Esta solução da AWS é um complemento que funciona com o AWS Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas práticas recomendadas relacionadas a ameaças à segurança. Ela ajuda os clientes do AWS Security Hub a solucionar constatações de segurança comuns e a melhorar o seu procedimento de segurança na AWS.
Benefícios
Integração com o AWS Security Hub
Remediação entre contas com um único clique
Manuais de remediação
Remediações automáticas
Visão geral da solução da AWS
O diagrama abaixo apresenta a arquitetura sem servidor que você pode desenvolver usando o guia de implementação da solução e o respectivo modelo do AWS CloudFormation.

Resposta automatizada de segurança na arquitetura de soluções da AWS
A solução de resposta e remediação automatizadas do AWS Security Hub contém os seguintes fluxos de trabalho principais: detectar, ingerir, remediar e registrar.
1. Detectar: o AWS Security Hub fornece aos clientes uma visão abrangente de seus estados de segurança da AWS. Ele ajuda a medir o ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Seu funcionamento baseia-se em coletar eventos e dados de outros serviços da AWS, como o AWS Config, o Amazon Guard Duty e o AWS Firewall Manager. Esses eventos e dados são analisados em relação aos padrões de segurança, como o CIS AWS Foundations Benchmark. Exceções são declaradas como constatações no console do AWS Security Hub. As novas constatações são enviadas como Amazon CloudWatch Events.
2. Ingerir: ações personalizadas do AWS Security Hub e as regras do Amazon CloudWatch Events iniciam manuais de resposta e remediação automatizadas do Security Hub para abordar as constatações. Duas regras do CloudWatch Event são implantadas para cada controle compatível com a solução: uma regra para corresponder ao evento de ação personalizada (remediação iniciada pelo usuário) e outra regra (desabilitada por padrão) para corresponder ao evento de constatação em tempo real. Os clientes podem usar o menu Security Hub Custom Action (Ações personalizadas do Security Hub) para iniciar a remediação automatizada ou, após um teste cuidadoso em um ambiente de não produção, podem habilitar o acionamento automático para remediação automatizada. Essa decisão pode ser tomada para cada remediação. Não é necessário habilitar gatilhos automáticos em todas as remediações.
3. Remediar: usando funções do AWS Identity and Access Management (IAM) entre contas, a remediação automatizada usa a API da AWS para executar as tarefas necessárias para remediar as constatações. Todos os manuais dessa solução chamam funções do AWS Lambda. Algumas funções Lambda realizam a remediação diretamente. Outras, usam documentos de automação do AWS Systems Manager.
4. Registrar: o manual registra os resultados em um grupo do Amazon CloudWatch Logs, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a constatação do Security Hub. Uma trilha de auditoria das ações executadas é mantida nas notas da constatação. No painel do Security Hub, o status do fluxo de trabalho da constatação muda de NOVO para NOTIFICADO ou RESOLVIDO. As notas de constatações de segurança são atualizadas para refletir a remediação realizada.
Resposta automatizada de segurança na AWS
Versão 1.5.0
Data de lançamento: 6/2022
Autor: AWS
Tempo de implantação estimado: 15 minutos
Recursos adicionais
Baixe o guia de implementaçãoConteúdo relacionado

Explore nossa biblioteca de Implementações de soluções da AWS para obter respostas para problemas comuns de arquitetura.

Encontre parceiros de consultoria e tecnologia certificados pela AWS para ajudar você a começar.

Explore nosso portfólio de Ofertas de consultoria para obter ajuda aprovada pela AWS com a implantação de soluções.