AWS Security Hub - Resposta e remediação automatizadas

O que esta Implementação de soluções da AWS faz?

Esta solução é um complemento que funciona com o AWS Security Hub e fornece resposta predefinida e ações de remediação com base nos padrões de conformidade do setor e nas práticas recomendas para ameaças à segurança. A solução ajuda os clientes do AWS Security Hub a solucionar constatações de segurança comuns e melhorar sua postura de segurança na AWS.

Benefícios

Integração com o AWS Security Hub

em branco

Inicie remediações e constatações usando ações personalizadas no console do Security Hub.

Remediação entre contas com um único clique

Implante facilmente a solução em contas principais e contas-membro.

Manuais de remediação

em branco

Acesse manuais de remediação que oferecem suporte aos benchmarks do AWS Foundations v1.2.0 do Center for Internet Security (CIS) e às práticas recomendadas de segurança do AWS Foundational (AFSBP) v1.0.0.

Remediações automáticas

em branco

Implante um conjunto predefinido de ações de resposta e remediação para responder a ameaças automaticamente.

Visão geral da Implementação de soluções da AWS

O diagrama abaixo apresenta a arquitetura sem servidor que você pode implantar automaticamente usando o guia de implementação da solução e o respectivo modelo do AWS CloudFormation.

AWS Security Hub - Resposta e remediação automatizadas | Diagrama da arquitetura

Clique para aumentar

Arquitetura da solução AWS Security Hub - Resposta e remediação automatizadas

A solução AWS Security Hub - resposta e remediação automatizadas contém os seguintes fluxos de trabalho principais: detectar, ingerir, remediar e registrar.

1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. Exceções são declaradas como constatações no console do AWS Security Hub. As novas constatações são enviadas como Amazon CloudWatch Events.

2. Ingerir: ações personalizadas do AWS Security Hub e as regras do Amazon CloudWatch Events iniciam manuais de resposta e remediação automatizadas do Security Hub para abordar as constatações. Duas regras do CloudWatch Event são implantadas para cada controle compatível com a solução: uma regra para corresponder ao evento de ação personalizada (remediação iniciada pelo usuário) e outra regra (desabilitada por padrão) para corresponder ao evento de constatação em tempo real. Os clientes podem usar o menu de Ações personalizadas do Security Hub para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, podem habilitar o acionamento automático para remediação automatizada. Essa decisão pode ser tomada para cada remediação. Não é necessário habilitar gatilhos automáticos em todas as remediações.

3. Remediar: usando funções do AWS Identity and Access Management (IAM) entre contas, a remediação automatizada usa a API da AWS para executar as tarefas necessárias para remediar as constatações. Todos os manuais dessa solução chamam funções do AWS Lambda. Algumas funções do Lambda realizam a remediação diretamente. Outras usam documentos de automação do AWS Systems Manager.

4. Registrar: o manual registra os resultados no grupo do Amazon CloudWatch Logs da solução, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a constatação do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da constatação. No painel do Security Hub, o status do fluxo de trabalho da constatação muda de NOVO para NOTIFICADO ou RESOLVIDO. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.