Visão geral
A resposta automatizada de segurança na AWS é um complemento que funciona com o AWS Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas práticas recomendadas relacionadas a ameaças à segurança. Ao usar o Security Hub, essa solução da AWS pode ajudar a corrigir problemas comuns de segurança e, ao mesmo tempo, melhorar sua segurança geral na AWS. Essa solução pode ajudar você a alinhar suas workloads às práticas recomendadas do pilar Well-Architected Security.
Benefícios
Inicie remediações e constatações usando ações personalizadas no console do Security Hub.
Configure as referências do AWS Foundations ou as práticas recomendas de segurança do AWS Foundational.
Implante um conjunto predefinido de ações de resposta e remediação para responder a ameaças automaticamente.
Estenda esta solução com implementações personalizadas de correções e manual. Ou implante um manual personalizado para um novo conjunto de controles.
Detalhes técnicos
É possível implantar essa arquitetura automaticamente usando o Guia de Implementação e o modelo que acompanha o AWS CloudFormation.
Pré-requisito: as descobertas do Security Hub agregadas na conta do administrador delegado iniciam o AWS Step Functions. O Step Functions invoca um documento de automação SSM de correção na conta de membro contendo o recurso que produziu a descoberta do AWS Security Hub.
1. Detectar: o Security Hub fornece a você uma visão abrangente de seus estados de segurança da AWS. Ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon GuardDuty e o AWS Firewall Manager.
Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do Security Hub. Novas descobertas são enviadas como Amazon EventBridge.
2. Iniciar: você pode iniciar eventos com base em descobertas usando ações personalizadas, que resultam em eventos do Amazon EventBridge. Asações personalizadas do AWS Security Hub e as regras do Amazon EventBridge iniciam a resposta automatizada de segurança dos manuais da AWS para tratar as descobertas. Uma regra do EventBridge é implantada para corresponder ao evento de ação personalizada, e uma regra de evento do EventBridge é implantada para cada controle suportado (desativado por padrão) para corresponder ao evento de descoberta em tempo real.
Você pode usar o menu Security Hub Custom Action (Ação personalizada do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, pode ativar as remediações automatizadas. Isso pode ser ativado por remediação, não é necessário ativar iniciações automáticas em todas as remediações.
3. Orquestrar: usando perfis multicontas do AWS Identity and Access Management (IAM), o AWS Step Functions na conta do administrador invoca a correção na conta de membro que contém o recurso que produziu a descoberta de segurança.
4. Corrigir: um documento do AWS Systems Manager Automation na conta de membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desabilitar o acesso público do AWS Lambda.
5. Registrar em log: o manual registra em log os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da descoberta.
No painel do Security Hub, o status do fluxo de trabalho de localização é alterado de NOVO para NOTIFICADO ou RESOLVIDO no painel do Security Hub. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
Pré-requisito: as descobertas do Security Hub agregadas na conta do administrador delegado iniciam o AWS Step Functions. O Step Functions invoca um documento de automação SSM de correção na conta de membro contendo o recurso que produziu a descoberta do AWS Security Hub.
1. Detectar: o Security Hub fornece a você uma visão abrangente de seus estados de segurança da AWS. Ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon GuardDuty e o AWS Firewall Manager.
Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do Security Hub. Novas descobertas são enviadas como Amazon EventBridge.
2. Iniciar: você pode iniciar eventos com base em descobertas usando ações personalizadas, que resultam em eventos do Amazon EventBridge. Asações personalizadas do AWS Security Hub e as regras do Amazon EventBridge iniciam a resposta automatizada de segurança dos manuais da AWS para tratar as descobertas. Uma regra do EventBridge é implantada para corresponder ao evento de ação personalizada, e uma regra de evento do EventBridge é implantada para cada controle suportado (desativado por padrão) para corresponder ao evento de descoberta em tempo real.
Você pode usar o menu Security Hub Custom Action (Ação personalizada do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, pode ativar as remediações automatizadas. Isso pode ser ativado por remediação, não é necessário ativar iniciações automáticas em todas as remediações.
3. Orquestrar: usando perfis multicontas do AWS Identity and Access Management (IAM), o AWS Step Functions na conta do administrador invoca a correção na conta de membro que contém o recurso que produziu a descoberta de segurança.
4. Corrigir: um documento do AWS Systems Manager Automation na conta de membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desabilitar o acesso público do AWS Lambda.
5. Registrar em log: o manual registra em log os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da descoberta.
No painel do Security Hub, o status do fluxo de trabalho de localização é alterado de NOVO para NOTIFICADO ou RESOLVIDO no painel do Security Hub. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
- Data de publicação
Conteúdo relacionado
A AvalonBay Communities Inc. migrou para uma arquitetura sem servidor na AWS, acelerando o desenvolvimento em 75%, reduzindo os custos em 40% e mantendo uma forte segurança.
Este curso fornece uma visão geral das tecnologias de segurança da AWS, além de casos de uso, benefícios e serviços.
Este exame testa sua experiência técnica na proteção de produtos e serviços da AWS. Ele é indicado para qualquer profissional que ocupe uma função especializada na área de segurança.