概览
AWS 上的自动化安全响应是一种 AWS 解决方案,它通过自动解决您组织的 AWS 环境中的常见安全问题来强化 AWS Security Hub。当 Security Hub 发现潜在的安全问题时,此解决方案会启动预定义的响应来有效解决问题。它还跨多个 AWS 账户运行,以提供全面的安全保障。该解决方案会记录采取的所有操作,向您的相关方发送通知,并可以与您现有的票务服务集成。通过自动修复 Security Hub 调查发现,您可以保持强大的安全性,减少人工劳动,与行业最佳实践和合规标准保持一致,同时简化整体安全管理流程。
优势
在 Security Hub 控制台中使用自定义操作开始修复和发现。
配置 AWS 基础基准或 AWS 基础安全防御最佳实践。
部署一组预定义的响应和修复操作,以自动应对威胁。
通过自定义补救措施和手册实施来扩展此解决方案。或者,为一组新控件部署自定义运行手册。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
概览:在委托的管理员账户中汇总的 Security Hub 调查发现会启动 AWS Step Functions。该编排工具会在包含生成 AWS Security Hub 调查发现的资源的成员账户中调用补救 SSM 自动化文档。
1.检测:Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助您根据行业标准和最佳实践测量环境。它的工作原理是,从 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。
然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 Security Hub 控制台中被认定为调查发现。新的调查发现以 Amazon EventBridge 的形式发送。
2.启动:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3. 准备:管理员账户中的编排工具处理补救事件并做好计划准备。
4.时间表:Scheduling AWS Lambda 函数将被调用,以将补救事件放入 Amazon DynamoDB 状态表中。
5.编排:管理员账户中的编排工具使用跨账户 AWS Identity and Access Management(IAM)角色,在包含生成安全调查发现的资源的成员账户中调用补救措施。
6.修复:成员账户中的 AWS Systems Manager Automation 文档执行修复目标资源调查发现所需的操作,例如禁用 Lambda 公共访问权限。
您可以在成员堆栈中启用“操作日志”功能,该功能将捕获该解决方案在您的成员账户中采取的操作,并将其显示在该解决方案的 Amazon CloudWatch 控制面板中。
7.(可选)票务:如果您选择在管理堆栈中启用票务,则在成员账户中成功执行补救后,此解决方案将调用提供的Ticket Generator Lambda 函数,在您选择的票务服务中创建票证。我们提供堆栈以便轻松与 Jira 和 ServiceNow 集成。
8.通知和记录:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service(Amazon SNS)主题,并更新 Security Hub 调查发现。所采取操作的审计跟踪记录保留在调查发现注释中。
在 Security Hub 控制面板上,调查发现工作流程的状态由 NEW(新)变为 RESOLVED(已解决)。安全调查发现注释将被更新,以反映所执行的修复。
概览:在委托的管理员账户中汇总的 Security Hub 调查发现会启动 AWS Step Functions。该编排工具会在包含生成 AWS Security Hub 调查发现的资源的成员账户中调用补救 SSM 自动化文档。
1.检测:Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助您根据行业标准和最佳实践测量环境。它的工作原理是,从 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。
然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 Security Hub 控制台中被认定为调查发现。新的调查发现以 Amazon EventBridge 的形式发送。
2.启动:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3. 准备:管理员账户中的编排工具处理补救事件并做好计划准备。
4.时间表:Scheduling AWS Lambda 函数将被调用,以将补救事件放入 Amazon DynamoDB 状态表中。
5.编排:管理员账户中的编排工具使用跨账户 AWS Identity and Access Management(IAM)角色,在包含生成安全调查发现的资源的成员账户中调用补救措施。
6.修复:成员账户中的 AWS Systems Manager Automation 文档执行修复目标资源调查发现所需的操作,例如禁用 Lambda 公共访问权限。
您可以在成员堆栈中启用“操作日志”功能,该功能将捕获该解决方案在您的成员账户中采取的操作,并将其显示在该解决方案的 Amazon CloudWatch 控制面板中。
7.(可选)票务:如果您选择在管理堆栈中启用票务,则在成员账户中成功执行补救后,此解决方案将调用提供的Ticket Generator Lambda 函数,在您选择的票务服务中创建票证。我们提供堆栈以便轻松与 Jira 和 ServiceNow 集成。
8.通知和记录:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service(Amazon SNS)主题,并更新 Security Hub 调查发现。所采取操作的审计跟踪记录保留在调查发现注释中。
在 Security Hub 控制面板上,调查发现工作流程的状态由 NEW(新)变为 RESOLVED(已解决)。安全调查发现注释将被更新,以反映所执行的修复。
相关内容
AvalonBay Communities Inc. 迁移到 AWS 上的无服务器架构后,开发速度加快了 75%,同时成本降低了 40%,并保持了强大的安全性。