View a markdown version of this page

Présentation de l’architecture - Réponse de sécurité automatisée sur AWS
Diagramme d’architecture

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de l’architecture

Cette section fournit un schéma d'architecture d'implémentation de référence pour les composants déployés avec cette solution.

Diagramme d’architecture

Le déploiement de cette solution avec les paramètres par défaut crée l'environnement suivant dans le cloud AWS.

Réponse de sécurité automatisée sur l'architecture AWS

réponse de sécurité automatisée sur le schéma d'architecture AWS
Note

Les CloudFormation ressources AWS sont créées à partir des constructions du kit AWS Cloud Development Kit (AWS CDK).

Le flux de haut niveau pour les composants de solution déployés avec le CloudFormation modèle AWS est le suivant :

  1. Détecter : AWS Security Hub fournit aux clients une vue complète de leur état de sécurité AWS. Cela les aide à mesurer leur environnement par rapport aux normes et aux meilleures pratiques du secteur de la sécurité. Il fonctionne en collectant des événements et des données provenant d'autres services AWS, tels qu'AWS Config, Amazon Guard Duty et AWS Firewall Manager. Ces événements et données sont analysés par rapport aux normes de sécurité, telles que le CIS AWS Foundations Benchmark. Les exceptions sont invoquées sous forme de conclusions dans la console AWS Security Hub. Les nouvelles découvertes sont envoyées sous forme d' EventBridgeévénements Amazon.

  2. Écoutez : EventBridge des événements sont émis par AWS Security Hub pour chaque découverte créée ou modifiée par le service. Automated Security Response on AWS (ASR) déploie deux EventBridge règles qui écoutent les événements générés par AWS Security Hub :

    • EventBridge Règle d'action personnalisée : écoute les événements d'actions personnalisées émis par AWS Security Hub CSPM lorsque l'action personnalisée « Corriger avec ASR » est déclenchée par un utilisateur. L'événement est transmis à l'orchestrateur pour y remédier.

    • EventBridge Règle des résultats : écoute tous les événements de création ou de mise à jour de recherche émis par AWS Security Hub et AWS Security Hub CSPM. Ces événements sont transmis à la file d'attente SQS du préprocesseur pour un traitement ultérieur.

  3. Lancer : vous pouvez lancer les corrections manuellement ou les configurer pour qu'elles s'exécutent automatiquement. Pour exécuter une correction manuellement, vous pouvez utiliser l'interface utilisateur Web déployée par la solution ou la fonctionnalité d'actions personnalisées d'AWS Security Hub CSPM. Après des tests approfondis dans un environnement hors production, vous pouvez également activer les corrections automatisées. Vous pouvez activer les automatisations pour des corrections individuelles. Il n'est pas nécessaire d'activer les initiations automatiques pour toutes les corrections. Pour configurer les corrections afin qu'elles s'exécutent automatiquement, consultez la page Activer les corrections entièrement automatisées.

  4. Pré-correction : dans le compte administrateur, AWS Step Functions traite l'événement de correction et le prépare à être planifié.

  5. Planification : la solution invoque la fonction de planification AWS Lambda pour placer l'événement de correction dans la table d'état d'Amazon DynamoDB.

  6. Orchestrate : dans le compte administrateur, Step Functions utilise des rôles AWS Identity and Access Management (IAM) multicomptes. Step Functions invoque la correction dans le compte membre contenant la ressource à l'origine de la constatation de sécurité.

  7. Corriger : un document AWS Systems Manager Automation contenu dans le compte membre exécute l'action requise pour corriger le résultat sur la ressource cible, par exemple en désactivant l'accès public à Lambda.

    Vous pouvez éventuellement activer la fonctionnalité Action Log dans les piles de membres à l'aide du paramètre EnableCloudTrailForASRActionLog. Cette fonctionnalité capture les actions entreprises par la solution dans vos comptes de membres et les affiche dans le tableau de CloudWatch bord Amazon de la solution.

  8. (Facultatif) Créez un ticket : si vous utilisez le TicketGenFunctionNameparamètre pour activer la billetterie dans la pile d'administration, la solution invoque la fonction Lambda du générateur de tickets fournie. Cette fonction Lambda crée un ticket dans votre service de billetterie une fois que la correction a été exécutée avec succès dans le compte du membre. Nous fournissons des piles pour l'intégration avec Jira et. ServiceNow

  9. Notifier et consigner : le playbook enregistre les résultats dans un CloudWatch groupe de journaux, envoie une notification à une rubrique Amazon Simple Notification Service (Amazon SNS) et met à jour les résultats du Security Hub. La solution conserve une piste d'audit des actions figurant dans les notes de constatation.