Übersicht
Automated Security Response in AWS ist ein Add-on, welches mit AWS Security Hub arbeitet und vordefinierte Reaktions- und Behebungsmaßnahmen auf der Grundlage von Branchen-Compliance-Standards und bewährten Methoden für Sicherheitsbedrohungen bietet. Wenn Sie Security Hub verwenden, kann Ihnen diese AWS-Lösung dabei helfen, häufig auftretende Sicherheitsprobleme zu beheben und gleichzeitig Ihre allgemeine Sicherheit auf AWS zu verbessern. Diese Lösung kann Ihnen helfen, Ihre Workloads an den bewährten Methoden der Well-Architected-Security-Säule auszurichten.
Vorteile
Initiieren Sie Abhilfemaßnahmen und Befunde durch benutzerdefinierte Aktionen in der Security Hub-Konsole.
Konfigurieren Sie AWS-Foundations-Benchmarks oder bewährte Methoden für die Sicherheit von AWS Foundational.
Stellen Sie einen vordefinierten Satz von Reaktionen und Behebungsmaßnahmen bereit, um automatisch auf Bedrohungen zu reagieren.
Erweitern Sie diese Lösung um benutzerdefinierte Problembehebungs- und Playbook-Implementierungen. Oder stellen Sie ein benutzerdefiniertes Playbook für einen neuen Satz von Steuerelementen bereit.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Voraussetzung: Die im Konto des delegierten Administrators aggregierten Security-Hub-Ergebnisse initiieren AWS Step Functions. Step Functions ruft im Mitgliedskonto ein SSM-Automatisierungsdokument zur Behebung auf, das die Ressource enthält, die die AWS-Security-Hub-Erkenntnis generiert hat.
1. Erkennen: Der Security Hub bietet Ihnen einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Es hilft Ihnen, Ihre Umgebung mit den Standards der Sicherheitsindustrie und den besten Praktiken zu vergleichen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon GuardDuty und AWS Firewall Manager.
Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Initiieren: Mit benutzerdefinierten Aktionen können Sie Erkenntnisse gegen Befunde initiieren, die zu Amazon EventBridge Events führen. Benutzerdefinierte Aktionen von AWS Security Hubund Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Orchestrieren: Mithilfe kontoübergreifender AWS Identity and Access Management (IAM)-Rollen ruft AWS Step Functions im Administratorkonto die Korrektur in dem Mitgliedskonto auf, das die Ressource enthält, die die Sicherheitserkenntnis erstellt hat.
4. Korrigieren: Ein AWS-Systems-Manager-Automation-Dokument im Mitgliedskonto führt die erforderlichen Maßnahmen zur Behebung der Erkenntnis auf der Zielressource durch, z. B. die Deaktivierung des öffentlichen Zugriffs auf AWS Lambda.
5. Protokoll: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Erkenntnis. Ein Audit Trail für die ergriffenen Maßnahmen wird in den Erkenntnisvermerken festgehalten.
Im Security-Hub-Dashboard wird die Erkenntnis des Befund-Workflow von NEU in BENACHRICHTIGT oder BEHOBEN im Security-Hub-Dashboard geändert. Die Hinweise zum Sicherheitsbefund werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
Voraussetzung: Die im Konto des delegierten Administrators aggregierten Security Hub-Ergebnisse initiieren AWS Step Functions. Step Functions ruft im Mitgliedskonto ein SSM-Automatisierungsdokument zur Behebung auf, das die Ressource enthält, die die AWS-Security-Hub-Erkenntnis generiert hat.
1. Erkennen: Der Security Hub bietet Ihnen einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Es hilft Ihnen, Ihre Umgebung mit den Standards der Sicherheitsindustrie und den besten Praktiken zu vergleichen. Er funktioniert durch das Sammeln von Ereignissen und Daten von anderen AWS-Services, wie AWS Config, Amazon GuardDuty und AWS Firewall Manager.
Diese Ereignisse und Daten werden anhand von Sicherheitsstandards, wie z. B. CIS AWS Foundations Benchmark, analysiert. Ausnahmen werden als Befunde in der Security-Hub-Konsole geltend gemacht. Neue Erkenntnisse werden als Amazon EventBridge gesendet.
2. Initiieren: Mit benutzerdefinierten Aktionen können Sie Erkenntnisse gegen Befunde initiieren, die zu Amazon EventBridge Events führen. Benutzerdefinierte Aktionen von AWS Security Hubund Amazon-EventBridge-Regeln initiieren Playbooks von Automatische Sicherheitsreaktion in AWS, um die Erkenntnisse zu bearbeiten. Eine EventBridge-Regel wird entsprechend dem benutzerdefinierten Aktionsereignis bereitgestellt, und für jedes unterstützte Steuerelement (standardmäßig deaktiviert) wird eine EventBridge-Event-Regel bereitgestellt, um dem Erkenntnis-Ereignis in Echtzeit zu entsprechen.
Sie können das Menü Benutzerdefinierte Aktion des Security Hub verwenden, um automatische Abhilfemaßnahmen zu initiieren, oder sie können nach sorgfältigen Tests in einer nicht produktiven Umgebung automatische Abhilfemaßnahmen aktivieren. Dies kann für jede Abhilfemaßnahme aktiviert werden, es ist nicht notwendig, die automatische Initiierung für alle Abhilfemaßnahmen zu aktivieren.
3. Orchestrieren: Mithilfe kontoübergreifender AWS Identity and Access Management (IAM)-Rollen ruft AWS Step Functions im Administratorkonto die Korrektur in dem Mitgliedskonto auf, das die Ressource enthält, die die Sicherheitserkenntnis erstellt hat.
4. Korrigieren: Ein AWS-Systems-Manager-Automation-Dokument im Mitgliedskonto führt die erforderlichen Maßnahmen zur Behebung der Erkenntnis auf der Zielressource durch, z. B. die Deaktivierung des öffentlichen Zugriffs auf AWS Lambda.
5. Protokoll: Das Playbook protokolliert die Ergebnisse in einer Amazon-CloudWatch-Logs-Gruppe, sendet eine Benachrichtigung an ein Amazon-Simple-Notification-Service-Thema (Amazon SNS) und aktualisiert die Security-Hub-Erkenntnis. Ein Audit Trail für die ergriffenen Maßnahmen wird in den Erkenntnisvermerken festgehalten.
Im Security-Hub-Dashboard wird die Erkenntnis des Befund-Workflow von NEU in BENACHRICHTIGT oder BEHOBEN im Security-Hub-Dashboard geändert. Die Hinweise zum Sicherheitsbefund werden mit der durchgeführten Abhilfemaßnahme aktualisiert.
- Datum der Veröffentlichung
Ähnliche Inhalte
AvalonBay Communities Inc. migrierte zu einer Serverless-Architektur in AWS, wodurch die Entwicklung um 75 Prozent beschleunigt wurde, während die Kosten um 40 Prozent gesenkt wurden und starke Sicherheit gewährleistet wurde.
Dieser Kurs bietet eine Übersicht über die AWS-Sicherheitstechnologie, Anwendungsfälle, Vorteile und Services.
Diese Prüfung testet Ihre technische Kompetenz bei der Sicherung der AWS-Plattform. Sie eignet sich für jeden, der im Bereich Sicherheit Erfahrung hat.