概觀
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
Automated Security Response on AWS 是一種附加解決方案,可與 AWS Security Hub 搭配使用,並根據針對安全威脅的產業合規標準和最佳實務,提供預先定義的回應和修復動作。使用 Security Hub 時,此 AWS 解決方案可協助您解決常見的安全問題,同時改善 AWS 的整體安全性。此解決方案可協助您調整工作負載,以符合 Well-Architected 安全支柱最佳實務。
優勢
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
使用 Security Hub 主控台中的自訂動作來啟動修復和問題清單。
設定 AWS 基礎基準或 AWS Foundational Security 最佳實務。
部署一組預先定義的回應和修復動作以自動回應威脅。
使用自訂修復和手冊實作,來擴充此解決方案。或者,針對一組新的控制項部署自訂操作手冊。
技術詳細資訊
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
先決條件︰在委派管理員帳戶中 Security Hub 調查結果會起始 AWS Step Functions。Step Functions 會調用成員帳戶中的修復 SSM 自動化文件,帳戶中包含產生 AWS Security Hub 調查結果的資源。
1.偵測︰Security Hub 為您提供其 AWS 安全狀態的全面檢視。可協助您根據安全產業標準和最佳實務來衡量您的環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon GuardDuty 和 AWS Firewall Manager。
這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.起始:您可以使用自訂動作針對調查結果起始事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,您可以啟用自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3.Orchestrate:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,管理員帳戶中的 AWS Step Functions 會調用成員帳戶中的修復功能,成員帳戶包含產生安全發調查結果的資源。
4.修復:成員帳戶中的 AWS Systems Manager Automation 文件會執行必要動作,以修復目標資源上的調查結果,例如停用 AWS Lambda 公開存取。
5.記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 調查結果。在調查結果備註中保留對所採取動作的稽核記錄。
在 Security Hub 儀表板上,調查結果工作流程狀態在 Security Hub 儀表板上從 NEW (新) 變更為「已通知」或「已解決」。安全調查結果備註即會更新,以反映已執行的修復。