Présentation
Cette solution AWS est un module complémentaire qui fonctionne avec AWS Security Hub et fournit des actions prédéfinies de réponse et de correction basées sur les normes de conformité et les bonnes pratiques du secteur pour les menaces de sécurité. Elle aide les clients AWS Security Hub à résoudre des problèmes de sécurité fréquents et à améliorer leur posture de sécurité dans AWS.
La solution crée des manuels stratégiques permettant aux clients de choisir individuellement ce qu'ils souhaitent déployer sur leur compte principal Security Hub. Chaque manuel stratégique contient les actions personnalisées, les rôles IAM ainsi que les évènements Amazon EventBridge en complément de documents Systems Manager Automation, de fonctions AWS Lambda ou AWS Step Functions nécessaires au lancement d'un flux de travail de correction sur un ou plusieurs comptes AWS.
Avantages
Déclenchez des corrections et des conclusions à l'aide des actions personnalisées dans la console Security Hub.
Déployez facilement la solution sur vos comptes principaux et membres.
Accédez aux manuels stratégiques de correction qui prennent en charge la norme Center for Internet Security (CIS) AWS Foundations, version 1.4.0 et la norme AWS Foundational Security Best Practices (AFSBP) version 1.0.0.
Déployez un ensemble prédéfini d'actions de réponse et correction afin de répondre automatiquement aux menaces.
Étendez la solution avec des solutions personnalisées et des implémentations de manuels stratégiques en déployant des documents d'AWS Systems Manager Automation et des rôles AWS IAM personnalisés. Pour prendre en charge un tout nouvel ensemble de contrôles qui n'est pas implémenté par la solution, déployez un manuel stratégique personnalisé.
Détails techniques
Le diagramme ci-dessous présente l'architecture sans serveur que vous pouvez créer à l'aide du guide de mise en œuvre de la solution et du modèle AWS CloudFormation fourni.
La réponse de sécurité automatisée sur AWS contient les principaux flux de travail suivants : détection,ingestion,correction et journalisation.
1. Détecter : AWS Security Hub offre au client une vue détaillée de son état de sécurité AWS. Cela permet au client d'évaluer son environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, comme AWS Config, Amazon Guard Duty et AWS Firewall Manager. Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console AWS Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Ingestion :Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge. Les actions personnalisées d'AWS Security Hub et lesrègles Amazon EventBridge déclenchent une réponse de sécurité automatique sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement Amazon EventBridge est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Les clients peuvent utiliser le menu d'action personnalisée Security Hub pour déclencher une correction automatique. Ils peuvent aussi activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cela peut être activé pour chaque correction. Il n'est pas nécessaire d'activer les initiations automatiques pour toutes les corrections.
3. Corriger : à l'aide des rôles AWS Identity and Access Management (IAM) entre comptes, la correction automatique utilise l'API AWS pour exécuter les tâches nécessaires à la correction des conclusions. Tous les manuels stratégiques de cette solution sont mis en œuvre en tant que documents AWS Systems Manager. Ces documents sont catégorisés en fonction de leur ID de contrôle de sécurité. Une Fonction AWS Step reçoit la conclusion des évènements Amazon Eventbridge, puis invoque les documents avec des appels d'API AWS Systems Manager.
4. Journaliser : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Un journal d'activité d'audit des actions mises en œuvre est maintenu dans les notes de conclusion. Sur le tableau de bord de Security Hub, l'état du flux de conclusions passe de NOUVEAU à NOTIFIÉ ou RÉSOLU. Les notes de conclusions de sécurité sont mises à jour afin de rendre compte des corrections apportées.
1. Détecter : AWS Security Hub offre au client une vue détaillée de son état de sécurité AWS. Cela permet au client d'évaluer son environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, comme AWS Config, Amazon Guard Duty et AWS Firewall Manager. Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console AWS Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Ingestion : Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge. Les actions personnalisées d'AWS Security Hub et les règles Amazon EventBridge déclenchent une réponse de sécurité automatique sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement Amazon EventBridge est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Les clients peuvent utiliser le menu d'action personnalisée Security Hub pour déclencher une correction automatique. Ils peuvent aussi activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cela peut être activé pour chaque correction. Il n'est pas nécessaire d'activer les initiations automatiques pour toutes les corrections.
3. Corriger : à l'aide des rôles AWS Identity and Access Management (IAM) entre comptes, la correction automatique utilise l'API AWS pour exécuter les tâches nécessaires à la correction des conclusions. Tous les manuels stratégiques de cette solution sont mis en œuvre en tant que documents AWS Systems Manager. Ces documents sont catégorisés en fonction de leur ID de contrôle de sécurité. Une Fonction AWS Step reçoit la conclusion des évènements Amazon Eventbridge, puis invoque les documents avec des appels d'API AWS Systems Manager.
4. Journaliser : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Un journal d'activité d'audit des actions mises en œuvre est maintenu dans les notes de conclusion. Sur le tableau de bord de Security Hub, l'état du flux de conclusions passe de NOUVEAU à NOTIFIÉ ou RÉSOLU. Les notes de conclusions de sécurité sont mises à jour afin de rendre compte des corrections apportées.
Rubriques connexes
Démarrer avec les services de sécurité, d'identité et de conformité AWS
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS.
AWS Certified Security – Specialty
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.