Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activez des mesures correctives entièrement automatisées
L'autre mode de fonctionnement de la solution consiste à corriger automatiquement les résultats dès leur arrivée dans Security Hub.
Important
Avant d'activer les corrections entièrement automatisées, assurez-vous que la solution est configurée dans les comptes et les régions où vous êtes conforme aux modifications automatisées apportées par la solution. Si vous souhaitez réduire la portée des corrections automatisées de la solution, consultez la section ci-dessous sur le filtrage des corrections entièrement automatisées.
Exemple : activer les corrections entièrement automatisées pour Lambda.1
L'activation des corrections automatiques initiera des corrections sur toutes les ressources correspondant au contrôle que vous activez (Lambda.1).
Important
Confirmez que vous souhaitez que cette autorisation soit révoquée pour toutes les fonctions Lambda publiques incluses dans le cadre de la solution. La portée des corrections entièrement automatisées ne sera pas limitée à la fonction que vous avez créée. La solution corrigera ce contrôle s'il est détecté dans l'un des comptes ou régions dans lesquels il est installé.
| Compte | Objectif | Action dans us-east-1 | Action dans us-west-2 |
|---|---|---|---|
|
|
Administrateur |
Confirmez qu'aucune fonction publique n'est souhaitée |
Confirmez qu'aucune fonction publique n'est souhaitée |
|
|
Membre |
Confirmez qu'aucune fonction publique n'est souhaitée |
Confirmez qu'aucune fonction publique n'est souhaitée |
Localisez la table DynamoDB de configuration de correction
Dans le compte administrateur, consultez la pile Outputs réservée aux administrateurs dans la CloudFormation console. Vous verrez une sortie intituléeRemediationConfigurationDynamoDBTable.
Il s'agit du nom de la table DynamoDB de configuration de correction, qui contrôle les configurations de correction automatisées pour la solution. Copiez la valeur de cette sortie et recherchez la table DynamoDB correspondante dans la console DynamoDB.
| Compte | Objectif | Action dans us-east-1 | Action dans us-west-2 |
|---|---|---|---|
|
|
Administrateur |
Localisez la table DynamoDB de configuration de correction. |
Aucune |
|
|
Membre |
Aucune |
Aucune |
Modifier le tableau de configuration de la correction
Dans la console DynamoDB où se trouve le tableau de configuration de correction, sélectionnez Explorer les éléments du tableau.
Chaque élément du tableau correspond à un contrôle Security Hub pris en charge par la solution. Chaque élément possède un automatedRemediationEnabled attribut qui peut être modifié pour permettre des corrections entièrement automatisées pour le contrôle associé.
Pour activer Lambda.1, sous Numériser ou interroger des éléments, sélectionnez Requête. Sous Clé de partition : ControlID, entrez Lambda.1 et cliquez sur Exécuter. Vous verrez un seul article retourné correspondant au contrôle Lambda.1.
Maintenant, sélectionnez l'Lambda.1élément, puis cliquez sur Actions > Modifier l'élément.
Enfin, remplacez la valeur de automatedRemediationEnabled l'attribut par True. Cliquez sur Enregistrer et fermer.
| Compte | Objectif | Action dans us-east-1 | Action dans us-west-2 |
|---|---|---|---|
|
|
Administrateur |
Modifiez le tableau DynamoDB de configuration de correction. |
Aucune |
|
|
Membre |
Aucune |
Aucune |
Configuration de la ressource
Dans le compte membre, reconfigurez la fonction Lambda pour autoriser l'accès public.
| Compte | Objectif | Action dans us-east-1 | Action dans us-west-2 |
|---|---|---|---|
|
|
Administrateur |
Aucune |
Aucune |
|
|
Membre |
Aucune |
Configurer la fonction Lambda pour autoriser l'accès public |
Confirmez que la correction a résolu le problème
Config peut mettre un certain temps à détecter à nouveau la configuration non sécurisée. Vous devriez recevoir deux notifications SNS. Le premier indiquera qu'une correction a été initiée. Le second indiquera que la correction a réussi. Après avoir reçu la deuxième notification, accédez à la console Lambda dans le compte membre et confirmez que l'accès public a été révoqué.
| Compte | Objectif | Action dans us-east-1 | Action dans us-west-2 |
|---|---|---|---|
|
|
Administrateur |
Aucune |
Aucune |
|
|
Membre |
Aucune |
Confirmez que la correction a réussi |
(Facultatif) Configurer le filtrage pour des corrections entièrement automatisées
Si vous souhaitez limiter l'étendue dans laquelle la solution exécute les corrections, vous pouvez appliquer des filtres. Ces filtres ne s'appliqueront qu'aux corrections entièrement automatisées et n'auront aucun impact sur les corrections invoquées manuellement.
La solution propose un filtrage sur les dimensions suivantes :
-
Identifiants de compte
-
Unités organisationnelles (OUs)
-
Balises des ressources
Chaque dimension est configurable en modifiant les paramètres de Systems Manager déployés par la solution correspondant à la dimension donnée. Tous les paramètres de filtrage du Parameter Store se trouvent dans le compte Admin, sous le /ASR/Filters/ chemin.
Chaque dimension possède deux paramètres de configuration, l'un pour la valeur du filtre et l'autre pour le mode de filtre. Par exemple, la dimension Account Ids comporte deux paramètres nommés /ASR/Filters/AccountFilters et/ASR/Filters/AccountFilterMode. Les deux doivent être modifiés pour configurer le filtrage sur les identifiants de compte.
Par exemple, pour limiter les corrections entièrement automatisées à l'exécution uniquement sur les comptes 111111111111222222222222, vous devez remplacer la valeur par « 111111111111, /ASR/Filters/AccountFilters 22222222222222 ». Changez ensuite la valeur de /ASR/Filters/AccountFilterMode en « Inclure ». La solution ignorera alors les résultats générés pour des comptes autres que 1111111111 ou 222222222222.
Chaque paramètre de filtre utilise une liste de valeurs séparées par des virgules à filtrer, et chaque paramètre de « mode » peut être défini sur Inclure, Exclure ou Désactivé.
