概要
Automated Security Response on AWSは、AWS Security Hubと連携し、セキュリティ脅威に対する業界のコンプライアンス基準やベストプラクティスに基づいて、事前に定義された対応と修復のアクションを提供するアドオンです。Security Hub を使用する場合、この AWS ソリューションは、AWS の全体的なセキュリティを向上させながら、一般的なセキュリティ問題を解決するのに役立ちます。
このソリューションでは、プレイブックを作成し、Security Hubの管理者アカウントでデプロイする内容を個別に選択できます。各プレイブックには、管理者アカウントまたは任意のメンバーアカウント内で修復ワークフローを開始するために必要なアクションが含まれています。
メリット
Security Hub コンソールのカスタムアクションを使用して、修復と検出を開始します。
基礎ベンチマークまたは AWS 基本的なセキュリティベストプラクティス。
事前定義された一連の応答と修復アクションをデプロイして、脅威に自動的に対応します。
カスタム修復とプレイブックの実装により、この AWS ソリューションを拡張します。または、カスタムプレイブックをデプロイして新しいコントロールセットを作成することもできます。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
前提条件: 委任管理者アカウントに集約された Security Hub の検出結果により、AWS Step Functionsが開始します。Step Functionsは、AWS Security Hub の検出結果を生成したリソースを含むメンバーアカウントの修復 SSM 自動化ドキュメントを呼び出します。
1.検出: Security Hub を使用すると、お客様の AWS セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon GuardDuty、AWS Firewall Managerなどの他の AWS のサービスからイベントとデータを収集します。
これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、Security Hubコンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.開始:カスタムアクションを使用して、所見に対してAmazon EventBridgeイベントを開始できます。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対応できます。カスタムアクションイベントと一致するように 1 つの EventBridgeルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの EventBridge Eventルールがデプロイされます。
Security Hub カスタムアクション のメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3.オーケストレーション: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、管理者アカウントの AWS Step Functionsは、セキュリティ検出結果を生成したリソースを含むメンバーアカウントの修復を呼び出します。
4.修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、AWS Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。
5.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hubの検出結果を更新します。実行されたアクションの監査証跡は、検出結果の備考に保持されます。
Security Hubダッシュボードで、Security Hubダッシュボードの検出結果ワークフローのステータスが [NEW] (新規) から [NOTIFIED] (通知済み) または [RESOLVED] (解決済み) に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
前提条件: 委任管理者アカウントに集約された Security Hub の検出結果により、AWS Step Functionsが開始します。Step Functionsは、AWS Security Hub の検出結果を生成したリソースを含むメンバーアカウントの修復 SSM 自動化ドキュメントを呼び出します。
1.検出: Security Hub を使用すると、お客様の AWS セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon GuardDuty、AWS Firewall Managerなどの他の AWS のサービスからイベントとデータを収集します。
これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、Security Hubコンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.開始:カスタムアクションを使用して、所見に対してAmazon EventBridgeイベントを開始できます。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対応できます。カスタムアクションイベントと一致するように 1 つの EventBridgeルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの EventBridge Eventルールがデプロイされます。
Security Hub カスタムアクション のメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3.オーケストレーション: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、管理者アカウントの AWS Step Functionsは、セキュリティ検出結果を生成したリソースを含むメンバーアカウントの修復を呼び出します。
4.修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、AWS Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。
5.ログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hubの検出結果を更新します。実行されたアクションの監査証跡は、検出結果の備考に保持されます。
Security Hubダッシュボードで、Security Hubダッシュボードの検出結果ワークフローのステータスが [NEW] (新規) から [NOTIFIED] (通知済み) または [RESOLVED] (解決済み) に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
関連コンテンツ
AvalonBay Communities Inc. は AWS のサーバーレスアーキテクチャに移行し、開発を 75% 加速すると同時に、コストを 40% 削減し、強力なセキュリティを維持しました。
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。