概要
この AWS ソリューションは、AWS Security Hub と連携し、セキュリティ脅威に関する業界のコンプライアンス標準とベストプラクティスに基づいて事前定義された応答と修復アクションを提供するアドオンです。これにより、AWS Security Hub のお客様は、一般的なセキュリティの検出事項を解決し、AWS でのセキュリティ体制を改善することが容易になります。
このソリューションでは、事前定義されたセキュリティ応答と修復アクション、またはプレイブックの Service Catalog Portfolio を作成します。お客様は、AWS Service Catalog Portfolio から Security Hub プライマリアカウントにデプロイする個々のプレイブックを選択します。各プレイブックには、必要なカスタムアクション、IAM ロール、Amazon CloudWatch Events に加えて、Systems Manager Automation ドキュメント、AWS Lambda 関数、または単一の AWS アカウント内または複数のアカウントにわたって修復ワークフローを開始するために必要な AWS Step Functions が含まれています。
利点
Security Hub コンソールのカスタムアクションを使用して、修復と検出を開始します。
プライマリアカウントとメンバーアカウントにソリューションを簡単にデプロイします。
Center for Internet Security (CIS) AWS Foundations ベンチマーク v1.2.0、AWS Foundational Security Best Practices (AFSBP) v1.0.0、 および Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 をサポートする修復プレイブックにアクセスします。
事前定義された一連の応答と修復アクションをデプロイして、脅威に自動的に対応します。
技術的な詳細情報
以下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なサーバーレスアーキテクチャを示しています。
AWS Security Hub の自動化された応答と修復には、検出、取り込み、修復、およびログといった主なワークフローが含まれています。
1.検出: AWS Security Hub を使用すると、セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon Guard Duty、AWS Firewall Manager などの他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出事項としてアサートされます。新しい検出事項は Amazon CloudWatch Events として送信されます。
2.取り込み: AWS Security Hub のカスタムアクションおよび Amazon CloudWatch Events ルールは、Security Hub の自動応答と修復のプレイブックを開始して、検出事項に対処します。ソリューションがサポートする各コントロールに対して、2 つの CloudWatch Events ルールをデプロイします。1 つはカスタムアクションイベント (ユーザーが開始した修復) に一致するルール、もう 1 つはリアルタイム検出イベントに一致するルール (デフォルトでは無効) です。お客様は、Security Hub のカスタムアクションメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復の自動トリガーを有効にすることができます。これは修復ごとに決めることができます。すべての修復で自動トリガーを有効にする必要はありません。
3.修復: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、自動修復は、検出事項の修復に必要なタスクを実行するために AWS API を使用します。このソリューションのすべてのプレイブックは、AWS Systems Manager ドキュメントとして実装されています。 これらのドキュメントは、セキュリティコントロール ID に基づいて分類されます。AWS Step Function は Amazon Eventbridge イベントから検出事項を受け取り、AWS Step Function は AWS Systems Manager API 呼び出しでドキュメントを呼び出します。
4.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出事項を更新します。実行されたアクションの監査証跡は、検出事項の備考に保持されます。Security Hub ダッシュボードで、Security Hub ダッシュボードの検出事項ワークフローのステータスが [NEW] から [NOTIFIED] または [RESOLVED] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
1.検出: AWS Security Hub を使用すると、セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon Guard Duty、AWS Firewall Manager などの他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出事項としてアサートされます。新しい検出事項は Amazon CloudWatch Events として送信されます。
2.取り込み: AWS Security Hub のカスタムアクションおよび Amazon CloudWatch Events ルールは、Security Hub の自動応答と修復のプレイブックを開始して、検出事項に対処します。ソリューションがサポートする各コントロールに対して、2 つの CloudWatch Events ルールをデプロイします。1 つはカスタムアクションイベント (ユーザーが開始した修復) に一致するルール、もう 1 つはリアルタイム検出イベントに一致するルール (デフォルトでは無効) です。お客様は、Security Hub のカスタムアクションメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復の自動トリガーを有効にすることができます。これは修復ごとに決めることができます。すべての修復で自動トリガーを有効にする必要はありません。
3.修復: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、自動修復は、検出事項の修復に必要なタスクを実行するために AWS API を使用します。このソリューションのすべてのプレイブックは、AWS Systems Manager ドキュメントとして実装されています。 これらのドキュメントは、セキュリティコントロール ID に基づいて分類されます。AWS Step Function は Amazon Eventbridge イベントから検出事項を受け取り、AWS Step Function は AWS Systems Manager API 呼び出しでドキュメントを呼び出します。
4.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出事項を更新します。実行されたアクションの監査証跡は、検出事項の備考に保持されます。Security Hub ダッシュボードで、Security Hub ダッシュボードの検出事項ワークフローのステータスが [NEW] から [NOTIFIED] または [RESOLVED] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
関連コンテンツ
AWS のセキュリティ、アイデンティティ、およびコンプライアンスの開始方法
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。