Información general
Esta solución de AWS es un complemento que funciona con AWS Security Hub y proporciona respuestas y medidas de corrección predefinidas basadas en los estándares de cumplimiento del sector y las prácticas recomendadas para amenazas de seguridad. Ayuda a los clientes de AWS Security Hub a solucionar los problemas comunes de los hallazgos de seguridad y a mejorar su posición de seguridad en AWS.
La solución crea guías operativas para que los clientes elijan de forma individual lo que desean implementar en su cuenta principal de Security Hub. Cada guía operativa contiene las medidas personalizadas, los roles de IAM y los eventos de Amazon EventBridge necesarios, además de cualquier documento de Automatización de Systems Manager y funciones de AWS Lambda o de AWS Step Functions que sea necesario para activar el flujo de trabajo de corrección de problemas dentro de una o varias cuentas de AWS.
Beneficios
Inicie procesos de detección y corrección por medio de medidas personalizadas en la consola de Security Hub.
Implemente con facilidad la solución en la cuenta principal y las cuentas miembro.
Acceda a las guías operativas de corrección compatibles con estándares tales como Center for Internet Security (CIS) AWS Foundations Benchmarks, versión 1.4.0 o AWS Foundational Security Best Practices (AFSBP), versión 1.0.0.
Implemente un conjunto predefinido de medidas de respuesta y corrección para hacer frente a las amenazas de manera automática.
Amplíe la solución con correcciones personalizadas e implementaciones de la guía operativa mediante el uso de documentos de automatización de AWS Systems Manager personalizados y roles de AWS IAM. Para admitir un conjunto completo de controles nuevo que no esté implementado por la solución, use una guía operativa personalizada.
Detalles técnicos
En el siguiente diagrama, se presenta la arquitectura sin servidor que se puede crear con la guía de implementación de la solución y la plantilla de AWS CloudFormation adjunta.
La respuesta de seguridad automatizada en AWS contiene los siguientes flujos de trabajo principales: detectar, ingerir, resolver y registrar.
1. Detección: AWS Security Hub proporciona a los clientes una perspectiva integral de su estado de seguridad en AWS. Los ayuda a revisar su entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager. Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como Amazon EventBridge.
2. Ingesta: puede iniciar eventos comparándolos con los hallazgos mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías prácticas de AWS para abordar los hallazgos. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de Amazon EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de hallazgo en tiempo real.
Los clientes pueden utilizar el menú Security Hub Custom Action (acciones personalizadas de Security Hub) para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, pueden habilitar el desencadenamiento automático de la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Corrección: con los roles de AWS Identity and Access Management (IAM) entre cuentas, la corrección automatizada utiliza la API de AWS a la hora de llevar a cabo las tareas necesarias para resolver los problemas de los hallazgos. Todas las guías operativas de esta solución se implementan como documentos de AWS Systems Manager. Estos documentos se clasifican con base en el ID de control de seguridad. Una función de AWS Step Functions recibe el hallazgo de los eventos de Amazon EventBridge y, a continuación, dicha función invoca los documentos con llamadas a la API de AWS Systems Manager.
4. Registro: la guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el hallazgo de Security Hub. Se mantiene una traza de auditoría de las acciones efectuadas en las notas de los hallazgos. En el panel de Security Hub, el estado del flujo de trabajo del hallazgo se cambia de NUEVO a NOTIFICADO o RESUELTO. Las notas del hallazgo de seguridad se actualizan para indicar que se llevó a cabo la corrección.
1. Detección: AWS Security Hub proporciona a los clientes una perspectiva integral de su estado de seguridad en AWS. Los ayuda a revisar su entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager. Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como Amazon EventBridge.
2. Ingesta: puede iniciar eventos comparándolos con los hallazgos mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías prácticas de AWS para abordar los hallazgos. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de Amazon EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de hallazgo en tiempo real.
Los clientes pueden utilizar el menú Security Hub Custom Action (acciones personalizadas de Security Hub) para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, pueden habilitar el desencadenamiento automático de la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Corrección: con los roles de AWS Identity and Access Management (IAM) entre cuentas, la corrección automatizada utiliza la API de AWS a la hora de llevar a cabo las tareas necesarias para resolver los problemas de los hallazgos. Todas las guías operativas de esta solución se implementan como documentos de AWS Systems Manager. Estos documentos se clasifican con base en el ID de control de seguridad. Una función de AWS Step Functions recibe el hallazgo de los eventos de Amazon EventBridge y, a continuación, dicha función invoca los documentos con llamadas a la API de AWS Systems Manager.
4. Registro: la guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el hallazgo de Security Hub. Se mantiene una traza de auditoría de las acciones efectuadas en las notas de los hallazgos. En el panel de Security Hub, el estado del flujo de trabajo del hallazgo se cambia de NUEVO a NOTIFICADO o RESUELTO. Las notas del hallazgo de seguridad se actualizan para indicar que se llevó a cabo la corrección.
Contenido relacionado
Introducción a los servicios de seguridad, identidad y conformidad de AWS
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS.
AWS Certified Security – Specialty
Este examen evalúa su experiencia técnica vinculada con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.