Esta solución de AWS es un complemento que funciona con AWS Security Hub y proporciona acciones de respuesta y corrección predefinidas basadas en los estándares de cumplimiento del sector y en las prácticas recomendadas para amenazas de seguridad. Ayuda a los clientes de AWS Security Hub a solucionar los problemas comunes de los hallazgos de seguridad y mejorar su posición de seguridad en AWS.
Beneficios
Integración de AWS Security Hub
Resolución de problemas entre cuentas con un solo clic
Manuales de procedimientos de resolución de problemas
Resolución de problemas automática
Información general sobre la solución de AWS
En el siguiente diagrama se presenta la arquitectura sin servidor que se puede implementar con la guía de implementación de la solución y la plantilla de AWS CloudFormation adjunta.

Arquitectura de la respuesta de seguridad automatizada en AWS
La respuesta y corrección de problemas automatizadas de AWS Security Hub contiene los siguientes flujos de trabajo principales: detección, ingesta, corrección de problemas y registro.
1. Detección: AWS Security Hub proporciona a los clientes una perspectiva integral de su estado de seguridad en AWS. Los ayuda a revisar su entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager. Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como Amazon CloudWatch Events.
2. Ingesta: las acciones personalizadas de AWS Security Hub y las reglas de Amazon CloudWatch Events inician manuales de procedimientos de respuesta y resolución de problemas automatizadas de Security Hub para abordar los hallazgos. La solución implementa dos reglas de CloudWatch Events por cada control compatible: una regla que coincida con el evento de acción personalizada (la resolución iniciada por el usuario) y otra regla (desactivada de forma predeterminada) que coincida con el evento del hallazgo en tiempo real. Los clientes pueden utilizar el menú Security Hub Custom Action (acciones personalizadas de Security Hub) para iniciar la resolución de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, pueden habilitar el desencadenamiento automático de la resolución de problemas automatizada. Esta decisión se puede tomar por cada acción de resolución de problemas; no es necesario habilitar la activación automática para todas las acciones de resolución de problemas.
3. Resolución de problemas: Con los roles de AWS Identity and Access Management (IAM) entre cuentas, la resolución de problemas automatizada utiliza la API de AWS a la hora de llevar a cabo las tareas necesarias para resolver los problemas de los hallazgos. Todos los manuales de procedimientos de esta solución llaman a las funciones de AWS Lambda. Algunas funciones de Lambda llevan a cabo la resolución de problemas de manera directa. Otras utilizan los documentos de AWS Systems Manager Automation.
4. Registro: el manual de procedimientos registra los resultados en el grupo de Amazon CloudWatch Logs, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el hallazgo de Security Hub. Se mantiene una traza de auditoría de las acciones efectuadas en las notas de los hallazgos. En el panel de Security Hub, el estado del flujo de trabajo del hallazgo se cambia de NUEVO a NOTIFICADO o RESUELTO. Las notas del hallazgo de seguridad se actualizan para que indiquen que se llevó a cabo la resolución de problemas.
Respuesta de seguridad automatizada en AWS
Versión 1.5.0
Fecha de lanzamiento: 06/2022
Autor: AWS
Tiempo estimado de implementación: 15 minutos
Recursos adicionales
Descargar la guía de implementaciónContenido relacionado

Revise nuestra biblioteca de soluciones de AWS para obtener respuestas a problemas de arquitectura comunes.

Encuentre socios de AWS que lo ayuden a comenzar.

Encuentre diagramas de arquitectura prescriptivos, código de muestra y contenido técnico para casos de uso comunes.