Automated Security Response on AWS

AWS Security Hub 自動回應和修復解決方案包含以下主要工作流程：偵測、擷取、修復和記錄。

1.偵測︰AWS Security Hub 為客戶提供其 AWS 安全狀態的全面檢視。可協助他們根據安全產業標準和最佳實務來衡量其環境。透過從其他 AWS 服務收集事件和資料運作，例如 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager。這些事件和資料根據 CIS AWS Foundations Benchmark 等安全標準進行分析。在 AWS Security Hub 主控台中將例外狀況宣稱為問題清單。新的問題清單將作為 Amazon CloudWatch Events 傳送。

2.擷取：AWS Security Hub 自訂動作和 Amazon CloudWatch Events 規則啟動 Security Hub 自動回應和修復手冊，以解決問題清單。該解決方案針對每個受支援的控件部署兩個 CloudWatch 事件規則：一個規則用於比對自訂動作事件 (使用者啟動的修復)，另一個規則 (預設會停用) 用於比對即時問題清單事件。客戶可以使用 Security Hub 自訂動作選單來啟動自動修復，或者在非生產環境中經過仔細測試後，他們可以啟用自動觸發以進行自動修復。可以針對每個修復措施做出此決定，不必對所有修復啟用自動觸發。

3.修復：使用跨帳戶 AWS Identity and Access Management (IAM) 角色，自動修復使用 AWS API 執行修復問題清單所需的任務。此解決方案中的所有手冊都叫用 AWS Lambda 函數。某些 Lambda 函數直接執行修復。其他則使用 AWS Systems Manager Automation 文件。

4.記錄：手冊將結果記錄至 Amazon CloudWatch Logs 群組中，傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題，並更新 Security Hub 問題清單。在問題清單備註中保留對所採取動作的稽核追蹤。在 Security Hub 儀表板上，問題清單工作流程狀態在 Security Hub 儀表板上從 NEW (新) 變更為 NOTIFIED (已通知) 或 RESOLVED (已解決)。安全問題清單備註即會更新，以反映已執行的修復。