Esta solução da AWS é um complemento que funciona com o AWS Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas práticas recomendadas relacionadas a ameaças à segurança. Ela ajuda os clientes do AWS Security Hub a solucionar constatações de segurança comuns e a melhorar o seu procedimento de segurança na AWS.
Benefícios
Integração com o AWS Security Hub
Remediação entre contas com um único clique
Manuais de remediação
Remediações automáticas
Visão geral da solução da AWS
O diagrama abaixo apresenta a arquitetura sem servidor que você pode desenvolver usando o guia de implementação da solução e o respectivo modelo do AWS CloudFormation.
Resposta automatizada de segurança na arquitetura da AWS
A solução de resposta e remediação automatizadas do AWS Security Hub contém os seguintes fluxos de trabalho principais: detectar, ingerir, remediar e registrar.
1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. Exceções são declaradas como constatações no console do AWS Security Hub. As novas constatações são enviadas como Amazon CloudWatch Events.
2. Ingerir: ações personalizadas do AWS Security Hub e as regras do Amazon CloudWatch Events iniciam manuais de resposta e remediação automatizadas do Security Hub para abordar as constatações. Duas regras do CloudWatch Event são implantadas para cada controle compatível com a solução: uma regra para corresponder ao evento de ação personalizada (remediação iniciada pelo usuário) e outra regra (desabilitada por padrão) para corresponder ao evento de constatação em tempo real. Os clientes podem usar o menu Security Hub Custom Action (Ações personalizadas do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, podem habilitar o acionamento automático para remediação automatizada. Essa decisão pode ser tomada para cada remediação. Não é necessário habilitar gatilhos automáticos em todas as remediações.
3. Remediar: usando funções do AWS Identity and Access Management (IAM) entre contas, a remediação automatizada usa a API da AWS para executar as tarefas necessárias para remediar as constatações. Todos os manuais nessa solução são implementados como documentos do AWS Systems Manager. Esses documentos são categorizados com base na ID de controle de segurança. Uma AWS Step Function recebe uma constatação dos eventos do Amazon Eventbridge. Em seguida, a AWS Step Function invoca os documentos com chamadas da API do AWS Systems Manager.
4. Registrar: o manual registra os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a constatação do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da constatação. No painel do Security Hub, o status do fluxo de trabalho da constatação muda de NEW (NOVO) para NOTIFIED (NOTIFICADO) ou RESOLVED (RESOLVIDO). As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
Resposta automatizada de segurança na AWS
Versão 1.5.1
Data de lançamento:12/2022
Autor: AWS
Tempo de implantação estimado: 15 minutos
Recursos adicionais
Baixe o guia de implementação
Explore nossa biblioteca de soluções da AWS para obter respostas para problemas comuns de arquitetura.
Encontre parceiros da AWS para ajudá-lo a começar.
Diagramas de arquitetura prescritivos, código de amostra e conteúdo técnico para casos de uso comuns.