概览
此 AWS 解决方案是一个附加组件,可与 AWS Security Hub 结合使用,并根据针对安全威胁的行业合规性标准和最佳实践提供预定义的响应和修复操作。它可帮助 AWS Security Hub 客户在 AWS 中处理常见的安全检测结果并改善自身的安全状况。
该解决方案创建了一个手册,供客户单独选择要在其 Security Hub 主账户中部署的内容。每个手册均包含必要的自定义操作、IAM 角色和 Amazon EventBridge 事件,除此之外还包括任何 Systems Manager Automation 文档、AWS Lambda 函数或在一个 AWS 账户或多个账户中启动修复工作流程所需的 AWS Step Functions。
优势
在 Security Hub 控制台中使用自定义操作开始修复和发现。
在主账户和成员账户间轻松部署解决方案。
访问支持互联网安全中心 (CIS) AWS 基金会基准版本 1.4.0 或 AWS 基础安全最佳实践 (AFSBP) 版本 1.0.0 等标准的修复手册。
部署一组预定义的响应和修复操作,以自动应对威胁。
通过部署自定义的 AWS Systems Manager Automation 文档和 AWS IAM 角色,使用自定义补救措施和手册实施来扩展解决方案。 要支持解决方案未实现的全新控件集,请部署自定义手册。
技术详情
下图展示了您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板构建的无服务器架构。
AWS 上的自动安全响应包含以下主要工作流:检测、提取、修复和日志记录。
1.检测:AWS Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助客户根据行业标准和最佳实践测量其环境。它的工作原理是,从 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 AWS Security Hub 控制台中被认定为发现结果。新的调查发现以 Amazon EventBridge 的形式发送。
2.提取:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 Amazon EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3.修复:通过跨账户 AWS Identity and Access Management (IAM) 角色,自动修复可使用 AWS API 来执行修复发现问题所需的任务。此解决方案中的所有手册均按 AWS Systems Manager 文档实施。 这些文档根据安全控制 ID 分类。AWS Step Function 从 Amazon Eventbridge 事件中接收发现结果,然后,AWS Step Function 使用 AWS Systems Manager API 调用来调用文档。
4.日志:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service (Amazon SNS) 主题,并更新 Security Hub 发现结果。所采取操作的审计跟踪保留在发现注释中。在 Security Hub 控制面板上,发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全发现注释将被更新,以反映所执行的修复。
1.检测:AWS Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助客户根据行业标准和最佳实践测量其环境。它的工作原理是,从 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 AWS Security Hub 控制台中被认定为发现结果。新的调查发现以 Amazon EventBridge 的形式发送。
2.提取:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 Amazon EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3.修复:通过跨账户 AWS Identity and Access Management (IAM) 角色,自动修复可使用 AWS API 来执行修复发现问题所需的任务。此解决方案中的所有手册均按 AWS Systems Manager 文档实施。 这些文档根据安全控制 ID 分类。AWS Step Function 从 Amazon Eventbridge 事件中接收发现结果,然后,AWS Step Function 使用 AWS Systems Manager API 调用来调用文档。
4.日志:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service (Amazon SNS) 主题,并更新 Security Hub 发现结果。所采取操作的审计跟踪保留在发现注释中。在 Security Hub 控制面板上,发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全发现注释将被更新,以反映所执行的修复。