Visão geral
Esta solução da AWS é um complemento que funciona com o AWS Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas práticas recomendadas relacionadas a ameaças à segurança. Ela ajuda os clientes do Security Hub a resolver descobertas de segurança comuns e a melhorar seu procedimento de segurança na AWS.
A solução da AWS cria manuais para que os clientes escolham individualmente o que desejam implantar em sua conta de administrador do Security Hub. Cada manual contém as ações necessárias para iniciar o fluxo de trabalho de correção na conta de administrador ou em qualquer conta de membro.
Benefícios
Inicie remediações e constatações usando ações personalizadas no console do Security Hub.
Referências básicas ou práticas recomendadas de segurança básica da AWS.
Implante um conjunto predefinido de ações de resposta e remediação para responder a ameaças automaticamente.
Estenda esta solução da AWS com implementações personalizadas de correções e manual. Para dar suporte a um novo conjunto de controles que não é implementado por esta solução da AWS, implante um manual personalizado.
Detalhes técnicos
As descobertas do Security Hub agregadas na conta do administrador delegado iniciam o AWS Step Functions. O Step Functions invoca um documento de automação SSM de correção na conta de membro contendo o recurso que produziu a descoberta do Security Hub.
1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do AWS Security Hub. Novas descobertas são enviadas como Amazon EventBridge.
2. Iniciar: você pode iniciar eventos com base em descobertas usando ações personalizadas, que resultam em eventos do Amazon EventBridge. As ações personalizadas do AWS Security Hub e as regras do Amazon EventBridge iniciam a resposta automatizada de segurança nos manuais da AWS para tratar as descobertas. Uma regra do EventBridge é implantada para corresponder ao evento de ação personalizada, e uma regra de evento do Amazon EventBridge é implantada para cada controle suportado (desativado por padrão) para corresponder ao evento de descoberta em tempo real.
Você pode usar o menu Security Hub Custom Action (Ação personalizada do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, pode ativar as remediações automatizadas. Isso pode ser ativado por remediação, não é necessário ativar iniciações automáticas em todas as remediações.
3. Orquestrar: usando perfis multicontas do AWS Identity and Access Management (IAM), o Step Functions na conta do administrador invoca a correção na conta de membro que contém o recurso que produziu a descoberta de segurança.
4. Corrigir: um documento do AWS Systems Manager Automation na conta de membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desabilitar o acesso público do AWS Lambda.
5. Registrar em log: o manual registra em log os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da descoberta. No painel do Security Hub, o status do fluxo de trabalho da descoberta muda de NEW para NOTIFIED ou RESOLVED. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do AWS Security Hub. Novas descobertas são enviadas como Amazon EventBridge.
2. Iniciar: você pode iniciar eventos com base em descobertas usando ações personalizadas, que resultam em eventos do Amazon EventBridge. Asações personalizadas do AWS Security Hub e as regras do Amazon EventBridge iniciam a resposta automatizada de segurança dos manuais da AWS para tratar as descobertas. Uma regra do EventBridge é implantada para corresponder ao evento de ação personalizada, e uma regra de evento do Amazon EventBridge é implantada para cada controle suportado (desativado por padrão) para corresponder ao evento de descoberta em tempo real.
Você pode usar o menu Security Hub Custom Action (Ação personalizada do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, pode ativar as remediações automatizadas. Isso pode ser ativado por remediação, não é necessário ativar iniciações automáticas em todas as remediações.
3. Orquestrar: usando perfis multicontas do AWS Identity and Access Management (IAM), o Step Functions na conta do administrador invoca a correção na conta de membro que contém o recurso que produziu a descoberta de segurança.
4. Corrigir: um documento do AWS Systems Manager Automation na conta de membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desabilitar o acesso público do AWS Lambda.
5. Registrar em log: o manual registra em log os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da descoberta. No painel do Security Hub, o status do fluxo de trabalho da descoberta muda de NEW para NOTIFIED ou RESOLVED. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
Conteúdo relacionado
A AvalonBay Communities Inc. migrou para uma arquitetura sem servidor na AWS, acelerando o desenvolvimento em 75%, reduzindo os custos em 40% e mantendo uma forte segurança.
Este curso fornece uma visão geral das tecnologias de segurança da AWS, além de casos de uso, benefícios e serviços.
Este exame testa sua experiência técnica na proteção de produtos e serviços da AWS. Ele é indicado para qualquer profissional que ocupe uma função especializada na área de segurança.