Présentation
Automated Security Response sur AWS est un module complémentaire qui fonctionne avec AWS Security Hub et fournit des actions prédéfinies de réponse et de correction basées sur les normes de conformité et les bonnes pratiques du secteur pour les menaces de sécurité. Lorsque vous utilisez Security Hub, cette solution AWS peut vous aider à résoudre les problèmes de sécurité courants tout en améliorant votre sécurité globale sur AWS.
Cette solution crée des manuels stratégiques vous permettant de choisir individuellement ce que vous souhaitez déployer dans votre compte administrateur Security Hub. Chaque manuel contient les actions nécessaires pour démarrer le processus de correction au sein du compte administrateur ou de tout compte membre.
Avantages
Déclenchez des corrections et des conclusions à l'aide des actions personnalisées dans la console Security Hub.
Configurez les benchmarks d’AWS Foundations ou les bonne pratiques de sécurité fondamentale d’AWS.
Déployez un ensemble prédéfini d'actions de réponse et correction afin de répondre automatiquement aux menaces.
Étendez cette solution avec des implémentations personnalisées de remédiation et de manuels stratégiques. Vous pouvez également déployer un manuel stratégique personnalisé pour un nouvel ensemble de commandes.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l'aide du guide d'implémentation et du modèle AWS CloudFormation qui l'accompagne.
Prérequis : Les résultats du Security Hub agrégés dans le compte d'administrateur délégué déclenchent AWS Step Functions. Step Functions invoque un document d'automatisation SSM de correction dans le compte membre contenant la ressource à l'origine du résultat de AWS Security Hub
1. Détecter : Security Hub vous offre une vue détaillée de son état de sécurité AWS. Cela vous permet d'évaluer votre environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, tels que AWS Config, Amazon GuardDuty, et AWS Firewall Manager.
Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Lancer : Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge Events. Les actions personnalisées d'AWS Security Hub et les règles Amazon EventBridge déclenchent Automated Security Response sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement EventBridge Event est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Vous pouvez utiliser le menu d'action personnalisée Security Hubpour déclencher une correction automatique. Vous pouvez également activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cela peut être activé pour chaque correction. Il n'est pas nécessaire d'activer les initiations automatiques pour toutes les corrections.
3. Orchestrer : à l'aide de rôles AWS Identity and Access Management (IAM) inter-comptes, AWS Step Functions du compte administrateur invoque la correction dans le compte membre contenant la ressource à l'origine du résultat de sécurité.
4. Corriger : un document AWS Systems Manager Automation figurant dans le compte membre exécute l'action requise pour corriger le résultat sur la ressource cible, par exemple en désactivant l'accès public à AWS Lambda.
5. Journaliser : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Un journal d'activité d'audit des actions mises en œuvre est maintenu dans les notes de résultat.
Sur le tableau de bord de Security Hub, l'état du flux de résultats passe de NOUVEAU à NOTIFIÉ ou RÉSOLU. Les notes de conclusions de sécurité sont mises à jour afin de rendre compte des corrections apportées.
Prérequis : Les résultats du Security Hub agrégés dans le compte d'administrateur délégué déclenchent AWS Step Functions. Step Functions invoque un document d'automatisation SSM de correction dans le compte membre contenant la ressource à l'origine du résultat de AWS Security Hub
1. Détecter : Security Hub vous offre une vue détaillée de son état de sécurité AWS. Cela vous permet d'évaluer votre environnement par rapport aux normes et meilleures pratiques de l'industrie. Ce flux fonctionne en recueillant des évènements et des données provenant d'autres services AWS, tels que AWS Config, Amazon GuardDuty, et AWS Firewall Manager.
Ces événements et données sont analysés par rapport aux normes de sécurité, telles que la norme CIS AWS Foundations. Les exceptions sont reconnues comme des conclusions dans la console Security Hub. Les nouveaux résultats sont envoyés sous forme d'Amazon EventBridge.
2. Lancer : Vous pouvez lancer des événements en fonction des résultats à l'aide d'actions personnalisées, qui se traduisent par des événements Amazon EventBridge Events. Les actions personnalisées d'AWS Security Hub et les règles Amazon EventBridge déclenchent Automated Security Response sur les manuels stratégiques AWS pour répondre aux résultats. Une règle EventBridge est déployée pour correspondre à l'événement d'action personnalisé, et une règle d'événement EventBridge Event est déployée pour chaque contrôle pris en charge (désactivé par défaut) afin de correspondre à l'événement de recherche en temps réel.
Vous pouvez utiliser le menu d'action personnalisée Security Hubpour déclencher une correction automatique. Vous pouvez également activer le déclenchement automatique de la correction après l'avoir soigneusement testée dans un environnement hors production. Cela peut être activé pour chaque correction. Il n'est pas nécessaire d'activer les initiations automatiques pour toutes les corrections.
3. Orchestrer : à l'aide de rôles AWS Identity and Access Management (IAM) inter-comptes, AWS Step Functions du compte administrateur invoque la correction dans le compte membre contenant la ressource à l'origine du résultat de sécurité.
4. Corriger : un document AWS Systems Manager Automation figurant dans le compte membre exécute l'action requise pour corriger le résultat sur la ressource cible, par exemple en désactivant l'accès public à AWS Lambda.
5. Journaliser : le manuel stratégique journalise les résultats dans un groupe Amazon CloudWatch Logs, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour la conclusion Security Hub. Un journal d'activité d'audit des actions mises en œuvre est maintenu dans les notes de résultat.
Sur le tableau de bord de Security Hub, l'état du flux de résultats passe de NOUVEAU à NOTIFIÉ ou RÉSOLU. Les notes de conclusions de sécurité sont mises à jour afin de rendre compte des corrections apportées.
- Date de publication
Rubriques connexes
AvalonBay Communities Inc. a migré vers une architecture sans serveur sur AWS, accélérant ainsi le développement de 75 % tout en réduisant les coûts de 40 % et en maintenant une sécurité renforcée.
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS.
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.