概览
AWS 上的自动化安全响应是一个附加组件,可与 AWS Security Hub 结合使用,并根据针对安全威胁的行业合规性标准和最佳实践提供预定义的响应和修复操作。使用 Security Hub 时,此 AWS 解决方案可以帮助您解决常见的安全问题,同时提高 AWS 上的整体安全性。
此解决方案会创建运行手册,供您单独选择要在 Security Hub 管理员帐户中部署的内容。每本手册都包含在管理员账户或任何成员账户中启动补救工作流程所需的操作。
优势
在 Security Hub 控制台中使用自定义操作开始修复和发现。
配置 AWS 基础基准或 AWS 基础安全防御最佳实践。
部署一组预定义的响应和修复操作,以自动应对威胁。
通过自定义补救措施和手册实施来扩展此解决方案。或者,为一组新控件部署自定义运行手册。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
先决条件:在委托的管理员账户中汇总的 Security Hub 调查发现会启动 AWS Step Functions。Step Functions 会在包含生成 AWS Security Hub 调查发现的资源的成员账户中调用补救 SSM 自动化文档。
1.检测:Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助您根据行业标准和最佳实践测量环境。它的工作原理是,从 AWS Cofig、Amazon GuardDuty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。
然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 Security Hub 控制台中被认定为调查发现。新的调查发现以 Amazon EventBridge 的形式发送。
2.启动:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3.编排:管理员账户中的 AWS Step Functions 使用跨账户 AWS Identity and Access Management(IAM)角色,在包含生成安全调查发现的资源的成员账户中调用补救措施。
4.修复:成员账户中的 AWS Systems Manager Automation 文档执行修复目标资源调查发现所需的操作,例如禁用 AWS Lambda 公共访问权限。
5.日志:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service(Amazon SNS)主题,并更新 Security Hub 调查发现。所采取操作的审计跟踪记录保留在调查发现注释中。
在 Security Hub 控制面板上,调查发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全调查发现注释将被更新,以反映所执行的修复。
先决条件:在委托的管理员账户中汇总的 Security Hub 调查发现会启动 AWS Step Functions。Step Functions 会在包含生成 AWS Security Hub 调查发现的资源的成员账户中调用补救 SSM 自动化文档。
1.检测:Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助您根据行业标准和最佳实践测量环境。它的工作原理是,从 AWS Cofig、Amazon GuardDuty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。
然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 Security Hub 控制台中被认定为调查发现。新的调查发现以 Amazon EventBridge 的形式发送。
2.启动:您可以使用自定义操作,针对调查发现启动事件,这将生成 Amazon EventBridge Events。 AWS Security Hub 自定义操作和 Amazon EventBridge 规则在 AWS 手册上启动自动安全响应以解决发现的问题。部署一个 EventBridge 规则来匹配自定义操作事件,并为每个受支持的控件(默认停用)部署一个 EventBridge 事件规则以匹配实时调查发现事件。
您可以使用 Security Hub 自定义操作菜单来启动自动化修复,或者在非生产环境中进行细心测试之后,使用该菜单来激活自动化修复。可以在每次修复时激活此功能,无需在所有修复中激活自动启动。
3.编排:管理员账户中的 AWS Step Functions 使用跨账户 AWS Identity and Access Management(IAM)角色,在包含生成安全调查发现的资源的成员账户中调用补救措施。
4.修复:成员账户中的 AWS Systems Manager Automation 文档执行修复目标资源调查发现所需的操作,例如禁用 AWS Lambda 公共访问权限。
5.日志:手册将结果以日志形式记录到 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service(Amazon SNS)主题,并更新 Security Hub 调查发现。所采取操作的审计跟踪记录保留在调查发现注释中。
在 Security Hub 控制面板上,调查发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全调查发现注释将被更新,以反映所执行的修复。
