Übersicht
Automatisierte Sicherheitsreaktion in AWS ist eine AWS-Lösung, die den AWS Security Hub verbessert, indem häufig auftretende Sicherheitsprobleme in der AWS-Umgebung Ihres Unternehmens automatisch behoben werden. Wenn Security Hub ein potenzielles Sicherheitsproblem feststellt, leitet diese Lösung vordefinierte Maßnahmen ein, um das Problem effizient zu lösen. Es funktioniert auch über mehrere AWS-Konten hinweg, um eine umfassende Sicherheitsabdeckung zu gewährleisten. Diese Lösung protokolliert alle ergriffenen Maßnahmen, sendet Benachrichtigungen an Ihre relevanten Parteien und kann in Ihre bestehenden Ticket-Dienste integriert werden. Durch die Automatisierung der Behebung Ihrer Security-Hub-Erkenntnisse können Sie mit reduziertem manuellem Aufwand eine starke Sicherheitslage aufrechterhalten. Dabei folgen Sie branchenüblichen bewährten Methoden und Compliance-Standards und optimieren gleichzeitig Ihren gesamten Sicherheitsmanagementprozess.
Vorteile
Initiieren Sie Abhilfemaßnahmen und Befunde durch benutzerdefinierte Aktionen in der Security Hub-Konsole.
Konfigurieren Sie AWS-Foundations-Benchmarks oder bewährte Methoden für die Sicherheit von AWS Foundational.
Stellen Sie einen vordefinierten Satz von Reaktionen und Behebungsmaßnahmen bereit, um automatisch auf Bedrohungen zu reagieren.
Erweitern Sie diese Lösung um benutzerdefinierte Problembehebungs- und Playbook-Implementierungen. Oder stellen Sie ein benutzerdefiniertes Playbook für einen neuen Satz von Steuerelementen bereit.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Überblick: Die im Konto des delegierten Administrators aggregierten Security-Hub-Erkenntnisse initiieren AWS Step Functions. Der Orchestrator ruft im Mitgliedskonto ein SSM-Automatisierungsdokument zur Behebung auf, das die Ressource enthält, die die AWS-Security-Hub-Erkenntnis generiert hat.
1. Erkennen: Der Security Hub bietet Ihnen einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Es hilft Ihnen, Ihre Umgebung mit den Standards der Sicherheitsindustrie und den besten Praktiken zu vergleichen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon GuardDuty und AWS Firewall Manager.
Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Initiieren: Mit benutzerdefinierten Aktionen können Sie Erkenntnisse gegen Befunde initiieren, die zu Amazon EventBridge Events führen. Benutzerdefinierte Aktionen von AWS Security Hubund Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Vorbereitung: Der Orchestrator verarbeitet im Administratorkonto das Behebungsereignis und bereitet es auf die zeitliche Planung vor.
4. Zeitplan: Die Scheduling-AWS-Lambda-Funktion wird aufgerufen, um das Behebungsereignis in der Amazon-DynamoDB-Statustabelle zu platzieren.
5. Orchestrieren: Mithilfe kontoübergreifender AWS Identity and Access Management-Rollen (IAM) ruft der Orchestrator im Administratorkonto die Korrektur in dem Mitgliedskonto auf, das die Ressource enthält, die die Sicherheitserkenntnis erstellt hat.
6. Korrigieren: Ein AWS-Systems-Manager-Automation-Dokument im Mitgliedskonto führt die erforderlichen Maßnahmen zur Behebung der Erkenntnis auf der Zielressource durch, z. B. die Deaktivierung des öffentlichen Zugriffs auf Lambda.
Sie können das Aktionsprotokoll-Feature in den Mitglieds-Stacks aktivieren, wodurch die von der Lösung in Ihren Mitgliedskonten ergriffenen Aktionen erfasst und im Amazon-CloudWatch-Dashboard dieser Lösung angezeigt werden.
7. (Optional) Ticketing: Wenn Sie das Ticketing im Admin-Stack aktivieren, ruft diese Lösung die bereitgestellte Ticket-Generator-Funktion von Lambda auf, um ein Ticket in dem Ticketing-Dienst Ihrer Wahl zu erstellen, sobald die Behebung im Mitgliedskonto erfolgreich durchgeführt wurde. Wir bieten Stacks für die einfache Integration mit Jira und ServiceNow.
8. Benachrichtigen und protokollieren: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Erkenntnis. Ein Audit Trail für die ergriffenen Maßnahmen wird in den Erkenntnisvermerken festgehalten.
Auf dem Security-Hub-Dashboard wird der Status des Erkenntnis-Workflows von NEU in GELÖST geändert. Die Hinweise zur Sicherheitserkenntnis werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
Überblick: Die im Konto des delegierten Administrators aggregierten Security-Hub-Erkenntnisse initiieren AWS Step Functions. Der Orchestrator ruft im Mitgliedskonto ein SSM-Automatisierungsdokument zur Behebung auf, das die Ressource enthält, die die AWS-Security-Hub-Erkenntnis generiert hat.
1. Erkennen: Der Security Hub bietet Ihnen einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Es hilft Ihnen, Ihre Umgebung mit den Standards der Sicherheitsindustrie und den besten Praktiken zu vergleichen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon GuardDuty und AWS Firewall Manager.
Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Initiieren: Mit benutzerdefinierten Aktionen können Sie Erkenntnisse gegen Befunde initiieren, die zu Amazon EventBridge Events führen. Benutzerdefinierte Aktionen von AWS Security Hubund Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Vorbereitung: Der Orchestrator verarbeitet im Administratorkonto das Behebungsereignis und bereitet es auf die zeitliche Planung vor.
4. Zeitplan: Die Scheduling-AWS-Lambda-Funktion wird aufgerufen, um das Behebungsereignis in der Amazon-DynamoDB-Statustabelle zu platzieren.
5. Orchestrieren: Mithilfe kontoübergreifender AWS Identity and Access Management-Rollen (IAM) ruft der Orchestrator im Administratorkonto die Korrektur in dem Mitgliedskonto auf, das die Ressource enthält, die die Sicherheitserkenntnis erstellt hat.
6. Korrigieren: Ein AWS-Systems-Manager-Automation-Dokument im Mitgliedskonto führt die erforderlichen Maßnahmen zur Behebung der Erkenntnis auf der Zielressource durch, z. B. die Deaktivierung des öffentlichen Zugriffs auf Lambda.
Sie können das Aktionsprotokoll-Feature in den Mitglieds-Stacks aktivieren, wodurch die von der Lösung in Ihren Mitgliedskonten ergriffenen Aktionen erfasst und im Amazon-CloudWatch-Dashboard dieser Lösung angezeigt werden.
7. (Optional) Ticketing: Wenn Sie das Ticketing im Admin-Stack aktivieren, ruft diese Lösung die bereitgestellte Ticket-Generator-Funktion von Lambda auf, um ein Ticket in dem Ticketing-Dienst Ihrer Wahl zu erstellen, sobald die Behebung im Mitgliedskonto erfolgreich durchgeführt wurde. Wir bieten Stacks für die einfache Integration mit Jira und ServiceNow.
8. Benachrichtigen und protokollieren: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Erkenntnis. Ein Audit Trail für die ergriffenen Maßnahmen wird in den Erkenntnisvermerken festgehalten.
Auf dem Security-Hub-Dashboard wird der Status des Erkenntnis-Workflows von NEU in GELÖST geändert. Die Hinweise zur Sicherheitserkenntnis werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
- Datum der Veröffentlichung
Ähnliche Inhalte
AvalonBay Communities Inc. migrierte zu einer Serverless-Architektur in AWS, wodurch die Entwicklung um 75 Prozent beschleunigt wurde, während die Kosten um 40 Prozent gesenkt wurden und starke Sicherheit gewährleistet wurde.
Dieser Kurs bietet eine Übersicht über die AWS-Sicherheitstechnologie, Anwendungsfälle, Vorteile und Services.
Diese Prüfung testet Ihre technische Kompetenz bei der Sicherung der AWS-Plattform. Sie eignet sich für jeden, der im Bereich Sicherheit Erfahrung hat.