概觀
Automated Security Response on AWS 是一種附加解決方案,可與 AWS Security Hub 搭配使用,並根據針對安全威脅的產業合規標準和最佳實務,提供預先定義的回應和修復動作。使用 Security Hub 時,此 AWS 解決方案可協助您解決常見的安全問題,同時改善 AWS 的整體安全性。此解決方案可協助您調整工作負載,以符合 Well-Architected 安全支柱最佳實務。
優勢
使用 Security Hub 主控台中的自訂動作來啟動修復和問題清單。
設定 AWS 基礎基準或 AWS Foundational Security 最佳實務。
部署一組預先定義的回應和修復動作以自動回應威脅。
使用自訂修復和手冊實作,來擴充此解決方案。或者,針對一組新的控制項部署自訂操作手冊。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
先決條件︰在委派管理員帳戶中 Security Hub 調查結果會起始 AWS Step Functions。Step Functions 會調用成員帳戶中的修復 SSM 自動化文件,帳戶中包含產生 AWS Security Hub 調查結果的資源。
1.偵測︰Security Hub 為您提供其 AWS 安全狀態的全面檢視。可協助您根據安全產業標準和最佳實務來衡量您的環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager。
這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.起始:您可以使用自訂動作針對調查結果起始事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,您可以啟用自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3.Orchestrate:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,管理員帳戶中的 AWS Step Functions 會調用成員帳戶中的修復功能,成員帳戶包含產生安全發調查結果的資源。
4.修復:成員帳戶中的 AWS Systems Manager Automation 文件會執行必要動作,以修復目標資源上的調查結果,例如停用 AWS Lambda 公開存取。
5.記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 調查結果。在調查結果備註中保留對所採取動作的稽核記錄。
在 Security Hub 儀表板上,調查結果工作流程狀態在 Security Hub 儀表板上從 NEW (新) 變更為「已通知」或「已解決」。安全調查結果備註即會更新,以反映已執行的修復。
先決條件︰在委派管理員帳戶中 Security Hub 調查結果會起始 AWS Step Functions。Step Functions 會調用成員帳戶中的修復 SSM 自動化文件,帳戶中包含產生 AWS Security Hub 調查結果的資源。
1.偵測︰Security Hub 為您提供其 AWS 安全狀態的全面檢視。可協助您根據安全產業標準和最佳實務來衡量您的環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager。
這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.起始:您可以使用自訂動作針對調查結果起始事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,您可以啟用自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3.Orchestrate:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,管理員帳戶中的 AWS Step Functions 會調用成員帳戶中的修復功能,成員帳戶包含產生安全發調查結果的資源。
4.修復:成員帳戶中的 AWS Systems Manager Automation 文件會執行必要動作,以修復目標資源上的調查結果,例如停用 AWS Lambda 公開存取。
5.記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 調查結果。在調查結果備註中保留對所採取動作的稽核記錄。
在 Security Hub 儀表板上,調查結果工作流程狀態在 Security Hub 儀表板上從 NEW (新) 變更為「已通知」或「已解決」。安全調查結果備註即會更新,以反映已執行的修復。
相關內容
AvalonBay Communities Inc. 移轉至 AWS 上的無伺服器架構,將開發速度提高了 75%,同時將成本降低 40%,並維持強大的安全性。