Optimización: automatización e iteración de las operaciones de seguridad de nube - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Optimización: automatización e iteración de las operaciones de seguridad de nube

En la fase de optimización, automatizará las operaciones de seguridad. Al igual que las etapas de caminar y caminar, puedes utilizarlas AWS Security Hub CSPM durante la etapa de ejecución para lograr la automatización y la iteración. La siguiente imagen muestra cómo Security Hub CSPM puede activar una EventBridge regla de Amazon personalizada que defina las acciones automáticas que se deben tomar en función de hallazgos e información específicos. Para obtener más información, consulte Automatizaciones en la documentación de CSPM de Security Hub.

Uso de AWS Security Hub CSPM Amazon EventBridge para automatizar las operaciones de seguridad en la nube

Al utilizar Security Hub CSPM como centro de automatización central, también puede reenviar actividades a. Splunk Splunkpuede entonces detectar las que son anómalas y activar las acciones correspondientes. EventBridge Esto lo ayuda a automatizar las tareas repetitivas y proporciona más tiempo para que los miembros cualificados del equipo se centren en actividades de mayor valor. También puede utilizar AWS Step Functions para recopilar registros, tomar instantáneas forenses, poner en cuarentena los servidores comprometidos y sustituirlos por una imagen dorada. Además, puede utilizar una función de AWS Lambda que utiliza AWS Systems Manager para corregir vulnerabilidades en todo el entorno y utiliza una función de Amazon Simple Queue Service (Amazon SQS) para validar la seguridad de los sistemas. Al adoptar este enfoque, es posible contener y corregir rápidamente los incidentes de seguridad con un impacto mínimo en las operaciones empresariales habituales.

A continuación se muestra un ejemplo de acciones automatizadas repetidas, como se muestra en la imagen anterior:

  1. Utilice Splunk para detectar actividades cuestionables.

  2. Utilice Step Functions para recopilar registros, revocar el acceso, poner en cuarentena y tomar instantáneas forenses.

  3. Utilice una EventBridge regla para iniciar una función Lambda que ponga en cuarentena, tome instantáneas forenses y sustituya los servidores comprometidos por una imagen dorada.

  4. Inicie una función de Lambda que utilice Systems Manager para corregir y aplicar parches en el resto del entorno.

  5. Inicie un mensaje de Amazon SQS que utilice el escáner Rapid7 para escanear y validar si el AWS recurso es seguro.

Para obtener más información, consulte Cómo automatizar la respuesta a incidentes en la sección Nube de AWS correspondiente EC2 del blog de AWS seguridad.