View a markdown version of this page

Übersicht über die Architektur - Automatisierte Sicherheitsreaktion auf AWS
Architekturdiagramm

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Architektur

Dieser Abschnitt enthält ein Referenzdiagramm zur Implementierungsarchitektur für die mit dieser Lösung bereitgestellten Komponenten.

Architekturdiagramm

Durch die Bereitstellung dieser Lösung mit den Standardparametern wird die folgende Umgebung in der AWS-Cloud erstellt.

Automatisierte Sicherheitsreaktion auf AWS-Architektur

automatisierte Sicherheitsreaktion im AWS-Architekturdiagramm
Anmerkung

CloudFormation AWS-Ressourcen werden aus Konstrukten des AWS Cloud Development Kit (AWS CDK) erstellt.

Der allgemeine Ablauf für die mit der CloudFormation AWS-Vorlage bereitgestellten Lösungskomponenten sieht wie folgt aus:

  1. Erkennen: AWS Security Hub bietet Kunden einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. Es hilft ihnen, ihre Umgebung anhand der Standards und bewährten Verfahren der Sicherheitsbranche zu messen. Es funktioniert durch das Sammeln von Ereignissen und Daten aus anderen AWS-Services wie AWS Config, Amazon Guard Duty und AWS Firewall Manager. Diese Ereignisse und Daten werden anhand von Sicherheitsstandards wie dem CIS AWS Foundations Benchmark analysiert. Ausnahmen werden als Ergebnisse in der AWS Security Hub Hub-Konsole geltend gemacht. Neue Ergebnisse werden als EventBridgeAmazon-Events gesendet.

  2. Zuhören: EventBridge Ereignisse werden von AWS Security Hub für jedes Ergebnis ausgegeben, das durch den Service erstellt oder geändert wird. Automated Security Response on AWS (ASR) setzt zwei EventBridge Regeln ein, die darauf achten, dass von AWS Security Hub generierte Ereignisse gefunden werden:

    • Benutzerdefinierte EventBridge Aktionsregel: Überwacht benutzerdefinierte Aktionsereignisse, die von AWS Security Hub CSPM ausgelöst werden, wenn die benutzerdefinierte Aktion „Remediate with ASR“ von einem Benutzer ausgelöst wird. Das Ereignis wird zur Behebung an den Orchestrator weitergeleitet.

    • EventBridge Ergebnisregel: Überwacht alle Ereignisse zum Erstellen oder Aktualisieren von Ergebnissen, die von AWS Security Hub und AWS Security Hub CSPM ausgegeben werden. Diese Ereignisse werden zur weiteren Verarbeitung an die SQS-Warteschlange des Präprozessors weitergeleitet.

  3. Initiieren: Sie können Behebungen manuell einleiten oder sie so konfigurieren, dass sie automatisch ausgeführt werden. Um eine Problembehebung manuell durchzuführen, können Sie die von der Lösung bereitgestellte Web-UI oder die Funktion für benutzerdefinierte Aktionen in AWS Security Hub CSPM verwenden. Nach sorgfältigen Tests in einer Umgebung außerhalb der Produktionsumgebung können Sie auch automatisierte Problembehebungen aktivieren. Sie können Automatisierungen für einzelne Behebungen aktivieren — Sie müssen die automatischen Initiierungen nicht für alle Behebungen aktivieren. Informationen zur Konfiguration der automatischen Ausführung von Behebungen finden Sie auf der Seite Vollautomatische Behebungen aktivieren.

  4. Vorabbehebung: Im Administratorkonto verarbeitet AWS Step Functions das Behebungsereignis und bereitet es für die Planung vor.

  5. Zeitplan: Die Lösung ruft die AWS-Lambda-Scheduling-Funktion auf, um das Behebungsereignis in der Amazon DynamoDB DynamoDB-Statustabelle zu platzieren.

  6. Orchestrieren: Im Administratorkonto verwendet Step Functions kontenübergreifende AWS Identity and Access Management (IAM) -Rollen. Step Functions ruft die Problembehebung in dem Mitgliedskonto auf, das die Ressource enthält, die zu der Sicherheitslücke geführt hat.

  7. Korrigieren: Ein AWS Systems Manager Automation-Dokument im Mitgliedskonto führt die zur Behebung des Fehlers auf der Zielressource erforderlichen Maßnahmen durch, z. B. die Deaktivierung des öffentlichen Lambda-Zugriffs.

    Optional können Sie die Aktionsprotokollfunktion in den Mitglieds-Stacks mit dem Log-Parameter aktivieren. EnableCloudTrailFor ASRAction Diese Funktion erfasst die von der Lösung ausgeführten Aktionen in Ihren Mitgliedskonten und zeigt sie im CloudWatchAmazon-Dashboard der Lösung an.

  8. (Optional) Erstellen Sie ein Ticket: Wenn Sie den TicketGenFunctionNameParameter verwenden, um das Ticketing im Admin-Stack zu aktivieren, ruft die Lösung die bereitgestellte Lambda-Funktion für den Ticketgenerator auf. Diese Lambda-Funktion erstellt ein Ticket in Ihrem Ticketservice, nachdem die Problembehebung im Mitgliedskonto erfolgreich ausgeführt wurde. Wir bieten Stacks für die Integration mit Jira und. ServiceNow

  9. Benachrichtigen und protokollieren: Das Playbook protokolliert die Ergebnisse in einer CloudWatch Protokollgruppe, sendet eine Benachrichtigung an ein Amazon Simple Notification Service (Amazon SNS) -Thema und aktualisiert den Security Hub Hub-Befund. Die Lösung führt in den Ergebnisnotizen einen Prüfpfad der Aktionen.