概觀
Automated Security Response on AWS 是一項 AWS 解決方案,可藉由自動解決組織 AWS 環境中的常見安全問題來增強 AWS Security Hub。Security Hub 識別潛在的安全問題後,此解決方案會啟動預先定義的回應,以有效地解決問題。此外還可跨多個 AWS 帳戶進行操作,以提供全面的安全覆蓋範圍。此解決方案會記錄所有執行的動作,將通知傳送至您的相關方,並可與您現有的工單服務整合。藉由自動修正 Security Hub 調查結果,您可透過減少手動工作來維持強大的安全狀態,與產業最佳實務與合規標準保持一致,同時精簡整體安全管理程序。
優勢
使用 Security Hub 主控台中的自訂動作來啟動修復和問題清單。
設定 AWS 基礎基準或 AWS Foundational Security 最佳實務。
部署一組預先定義的回應和修復動作以自動回應威脅。
使用自訂修復和手冊實作,來擴充此解決方案。或者,針對一組新的控制項部署自訂操作手冊。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
概觀︰在委派管理員帳戶中 Security Hub 調查結果會起始 AWS Step Functions。協調器會調用成員帳戶中的修復 SSM 自動化文件,帳戶中包含產生 AWS Security Hub 調查結果的資源。
1.偵測︰Security Hub 為您提供其 AWS 安全狀態的全面檢視。可協助您根據安全產業標準和最佳實務來衡量您的環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager。
這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.起始:您可以使用自訂動作針對調查結果起始事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,您可以啟用自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3. 準備:管理員帳戶中的協調器會處理修復事件並準備進行排程。
4.排程:系統會調用排程 AWS Lambda 函數,以將修復事件置於 Amazon DynamoDB 狀態表中。
5.Orchestrate:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,管理員帳戶中的協調器會調用成員帳戶中的修復功能,成員帳戶包含產生安全調查結果的資源。
6.修復:成員帳戶中的 AWS Systems Manager Automation 文件會執行必要動作,以修復目標資源上的調查結果,例如停用 Lambda 公開存取。
您可在成員堆疊中啟用「動作日誌」功能,該功能可擷取解決方案在您的成員帳戶中執行的動作,並在此解決方案的 Amazon CloudWatch 儀表板中顯示。
7.(選用) 工單處理:如果您選擇在管理員堆疊中啟用「工單處理」,此解決方案會在成員帳戶中成功執行修復後,調用提供的 工單產生器 Lambda 函數,以在您選擇的工單服務中建立工單。我們提供各種堆疊,以便輕鬆地與 Jira 和 ServiceNow 整合。
8.通知和記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 調查結果。在調查結果備註中保留對所採取動作的稽核記錄。
在 Security Hub 儀表板上,調查結果工作流程狀態會從 NEW 變更為 RESOLVED。安全調查結果備註即會更新,以反映已執行的修復。
概觀︰在委派管理員帳戶中 Security Hub 調查結果會起始 AWS Step Functions。協調器會調用成員帳戶中的修復 SSM 自動化文件,帳戶中包含產生 AWS Security Hub 調查結果的資源。
1.偵測︰Security Hub 為您提供其 AWS 安全狀態的全面檢視。可協助您根據安全產業標準和最佳實務來衡量您的環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager。
這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.起始:您可以使用自訂動作針對調查結果起始事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,您可以啟用自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3. 準備:管理員帳戶中的協調器會處理修復事件並準備進行排程。
4.排程:系統會調用排程 AWS Lambda 函數,以將修復事件置於 Amazon DynamoDB 狀態表中。
5.Orchestrate:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,管理員帳戶中的協調器會調用成員帳戶中的修復功能,成員帳戶包含產生安全調查結果的資源。
6.修復:成員帳戶中的 AWS Systems Manager Automation 文件會執行必要動作,以修復目標資源上的調查結果,例如停用 Lambda 公開存取。
您可在成員堆疊中啟用「動作日誌」功能,該功能可擷取解決方案在您的成員帳戶中執行的動作,並在此解決方案的 Amazon CloudWatch 儀表板中顯示。
7.(選用) 工單處理:如果您選擇在管理員堆疊中啟用「工單處理」,此解決方案會在成員帳戶中成功執行修復後,調用提供的 工單產生器 Lambda 函數,以在您選擇的工單服務中建立工單。我們提供各種堆疊,以便輕鬆地與 Jira 和 ServiceNow 整合。
8.通知和記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 調查結果。在調查結果備註中保留對所採取動作的稽核記錄。
在 Security Hub 儀表板上,調查結果工作流程狀態會從 NEW 變更為 RESOLVED。安全調查結果備註即會更新,以反映已執行的修復。
相關內容
AvalonBay Communities Inc. 移轉至 AWS 上的無伺服器架構,將開發速度提高了 75%,同時將成本降低 40%,並維持強大的安全性。