Optimieren: Automatisieren und iterieren Sie Ihre Cloud-Sicherheitsabläufe - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Optimieren: Automatisieren und iterieren Sie Ihre Cloud-Sicherheitsabläufe

In der Optimierungsphase automatisieren Sie Ihre Sicherheitsabläufe. Wie die Crawl- und Walk-Phasen können Sie auch AWS Security Hub während der Run-Phase verwenden, um Automatisierung und Iteration zu erreichen. Die folgende Abbildung zeigt, wie Security Hub eine benutzerdefinierte EventBridgeAmazon-Regel auslösen kann, die automatische Aktionen definiert, die gegen bestimmte Ergebnisse und Erkenntnisse ergriffen werden sollen. Weitere Informationen finden Sie unter Automatisierungen in der Security Hub Hub-Dokumentation.

Verwendung von AWS Security Hub Amazon EventBridge zur Automatisierung von Cloud-Sicherheitsvorgängen

Durch die Verwendung von Security Hub als zentrale Automatisierungszentrale können Sie Aktivitäten auch weiterleiten an Splunk. Splunk kann dann diejenigen erkennen, die anomal sind, und entsprechende Aktionen auslösen. EventBridge Dies hilft Ihnen, sich wiederholende Aufgaben zu automatisieren, und gibt qualifizierten Teammitgliedern mehr Zeit, sich auf wichtigere Aktivitäten zu konzentrieren. Sie können AWS Step Functionsdamit auch Protokolle sammeln, forensische Schnappschüsse erstellen, kompromittierte Server unter Quarantäne stellen und sie durch ein goldenes Image ersetzen. Darüber hinaus können Sie eine AWS LambdaFunktion verwenden, die Sicherheitslücken in der gesamten Umgebung behebt und eine Amazon Simple Queue Service (Amazon SQS) -Funktion verwendet, um die Sicherheit der Systeme zu überprüfen. AWS Systems Manager Mit diesem Ansatz ist es möglich, Sicherheitsvorfälle schnell einzudämmen und zu beheben, ohne den normalen Geschäftsbetrieb zu beeinträchtigen.

Im Folgenden finden Sie ein Beispiel für wiederholte automatisierte Aktionen, wie im vorherigen Bild dargestellt:

  1. Verwenden Sie Splunk um fragwürdige Aktivitäten zu erkennen.

  2. Verwenden Sie Step Functions, um Protokolle zu sammeln, den Zugriff zu widerrufen, unter Quarantäne zu stellen und forensische Schnappschüsse zu erstellen.

  3. Verwenden Sie eine EventBridge Regel, um eine Lambda-Funktion zu starten, die unter Quarantäne stellt, forensische Snapshots erstellt und kompromittierte Server durch ein Golden Image ersetzt.

  4. Starten Sie eine Lambda-Funktion, die Systems Manager verwendet, um Patches zu korrigieren und in der gesamten Umgebung anzuwenden.

  5. Starten Sie eine Amazon SQS SQS-Nachricht, die den Rapid7-Scanner verwendet, um zu scannen und zu überprüfen, ob die AWS Ressource sicher ist.

Weitere Informationen finden Sie im Sicherheits-Blog unter So automatisieren Sie die Reaktion auf Vorfälle in AWS Cloud den AWS vier EC2 Instanzen.