Panoramica
Questa soluzione AWS è un componente aggiuntivo che funziona con la Centrale di sicurezza AWS e fornisce azioni di risposta e riparazione predefinite sulla base degli standard di conformità del settore e delle best practice per le minacce alla sicurezza. Aiuta i clienti della Centrale di sicurezza AWS a risolvere i comuni problemi di sicurezza e migliorare l'assetto di sicurezza all'interno di AWS.
La soluzione crea dei playbook che consentono ai clienti di scegliere individualmente ciò che desiderano implementare nel proprio account principale della Centrale di sicurezza. Ogni playbook contiene le azioni personalizzate necessarie, i ruoli IAM ed eventi Amazon EventBridge, oltre ai documenti Systems Manager Automation, alle funzioni AWS Lambda o AWS Step Functions richieste per avviare un flusso di lavoro di remediation all'interno di un singolo account AWS o tra più account.
Vantaggi
Avvia le riparazioni e i risultati utilizzando le azioni personalizzate nella console di Centrale di sicurezza.
Distribuisci con facilità la soluzione sugli account principali e membri.
Accedi ai playbook di remediation che supportano i benchmark di Center for Internet Security (CIS) AWS Foundations, v1.4.0 e le AWS Foundational Security Best Practices (AFSBP) v1.0.0.
Implementa un set predefinito di azioni di risposta e remediation per reagire in modo automatico alle minacce.
Estendi la soluzione con soluzioni di correzione personalizzate e implementazioni Playbook distribuendo documenti di automazione AWS Systems Manager personalizzati e ruoli AWS IAM. Per supportare un set completamente nuovo di controlli non implementati dalla soluzione, implementa un playbook personalizzato.
Dettagli tecnici
Il diagramma di seguito presenta l'architettura serverless che è possibile costruire grazie alla guida all'implementazione della soluzione e al relativo modello AWS CloudFormation.
Risposta di sicurezza automatizzata su AWS contiene i seguenti flussi di lavoro principali: rilevamento, acquisizione, remediation e registrazione.
1. Rilevamento: Centrale di sicurezza AWS fornisce ai clienti una visione esaustiva del loro stato di sicurezza all'interno di AWS. Li aiuta a valutare il loro ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon Guard Duty e AWS Firewall Manager. Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come risultati nella console di Centrale di sicurezza AWS. I nuovi risultati vengono inviati come Amazon EventBridge.
2. Acquisizione: puoi avviare eventi in base ai risultati utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate di Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere i risultati. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento Amazon EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di ricerca in tempo reale.
Puoi utilizzare il menu delle azioni personalizzate di Centrale di sicurezza per avviare la remediation automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, possono attivare le remediation automatiche. Questo può essere attivato per ogni remediation: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Riparazione: tramite i ruoli di AWS Identity and Access Management (IAM) validi per tutti gli account, la riparazione automatica utilizza l'API di AWS per eseguire le attività necessarie alla riparazione dei risultati. Tutti i playbook in questa soluzione sono implementati come documenti di AWS Systems Manager. Questi documenti sono categorizzati in base all'ID del controllo di sicurezza. AWS Step Function riceve il risultato dagli eventi Amazon Eventbridge, quindi richiama i documenti con chiamate API AWS Systems Manager.
4. Registrazione: il playbook registra i risultati nel gruppo di File di log Amazon CloudWatch, invia una notifica a un argomento di Servizio di notifica semplice Amazon (Amazon SNS) e aggiorna il risultato di Centrale di sicurezza. Nelle note dei risultati viene conservato un audit trail delle azioni intraprese. Nel pannello di controllo di Security Hub, lo stato del flusso di lavoro del risultato viene modificato da NUOVO a NOTIFICATO o RISOLTO. Le note dei risultati di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
1. Rilevamento: Centrale di sicurezza AWS fornisce ai clienti una visione esaustiva del loro stato di sicurezza all'interno di AWS. Li aiuta a valutare il loro ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon Guard Duty e AWS Firewall Manager. Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come risultati nella console di Centrale di sicurezza AWS. I nuovi risultati vengono inviati come Amazon EventBridge.
2. Acquisizione: puoi avviare eventi in base ai risultati utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate di Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere i risultati. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento Amazon EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di ricerca in tempo reale.
Puoi utilizzare il menu delle azioni personalizzate di Centrale di sicurezza per avviare la remediation automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, possono attivare le remediation automatiche. Questo può essere attivato per ogni remediation: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Riparazione: tramite i ruoli di AWS Identity and Access Management (IAM) validi per tutti gli account, la riparazione automatica utilizza l'API di AWS per eseguire le attività necessarie alla riparazione dei risultati. Tutti i playbook in questa soluzione sono implementati come documenti di AWS Systems Manager. Questi documenti sono categorizzati in base all'ID del controllo di sicurezza. AWS Step Function riceve il risultato dagli eventi Amazon Eventbridge, quindi richiama i documenti con chiamate API AWS Systems Manager.
4. Registrazione: il playbook registra i risultati nel gruppo di File di log Amazon CloudWatch, invia una notifica a un argomento di Servizio di notifica semplice Amazon (Amazon SNS) e aggiorna il risultato di Centrale di sicurezza. Nelle note dei risultati viene conservato un audit trail delle azioni intraprese. Nel pannello di controllo di Security Hub, lo stato del flusso di lavoro del risultato viene modificato da NUOVO a NOTIFICATO o RISOLTO. Le note dei risultati di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
Contenuto correlato
Nozioni di base su Sicurezza, identità e conformità di AWS
Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS.
AWS Certified Security - Specialty
Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.