Resposta automatizada de segurança na AWS

Esta solução da AWS é um complemento que funciona com o AWS Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas práticas recomendadas relacionadas a ameaças à segurança. Ela ajuda os clientes do AWS Security Hub a solucionar constatações de segurança comuns e a melhorar o seu procedimento de segurança na AWS.

Benefícios

Integração com o AWS Security Hub

em branco

Inicie remediações e constatações usando ações personalizadas no console do Security Hub.

Remediação entre contas com um único clique

Implante facilmente a solução em contas principais e de membros.

Manuais de remediação

em branco

Acesse manuais de remediação compatíveis com os benchmarks do AWS Foundations v1.2.0 do Center for Internet Security (CIS), com as práticas recomendadas de segurança do AWS Foundational (AFSBP) v1.0.0 e com o Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1.

Remediações automáticas

em branco

Implante um conjunto predefinido de ações de resposta e remediação para responder a ameaças automaticamente.

Visão geral da solução da AWS

O diagrama abaixo apresenta a arquitetura sem servidor que você pode desenvolver usando o guia de implementação da solução e o respectivo modelo do AWS CloudFormation.

Resposta e remediação automatizadas do AWS Security Hub | Diagrama da arquitetura

Clique para aumentar

Resposta automatizada de segurança na arquitetura de soluções da AWS

A solução de resposta e remediação automatizadas do AWS Security Hub contém os seguintes fluxos de trabalho principais: detectar, ingerir, remediar e registrar.

1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. Exceções são declaradas como constatações no console do AWS Security Hub. As novas constatações são enviadas como Amazon CloudWatch Events.

2. Ingerir: ações personalizadas do AWS Security Hub e as regras do Amazon CloudWatch Events iniciam manuais de resposta e remediação automatizadas do Security Hub para abordar as constatações. Duas regras do CloudWatch Event são implantadas para cada controle compatível com a solução: uma regra para corresponder ao evento de ação personalizada (remediação iniciada pelo usuário) e outra regra (desabilitada por padrão) para corresponder ao evento de constatação em tempo real. Os clientes podem usar o menu Security Hub Custom Action (Ações personalizadas do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, podem habilitar o acionamento automático para remediação automatizada. Essa decisão pode ser tomada para cada remediação. Não é necessário habilitar gatilhos automáticos em todas as remediações.

3. Remediar: usando funções do AWS Identity and Access Management (IAM) entre contas, a remediação automatizada usa a API da AWS para executar as tarefas necessárias para remediar as constatações. Todos os manuais dessa solução chamam funções do AWS Lambda. Algumas funções Lambda realizam a remediação diretamente. Outras, usam documentos de automação do AWS Systems Manager.

4. Registrar: o manual registra os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a constatação do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da constatação. No painel do Security Hub, o status do fluxo de trabalho da constatação muda de NOVO para NOTIFICADO ou RESOLVIDO. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.