Información general
La respuesta de seguridad automatizada en AWS es una solución de AWS que mejora AWS Security Hub al abordar automáticamente los problemas de seguridad comunes en el entorno de AWS de su organización. Cuando Security Hub identifica un posible problema de seguridad, esta solución inicia respuestas predefinidas para resolver el problema de manera eficiente. También funciona en varias cuentas de AWS para ofrecer una cobertura de seguridad integral. Esta solución registra todas las acciones realizadas, envía notificaciones a las partes pertinentes y puede integrarse con sus servicios de generación de tickets existentes. Al automatizar la corrección de los hallazgos de Security Hub, puede mantener una postura de seguridad sólida con un esfuerzo manual reducido, alineándose con las mejores prácticas del sector y los estándares de cumplimiento y, al mismo tiempo, agilizando su proceso general de administración de la seguridad.
Beneficios
Inicie hallazgos y resoluciones de problemas por medio de acciones personalizadas en la consola de Security Hub.
Configure los puntos de referencia de AWS Foundations o las mejores prácticas de seguridad de AWS Foundational.
Implemente un conjunto predefinido de medidas de respuesta y corrección para hacer frente a las amenazas de manera automática.
Amplíe esta solución con soluciones personalizadas e implementaciones de guías operativas. O bien, implemente una guía operativa personalizada para un nuevo conjunto de controles.
Detalles técnicos
Puede implementar esta arquitectura de manera automática mediante la guía de implementación y la plantilla de AWS CloudFormation asociada.
Descripción: los resultados de Security Hub agregados en la cuenta de administrador delegado inician AWS Step Functions. El orquestador invoca un documento de automatización de SSM de corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de AWS Security Hub.
1. Detección: Security Hub brinda una perspectiva integral del estado de seguridad en AWS. Ayuda a revisar el entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager.
Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como resultados en la consola de Security Hub. Los nuevos resultados se envían como Amazon EventBridge.
2. Iniciación: Para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías operativas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de resultado en tiempo real.
Puede utilizar el menú de Security Hub Custom Action para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, puede habilitar la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Preparación: el orquestador de la cuenta de administrador procesa el evento de corrección y lo prepara para su programación.
4. Programación: se invoca la función de programación de AWS Lambda para colocar el evento de corrección en la tabla de estados de Amazon DynamoDB.
5. Orquestación: al utilizar roles deAWS Identity and Access Management (IAM) entre cuentas, el orquestador invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
6. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a Lambda.
Puede activar la característica Registro de acciones en las pilas de miembros, que capturará las acciones realizadas por la solución en sus cuentas de miembros y las mostrará en el panel de Amazon CloudWatch de esta solución.
7. Generación de tickets (opcional): si elige habilitar la generación de tickets en la pila de administración, esta solución invocará la función de Lambda de generación de tickets para crear un ticket en el servicio de generación de tickets de su elección una vez que la corrección se haya ejecutado correctamente en la cuenta del miembro. Ofrecemos pilas para una fácil integración con Jira y ServiceNow.
8. Aviso y registro:La guía operativa registra los resultados en un grupo de registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene una pista de auditoría de las acciones efectuadas en las notas de los resultados.
En el panel de control de Security Hub, el estado del flujo de trabajo de resultados cambia de NUEVO a RESUELTO. Las notas del resultado de seguridad se actualizan para indicar que se llevó a cabo la corrección.
Descripción: los resultados de Security Hub agregados en la cuenta de administrador delegado inician AWS Step Functions. El orquestador invoca un documento de automatización de SSM de corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de AWS Security Hub.
1. Detección: Security Hub brinda una perspectiva integral del estado de seguridad en AWS. Ayuda a revisar el entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager.
Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como resultados en la consola de Security Hub. Los nuevos resultados se envían como Amazon EventBridge.
2. Iniciación: Para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías operativas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de resultado en tiempo real.
Puede utilizar el menú de Security Hub Custom Action para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, puede habilitar la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Preparación: el orquestador de la cuenta de administrador procesa el evento de corrección y lo prepara para su programación.
4. Programación: se invoca la función de programación de AWS Lambda para colocar el evento de corrección en la tabla de estados de Amazon DynamoDB.
5. Orquestación: al utilizar roles deAWS Identity and Access Management (IAM) entre cuentas, el orquestador invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
6. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a Lambda.
Puede activar la característica Registro de acciones en las pilas de miembros, que capturará las acciones realizadas por la solución en sus cuentas de miembros y las mostrará en el panel de Amazon CloudWatch de esta solución.
7. Generación de tickets (opcional): si elige habilitar la generación de tickets en la pila de administración, esta solución invocará la función de Lambda de generación de tickets para crear un ticket en el servicio de generación de tickets de su elección una vez que la corrección se haya ejecutado correctamente en la cuenta del miembro. Ofrecemos pilas para una fácil integración con Jira y ServiceNow.
8. Aviso y registro:La guía operativa registra los resultados en un grupo de registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene una pista de auditoría de las acciones efectuadas en las notas de los resultados.
En el panel de control de Security Hub, el estado del flujo de trabajo de resultados cambia de NUEVO a RESUELTO. Las notas del resultado de seguridad se actualizan para indicar que se llevó a cabo la corrección.
- Fecha de publicación
Contenido relacionado
AvalonBay Communities Inc. migró a una arquitectura sin servidor en AWS, lo que aceleró su desarrollo en un 75 %, redujo sus costes en un 40 % y mantuvo una seguridad sólida.
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS.
Este examen evalúa su experiencia técnica vinculada con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.