Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Linee guida e liste di controllo
<a name="integration-guidelines-checklists"></a>

Mentre prepari i materiali necessari per l' AWS Security Hub CSPM integrazione, utilizza queste linee guida.

La checklist di preparazione viene utilizzata per condurre una revisione finale dell'integrazione prima che Security Hub CSPM la renda disponibile ai clienti di Security Hub CSPM.

**Topics**
+ [Linee guida per il logo da visualizzare sulla console AWS Security Hub CSPM](guidelines-console-logo.md)
+ [Principi per la creazione e l'aggiornamento dei risultati](tenets-update-create-findings.md)
+ [Linee guida per la mappatura dei risultati nel AWS Security Finding Format (ASFF)](guidelines-asff-mapping.md)
+ [Linee guida per l'utilizzo dell'API `BatchImportFindings`](guidelines-batchimportfindings.md)
+ [Lista di controllo per la preparazione del prodotto](product-readiness-checklist.md)

# Linee guida per il logo da visualizzare sulla console AWS Security Hub CSPM
<a name="guidelines-console-logo"></a>

Per visualizzare il logo sulla AWS Security Hub CSPM console, segui queste linee guida.

**Modalità chiare e scure**  
È necessario fornire sia una versione del logo in modalità chiara che una in modalità scura.

**Formato**  
Formato di file SVG

**Background color (Colore di sfondo)**  
Transparent

**Dimensione**  
Il rapporto ideale è 175 px di larghezza per 40 px di altezza.  
L'altezza minima è di 40 px.  
I loghi rettangolari funzionano meglio.  
L'immagine seguente mostra come viene visualizzato un logo ideale sulla console CSPM di Security Hub.  

![\[Esempio di scheda per l'integrazione di un prodotto con un logo di dimensioni ideali\]](http://docs.aws.amazon.com/it_it/securityhub/latest/partnerguide/images/partner-logo-display-ideal.png)

Se il logo non corrisponde a queste dimensioni, Security Hub riduce le dimensioni a un'altezza massima di 40 px e una larghezza massima di 175 px. Ciò influisce sulla modalità di visualizzazione del logo sulla console CSPM di Security Hub.  
L'immagine seguente confronta la visualizzazione di un logo che utilizzava la dimensione ideale con loghi più larghi o più alti.  

![\[Esempi di schede per integrazioni di prodotti in cui il logo viene ridimensionato\]](http://docs.aws.amazon.com/it_it/securityhub/latest/partnerguide/images/partner-logo-display-variations.png)


**Ritaglio**  
Ritaglia l'immagine del logo il più vicino possibile. Non fornire imbottitura aggiuntiva.  
L'immagine seguente mostra la differenza tra un logo ritagliato da vicino e un logo con un'imbottitura aggiuntiva.  

![\[Esempi di schede di integrazione di prodotti con loghi con ritagli diversi\]](http://docs.aws.amazon.com/it_it/securityhub/latest/partnerguide/images/partner-logo-display-cropping.png)


# Principi per la creazione e l'aggiornamento dei risultati
<a name="tenets-update-create-findings"></a>

Nel pianificare il modo in cui creare e aggiornare i risultati AWS Security Hub CSPM, tieni presenti i seguenti principi.

**Rendi specifici i risultati in modo che i clienti possano agire facilmente sulla base di essi.**  
I clienti desiderano automatizzare le azioni di risposta e correzione e correlare i risultati con altri risultati. A supporto di ciò, i risultati devono avere le seguenti caratteristiche:  
+ In genere dovrebbero riguardare una risorsa singola o primaria.
+ Dovrebbero avere un unico tipo di ricerca.
+ Dovrebbero occuparsi di un unico evento di sicurezza.
Quando un risultato contiene dati relativi a più eventi di sicurezza, è più difficile per i clienti intervenire sulla base del risultato. 

**Associa tutti i campi di ricerca al AWS Security Finding Format (ASFF). Consenti ai clienti di fare affidamento sul Security Hub CSPM come fonte di verità.**  
I clienti si aspettano che ogni campo presente nel formato di ricerca nativo sia rappresentato anche nel Security Hub CSPM ASFF.  
I clienti vogliono che tutti i dati siano presenti nella versione CSPM di Security Hub del risultato. La mancanza di dati fa sì che perdano la fiducia nel Security Hub CSPM come fonte centrale di informazioni sulla sicurezza. 

**Riduci al minimo la ridondanza nei risultati. Non sovraccaricate i clienti con la ricerca di volumi.**  
Security Hub CSPM non è uno strumento generale di gestione dei log. È necessario inviare a Security Hub CSPM i risultati che siano altamente utilizzabili e ai quali i clienti possano rispondere direttamente, correggere o correlare con altri risultati.  
Se c'è solo una piccola modifica al risultato, aggiorna il risultato invece di crearne uno nuovo.  
Quando viene apportata una modifica importante al risultato, ad esempio al punteggio di gravità o all'identificatore della risorsa, crea un nuovo risultato.  
Ad esempio, creare risultati per le scansioni di singole porte in tempo reale non è molto fattibile. Poiché la scansione delle porte può avvenire continuamente, produrrebbe un grande volume di risultati. È molto più interessante e preciso aggiornare semplicemente l'ora dell'ultima scansione e il conteggio delle scansioni su un singolo risultato per una scansione delle porte su una porta MongoDB da un nodo TOR.

**Consenti ai clienti di personalizzare le proprie scoperte per renderle più significative.**  
I clienti vogliono essere in grado di modificare determinati campi di ricerca per renderli più pertinenti al loro ambiente o ai loro requisiti.  
Ad esempio, i clienti vogliono poter aggiungere note, tag e modificare i punteggi di gravità in base al tipo di account o al tipo di risorsa a cui è associata la ricerca.

# Linee guida per la mappatura dei risultati nel AWS Security Finding Format (ASFF)
<a name="guidelines-asff-mapping"></a>

Utilizza le seguenti linee guida per associare i risultati all'ASFF. *Per descrizioni dettagliate di ogni campo e oggetto ASFF, consulta [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) nella Guida per l'AWS Security Hub utente.*

## Informazioni identificative
<a name="asff-identifying-information"></a>

`SchemaVersion` è sempre `2018-10-08`.

`ProductArn`è l'ARN che ti AWS Security Hub CSPM assegna.

`Id`è il valore che Security Hub CSPM utilizza per indicizzare i risultati. L'identificatore del risultato deve essere univoco, per garantire che altri risultati non vengano sovrascritti. Per aggiornare un risultato, invia nuovamente il risultato con lo stesso identificatore.

`GeneratorId`può essere uguale `Id` o fare riferimento a un'unità logica discreta, come un Amazon GuardDuty detector ID, un AWS Config recorder ID o un ID IAM Access Analyzer.

## Title e Description
<a name="asff-title-description"></a>

`Title`dovrebbe contenere alcune informazioni sulla risorsa interessata. `Title`è limitato a 256 caratteri, spazi inclusi.

Aggiungi informazioni più dettagliate a`Description`. `Description`è limitato a 1024 caratteri, spazi inclusi. Puoi prendere in considerazione l'aggiunta di un troncamento alle descrizioni. Ecco un esempio:

```
"Title": "Instance i-12345678901 is vulnerable to CVE-2019-1234",
"Description": "Instance i-12345678901 is vulnerable to CVE-2019-1234. This vulnerability affects version 1.0.1 of widget-1 and earlier, and can lead to buffer overflow when someone sends a ping.",
```

## Tipi di esiti
<a name="asff-finding-types"></a>

Fornisci le informazioni sul tipo di ricerca in. `FindingProviderFields.Types`

`Types`deve corrispondere alla [tassonomia dei tipi per ASFF.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html)

Se necessario, è possibile specificare un classificatore personalizzato (il terzo spazio dei nomi).

## Timestamp
<a name="asff-timestamps"></a>

Il formato ASFF include alcuni timestamp diversi.

**`CreatedAt` e `UpdatedAt`**  
Devi inviare `CreatedAt` `UpdatedAt` ogni volta che chiami [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)per ogni risultato.  
I valori devono corrispondere al ISO8601 formato in Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

**`FirstObservedAt` e `LastObservedAt`**  
`FirstObservedAt`e `LastObservedAt` devono corrispondere al momento in cui il sistema ha osservato il risultato. Se non si registrano queste informazioni, non è necessario inviare questi timestamp.  
I valori corrispondono al ISO8601 formato in Python 3.8.  

```
datetime.datetime.utcnow().replace(tzinfo=datetime.timezone.utc).isoformat()
```

## Severity
<a name="asff-severity"></a>

Le informazioni sulla gravità vengono fornite nell'`FindingProviderFields.Severity`oggetto, che contiene i seguenti campi.

**`Original`**  
Il valore di gravità del sistema. `Original`può essere una stringa qualsiasi, per adattarsi al sistema in uso.

**`Label`**  
L'indicatore CSPM richiesto del Security Hub della gravità del rilevamento. I valori consentiti sono i seguenti.  
+ `INFORMATIONAL`— Non è stato riscontrato alcun problema.
+ `LOW`— Il problema non richiede di per sé un'azione.
+ `MEDIUM`— La questione deve essere affrontata ma non con urgenza.
+ `HIGH`— La questione deve essere affrontata in via prioritaria.
+ `CRITICAL`— Il problema deve essere risolto immediatamente per prevenire ulteriori danni.
I risultati conformi avrebbero dovuto essere sempre impostati `Label` su. `INFORMATIONAL` Esempi di `INFORMATIONAL` risultati sono i risultati dei controlli di sicurezza che sono stati superati e AWS Firewall Manager i risultati che sono stati corretti.  
I clienti spesso ordinano i risultati in base alla loro gravità per fornire ai team addetti alle operazioni di sicurezza un elenco di cose da fare. Siate prudenti quando impostate la gravità del risultato su `HIGH` o`CRITICAL`.

La documentazione di integrazione deve includere le motivazioni della mappatura.

## Remediation
<a name="asff-remediation"></a>

`Remediation`ha due elementi. Questi elementi vengono combinati nella console CSPM di Security Hub.

`Remediation.Recommendation.Text`appare nella sezione **Riparazione** dei dettagli del risultato. È collegato ipertestualmente al valore di. `Remediation.Recommendation.Url`

Attualmente, solo i risultati degli standard CSPM di Security Hub, IAM Access Analyzer e Firewall Manager mostrano collegamenti ipertestuali alla documentazione su come correggere il risultato.

## SourceUrl
<a name="asff-sourceurl"></a>

Utilizzalo solo `SourceUrl` se puoi fornire un URL con collegamento diretto alla tua console per quel risultato specifico. Altrimenti, omettilo dalla mappatura.

Security Hub CSPM non supporta i collegamenti ipertestuali da questo campo, ma sono esposti nella console CSPM di Security Hub.

## Malware, Network, Process, ThreatIntelIndicators
<a name="asff-malware-network-process-threatintel"></a>

Se applicabile, usa`Malware`,, o. `Network` `Process` `ThreatIntelIndicators` Ciascuno di questi oggetti è esposto nella console CSPM di Security Hub. Utilizzate questi oggetti nel contesto del risultato che state inviando.

Ad esempio, se rilevi un malware che stabilisce una connessione in uscita a un nodo di comando e controllo noto, fornisci i dettagli per l'istanza EC2 in. `Resource.Details.AwsEc2Instance` Fornisci gli `ThreatIntelIndicator` oggetti pertinenti `Malware` e per quell'istanza EC2. `Network`

### Malware
<a name="asff-malware"></a>

`Malware`è un elenco che accetta fino a cinque matrici di informazioni sul malware. Rendi le voci relative al malware pertinenti alla risorsa e alla scoperta.

Ogni voce contiene i seguenti campi.

**`Name`**  
Il nome del malware. Il valore è una stringa composta da un massimo di 64 caratteri.  
`Name`deve provenire da una fonte controllata di intelligence o di ricercatori sulle minacce.

**`Path`**  
Il percorso verso il malware. Il valore è una stringa composta da un massimo di 512 caratteri. `Path`deve essere un percorso di file di sistema Linux o Windows, tranne nei seguenti casi.  
+ Se esegui la scansione degli oggetti in un bucket S3 o in una condivisione EFS in base alle regole YARA, allora `Path` è il percorso dell'oggetto S3://o HTTPS.
+ Se esegui la scansione di file in un repository Git, allora `Path` è l'URL Git o il percorso del clone.

**`State`**  
Lo stato del malware. I valori consentiti sono `OBSERVED` \$1 ` REMOVAL_FAILED` \$1`REMOVED`.  
Nel titolo e nella descrizione del risultato, assicurati di fornire un contesto per ciò che è accaduto con il malware.  
Ad esempio, in caso `Malware.State` `REMOVED` affermativo, il titolo e la descrizione del risultato dovrebbero indicare che il prodotto ha rimosso il malware presente nel percorso.  
In caso `Malware.State` `OBSERVED` affermativo, il titolo e la descrizione del risultato dovrebbero indicare che il prodotto ha rilevato il malware localizzato lungo il percorso.

**`Type`**  
Indica il tipo di malware. I valori consentiti sono `ADWARE` `BLENDED_THREAT` \$1 `BOTNET_AGENT` \$1 `COIN_MINER` \$1 `EXPLOIT_KIT` \$1 `KEYLOGGER` \$1 `MACRO` \$1 `POTENTIALLY_UNWANTED` \$1 `SPYWARE` \$1 `RANSOMWARE` \$1 `REMOTE_ACCESS` \$1 `ROOTKIT` \$1 `TROJAN` \$1 `VIRUS` \$1`WORM`.  
Se hai bisogno di un valore aggiuntivo per`Type`, contatta il team CSPM di Security Hub.

### Network
<a name="asff-network"></a>

`Network`è un oggetto singolo. Non è possibile aggiungere più dettagli relativi alla rete. Durante la mappatura dei campi, utilizza le seguenti linee guida.

**Informazioni sulla destinazione e sulla fonte**  
La destinazione e l'origine sono facili da mappare i log di flusso TCP o VPC o i log WAF. Sono più difficili da usare quando si descrivono le informazioni di rete per individuare un attacco.  
In genere, la fonte è l'origine dell'attacco, ma potrebbe avere altre fonti, come quelle elencate di seguito. È necessario spiegare la fonte nella documentazione e descriverla anche nel titolo e nella descrizione del reperto.  
+ Per un attacco DDoS su un'istanza EC2, la fonte è l'aggressore, sebbene un attacco DDoS reale possa utilizzare milioni di host. La destinazione è l'indirizzo IPv4 pubblico dell'istanza EC2. `Direction`è IN.
+ Per il malware osservato mentre comunica da un'istanza EC2 a un nodo di comando e controllo noto, l'origine è l'indirizzo IPV4 dell'istanza EC2. La destinazione è il nodo di comando e controllo. `Direction`è`OUT`. Forniresti anche `Malware` e`ThreatIntelIndicators`.

**`Protocol`**  
`Protocol`esegue sempre il mapping su un nome registrato della Internet Assigned Numbers Authority (IANA), a meno che non sia possibile fornire un protocollo specifico. Dovresti sempre usarlo e fornire le informazioni sulla porta.  
`Protocol`è indipendente dalle informazioni di origine e destinazione. Forniscile solo quando ha senso farlo.

**`Direction`**  
`Direction`è sempre relativo ai confini della AWS rete.  
+ `IN`significa che sta entrando AWS (VPC, servizio).
+ `OUT`significa che sta uscendo dai confini della AWS rete.

### Process
<a name="asff-process"></a>

`Process`è un oggetto singolo. Non è possibile aggiungere più dettagli relativi al processo. Durante la mappatura dei campi, utilizza le seguenti linee guida.

**`Name`**  
`Name`deve corrispondere al nome dell'eseguibile. Accetta fino a 64 caratteri.

****`Path`****  
`Path`è il percorso del file system verso l'eseguibile del processo. Accetta fino a 512 caratteri.

**`Pid`, `ParentPid`**  
`Pid`e `ParentPid` deve corrispondere all'identificatore di processo Linux (PID) o all'ID evento di Windows. Per differenziare, usa Amazon Machine Images (AMI) EC2 per fornire le informazioni. I clienti possono probabilmente distinguere tra Windows e Linux.

**Timestamp (e) `LaunchedAt` `TerminatedAt`**  
Se non è possibile recuperare in modo affidabile queste informazioni e non sono accurate al millisecondo, non fornirle.  
Se un cliente si affida ai timestamp per le indagini forensi, non avere un timestamp è meglio che avere un timestamp sbagliato.

### ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

`ThreatIntelIndicators`accetta una serie di fino a cinque oggetti di intelligence sulle minacce.

Per ogni voce, `Type` rientra nel contesto della minaccia specifica. I valori consentiti sono `DOMAIN` `EMAIL_ADDRESS` \$1 `HASH_MD5` \$1 `HASH_SHA1` \$1 `HASH_SHA256` \$1 `HASH_SHA512` \$1 `IPV4_ADDRESS` \$1 `IPV6_ADDRESS` \$1 `MUTEX` \$1 `PROCESS` \$1`URL`.

Ecco alcuni esempi di come mappare gli indicatori di intelligence sulle minacce:
+ Hai scoperto un processo che sai essere associato a Cobalt Strike. L'hai imparato dal FireEye nostro blog.

  Imposta `Type` su `PROCESS`. Crea anche un `Process` oggetto per il processo.
+ Il tuo filtro di posta ha rilevato che qualcuno ha inviato un noto pacchetto con hash da un dominio malevolo noto.

  Crea due `ThreatIntelIndicator` oggetti. Un oggetto è per`DOMAIN`. L'altro è per il`HASH_SHA1`.
+ Hai trovato un malware con una regola Yara (Loki, Fenrir, Awss3,). VirusScan BinaryAlert

  Crea due oggetti. `ThreatIntelIndicator` Uno è per il malware. L'altro è per il`HASH_SHA1`.

## Resources
<a name="asff-resources"></a>

Infatti`Resources`, utilizza i tipi di risorse e i campi di dettaglio forniti ogni volta che è possibile. Security Hub CSPM aggiunge costantemente nuove risorse all'ASFF. Per ricevere un registro mensile delle modifiche ad ASFF, contatta securityhub-partners@amazon.com.

Se non riesci a inserire le informazioni nei campi dei dettagli per un tipo di risorsa modellato, mappa i dettagli rimanenti a. `Details.Other`

Per una risorsa non modellata in ASFF, impostate su. `Type` `Other` Per informazioni dettagliate, utilizzare. `Details.Other`

È inoltre possibile utilizzare il tipo di `Other` risorsa per informazioni non AWS risultanti.

## ProductFields
<a name="asff-productfields"></a>

Utilizzalo solo `ProductFields` se non puoi utilizzare un altro campo curato per `Resources` o un oggetto descrittivo come `ThreatIntelIndicators``Network`, o. `Malware`

Se lo utilizzi`ProductFields`, devi fornire una motivazione rigorosa per questa decisione.

## Conformità
<a name="asff-compliance"></a>

Utilizzalo solo `Compliance` se i risultati sono correlati alla conformità.

Security Hub CSPM utilizza `Compliance` per i risultati che genera in base ai controlli.

Firewall Manager utilizza `Compliance` i risultati perché sono correlati alla conformità.

## Campi con restrizioni
<a name="asff-restricted-fields"></a>

Questi campi sono destinati ai clienti per tenere traccia delle indagini condotte su un risultato.

Non eseguire la mappatura su questi campi o oggetti.
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Per questi campi, esegui il mapping ai campi presenti nell'`FindingProviderFields`oggetto. Non eseguire il mapping ai campi di primo livello.
+ `Confidence`— Includi un punteggio di affidabilità (0-99) solo se il tuo servizio ha una funzionalità simile o se condividi al 100% la tua opinione.
+ `Criticality`— Il punteggio di criticità (0-99) ha lo scopo di esprimere l'importanza della risorsa associata alla scoperta.
+ `RelatedFindings`— Fornisci risultati correlati solo se puoi tenere traccia dei risultati relativi alla stessa risorsa o tipo di scoperta. Per identificare un risultato correlato, è necessario fare riferimento all'identificatore del risultato di un risultato già presente in Security Hub CSPM.

# Linee guida per l'utilizzo dell'API `BatchImportFindings`
<a name="guidelines-batchimportfindings"></a>

Quando utilizzi l'operazione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API per inviare i risultati a AWS Security Hub CSPM, utilizza le seguenti linee guida.
+ È necessario chiamare [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)utilizzando l'account associato ai risultati. L'identificatore dell'account associato è il valore dell'`AwsAccountId`attributo per il risultato.
+ Invia il batch più grande possibile. Security Hub CSPM accetta fino a 100 risultati per batch, fino a 240 KB per risultato e fino a 6 MB per batch.
+ Il limite di velocità di accelerazione è di 10 TPS per account per regione, con un picco di 30 TPS.
+ È necessario implementare un meccanismo per mantenere lo stato dei risultati in caso di problemi di limitazione o di rete. È inoltre necessario lo stato dei risultati in modo da poter inviare gli aggiornamenti dei risultati man mano che un risultato diventa o non è conforme.
+ *Per informazioni sulla lunghezza massima delle stringhe e altre limitazioni, consulta [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) nella Guida per l'AWS Security Hub utente.*

# Lista di controllo per la preparazione del prodotto
<a name="product-readiness-checklist"></a>

I team APN AWS Security Hub CSPM e i partner APN utilizzano questa lista di controllo per verificare che l'integrazione sia pronta per essere lanciata.

## Mappatura ASFF
<a name="readiness-asff-mapping"></a>

Queste domande riguardano la mappatura dei risultati ottenuti con il AWS Security Finding Format (ASFF).

**Tutti i dati di ricerca del partner sono mappati in ASFF?**  
Associa in qualche modo tutte le tue scoperte all'ASFF.  
Usa campi curati come tipi di risorse modellati,`Network`, `Malware` o. `ThreatIntelIndicators`  
Mappa qualsiasi altra cosa in `Resource.Details.Other` o `ProductFields` come appropriato.

**Il partner utilizza `Resource.Details` campi come `AwsEc2instance``AwsS3Bucket`, e`Container`? Il partner utilizza `Resource.Details.Other` per definire i dettagli delle risorse che non sono modellati nell'ASFF?**  
Quando possibile, utilizza i campi forniti per inserire nei risultati risorse curate come istanze EC2, bucket S3 e gruppi di sicurezza.  
Mappa le altre informazioni relative alle risorse `Resource.Details.Other` solo quando non esiste una corrispondenza diretta.

**Il partner mappa i valori su`UserDefinedFields`?**  
Non usare `UserDefinedFields`.  
Prendi in considerazione l'utilizzo di un altro campo curato, ad esempio `Resource.Details.Other` o`ProductFields`.

**Il partner mappa le informazioni `ProductFields` che potrebbero essere mappate in altri campi ASFF?**  
Utilizzale solo `ProductFields` per informazioni specifiche sul prodotto, come informazioni sulla versione, rilevamenti di gravità specifici del prodotto o altre informazioni che non possono essere mappate in un campo curato o. `Resources.Details.Other`

**Il partner importa i propri timestamp per? `FirstObservedAt`**  
Il `FirstObservedAt` timestamp ha lo scopo di registrare l'ora in cui è stato osservato un risultato nel prodotto. Mappa questo campo, se possibile.

****Il partner fornisce valori univoci generati per ogni identificatore di risultato, ad eccezione dei risultati che desidera aggiornare?****  
Tutti i risultati in Security Hub CSPM sono indicizzati sull'identificatore del risultato (attributo). `Id` Questo valore deve essere sempre unico per garantire che i risultati non vengano aggiornati accidentalmente.  
È inoltre necessario mantenere lo stato dell'identificatore dei risultati allo scopo di aggiornare i risultati.

**Il partner fornisce un valore che associa i risultati a un ID del generatore? **  
`GeneratorID`non deve avere lo stesso valore dell'ID del risultato.  
`GeneratorID`dovrebbe essere in grado di collegare logicamente i risultati in base a ciò che li ha generati.  
Questo può essere un sottocomponente all'interno di un prodotto (Prodotto A - Vulnerabilità vs Prodotto A - EDR) o qualcosa di simile.

**Il partner utilizza i namespace dei tipi di ricerca richiesti in modo pertinente al proprio prodotto? Il partner utilizza le categorie o i classificatori dei tipi di ricerca consigliati nei propri tipi di ricerca?**  
La tassonomia dei tipi di risultati dovrebbe corrispondere fedelmente ai risultati generati dal prodotto.  
I namespace di primo livello descritti nel Security Finding Format sono obbligatori. AWS   
È possibile utilizzare valori personalizzati per i namespace di secondo e terzo livello (Categorie o Classificatori).

**Il partner acquisisce informazioni sul flusso di rete nei `Network` campi, se dispone di dati di rete?**  
Se il prodotto acquisisce NetFlow informazioni, associale al `Network` campo.

****Il partner acquisisce informazioni sul processo (PID) nei `Process` campi, se dispone di dati di processo?****  
Se il prodotto acquisisce informazioni sul processo, associale al `Process` campo.

**Il partner acquisisce informazioni sul malware nei `Malware` campi, se dispone di dati relativi al malware?**  
Se il prodotto acquisisce informazioni sul malware, associale al `Malware` campo.

**Il partner acquisisce informazioni di intelligence sulle minacce sul `ThreatIntelIndicators` campo, se dispone di dati di intelligence sulle minacce?**  
Se il prodotto acquisisce informazioni di intelligence sulle minacce, associale al `ThreatIntelIndicators` campo.

**Il partner fornisce una valutazione di affidabilità dei risultati? Se lo fanno, viene fornita una motivazione?**  
Ogni volta che utilizzi questo campo, fornisci una motivazione nella documentazione e nel manifesto.

**Il partner utilizza un ID canonico o un ARN per l'ID della risorsa nella ricerca?**  
Nell'identificare AWS le risorse, la procedura migliore consiste nell'utilizzare l'ARN. Se un ARN non è disponibile, usa l'ID di risorsa canonico.

## Configurazione e funzione di integrazione
<a name="readiness-integration-setup"></a>

Queste domande riguardano la configurazione e day-to-day la funzione dell'integrazione.

**Il partner fornisce un modello infrastructure-as-code (IaC) per implementare l'integrazione con Security Hub CSPM, come Terraform, oppure? CloudFormation AWS Cloud Development Kit (AWS CDK)**  
Per le integrazioni che invieranno i risultati dall'account del cliente o utilizzeranno CloudWatch Events per utilizzare i risultati, è necessaria una qualche forma di modello IaC.  
CloudFormation è preferito, ma AWS CDK è possibile utilizzare anche Terraform.

**Il prodotto partner dispone di una configurazione con un clic sulla console per l'integrazione con Security Hub CSPM?**  
Alcuni prodotti partner utilizzano un interruttore o un meccanismo simile per attivare l'integrazione. Ciò può comportare il rifornimento automatico di risorse e autorizzazioni. Se invii i risultati da un account di prodotto, il metodo preferito è la configurazione con un solo clic.

**Il partner invia solo risultati utili?**  
In genere è necessario inviare solo i risultati che hanno un valore di sicurezza ai clienti CSPM di Security Hub.  
Security Hub CSPM non è uno strumento generale di gestione dei log. Non è necessario inviare tutti i log possibili a Security Hub CSPM.

**Il partner ha fornito una stima del numero di risultati che invierà al giorno per cliente e con quale frequenza (media e a raffica)?**  
I numeri di risultati univoci vengono utilizzati per calcolare il carico su Security Hub CSPM. Un risultato unico è definito come un risultato con una mappatura ASFF diversa da un altro risultato.  
Ad esempio, se un risultato è compilato solo `ThreatIntelndicators` e un altro solo popolato`Resources.Details.AWSEc2Instance`, si tratta di due risultati unici.

**Il partner è in grado di gestire gli errori 4xx e 5xx in modo da non limitarli e inviare tutti i risultati in un secondo momento?**  
Attualmente esiste una frequenza di burst di 30-50 TPS sul funzionamento dell'API. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) Se vengono restituiti errori 4xx o 5xx, è necessario mantenere lo stato di tali risultati non riusciti in modo da poterli riprovare completamente in un secondo momento. Puoi farlo tramite una coda di lettere morte o altri servizi di AWS messaggistica come Amazon SNS o Amazon SQS.

**Il partner mantiene lo stato dei risultati in modo da sapere archiviare i risultati che non sono più presenti?**  
Se si prevede di aggiornare i risultati sovrascrivendo l'ID del risultato originale, è necessario disporre di un meccanismo per mantenere lo stato in modo che le informazioni corrette vengano aggiornate per il risultato corretto.  
Se fornite i risultati, non utilizzate l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione per aggiornare i risultati. Questa operazione deve essere utilizzata solo dai clienti. Si utilizza solo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)quando si indagano e si interviene in base ai risultati.

**Il partner gestisce i nuovi tentativi in modo da non compromettere i risultati positivi inviati in precedenza?**  
È necessario disporre di un meccanismo che consenta di conservare i risultati originali IDs in caso di errori, in modo da non duplicare o sovrascrivere erroneamente i risultati riusciti. 

**Il partner aggiorna i risultati richiamando l'`BatchImportFindings`operazione con l'ID di ricerca dei risultati esistenti?**  
Per aggiornare un risultato, è necessario sovrascrivere il risultato esistente inviando lo stesso ID del risultato.  
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione deve essere utilizzata solo dai clienti.

**Il partner aggiorna i risultati utilizzando l'`BatchUpdateFindings`API?**  
Se si interviene sui risultati, è possibile utilizzare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione per aggiornare campi specifici.

**Il partner fornisce informazioni sulla latenza tra il momento in cui viene creato un risultato e il momento in cui viene inviato dal proprio prodotto al Security Hub CSPM?**  
È necessario ridurre al minimo la latenza per garantire che i clienti visualizzino i risultati il prima possibile in Security Hub CSPM.  
Queste informazioni sono obbligatorie nel manifesto.

**Se l'architettura del partner prevede l'invio dei risultati a Security Hub CSPM da un account cliente, lo hanno dimostrato con successo? Se l'architettura del partner deve inviare i risultati a Security Hub CSPM dal proprio account, lo hanno dimostrato con successo?**  
Durante i test, i risultati devono essere inviati correttamente da un account di tua proprietà diverso dall'account fornito per l'ARN del prodotto.  
L'invio di un risultato dall'account del proprietario dell'ARN del prodotto può aggirare alcune eccezioni di errore nelle operazioni API.

**Il partner fornisce informazioni sul battito cardiaco al Security Hub CSPM?**  
Per dimostrare che l'integrazione funziona correttamente, è necessario inviare un risultato del battito cardiaco. Il risultato del battito cardiaco viene inviato ogni cinque minuti e utilizza il tipo di risultato. `Heartbeat`  
Questo è importante se invii i risultati da un account di prodotto.

**Il partner si è integrato con l'account del team di prodotto Security Hub CSPM durante i test?**  
Durante la convalida di preproduzione, è necessario inviare esempi di risultati all'account del team di prodotto Security Hub CSPM. AWS Questi esempi dimostrano che i risultati vengono inviati e mappati correttamente.

## Documentazione
<a name="readiness-documentation"></a>

Queste domande si riferiscono alla documentazione dell'integrazione fornita.

**Il partner ospita la propria documentazione su un sito Web dedicato?**  
La documentazione deve essere ospitata sul tuo sito web come pagina web statica, wiki, Read the Docs o altro formato dedicato.  
La documentazione di hosting su GitHub non soddisfa i requisiti del sito Web dedicato.

**La documentazione del partner fornisce istruzioni su come configurare l'integrazione CSPM di Security Hub?**  
È possibile configurare l'integrazione utilizzando un modello IaC o un'integrazione «one-click» basata su console.

**La documentazione per i partner fornisce una descrizione del loro caso d'uso?**  
Il caso d'uso fornito nel manifesto deve essere descritto anche nella documentazione

**La documentazione fornita dai partner fornisce una motivazione alla base dei risultati inviati?**  
È necessario fornire le motivazioni alla base dei tipi di risultati inviati.  
Ad esempio, il tuo prodotto potrebbe fornire risultati per vulnerabilità, malware e antivirus, ma invii i risultati di vulnerabilità e malware solo a Security Hub CSPM. In tal caso, è necessario fornire una motivazione per cui non si inviano i risultati relativi all'antivirus.

**La documentazione del partner fornisce una giustificazione del modo in cui il partner associa i propri risultati ad ASFF?**  
È necessario fornire la motivazione per la mappatura dei risultati nativi di un prodotto su ASFF. I clienti vogliono sapere dove cercare informazioni specifiche sul prodotto.

**La documentazione del partner fornisce indicazioni su come il partner aggiorna i risultati, se aggiorna i risultati?**  
Fornisci ai clienti informazioni su come mantenere lo stato, garantire l'idempotenza e sovrascrivere i risultati con informazioni. up-to-date

**La documentazione per i partner descrive l'individuazione della latenza?**  
Riduci al minimo la latenza per garantire che i clienti vedano i risultati il prima possibile in Security Hub CSPM.  
Queste informazioni sono obbligatorie nel manifesto.

**La documentazione del partner descrive in che modo il loro punteggio di gravità si collega al punteggio di gravità ASFF?**  
Fornisci informazioni su come mappare. `Severity.Original` `Severity.Label`  
Ad esempio, se il valore di gravità è un grado in lettere (A, B, C), è necessario fornire informazioni su come associare il grado della lettera all'etichetta di gravità.

**La documentazione relativa ai partner fornisce una giustificazione alla base dei punteggi di fiducia?**  
Se fornisci punteggi di fiducia, questi punteggi devono essere classificati.  
Se utilizzi punteggi o mappature di confidenza compilati staticamente derivati dall'intelligenza artificiale o dall'apprendimento automatico, dovresti fornire un contesto aggiuntivo.

**La documentazione del partner indica quali regioni il partner supporta e non supporta?**  
Nota le regioni che sono o non sono supportate in modo che i clienti sappiano in quali regioni non tentare un'integrazione.

## Informazioni sulla scheda del prodotto
<a name="readiness-product-card"></a>

Queste domande riguardano la scheda del prodotto visualizzata nella pagina **Integrazioni** della console CSPM di Security Hub.

**L'ID dell' AWS account fornito è valido e contiene 12 cifre?**  
Gli identificatori dell'account sono composti da 12 cifre. Se un ID account contiene meno di 12 cifre, l'ARN del prodotto non sarà valido.

**La descrizione del prodotto contiene 200 o meno caratteri?**  
La descrizione del prodotto fornita in formato JSON all'interno del manifesto non deve superare i 200 caratteri, spazi inclusi.

**Il link di configurazione porta alla documentazione per l'integrazione?**  
Il link di configurazione dovrebbe portare alla documentazione online. Non dovrebbe portare al tuo sito web principale o a pagine di marketing.

**Il link per l'acquisto (se fornito) porta all' Marketplace AWS elenco del prodotto?**  
Se fornisci un link per l'acquisto, deve essere un link per Marketplace AWS l'iscrizione. Security Hub CSPM non accetta link di acquisto che non sono ospitati da. AWS

**Le categorie di prodotti descrivono correttamente il prodotto?**  
Nel manifesto, puoi fornire fino a tre categorie di prodotti. Queste devono corrispondere al codice JSON e non possono essere personalizzate. Non puoi fornire più di tre categorie di prodotti.

**I nomi delle aziende e dei prodotti sono validi e corretti?**  
Il nome dell'azienda deve contenere al massimo 16 caratteri.  
Il nome del prodotto deve contenere al massimo 24 caratteri.  
Il nome del prodotto nella scheda prodotto JSON deve corrispondere al nome nel manifesto.

## Informazioni di marketing
<a name="readiness-marketing"></a>

Queste domande riguardano il marketing per l'integrazione.

**La descrizione del prodotto per la pagina dei partner CSPM di Security Hub non supera i 700 caratteri, spazi inclusi?**  
La pagina dei partner CSPM di Security Hub accetta solo fino a 700 caratteri, spazi inclusi.  
Il team modificherà le descrizioni più lunghe.

**Il logo della pagina dei partner di Security Hub CSPM non supera le dimensioni di 600 x 300 px?**  
Fornisci un URL accessibile al pubblico con un logo aziendale in PNG o JPG che non superi le dimensioni di 600 x 300 pixel.

**Il collegamento ipertestuale Ulteriori informazioni nella pagina dei partner di Security Hub CSPM conduce alla pagina Web dedicata del partner sull'integrazione?**  
Il link **Ulteriori informazioni** non deve portare al sito Web principale del partner o alle informazioni sulla documentazione.  
Questo collegamento deve sempre indirizzare a una pagina Web dedicata con informazioni di marketing sull'integrazione.

**Il partner fornisce una demo o un video didattico su come utilizzare la propria integrazione?**  
Una dimostrazione o un video illustrativo sull'integrazione sono facoltativi ma consigliati.

**È stato pubblicato un post sul blog di AWS Partner Network con il partner e il suo responsabile dello sviluppo dei partner o rappresentante dello sviluppo dei partner?**  
AWS I post sul blog di Partner Network devono essere coordinati in anticipo con il responsabile dello sviluppo del partner o il rappresentante dello sviluppo del partner.  
Questi sono separati da qualsiasi post sul blog che crei tu stesso.  
Attendi 4-6 settimane di tempo di consegna. Questo sforzo dovrebbe essere avviato dopo il completamento del test con il prodotto privato ARN.

**È in corso di pubblicazione un comunicato stampa guidato dai partner?**  
Puoi collaborare con il tuo partner development manager o con un rappresentante dello sviluppo partner per ottenere un preventivo dal vicepresidente dei servizi di sicurezza esterni. Puoi utilizzare questa citazione nel tuo comunicato stampa.

**È in fase di pubblicazione un post sul blog gestito dai partner?**  
Puoi creare i tuoi post sul blog per mostrare l'integrazione anche al di fuori del blog di AWS Partner Network.

**È in fase di pubblicazione un webinar guidato dai partner?**  
Puoi creare i tuoi webinar per mostrare l'integrazione.  
Se hai bisogno di assistenza dal team CSPM di Security Hub, collabora con il team del prodotto dopo aver completato il test con l'ARN del prodotto privato.

**Il partner ha richiesto l'assistenza sui social media a? AWS**  
Dopo il rilascio, puoi collaborare con il responsabile marketing AWS di Security per utilizzare i canali di social media AWS ufficiali per condividere i dettagli dei tuoi webinar.