'est pas très exploitable. Comme l'analyse des ports peut se faire en continu, elle produirait un grand nombre de résultats. Il est beaucoup plus convaincant et précis de simplement mettre à jour l'heure du dernier scan et le nombre de scans en fonction d'une seule recherche pour un scan de port sur un port MongoDB à partir d'un nœud TOR.

**Permettez aux clients de personnaliser leurs résultats pour les rendre plus pertinents.**  
Les clients souhaitent pouvoir ajuster certains champs de recherche afin de les rendre plus adaptés à leur environnement ou à leurs exigences.  
Par exemple, les clients souhaitent pouvoir ajouter des notes, des balises et ajuster les scores de sévérité en fonction du type de compte ou du type de ressource auquel le résultat est associé.

# Directives pour mapper les résultats dans le format ASFF ( AWS Security Finding Format)
<a name="guidelines-asff-mapping"></a>

Utilisez les directives suivantes pour associer vos résultats à l'ASFF. Pour une description détaillée de chaque champ et objet ASFF, voir [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) dans le guide de l'*AWS Security Hub utilisateur*.

## Informations d'identification
<a name="asff-identifying-information"></a>

`SchemaVersion` est toujours `2018-10-08`.

`ProductArn`est l'ARN qui vous AWS Security Hub CSPM est attribué.

`Id`est la valeur que Security Hub CSPM utilise pour indexer les résultats. L'identifiant de recherche doit être unique, afin de garantir que les autres résultats ne soient pas remplacés. Pour mettre à jour un résultat, soumettez-le à nouveau avec le même identifiant.

`GeneratorId`peut être identique `Id` ou faire référence à une unité logique discrète, telle qu'un identifiant de GuardDuty détecteur Amazon, un identifiant d' AWS Config enregistreur ou un identifiant d'analyseur d'accès IAM.

## Title et Description
<a name="asff-title-description"></a>

`Title`doit contenir des informations sur la ressource affectée. `Title`est limité à 256 caractères, espaces compris.

Ajoutez des informations plus détaillées à`Description`. `Description`est limité à 1024 caractères, espaces compris. Vous pouvez envisager d'ajouter une troncature aux descriptions. Voici un exemple :

```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```

## Types de résultats
<a name="asff-finding-types"></a>

Vous fournissez les informations relatives au type de recherche dans`FindingProviderFields.Types`.

`Types`doit correspondre à la [taxonomie des types pour ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html).

Si nécessaire, vous pouvez spécifier un classificateur personnalisé (le troisième espace de noms).

## Horodatages
<a name="asff-timestamps"></a>

Le format ASFF inclut plusieurs horodatages différents.

**`CreatedAt` et `UpdatedAt`**  
Vous devez soumettre `CreatedAt` et `UpdatedAt` chaque fois que vous appelez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)pour chaque constatation.  
Les valeurs doivent correspondre au ISO8601 format de Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

**`FirstObservedAt` et `LastObservedAt`**  
`FirstObservedAt`et `LastObservedAt` doit correspondre à la date à laquelle votre système a observé le résultat. Si vous n'enregistrez pas ces informations, vous n'avez pas besoin de soumettre ces horodatages.  
Les valeurs correspondent au ISO8601 format de Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

## Severity
<a name="asff-severity"></a>

Vous fournissez des informations de gravité dans l'`FindingProviderFields.Severity`objet, qui contient les champs suivants.

**`Original`**  
La valeur de gravité de votre système. `Original`peut être n'importe quelle chaîne, pour s'adapter au système que vous utilisez.

**`Label`**  
Indicateur Security Hub CSPM requis pour déterminer la gravité du résultat. Les valeurs autorisées sont les suivantes.  
+ `INFORMATIONAL`— Aucun problème n'a été détecté.
+ `LOW`— Le problème ne nécessite pas d'action en soi.
+ `MEDIUM`— Le problème doit être traité, mais pas de toute urgence.
+ `HIGH`— Le problème doit être traité en priorité.
+ `CRITICAL`— Le problème doit être résolu immédiatement pour éviter de nouveaux dommages.
Les résultats conformes devraient toujours être `Label` définis sur`INFORMATIONAL`. Des exemples de `INFORMATIONAL` résultats sont les résultats des contrôles de sécurité réussis et AWS Firewall Manager les résultats corrigés.  
Les clients trient souvent les résultats en fonction de leur gravité pour donner à leurs équipes chargées des opérations de sécurité une liste de tâches. Soyez prudent lorsque vous définissez la gravité du résultat sur `HIGH` ou`CRITICAL`.

Votre documentation d'intégration doit inclure la justification de votre mappage.

## Remediation
<a name="asff-remediation"></a>

`Remediation`comporte deux éléments. Ces éléments sont combinés sur la console Security Hub CSPM.

`Remediation.Recommendation.Text`apparaît dans la section **Remédiation** des détails des résultats. Il contient un hyperlien vers la valeur de. `Remediation.Recommendation.Url`

À l'heure actuelle, seuls les résultats issus des normes Security Hub CSPM, d'IAM Access Analyzer et de Firewall Manager affichent des hyperliens vers la documentation expliquant comment remédier à ces résultats.

## SourceUrl
<a name="asff-sourceurl"></a>

À utiliser uniquement `SourceUrl` si vous pouvez fournir une URL contenant un lien profond vers votre console pour cette recherche spécifique. Sinon, omettez-le du mappage.

Security Hub CSPM ne prend pas en charge les hyperliens provenant de ce champ, mais ils sont exposés sur la console Security Hub CSPM.

## Malware, Network, Process, ThreatIntelIndicators
<a name="asff-malware-network-process-threatintel"></a>

Le cas échéant`Malware`, utilisez `Network``Process`, ou`ThreatIntelIndicators`. Chacun de ces objets est exposé dans la console Security Hub CSPM. Utilisez ces objets dans le contexte du résultat que vous envoyez.

Par exemple, si vous détectez un logiciel malveillant qui établit une connexion sortante avec un nœud de commande et de contrôle connu, fournissez les détails de l'instance EC2 dans. `Resource.Details.AwsEc2Instance` Fournissez les `ThreatIntelIndicator` objets `Network` et pertinents `Malware` pour cette instance EC2.

### Malware
<a name="asff-malware"></a>

`Malware`est une liste qui accepte jusqu'à cinq ensembles d'informations sur les malwares. Faites en sorte que les entrées de malwares correspondent à la ressource et à la découverte.

Chaque entrée comporte les champs suivants.

**`Name`**  
Le nom du logiciel malveillant. La valeur est une chaîne de 64 caractères maximum.  
`Name`doit provenir d'une source approuvée de renseignements sur les menaces ou de chercheurs.

**`Path`**  
Le chemin d'accès au logiciel malveillant. La valeur est une chaîne de 512 caractères maximum. `Path`doit être un chemin de fichier système Linux ou Windows, sauf dans les cas suivants.  
+ Si vous scannez des objets d'un compartiment S3 ou d'un partage EFS conformément aux règles YARA, le chemin de l'objet S3 ://ou HTTPS `Path` est alors indiqué.
+ Si vous scannez des fichiers dans un dépôt Git, `Path` c'est l'URL Git ou le chemin du clone.

**`State`**  
État du logiciel malveillant. Les valeurs autorisées sont `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.  
Dans le titre et la description de la recherche, assurez-vous de fournir un contexte expliquant ce qui s'est passé avec le logiciel malveillant.  
Par exemple, si tel `Malware.State` est le cas`REMOVED`, le titre et la description de la recherche doivent indiquer que votre produit a supprimé le logiciel malveillant situé sur le chemin.  
Si `Malware.State` tel est le cas`OBSERVED`, le titre et la description de la recherche doivent indiquer que votre produit a détecté ce malware situé sur le chemin.

**`Type`**  
Indique le type de logiciel malveillant. Les valeurs autorisées sont `ADWARE` `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` `KEYLOGGER` \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` `ROOTKIT` \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.  
Si vous avez besoin d'une valeur supplémentaire pour`Type`, contactez l'équipe Security Hub CSPM.

### Network
<a name="asff-network"></a>

`Network`est un objet unique. Vous ne pouvez pas ajouter plusieurs informations relatives au réseau. Lorsque vous mappez les champs, suivez les instructions suivantes.

**Informations sur la destination et la source**  
La destination et la source permettent de mapper facilement les journaux de flux TCP ou VPC ou les journaux WAF. Ils sont plus difficiles à utiliser lorsque vous décrivez des informations réseau pour découvrir une attaque.  
Généralement, la source est l'origine de l'attaque, mais elle peut avoir d'autres sources, comme indiqué ci-dessous. Vous devez expliquer la source dans votre documentation et également la décrire dans le titre et la description de la recherche.  
+ Pour une attaque DDoS sur une instance EC2, la source est l'attaquant, bien qu'une véritable attaque DDoS puisse utiliser des millions d'hôtes. La destination est l'adresse IPv4 publique de l'instance EC2. `Direction`est IN.
+ Pour les programmes malveillants observés en train de communiquer entre une instance EC2 et un nœud de commande et de contrôle connu, la source est l'adresse IPV4 de l'instance EC2. La destination est le nœud de commande et de contrôle. `Direction`est`OUT`. Vous fourniriez également `Malware` et`ThreatIntelIndicators`.

**`Protocol`**  
`Protocol`correspond toujours à un nom enregistré par l'Internet Assigned Numbers Authority (IANA), sauf si vous pouvez fournir un protocole spécifique. Vous devez toujours l'utiliser et fournir les informations de port.  
`Protocol`est indépendant des informations relatives à la source et à la destination. Ne le fournissez que lorsque cela a du sens.

**`Direction`**  
`Direction`est toujours relatif aux limites du AWS réseau.  
+ `IN`signifie qu'il entre AWS (VPC, service).
+ `OUT`signifie qu'il sort des limites du AWS réseau.

### Process
<a name="asff-process"></a>

`Process`est un objet unique. Vous ne pouvez pas ajouter plusieurs détails relatifs au processus. Lorsque vous mappez les champs, suivez les instructions suivantes.

**`Name`**  
`Name`doit correspondre au nom de l'exécutable. Il accepte jusqu'à 64 caractères.

****`Path`****  
`Path`est le chemin du système de fichiers vers l'exécutable du processus. Il accepte jusqu'à 512 caractères.

**`Pid`, `ParentPid`**  
`Pid`et `ParentPid` doit correspondre à l'identifiant de processus Linux (PID) ou à l'identifiant d'événement Windows. Pour vous différencier, utilisez Amazon Machine Images (AMI) EC2 pour fournir les informations. Les clients peuvent probablement faire la différence entre Windows et Linux.

**Horodatages (et) `LaunchedAt` `TerminatedAt`**  
Si vous ne pouvez pas récupérer ces informations de manière fiable et qu'elles ne sont pas précises à la milliseconde près, ne les fournissez pas.  
Si un client se fie à des horodatages pour une enquête médico-légale, il vaut mieux ne pas avoir d'horodatage qu'un mauvais horodatage.

### ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

`ThreatIntelIndicators`accepte un ensemble de cinq objets de renseignement sur les menaces au maximum.

Pour chaque entrée, `Type` c'est dans le contexte de la menace spécifique. Les valeurs autorisées sont `DOMAIN` `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.

Voici quelques exemples de la façon de cartographier les indicateurs de renseignement sur les menaces :
+ Vous avez trouvé un processus dont vous savez qu'il est associé à Cobalt Strike. Vous l'avez appris sur FireEye le blog de.

  Définissez `Type` sur `PROCESS`. Créez également un `Process` objet pour le processus.
+ Votre filtre de messagerie a détecté quelqu'un qui envoyait un package haché bien connu à partir d'un domaine malveillant connu.

  Créez deux `ThreatIntelIndicator` objets. Un objet est pour le`DOMAIN`. L'autre est pour le`HASH_SHA1`.
+ Vous avez trouvé un logiciel malveillant avec une règle de Yara (Loki, Fenrir, VirusScan Awss3,). BinaryAlert

  Créez deux `ThreatIntelIndicator` objets. L'un concerne le malware. L'autre est pour le`HASH_SHA1`.

## Resources
<a name="asff-resources"></a>

Pour cela`Resources`, utilisez les types de ressources et les champs de détail que nous avons fournis dans la mesure du possible. Security Hub CSPM ajoute constamment de nouvelles ressources à l'ASFF. Pour recevoir un journal mensuel des modifications apportées à ASFF, contactez securityhub-partners@amazon.com.

Si vous ne parvenez pas à ajuster les informations contenues dans les champs de détails pour un type de ressource modélisé, associez les autres détails à`Details.Other`.

Pour une ressource qui n'est pas modélisée dans ASFF, définissez sur`Type`. `Other` Pour obtenir des informations détaillées, utilisez`Details.Other`.

Vous pouvez également utiliser le type de `Other` ressource pour les AWS non-résultats.

## ProductFields
<a name="asff-productfields"></a>

À utiliser uniquement `ProductFields` si vous ne pouvez pas utiliser un autre champ sélectionné `Resources` ou un objet descriptif tel que `ThreatIntelIndicators``Network`, ou`Malware`.

Si vous en consommez`ProductFields`, vous devez fournir une justification stricte à l'appui de cette décision.

## Conformité d’
<a name="asff-compliance"></a>

À utiliser uniquement `Compliance` si vos conclusions sont liées à la conformité.

Security Hub CSPM utilise `Compliance` les résultats qu'il génère sur la base des contrôles.

Firewall Manager `Compliance` les utilise pour ses résultats, car ils sont liés à la conformité.

## Champs restreints
<a name="asff-restricted-fields"></a>

Ces champs sont destinés aux clients pour qu'ils puissent suivre leur enquête sur un résultat.

Ne mappez pas ces champs ou ces objets.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Pour ces champs, faites correspondre les champs présents dans l'`FindingProviderFields`objet. Ne mappez pas aux champs de niveau supérieur.
+ `Confidence`— N'incluez un score de confiance (0-99) que si votre service possède une fonctionnalité similaire ou si vous vous en tenez à votre résultat à 100 %.
+ `Criticality`— Le score de criticité (0-99) vise à exprimer l'importance de la ressource associée à la découverte.
+ `RelatedFindings`— Ne fournissez des résultats connexes que si vous pouvez suivre les résultats liés à la même ressource ou au même type de recherche. Pour identifier un résultat connexe, vous devez vous référer à l'identifiant d'un résultat qui se trouve déjà dans Security Hub CSPM.

# Directives d'utilisation de l'`BatchImportFindings`API
<a name="guidelines-batchimportfindings"></a>

Lorsque vous utilisez l'opération d'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API pour envoyer des résultats AWS Security Hub CSPM, suivez les instructions suivantes.
+ Vous devez appeler [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)en utilisant le compte associé aux résultats. L'identifiant du compte associé est la valeur de l'`AwsAccountId`attribut pour la recherche.
+ Envoyez le plus gros lot possible. Security Hub CSPM accepte jusqu'à 100 résultats par lot, jusqu'à 240 Ko par résultat et jusqu'à 6 Mo par lot.
+ La limite de débit est de 10 TPS par compte et par région, avec une rafale de 30 TPS.
+ Vous devez mettre en œuvre un mécanisme permettant de conserver l'état des résultats en cas de problème de régulation ou de réseau. Vous avez également besoin de l'état de constatation pour pouvoir soumettre des mises à jour au fur et à mesure qu'une constatation entre ou non en conformité.
+ Pour plus d'informations sur la longueur maximale des chaînes et d'autres limitations, voir [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) dans le *guide de l'AWS Security Hub utilisateur*.

# Liste de contrôle du niveau de préparation du produit
<a name="product-readiness-checklist"></a>

L'équipe AWS Security Hub CSPM et les équipes des partenaires APN utilisent cette liste de contrôle pour vérifier que l'intégration est prête à être lancée.

## Cartographie ASFF
<a name="readiness-asff-mapping"></a>

Ces questions concernent le mappage de votre résultat au format ASFF ( AWS Security Finding Format).

**Toutes les données de recherche du partenaire sont-elles mappées dans ASFF ?**  
Mappez toutes vos découvertes à l'ASFF d'une manière ou d'une autre.  
Utilisez des champs sélectionnés tels que les types de ressources modélisés, `Network``Malware`, ou. `ThreatIntelIndicators`  
Cartographiez tout autre élément dans `Resource.Details.Other` ou `ProductFields` comme il convient.

**Le partenaire utilise-t-il `Resource.Details` des champs tels que `AwsEc2instance``AwsS3Bucket`, et `Container` ? Le partenaire utilise-t-il `Resource.Details.Other` pour définir les détails des ressources qui ne sont pas modélisés dans l'ASFF ?**  
Dans la mesure du possible, utilisez les champs fournis pour les ressources sélectionnées telles que les instances EC2, les compartiments S3 et les groupes de sécurité dans vos conclusions.  
Mappez les autres informations relatives aux ressources `Resource.Details.Other` uniquement lorsqu'il n'y a pas de correspondance directe.

**Le partenaire associe-t-il les valeurs à `UserDefinedFields` ?**  
N'utilisez pas  `UserDefinedFields`.  
Envisagez d'utiliser un autre champ sélectionné, tel que `Resource.Details.Other` ou`ProductFields`.

**Le partenaire mappe-t-il des informations `ProductFields` qui pourraient être mappées dans d'autres champs ASFF ?**  
À utiliser uniquement `ProductFields` pour les informations spécifiques au produit, telles que les informations de version, les résultats de gravité spécifiques au produit ou d'autres informations qui ne peuvent pas être mappées dans un champ sélectionné ou. `Resources.Details.Other`

**Le partenaire importe-t-il ses propres horodatages pour ? `FirstObservedAt`**  
L'`FirstObservedAt`horodatage est destiné à enregistrer l'heure à laquelle une découverte a été observée dans le produit. Mappez ce champ dans la mesure du possible.

****Le partenaire fournit-il des valeurs uniques générées pour chaque identifiant de recherche, à l'exception des résultats qu'il souhaite mettre à jour ?****  
Toutes les découvertes du Security Hub CSPM sont indexées sur l'identifiant de recherche (`Id`attribut). Cette valeur doit toujours être unique pour éviter que les résultats ne soient mis à jour accidentellement.  
Vous devez également conserver l'état de l'identifiant de recherche afin de mettre à jour les résultats.

**Le partenaire fournit-il une valeur qui associe les résultats à un identifiant de générateur ? **  
`GeneratorID`ne doit pas avoir la même valeur que l'ID de recherche.  
`GeneratorID`devrait être en mesure de lier logiquement les résultats en fonction de ce qui les a générés.  
Il peut s'agir d'un sous-composant d'un produit (produit A - Vulnerability vs produit A - EDR) ou quelque chose de similaire.

**Le partenaire utilise-t-il les espaces de noms des types de recherche requis d'une manière adaptée à son produit ? Le partenaire utilise-t-il les catégories de types de recherche ou les classificateurs recommandés dans ses types de recherche ?**  
La taxonomie des types de résultats doit correspondre étroitement aux résultats générés par le produit.  
Les espaces de noms de premier niveau décrits dans le format de recherche AWS de sécurité sont obligatoires.  
Vous pouvez utiliser des valeurs personnalisées pour les espaces de noms de deuxième et troisième niveaux (catégories ou classificateurs).

**Le partenaire saisit-il des informations sur le flux réseau sur `Network` le terrain, s'il possède des données réseau ?**  
Si votre produit capture NetFlow des informations, associez-les au `Network` champ.

****Le partenaire saisit-il les informations de processus (PID) dans les `Process` champs, s'il possède des données de processus ?****  
Si votre produit capture des informations sur le processus, associez-les au `Process` champ.

**Le partenaire collecte-t-il des informations sur les malwares sur le `Malware` terrain, s'il possède des données sur les malwares ?**  
Si votre produit capture des informations sur les logiciels malveillants, associez-les au `Malware` champ.

**Le partenaire saisit-il des informations sur les menaces sur le terrain`ThreatIntelIndicators`, s'il possède des données de renseignement sur les menaces ?**  
Si votre produit capture des informations sur les menaces, associez-les au `ThreatIntelIndicators` terrain.

**Le partenaire fournit-il une note de confiance pour les résultats ? Dans l'affirmative, une justification est-elle fournie ?**  
Chaque fois que vous utilisez ce champ, fournissez une justification dans votre documentation et votre manifeste.

**Le partenaire utilise-t-il un identifiant canonique ou un ARN comme identifiant de ressource dans la recherche ?**  
Lors de l'identification AWS des ressources, la meilleure pratique consiste à utiliser l'ARN. Si aucun ARN n'est disponible, utilisez l'ID de ressource canonique.

## Configuration et fonctionnement de l'intégration
<a name="readiness-integration-setup"></a>

Ces questions concernent la configuration et le day-to-day fonctionnement de l'intégration.

**Le partenaire fournit-il un modèle infrastructure-as-code (IaC) pour déployer l'intégration avec Security Hub CSPM, tel que Terraform, ou ? CloudFormation AWS Cloud Development Kit (AWS CDK)**  
Pour les intégrations qui enverront des résultats depuis le compte client ou utiliseront CloudWatch des événements pour utiliser les résultats, une forme de modèle IaC est requise.  
CloudFormation est préférable, mais AWS CDK Terraform peut également être utilisé.

**Le produit partenaire est-il configuré en un clic sur sa console pour son intégration à Security Hub CSPM ?**  
Certains produits partenaires utilisent une bascule ou un mécanisme similaire dans leur produit pour activer l'intégration. Cela peut impliquer le provisionnement automatique des ressources et des autorisations. Si vous envoyez des résultats depuis un compte produit, la configuration en un clic est la méthode préférée.

**Le partenaire envoie-t-il uniquement des résultats intéressants ?**  
Vous ne devez généralement envoyer les résultats présentant une valeur de sécurité qu'aux clients Security Hub CSPM.  
Security Hub CSPM n'est pas un outil général de gestion des journaux. Vous ne devez pas envoyer tous les journaux possibles à Security Hub CSPM.

**Le partenaire a-t-il fourni une estimation du nombre de résultats qu'il enverra par jour par client et à quelle fréquence (moyenne et rafale) ?**  
Un certain nombre de résultats uniques sont utilisés pour calculer la charge sur Security Hub CSPM. Un résultat unique est défini comme un résultat dont le mappage ASFF est différent de celui d'un autre résultat.  
Par exemple, si un résultat est renseigné uniquement `ThreatIntelndicators` et un autre uniquement renseigné`Resources.Details.AWSEc2Instance`, il s'agit de deux résultats uniques.

**Le partenaire parvient-il à gérer les erreurs 4xx et 5xx de manière à ce qu'elles ne soient pas limitées et que tous les résultats puissent être envoyés ultérieurement ?**  
Il existe actuellement un taux de rafale de 30 à 50 TPS pour le fonctionnement de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API. Si des erreurs 4xx ou 5xx sont renvoyées, vous devez conserver l'état de ces résultats infructueux afin de pouvoir les réessayer dans leur intégralité ultérieurement. Vous pouvez le faire par le biais d'une file d'attente de lettres mortes ou d'autres services de AWS messagerie tels qu'Amazon SNS ou Amazon SQS.

**Le partenaire maintient-il l'état de ses résultats de manière à pouvoir archiver les résultats qui ne sont plus présents ?**  
Si vous prévoyez de mettre à jour les résultats en remplaçant l'identifiant de recherche d'origine, vous devez disposer d'un mécanisme permettant de conserver l'état afin que les informations correctes soient mises à jour pour le résultat correct.  
Si vous fournissez des résultats, n'utilisez pas l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération pour mettre à jour les résultats. Cette opération ne doit être utilisée que par les clients. Vous ne l'utilisez que [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)lorsque vous enquêtez et que vous prenez des mesures en fonction des résultats.

**Le partenaire gère-t-il les nouvelles tentatives de manière à ne pas compromettre les résultats positifs déjà envoyés ?**  
Vous devez disposer d'un mécanisme permettant de conserver le résultat initial IDs en cas d'erreur afin de ne pas dupliquer ou remplacer par erreur les résultats positifs. 

**Le partenaire met-il à jour ses résultats en appelant l'`BatchImportFindings`opération avec le numéro de recherche des résultats existants ?**  
Pour mettre à jour un résultat, vous devez remplacer le résultat existant en soumettant le même numéro de résultat.  
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération ne doit être utilisée que par les clients.

**Le partenaire met-il à jour ses résultats à l'aide de l'`BatchUpdateFindings`API ?**  
Si vous agissez sur la base des résultats, vous pouvez utiliser cette [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération pour mettre à jour des champs spécifiques.

**Le partenaire fournit-il des informations sur le temps de latence entre le moment où un résultat est créé et le moment où il est envoyé depuis son produit au Security Hub CSPM ?**  
Vous devez minimiser le temps de latence pour que les clients puissent consulter les résultats le plus rapidement possible dans Security Hub CSPM.  
Ces informations sont obligatoires dans le manifeste.

**Si l'architecture du partenaire consiste à envoyer les résultats à Security Hub CSPM à partir d'un compte client, l'a-t-il démontré avec succès ? Si l'architecture du partenaire consiste à envoyer les résultats à Security Hub CSPM depuis son propre compte, l'a-t-il démontré avec succès ?**  
Pendant les tests, les résultats doivent être envoyés avec succès à partir d'un compte que vous possédez et qui est différent du compte fourni pour l'ARN du produit.  
L'envoi d'une recherche depuis le compte du propriétaire de l'ARN du produit permet de contourner certaines exceptions d'erreur liées aux opérations de l'API.

**Le partenaire fournit-il une information sur le rythme cardiaque à Security Hub CSPM ?**  
Pour montrer que votre intégration fonctionne correctement, vous devez envoyer un résultat de pulsation. Le résultat du rythme cardiaque est envoyé toutes les cinq minutes et utilise le type `Heartbeat` de recherche.  
C'est important si vous envoyez des résultats depuis un compte produit.

**Le partenaire a-t-il intégré le compte de l'équipe produit Security Hub CSPM lors des tests ?**  
Lors de la validation de préproduction, vous devez envoyer des exemples de recherche sur le compte de l'équipe produit Security Hub CSPM. AWS Ces exemples montrent que les résultats sont envoyés et mappés correctement.

## Documentation
<a name="readiness-documentation"></a>

Ces questions sont liées à la documentation de l'intégration que vous fournissez.

**Le partenaire héberge-t-il sa documentation sur un site Web dédié ?**  
La documentation doit être hébergée sur votre site Web sous forme de page Web statique, de wiki, de Read the Docs ou d'un autre format dédié.  
La documentation d'hébergement GitHub ne répond pas aux exigences d'un site Web dédié.

**La documentation destinée aux partenaires fournit-elle des instructions sur la façon de configurer l'intégration Security Hub CSPM ?**  
Vous pouvez configurer l'intégration à l'aide d'un modèle iAc ou d'une intégration « en un clic » basée sur une console.

**La documentation du partenaire fournit-elle une description de son cas d'utilisation ?**  
Le cas d'utilisation que vous fournissez dans le manifeste doit également être décrit dans la documentation

**La documentation du partenaire justifie-t-elle les conclusions qu'il envoie ?**  
Vous devez justifier les types de résultats que vous envoyez.  
Par exemple, votre produit peut détecter des vulnérabilités, des logiciels malveillants et des antivirus, mais vous envoyez uniquement les résultats de vulnérabilité et de programme malveillant à Security Hub CSPM. Dans ce cas, vous devez expliquer pourquoi vous n'envoyez pas les résultats de l'antivirus.

**La documentation du partenaire fournit-elle une justification de la manière dont le partenaire associe ses résultats à l'ASFF ?**  
Vous devez justifier le mappage de la découverte native d'un produit avec ASFF. Les clients veulent savoir où trouver des informations spécifiques sur les produits.

**La documentation du partenaire fournit-elle des conseils sur la manière dont le partenaire met à jour les résultats, s'il met à jour les résultats ?**  
Fournissez aux clients des informations sur la manière dont vous maintenez l'état, garantissez l'idempuissance et remplacez les résultats par des informations. up-to-date

**La documentation destinée aux partenaires décrive-t-elle la recherche de la latence ?**  
Minimisez le temps de latence pour que les clients puissent consulter les résultats dès que possible dans Security Hub CSPM.  
Ces informations sont obligatoires dans le manifeste.

**La documentation du partenaire décrive-t-elle comment son score de gravité correspond au score de gravité ASFF ?**  
Fournissez des informations sur le mode de `Severity.Original` mappage vers`Severity.Label`.  
Par exemple, si votre valeur de gravité est un grade de lettre (A, B, C), vous devez fournir des informations sur la façon dont vous associez le grade de lettre à l'étiquette de gravité.

**La documentation destinée aux partenaires justifie-t-elle les cotes de confiance ?**  
Si vous fournissez des scores de confiance, ces scores doivent être classés.  
Si vous utilisez des scores de confiance remplis de manière statique ou des mappages issus de l'intelligence artificielle ou de l'apprentissage automatique, vous devez fournir un contexte supplémentaire.

**La documentation du partenaire indique-t-elle quelles régions le partenaire soutient et ne soutient pas ?**  
Notez les régions prises en charge ou non afin que les clients sachent dans quelles régions ne pas tenter d'intégration.

## Informations sur la fiche produit
<a name="readiness-product-card"></a>

Ces questions concernent la fiche du produit affichée sur la page **Intégrations** de la console Security Hub CSPM.

**L'identifiant de AWS compte fourni est-il valide et contient-il 12 chiffres ?**  
Les identifiants de compte sont composés de 12 chiffres. Si un identifiant de compte contient moins de 12 chiffres, l'ARN du produit ne sera pas valide.

**La description du produit contient-elle 200 caractères ou moins ?**  
La description du produit fournie dans le fichier JSON du manifeste ne doit pas comporter plus de 200 caractères, espaces compris.

**Le lien de configuration mène-t-il à la documentation de l'intégration ?**  
Le lien de configuration doit mener à votre documentation en ligne. Cela ne doit pas mener à votre site Web principal ou à des pages marketing.

**Le lien d'achat (s'il est fourni) mène-t-il à la AWS Marketplace mise en vente du produit ?**  
Si vous fournissez un lien d'achat, il doit s'agir d'une AWS Marketplace entrée. Security Hub CSPM n'accepte pas les liens d'achat qui ne sont pas hébergés par. AWS

**Les catégories de produits décrivent-elles correctement le produit ?**  
Dans le manifeste, vous pouvez indiquer jusqu'à trois catégories de produits. Ils doivent correspondre au JSON et ne peuvent pas être personnalisés. Vous ne pouvez pas fournir plus de trois catégories de produits.

**Les noms des entreprises et des produits sont-ils valides et corrects ?**  
Le nom de l'entreprise doit comporter 16 caractères ou moins.  
Le nom du produit doit comporter 24 caractères ou moins.  
Le nom du produit indiqué dans le fichier JSON de la fiche produit doit correspondre au nom indiqué dans le manifeste.

## Informations commerciales
<a name="readiness-marketing"></a>

Ces questions sont liées au marketing pour l'intégration.

**La description du produit pour la page des partenaires du Security Hub CSPM comporte-t-elle un maximum de 700 caractères, espaces compris ?**  
La page des partenaires du Security Hub CSPM n'accepte que 700 caractères maximum, espaces compris.  
L'équipe modifiera les descriptions plus longues.

**Le logo de la page des partenaires du Security Hub CSPM ne dépasse-t-il pas 600 x 300 pixels ?**  
Fournissez une URL accessible au public avec le logo de l'entreprise au format PNG ou JPG dont la taille ne dépasse pas 600 x 300 pixels.

**L'hyperlien En savoir plus sur la page des partenaires du Security Hub CSPM mène-t-il à la page Web dédiée du partenaire concernant l'intégration ?**  
Le lien **En savoir plus** ne doit pas mener au site Web principal du partenaire ni aux informations de documentation.  
Ce lien doit toujours renvoyer vers une page Web dédiée contenant des informations marketing sur l'intégration.

**Le partenaire propose-t-il une démonstration ou une vidéo explicative expliquant comment utiliser son intégration ?**  
Une vidéo de démonstration ou de présentation de l'intégration est facultative mais recommandée.

**Un article de blog du AWS Partner Network est-il publié avec le partenaire et son responsable du développement des partenaires ou son représentant du développement des partenaires ?**  
AWS Les articles de blog du réseau de partenaires doivent être coordonnés à l'avance avec le responsable du développement des partenaires ou le représentant du développement des partenaires.  
Ils sont distincts de tout article de blog que vous créez vous-même.  
Prévoyez un délai de 4 à 6 semaines. Cet effort doit être lancé une fois les tests avec l'ARN du produit privé terminés.

**Un communiqué de presse dirigé par un partenaire sera-t-il publié ?**  
Vous pouvez travailler avec votre responsable du développement des partenaires ou votre représentant du développement des partenaires pour obtenir un devis du vice-président des services de sécurité externes. Vous pouvez utiliser cette citation dans votre communiqué de presse.

**Un article de blog publié par un partenaire est-il en cours de publication ?**  
Vous pouvez créer vos propres articles de blog pour présenter l'intégration en dehors du blog AWS Partner Network.

**Un webinaire dirigé par un partenaire est-il en cours de publication ?**  
Vous pouvez créer vos propres webinaires pour présenter l'intégration.  
Si vous avez besoin de l'aide de l'équipe Security Hub CSPM, contactez l'équipe produit après avoir terminé les tests avec l'ARN du produit privé.

**Le partenaire a-t-il demandé une assistance sur les réseaux sociaux AWS ?**  
Après votre libération, vous pourrez travailler avec le responsable marketing AWS de la sécurité pour utiliser les réseaux sociaux AWS officiels afin de partager des informations sur vos webinaires.