Información general
Esta solución de AWS es un complemento que funciona con AWS Security Hub y proporciona respuestas y medidas de corrección predefinidas basadas en los estándares de cumplimiento del sector y las prácticas recomendadas para amenazas de seguridad. Ayuda a los clientes de Security Hub a solucionar los problemas comunes de los resultados de seguridad y a mejorar su posición de seguridad en AWS.
Esta solución de AWS crea guías operativas para que los clientes elijan de forma individual lo que desean implementar en su cuenta de administrador de Security Hub. Cada manual contiene las acciones necesarias para iniciar el flujo de trabajo de corrección en la cuenta de administrador o en cualquier cuenta de miembro.
Beneficios
Inicie hallazgos y resoluciones de problemas por medio de acciones personalizadas en la consola de Security Hub.
Indicadores de referencia básicos o prácticas recomendadas de seguridad básicas de AWS.
Implemente un conjunto predefinido de medidas de respuesta y corrección para hacer frente a las amenazas de manera automática.
Amplíe esta solución de AWS con soluciones personalizadas e implementaciones de guías. Para admitir un conjunto de controles completamente nuevo que no esté implementado en esta solución de AWS, implemente un manual de estrategias personalizado.
Detalles técnicos
Los resultados de Security Hub agregados en la cuenta de administrador delegado inician AWS Step Functions. Step Functions invoca un documento de automatización de SSM de corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de Security Hub.
1. Detección: AWS Security Hub proporciona a los clientes una perspectiva integral de su estado de seguridad en AWS. Los ayuda a revisar su entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager. Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como Amazon EventBridge.
2. Iniciación: para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías prácticas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de Amazon EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de hallazgo en tiempo real.
Los clientes pueden utilizar el menú Security Hub Custom Action (acciones personalizadas de Security Hub) para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, pueden habilitar el desencadenamiento automático de la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Organización: al utilizar roles de AWS Identity and Access Management (IAM) entre cuentas, Step Functions invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
4. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a AWS Lambda.
5. Registro: la guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene un seguimiento de auditoría de las acciones efectuadas en las notas de los resultados. En el panel de Security Hub, el estado del flujo de trabajo del resultado se cambia de NUEVO a NOTIFICADO o RESUELTO. Las notas del hallazgo de seguridad se actualizan para indicar que se llevó a cabo la corrección.
1. Detección: AWS Security Hub proporciona a los clientes una perspectiva integral de su estado de seguridad en AWS. Los ayuda a revisar su entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager. Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como Amazon EventBridge.
2. Iniciación: para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías prácticas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de Amazon EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de hallazgo en tiempo real.
Los clientes pueden utilizar el menú Security Hub Custom Action (acciones personalizadas de Security Hub) para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, pueden habilitar el desencadenamiento automático de la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Organización: al utilizar roles de AWS Identity and Access Management (IAM) entre cuentas, Step Functions invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
4. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a AWS Lambda.
5. Registro: la guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene un seguimiento de auditoría de las acciones efectuadas en las notas de los resultados. En el panel de Security Hub, el estado del flujo de trabajo del resultado se cambia de NUEVO a NOTIFICADO o RESUELTO. Las notas del hallazgo de seguridad se actualizan para indicar que se llevó a cabo la corrección.
Contenido relacionado
AvalonBay Communities Inc. migró a una arquitectura sin servidor en AWS, lo que aceleró el desarrollo en un 75 %, redujo los costos en un 40 % y mantuvo una seguridad sólida.
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS.
Este examen evalúa su experiencia técnica vinculada con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.