概要
この AWS ソリューションは、AWS Security Hub と連携し、セキュリティ脅威に関する業界のコンプライアンス標準とベストプラクティスに基づいて事前定義された応答と修復アクションを提供するアドオンです。これにより、AWS Security Hub のお客様は、一般的なセキュリティの検出結果を解決し、AWS でのセキュリティ体制を改善することが容易になります。
このソリューションでは、お客様が Security Hub のプライマリアカウントでデプロイしたいものを個別に選択できるプレイブックを作成します。各プレイブックには、必要なカスタムアクション、IAM ロール、Amazon EventBridge events に加えて、Systems Manager Automation ドキュメント、AWS Lambda 関数、または単一の AWS アカウント内または複数のアカウントにわたって修復ワークフローを開始するために必要な AWS Step Functions が含まれています。
メリット
Security Hub コンソールのカスタムアクションを使用して、修復と検出を開始します。
プライマリアカウントとメンバーアカウントにソリューションを簡単にデプロイします。
Center for Internet Security (CIS) AWS Foundations ベンチマーク v1.4.0 または AWS Foundational Security Best Practices (AFSBP) v1.0.0 などの標準をサポートする修復プレイブックにアクセスします。
事前定義された一連の応答と修復アクションをデプロイして、脅威に自動的に対応します。
カスタマイズされた AWS Systems Manager automation ドキュメントと AWS IAM ロールをデプロイすることによって、カスタム修復とプレイブックの実装でソリューションを拡張できます。 ソリューションに実装されていない新しいコントロールセット全体をサポートするには、カスタムプレイブックをデプロイしてください。
技術的な詳細情報
以下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なサーバーレスアーキテクチャを示しています。
AWS の自動セキュリティ対応には、検出、取り込み、修正、ログという主要なワークフローが含まれます。
1.検出: AWS Security Hub を使用すると、セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon Guard Duty、AWS Firewall Manager などの他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.取り込み: カスタムアクションを使用して検出結果に対してイベントを開始すると、Amazon EventBridge Events が発生します。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対処できます。カスタムアクションイベントと一致するように 1 つの EventBridge ルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの Amazon EventBridge Event ルールがデプロイされます。
Security Hub のカスタムアクションメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3.修復: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、自動修復は、検出事項の修復に必要なタスクを実行するために AWS API を使用します。このソリューションのすべてのプレイブックは、AWS Systems Manager ドキュメントとして実装されています。 これらのドキュメントは、セキュリティコントロール ID に基づいて分類されます。AWS Step Function は Amazon Eventbridge イベントから検出事項を受け取り、AWS Step Function は AWS Systems Manager API 呼び出しでドキュメントを呼び出します。
4.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出事項を更新します。実行されたアクションの監査証跡は、検出事項の備考に保持されます。Security Hub ダッシュボードで、Security Hub ダッシュボードの検出事項ワークフローのステータスが [NEW] から [NOTIFIED] または [RESOLVED] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
1.検出: AWS Security Hub を使用すると、セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon Guard Duty、AWS Firewall Manager などの他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.取り込み: カスタムアクションを使用して検出結果に対してイベントを開始すると、Amazon EventBridge Events が発生します。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対処できます。カスタムアクションイベントと一致するように 1 つの EventBridge ルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの Amazon EventBridge Event ルールがデプロイされます。
Security Hub のカスタムアクションメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3.修復: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、自動修復は、検出事項の修復に必要なタスクを実行するために AWS API を使用します。このソリューションのすべてのプレイブックは、AWS Systems Manager ドキュメントとして実装されています。 これらのドキュメントは、セキュリティコントロール ID に基づいて分類されます。AWS Step Function は Amazon Eventbridge イベントから検出事項を受け取り、AWS Step Function は AWS Systems Manager API 呼び出しでドキュメントを呼び出します。
4.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出事項を更新します。実行されたアクションの監査証跡は、検出事項の備考に保持されます。Security Hub ダッシュボードで、Security Hub ダッシュボードの検出事項ワークフローのステータスが [NEW] から [NOTIFIED] または [RESOLVED] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
関連コンテンツ
AWS のセキュリティ、アイデンティティ、およびコンプライアンスの開始方法
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。