Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilite las correcciones totalmente automatizadas
El otro modo de funcionamiento de la solución consiste en corregir automáticamente los hallazgos a medida que llegan a Security Hub.
importante
Antes de habilitar las correcciones totalmente automatizadas, asegúrese de que la solución esté configurada en las cuentas y regiones en las que esté de acuerdo con la solución y realice cambios automatizados. Si desea limitar el alcance de las correcciones automatizadas de la solución, consulte la siguiente sección sobre el filtrado de las correcciones totalmente automatizadas.
Ejemplo: habilitar soluciones totalmente automatizadas para Lambda.1
Al habilitar las correcciones automáticas, se iniciarán las correcciones en todos los recursos que coincidan con el control que habilite (Lambda.1).
importante
Confirme que quiere que se revoque este permiso a todas las funciones Lambda públicas incluidas en el ámbito de la solución. El alcance de las correcciones totalmente automatizadas no se limitará a la función que haya creado. La solución solucionará este control si se detecta en alguna de las cuentas o regiones en las que esté instalado.
| Cuenta | Finalidad | Acción en us-east-1 | Acción en el us-west-2 |
|---|---|---|---|
|
|
Administrador |
Confirma que no hay ninguna función pública deseada |
Confirme que no haya ninguna función pública deseada |
|
|
Miembro |
Confirme que no haya ninguna función pública deseada |
Confirme que no haya ninguna función pública deseada |
Localice la tabla de configuración de correcciones de DynamoDB
En la cuenta de administrador, consulte la pila Outputs de administración de la consola. CloudFormation Verás una salida tituladaRemediationConfigurationDynamoDBTable.
Este es el nombre de la tabla DynamoDB de configuración de remediación, que controla las configuraciones de corrección automatizadas de la solución. Copie el valor de este resultado y busque la tabla de DynamoDB correspondiente en la consola de DynamoDB.
| Cuenta | Finalidad | Acción en us-east-1 | Acción en el us-west-2 |
|---|---|---|---|
|
|
Administrador |
Localice la tabla DynamoDB de configuración de remediación. |
Ninguno |
|
|
Miembro |
Ninguno |
Ninguno |
Modifique la tabla de configuración de correcciones
En la consola de DynamoDB en la que se encuentra la tabla de configuración de correcciones, seleccione Explore Table Items.
Cada elemento de la tabla corresponde a un control de Security Hub compatible con la solución. Cada elemento tiene un automatedRemediationEnabled atributo que se puede modificar para permitir soluciones totalmente automatizadas para el control asociado.
Para activar Lambda.1, en Escanear o consultar elementos, seleccione Consulta. En la clave de partición: introduzca ControlID y haga clic en EjecutarLambda.1. Verás que se devuelve un único artículo correspondiente al control Lambda.1.
Ahora, seleccione el Lambda.1 elemento y, a continuación, haga clic en Acciones > Editar elemento.
Por último, cambie el valor del automatedRemediationEnabled atributo a True. Haga clic en Guardar y cerrar.
| Cuenta | Finalidad | Acción en us-east-1 | Acción en el us-west-2 |
|---|---|---|---|
|
|
Administrador |
Modifique la tabla de DynamoDB de configuración de remediación. |
Ninguno |
|
|
Miembro |
Ninguno |
Ninguno |
Configure el recurso
En la cuenta del miembro, vuelva a configurar la función Lambda para permitir el acceso público.
| Cuenta | Finalidad | Acción en us-east-1 | Acción en el us-west-2 |
|---|---|---|---|
|
|
Administrador |
Ninguno |
Ninguno |
|
|
Miembro |
Ninguno |
Configurar la función Lambda para permitir el acceso público |
Confirme que la corrección resolvió el hallazgo
Es posible que Config tarde algún tiempo en volver a detectar la configuración insegura. Deberías recibir dos notificaciones de SNS. La primera indicará que se ha iniciado una reparación. La segunda indicará que la remediación se ha realizado correctamente. Tras recibir la segunda notificación, diríjase a la consola Lambda de la cuenta del miembro y confirme que se ha revocado el acceso público.
| Cuenta | Finalidad | Acción en us-east-1 | Acción en el us-west-2 |
|---|---|---|---|
|
|
Administrador |
Ninguno |
Ninguno |
|
|
Miembro |
Ninguno |
Confirme que la corrección se ha realizado correctamente |
(Opcional) Configure el filtrado para las correcciones totalmente automatizadas
Si desea limitar el ámbito en el que la solución ejecuta las correcciones, puede aplicar filtros. Estos filtros solo se aplicarán a las remediaciones totalmente automatizadas y no afectarán a las remediaciones invocadas manualmente.
La solución ofrece el filtrado en las siguientes dimensiones:
-
ID de cuenta
-
Unidades organizativas (OUs)
-
Etiquetas de recursos
Cada dimensión se puede configurar modificando los parámetros del Systems Manager implementados por la solución correspondientes a la dimensión dada. Todos los parámetros de filtrado del almacén de parámetros se pueden ubicar en la cuenta de administrador, debajo de la /ASR/Filters/ ruta.
Cada dimensión tiene dos parámetros para la configuración, uno para el valor del filtro y otro para el modo de filtro. Por ejemplo, la dimensión de identificadores de cuenta tiene dos parámetros denominados /ASR/Filters/AccountFilters y/ASR/Filters/AccountFilterMode. Ambos deben modificarse para configurar el filtrado de los identificadores de cuenta.
Por ejemplo, para limitar las correcciones totalmente automatizadas a que se ejecuten únicamente en 111111111111 las cuentas222222222222, cambiaría el valor /ASR/Filters/AccountFilters a «1111, 222222222222". A continuación, cambie el valor de a «Incluir». /ASR/Filters/AccountFilterMode A continuación, la solución ignorará los resultados generados para cuentas distintas de 1111 o 222222222222.
Cada parámetro de filtro requiere una lista de valores delimitados por comas para filtrar, y cada parámetro de «modo» se puede configurar como Incluir, Excluir o Desactivar.
