この AWS ソリューションは、AWS Security Hub と連携し、セキュリティ脅威に関する業界のコンプライアンス標準とベストプラクティスに基づいて事前定義された応答と修復アクションを提供するアドオンです。これにより、AWS Security Hub のお客様は、一般的なセキュリティの検出事項を解決し、AWS でのセキュリティ体制を改善することが容易になります。
利点
AWS Security Hub の統合
ワンクリックのクロスアカウント修復
修復プレイブック
自動修復
AWS ソリューションの概要
下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なサーバーレスアーキテクチャを示しています。

AWS での自動化されたセキュリティ対応のアーキテクチャ
AWS Security Hub の自動化された応答と修復には、検出、取り込み、修復、およびログといった主なワークフローが含まれています。
1.検出: AWS Security Hub を使用すると、セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon Guard Duty、AWS Firewall Manager などの他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで [findings] (検出事項) としてアサートされます。新しい検出事項は Amazon CloudWatch Events として送信されます。
2.取り込み: AWS Security Hub のカスタムアクションおよび Amazon CloudWatch Events ルールは、Security Hub の自動応答と修復のプレイブックを開始して、検出事項に対処します。ソリューションがサポートする各コントロールに対して、2 つの CloudWatch Events ルールをデプロイします。1 つはカスタムアクションイベント (ユーザーが開始した修復) に一致するルール、もう 1 つはリアルタイム検出イベントに一致するルール (デフォルトでは無効) です。お客様は、Security Hub のカスタムアクションメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復の自動トリガーを有効にすることができます。これは修復ごとに決めることができます。すべての修復で自動トリガーを有効にする必要はありません。
3.修復: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、自動修復は AWS API を使用して、検出事項の修復に必要なタスクを実行します。このソリューションのすべてのプレイブックは、AWS Lambda 関数を呼び出します。一部の Lambda 関数は、修復を直接実行します。AWS Systems Manager Automation のドキュメントを使用するものもあります。
4.ログ: プレイブックは結果を Amazon CloudWatch Logs グループに記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出事項を更新します。実行されたアクションの監査証跡は、検出事項のメモに保持されます。Security Hub ダッシュボードで、Security Hub ダッシュボードの検出事項ワークフローのステータスが [NEW] から [NOTIFIED] または [RESOLVED] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
AWS での自動化されたセキュリティ対応
バージョン 1.5.0
リリース日: 2022 年 6 月
作成者: AWS
予想デプロイ時間: 15 分