Réponses de sécurité automatisées sur AWS

Cette solution AWS est un module complémentaire qui fonctionne avec AWS Security Hub et fournit des actions prédéfinies de réponse et de correction basées sur les normes de conformité et les bonnes pratiques de l'industrie pour les menaces de sécurité. Elle aide les clients AWS Security Hub à résoudre des problèmes de sécurité fréquents et à améliorer leur posture de sécurité dans AWS.

Avantages

Intégration d'AWS Security Hub

vide
Déclenchez des corrections et des conclusions à l'aide des actions personnalisées dans la console Security Hub.

Correction sur plusieurs comptes en un clic

Déployez facilement la solution sur vos comptes principaux et membres.

Manuels stratégiques de correction

vide
Accédez aux manuels stratégiques de correction prenant en charge les normes Center for Internet Security (CIS) AWS Foundations v1.2.0, AWS Foundational Security Best Practices (AFSBP) v1.0.0 et Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1.

Corrections automatiques

vide
Déployez un ensemble prédéfini d'actions de réponse et correction afin de répondre automatiquement aux menaces.

Présentation de la solution AWS

Le diagramme ci-dessous présente l'architecture sans serveur que vous pouvez créer automatiquement à l'aide du guide d'implémentation de la solution et du modèle AWS CloudFormation fourni.

Architecture d'Automated Security Response on AWS

AWS Security Hub Automated Response and Remediation contient les flux principaux suivants : détecter, ingérer, corriger et journaliser.

1. Détecter : AWS Security Hub offre au client une vue détaillée de son état de sécurité AWS. Cela permet au client d'évaluer son environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, comme AWS Config, Amazon Guard Duty et AWS Firewall Manager. Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console AWS Security Hub. Les nouvelles conclusions sont envoyées en tant qu'Amazon CloudWatch Events.

2. Ingérer : les actions personnalisées AWS Security Hub et les règles d'Amazon CloudWatch Events déclenchent un traitement des conclusions par les manuels stratégiques de réponse et correction automatiques de Security Hub. Deux règles de CloudWatch Events sont déployées par la solution pour chaque contrôle pris en charge : une règle qui correspond à l'événement d'action personnalisée (correction initiée par l'utilisateur) et une règle (désactivée par défaut) qui correspond à l'événement de conclusion en temps réel. Les clients peuvent utiliser le menu d'action personnalisée Security Hub pour déclencher une correction automatique. Ils peuvent aussi activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cette décision peut être prise pour chaque correction : il n'est pas nécessaire d'activer les déclencheurs automatiques sur toutes les corrections.

3. Corriger : à l'aide des rôles AWS Identity and Access Management (IAM) entre comptes, la correction automatique utilise l'API AWS pour exécuter les tâches nécessaires à la correction des conclusions. Tous les manuels stratégiques dans cette solution ont recours à des fonctions AWS Lambda. Certaines fonctions Lambda exécutent directement la correction. D'autres utilisent les documents AWS Systems Manager Automation.

4. Journaliser : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Un journal d'activité d'audit des actions mises en œuvre est maintenue dans les notes de conclusion. Sur le tableau de bord de Security Hub, l'état du flux de conclusions passe de NOUVEAU à NOTIFIÉ ou RÉSOLU. Les notes de conclusions de sécurité sont mises à jour afin de rendre compte des corrections apportées.

Réponses de sécurité automatisées sur AWS

Version 1.5.0
Date de publication : 06/2022
Auteur : AWS

Temps de déploiement estimé : 15 min

Estimation du coût Code source  Modèle CloudFormation 
Cliquez sur le bouton ci-dessous pour vous abonner aux mises à jour de cette solution.
Remarque : pour vous abonner aux mises à jour RSS, vous devez activer un plug-in RSS pour le navigateur que vous utilisez.
Cette implémentation de solution vous a-t-elle aidé ?
Donner mon avis 
Vidéo
Résoudre les problèmes avec des solutions AWS : Réponse et correction automatiques d'AWS Security Hub
Retour en haut de la page 
Icône Créer
Déployez vous-même une solution AWS

Parcourez notre bibliothèque de solutions AWS pour obtenir des réponses aux problèmes architecturaux courants.

En savoir plus 
Trouver un partenaire APN
Trouvez une solution Partenaire AWS

Trouvez des partenaires AWS certifiés pour vous aider à démarrer.

Icône Explorer
Explorer les conseils

Trouvez des diagrammes d'architecture prescriptifs, des exemple de code et du contenu technique pour les cas d'utilisation courants.

En savoir plus