概觀

此 AWS 解決方案是一種附加解決方案,可與 AWS Security Hub 搭配使用,並根據針對安全威脅的產業合規標準和最佳實務,提供預先定義的回應和修復動作。它可協助 AWS Security Hub 客戶更輕鬆地解決常見的安全調查結果,並改善其在 AWS 中的安全狀態。
此解決方案為客戶提供了一本手冊,供客戶自選要在 Security Hub 主要帳戶中部署的內容。每本手冊均包含必要的自訂動作、IAM 角色、Amazon EventBridge 事件,以及任何 Systems Manager Automation 文件、AWS Lambda 函數,或在單一 AWS 帳戶內或跨多個帳戶啟動修復工作流程所需的 AWS Step Functions。
優勢

使用 Security Hub 主控台中的自訂動作來啟動修復和問題清單。
在主要帳戶和成員帳戶中輕鬆部署解決方案。
存取支援 Center for Internet Security (CIS) AWS Foundations 基準 1.4.0 版或 AWS 基礎安全最佳實務 (AFSBP) 1.0.0 版等標準的修復手冊。
部署一組預先定義的回應和修復動作以自動回應威脅。
透過部署自訂的 AWS Systems Manager Automation 文件和 AWS IAM 角色,使用自訂修復和手冊實作來擴展解決方案。 若要支援解決方案未實作的全新控制項集,請部署自訂手冊。
技術詳細資訊

下圖顯示您可以使用解決方案的實作指南和隨附的 AWS CloudFormation 範本來建置的無伺服器架構。
Automated Security Response on AWS 包含下列主要工作流程:偵測、擷取、修復和日誌。
1.偵測︰AWS Security Hub 為客戶提供其 AWS 安全狀態的全面檢視。可協助他們根據安全產業標準和最佳實務來衡量其環境。透過從其他 AWS 服務收集事件和資料運作,例如 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager。這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 AWS Security Hub 主控台中將例外狀況宣稱為調查結果。新調查結果將以 Amazon EventBridge的形式傳送。
2.擷取:您可以使用自訂動作針對調查結果啟動事件,進而產生 Amazon EventBridge 事件。 AWS Security Hub 自訂動作和 Amazon EventBridge 規則會啟動 Automated Security Response on AWS 手冊,以解決調查結果。部署一個 Amazon EventBridge 規則以符合自訂動作事件,並針對每個支援的控制項 (預設停用) 部署一個 Amazon EventBridge 事件規則,以同即時調查結果事件相對應。
您可以使用 Security Hub 自訂動作選單來啟動自動修復,或者在非生產環境中經過仔細測試後,可以啟用其自動修復。自動修復可以根據每處修復啟動 — 不需要為所有的修復啟動自動修復。
3.修復:使用跨帳戶 AWS Identity and Access Management (IAM) 角色,自動修復使用 AWS API 執行修復問題清單所需的任務。此解決方案中的所有手冊均以 AWS Systems Manager 文件實作。 這些文件是根據安全控制 ID 進行分類的。AWS Step Function 接收來自 Amazon Eventbridge 事件的問題清單,然後 AWS Step Function 透過 AWS Systems Manager API 呼叫叫用文件。
4.記錄:手冊將結果記錄至 Amazon CloudWatch Logs 群組中,傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題,並更新 Security Hub 問題清單。在問題清單備註中保留對所採取動作的稽核追蹤。在 Security Hub 儀表板上,問題清單工作流程狀態在 Security Hub 儀表板上從 NEW (新) 變更為 NOTIFIED (已通知) 或 RESOLVED (已解決)。安全問題清單備註即會更新,以反映已執行的修復。