Présentation
Automated Security Response sur AWS est une solution AWS qui améliore AWS Security Hub en résolvant automatiquement les problèmes de sécurité courants dans l’environnement AWS de votre organisation. Lorsque Security Hub identifie un problème de sécurité potentiel, cette solution lance des réponses prédéfinies pour résoudre le problème efficacement. Il fonctionne également sur plusieurs comptes AWS pour une couverture de sécurité complète. Cette solution journalise toutes les actions entreprises, envoie des notifications aux parties concernées et peut s’intégrer à vos services de billetterie existants. En automatisant la correction des résultats de votre Security Hub, vous pouvez maintenir une posture de sécurité forte en réduisant les efforts manuels, en vous alignant sur les pratiques exemplaires et les normes de conformité du secteur tout en rationalisant votre processus global de gestion de la sécurité.
Avantages
Déclenchez des corrections et des conclusions à l'aide des actions personnalisées dans la console Security Hub.
Configurez les benchmarks d’AWS Foundations ou les bonne pratiques de sécurité fondamentale d’AWS.
Déployez un ensemble prédéfini d'actions de réponse et correction afin de répondre automatiquement aux menaces.
Étendez cette solution avec des implémentations personnalisées de remédiation et de manuels stratégiques. Vous pouvez également déployer un manuel stratégique personnalisé pour un nouvel ensemble de commandes.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l’aide du guide d’implémentation et du modèle AWS CloudFormation qui l’accompagne.
Présentation : les résultats du Security Hub agrégés dans le compte d’administrateur délégué déclenchent AWS Step Functions. L’orchestrateur invoque un document d’automatisation SSM de remédiation dans le compte membre contenant la ressource qui a produit le résultat d’AWS Security Hub.
1. Détecter : Security Hub vous offre une vue détaillée de son état de sécurité AWS. Cela vous permet d'évaluer votre environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, tels que AWS Config, Amazon GuardDuty, et AWS Firewall Manager.
Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Lancer : Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge Events. Les actions personnalisées d'AWS Security Hub et les règles Amazon EventBridge déclenchent Automated Security Response sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement EventBridge Event est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Vous pouvez utiliser le menu d'action personnalisée Security Hubpour déclencher une correction automatique. Vous pouvez également activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cette fonction peut être activée pour chaque mesure corrective ; il n’est pas nécessaire d’activer les déclenchements automatiques pour toutes les mesures correctives.
3. Préparation : l’orchestrateur du compte administrateur traite l’événement de correction et le prépare pour qu’il soit planifié.
4. Planification : la fonction de planification AWS Lambda est invoquée pour placer l’événement de correction dans la table d’état Amazon DynamoDB.
5. Orchestration : à l’aide de rôles AWS Identity and Access Management (IAM) intercompte, l’orchestrateur du compte administrateur invoque la remédiation dans le compte membre contenant la ressource à l’origine du résultat de sécurité.
6. Correction :un document AWS Systems Manager Automation figurant dans le compte membre exécute l’action requise pour corriger le résultat sur la ressource cible, par exemple en désactivant l’accès public à Lambda.
Vous pouvez activer la fonctionnalité Journal des actions dans les piles de membres, qui capturera les actions entreprises par la solution dans vos comptes de membres et les affichera sur le tableau de bord Amazon CloudWatch de cette solution.
7. (Facultatif) Gestion des tickets : Si vous choisissez d’activer la gestion des tickets dans la pile d’administration, cette solution invoquera la fonction Lambda Ticket Generator fournie pour créer un ticket dans le service de gestion des tickets de votre choix une fois que la remédiation aura été exécutée avec succès dans le compte du membre. Nous fournissons des piles pour faciliter l’intégration avec Jira et ServiceNow.
8. Notification et journalisation : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Une piste d’audit des actions mises en œuvre est maintenu dans les notes de résultat.
Sur le tableau de bord de Security Hub, l’état du flux du résultat passe de NOUVEAU à RÉSOLU. Les notes de résultat de sécurité sont mises à jour afin de rendre compte des corrections apportées.
Présentation : les résultats du Security Hub agrégés dans le compte d’administrateur délégué déclenchent AWS Step Functions. L’orchestrateur invoque un document d’automatisation SSM de remédiation dans le compte membre contenant la ressource qui a produit le résultat d’AWS Security Hub.
1. Détecter : Security Hub vous offre une vue détaillée de son état de sécurité AWS. Cela vous permet d'évaluer votre environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, tels que AWS Config, Amazon GuardDuty, et AWS Firewall Manager.
Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Lancer : Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge Events. Les actions personnalisées d'AWS Security Hub et les règles Amazon EventBridge déclenchent Automated Security Response sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement EventBridge Event est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Vous pouvez utiliser le menu d'action personnalisée Security Hubpour déclencher une correction automatique. Vous pouvez également activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cette fonction peut être activée pour chaque mesure corrective ; il n’est pas nécessaire d’activer les déclenchements automatiques pour toutes les mesures correctives.
3. Préparation : l’orchestrateur du compte administrateur traite l’événement de correction et le prépare pour qu’il soit planifié.
4. Planification : la fonction de planification AWS Lambda est invoquée pour placer l’événement de correction dans la table d’état Amazon DynamoDB.
5. Orchestration : à l’aide de rôles AWS Identity and Access Management (IAM) intercompte, l’orchestrateur du compte administrateur invoque la remédiation dans le compte membre contenant la ressource à l’origine du résultat de sécurité.
6. Correction :un document AWS Systems Manager Automation figurant dans le compte membre exécute l’action requise pour corriger le résultat sur la ressource cible, par exemple en désactivant l’accès public à Lambda.
Vous pouvez activer la fonctionnalité Journal des actions dans les piles de membres, qui capturera les actions entreprises par la solution dans vos comptes de membres et les affichera sur le tableau de bord Amazon CloudWatch de cette solution.
7. (Facultatif) Gestion des tickets : Si vous choisissez d’activer la gestion des tickets dans la pile d’administration, cette solution invoquera la fonction Lambda Ticket Generator fournie pour créer un ticket dans le service de gestion des tickets de votre choix une fois que la remédiation aura été exécutée avec succès dans le compte du membre. Nous fournissons des piles pour faciliter l’intégration avec Jira et ServiceNow.
8. Notification et journalisation : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Une piste d’audit des actions mises en œuvre est maintenu dans les notes de résultat.
Sur le tableau de bord de Security Hub, l’état du flux du résultat passe de NOUVEAU à RÉSOLU. Les notes de résultat de sécurité sont mises à jour afin de rendre compte des corrections apportées.
- Date de publication
Rubriques connexes
AvalonBay Communities Inc. a migré vers une architecture sans serveur sur AWS, accélérant ainsi le développement de 75 % tout en réduisant les coûts de 40 % et en maintenant une sécurité renforcée.
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS.
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.