Übersicht
Bei dieser AWS-Lösung handelt es sich um ein Add-on, das mit AWS Security Hub arbeitet und vordefinierte Reaktions- und Behebungsmaßnahmen auf der Grundlage von Branchen-Compliance-Standards und bewährten Methoden für Sicherheitsbedrohungen bietet. Es hilft AWS-Security-Hub-Kunden, allgemeine Sicherheitsprobleme zu beheben und ihre Sicherheitslage in AWS zu verbessern.
Die Lösung erstellt Playbooks, in denen Kunden individuell auswählen können, was sie in ihrem Security-Hub-Primärkonto bereitstellen möchten. Jedes Playbook enthält die erforderlichen benutzerdefinierten Aktionen, IAM-Rollen und Amazon-EventBridge-Events zusätzlich zu allen Systems-Manager-Automation-Dokumenten, AWS-Lambda-Funktionen oder AWS Step Functions, die zum Starten des Abhilfe-Workflows innerhalb eines einzelnen AWS-Kontos oder über mehrere Konten hinweg erforderlich sind.
Vorteile
Initiieren Sie Behebungsmaßnahmen und Befunde durch benutzerdefinierte Aktionen in der Security Hub-Konsole.
Stellen Sie die Lösung einfach über primäre und Mitgliederkonten hinweg bereit.
Playbooks zur Zugriffsbehebung, die Standards wie AWS-Foundations-Benchmarks v1.4.0 des Center for Internet Security (CIS) und die AWS Foundational Security Best Practices (AFSBP) v1.0.0 unterstützen.
Stellen Sie einen vordefinierten Satz von Reaktionen und Behebungsmaßnahmen bereit, um automatisch auf Bedrohungen zu reagieren.
Erweitern Sie die Lösung um benutzerdefinierte Problembehebungs- und Playbook-Implementierungen, indem Sie maßgeschneiderte AWS-Systems-Manager-Automation-Dokumente und AWS-IAM-Rollen bereitstellen. Stellen Sie ein benutzerdefiniertes Playbook bereit, um eine völlig neue Reihe von Steuerelementen zu unterstützen, die in der Lösung nicht implementiert sind.
Technische Details
Das folgende Diagramm zeigt die Serverless-Architektur, die Sie mithilfe des Implementierungsleitfadens der Lösung und der begleitenden AWS-CloudFormation-Vorlage erstellen können.
Automatische Sicherheitsreaktion in AWS umfasst die folgenden Hauptworkflows: Erkennen, Aufnehmen, Beheben und Protokollieren.
1. Erkennen: Der AWS Security Hub bietet Kunden einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Er hilft ihnen, ihre Umgebung an den Standards und bewährten Methoden der Sicherheitsbranche zu messen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon Guard Duty und AWS Firewall Manager. Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der AWS-Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Aufnehmen: Sie können mithilfe benutzerdefinierter Aktionen Ereignisse anhand von Ergebnissen initiieren, die zu Amazon-EventBridge-Events führen. Benutzerdefinierte Aktionen von AWS Security Hub und Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine Amazon-EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Beheben: Die automatisierte Behebung nutzt unter Verwendung von kontenübergreifenden AWS-Identity-and-Access-Management-Rollen (IAM) die AWS-API, um die zum Beheben von Befunden erforderlichen Aufgaben durchzuführen. Alle Playbooks in dieser Lösung sind als AWS-Systems-Manager-Dokumente implementiert. Diese Dokumente werden anhand der Sicherheitskontroll-ID kategorisiert. Eine AWS Step Function empfängt die Ergebnisse der Amazon-Eventbridge-Ereignisse und ruft dann die Dokumente mit AWS-Systems-Manager-API-Aufrufen auf.
4. Protokoll: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Ergebnisse. Ein Prüfpfad der getroffenen Maßnahmen wird in den Befundhinweisen festgehalten. Auf dem Security-Hub-Dashboard wird der Status des Befund-Workflow von NEU in BENACHRICHTIGT oder BEHOBEN geändert. Die Hinweise zum Sicherheitsbefund werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
1. Erkennen: Der AWS Security Hub bietet Kunden einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Er hilft ihnen, ihre Umgebung an den Standards und bewährten Methoden der Sicherheitsbranche zu messen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon Guard Duty und AWS Firewall Manager. Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der AWS-Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Aufnehmen: Sie können mithilfe benutzerdefinierter Aktionen Ereignisse anhand von Ergebnissen initiieren, die zu Amazon-EventBridge-Events führen. Benutzerdefinierte Aktionen von AWS Security Hubund Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine Amazon-EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Beheben: Die automatisierte Behebung nutzt unter Verwendung von kontenübergreifenden AWS-Identity-and-Access-Management-Rollen (IAM) die AWS-API, um die zum Beheben von Befunden erforderlichen Aufgaben durchzuführen. Alle Playbooks in dieser Lösung sind als AWS-Systems-Manager-Dokumente implementiert. Diese Dokumente werden anhand der Sicherheitskontroll-ID kategorisiert. Eine AWS Step Function empfängt die Ergebnisse der Amazon-Eventbridge-Ereignisse und ruft dann die Dokumente mit AWS-Systems-Manager-API-Aufrufen auf.
4. Protokoll: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Ergebnisse. Ein Prüfpfad der getroffenen Maßnahmen wird in den Befundhinweisen festgehalten. Auf dem Security-Hub-Dashboard wird der Status des Befund-Workflow von NEU in BENACHRICHTIGT oder BEHOBEN geändert. Die Hinweise zum Sicherheitsbefund werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
Ähnliche Inhalte
Erste Schritte mit AWS-Sicherheit, -Identität und -Compliance
In diesem Kurs bietet eine Übersicht über die AWS-Sicherheitstechnologie, Anwendungsfälle, Vorteile und Services.
AWS Certified Security – Specialty
Diese Prüfung testet Ihre technische Kompetenz bei der Sicherung der AWS-Plattform. Sie eignet sich für jeden, der im Bereich Sicherheit Erfahrung hat.