Visão geral
A Resposta automatizada de segurança na AWS é uma solução da AWS que aprimora o AWS Security Hub ao abordar automaticamente problemas comuns de segurança em todo o ambiente da AWS da sua organização. Quando o Security Hub identifica uma possível preocupação de segurança, essa solução inicia respostas predefinidas para resolver o problema com eficiência. Ele também opera em várias contas da AWS para uma cobertura de segurança abrangente. Essa solução registra em log todas as ações tomadas, envia notificações às partes relevantes e pode se integrar aos serviços de emissão de tíquetes existentes. Ao automatizar a correção das descobertas do Security Hub, você mantém uma postura de segurança robusta com menos esforço manual, alinhando-se às práticas recomendadas do setor e aos padrões de conformidade e, ao mesmo tempo, simplificando seu processo geral de gerenciamento de segurança.
Benefícios
Inicie remediações e constatações usando ações personalizadas no console do Security Hub.
Configure as referências do AWS Foundations ou as práticas recomendas de segurança do AWS Foundational.
Implante um conjunto predefinido de ações de resposta e remediação para responder a ameaças automaticamente.
Estenda esta solução com implementações personalizadas de correções e manual. Ou implante um manual personalizado para um novo conjunto de controles.
Detalhes técnicos
É possível implantar essa arquitetura automaticamente usando o Guia de Implementação e o modelo que acompanha o AWS CloudFormation.
Visão geral: as descobertas do Security Hub agregadas na conta do administrador delegado iniciam o AWS Step Functions. O orquestrador invoca um documento de automação SSM de correção na conta de membro que contém o recurso que produziu a descoberta do AWS Security Hub.
1. Detectar: o Security Hub fornece a você uma visão abrangente de seus estados de segurança da AWS. Ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon GuardDuty e o AWS Firewall Manager.
Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do Security Hub. Novas descobertas são enviadas como Amazon EventBridge.
2. Iniciar: você pode iniciar eventos com base em descobertas usando ações personalizadas, que resultam em eventos do Amazon EventBridge. Asações personalizadas do AWS Security Hub e as regras do Amazon EventBridge iniciam a resposta automatizada de segurança dos manuais da AWS para tratar as descobertas. Uma regra do EventBridge é implantada para corresponder ao evento de ação personalizada, e uma regra de evento do EventBridge é implantada para cada controle suportado (desativado por padrão) para corresponder ao evento de descoberta em tempo real.
Você pode usar o menu Security Hub Custom Action (Ação personalizada do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, pode ativar as remediações automatizadas. Isso pode ser ativado por correção, e não é necessário ativar iniciações automáticas em todas as correções.
3. Preparação: o orquestrador na conta do administrador processa o evento de correção e o prepara para ser programado.
4. Programação: a função Programação do AWS Lambda é invocada para colocar o evento de correção na tabela de estados do Amazon DynamoDB.
5. Orquestração: usando perfis multicontas do AWS Identity and Access Management (IAM), o orquestrador na conta do administrador invoca a correção na conta de membro que contém o recurso que produziu a descoberta de segurança.
6. Correção: um documento do AWS Systems Manager Automation na conta de membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desabilitar o acesso público do Lambda.
Você pode habilitar o recurso Log de ações nas pilhas de Membros, que vai capturar as ações realizadas pela solução em suas contas de Membros e as exibirá no painel do Amazon CloudWatch da solução.
7. (Opcional) Emissão de tíquetes: se você optar por habilitar a emissão de tíquetes na pilha de Administrador, a solução invocará a função Ticket Generator do Lambda fornecida para criar um tíquete no serviço de emissão de tíquetes de sua escolha quando a correção for executada com êxito na conta do membro. Fornecemos pilhas para facilitar a integração com o Jira e o ServiceNow.
8. Notificação e registro em log: o manual registra em log os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da descoberta.
No painel do Security Hub, o status do fluxo de trabalho de descoberta é alterado de NOVO para RESOLVIDO. As notas de descoberta de segurança são atualizadas para refletir a correção realizada.
- Data de publicação
Conteúdo relacionado
A AvalonBay Communities Inc. migrou para uma arquitetura sem servidor na AWS, acelerando o desenvolvimento em 75%, reduzindo os custos em 40% e mantendo uma forte segurança.
Este curso fornece uma visão geral das tecnologias de segurança da AWS, além de casos de uso, benefícios e serviços.
Este exame testa sua experiência técnica na proteção de produtos e serviços da AWS. Ele é indicado para qualquer profissional que ocupe uma função especializada na área de segurança.