Optimalkan: Otomatiskan dan ulangi operasi keamanan cloud Anda - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Optimalkan: Otomatiskan dan ulangi operasi keamanan cloud Anda

Pada fase optimasi, Anda mengotomatiskan operasi keamanan Anda. Seperti tahapan crawl dan walk, Anda dapat menggunakan AWS Security Hub selama tahap run untuk mencapai otomatisasi dan iterasi. Gambar berikut menunjukkan bagaimana Security Hub dapat memicu EventBridge aturan Amazon khusus yang menentukan tindakan otomatis yang harus diambil terhadap temuan dan wawasan tertentu. Untuk informasi selengkapnya, lihat Otomatisasi dalam dokumentasi Security Hub.

Menggunakan AWS Security Hub dan Amazon EventBridge untuk mengotomatiskan operasi keamanan cloud

Dengan menggunakan Security Hub sebagai pusat otomatisasi pusat, Anda juga dapat meneruskan aktivitas ke Splunk. Splunk kemudian dapat mendeteksi yang anomali dan memicu tindakan yang sesuai di. EventBridge Ini membantu Anda mengotomatiskan tugas berulang dan menyediakan lebih banyak waktu bagi anggota tim yang terampil untuk fokus pada aktivitas bernilai lebih tinggi. Anda juga dapat menggunakannya AWS Step Functionsuntuk mengumpulkan log, mengambil foto forensik, mengkarantina server yang disusupi, dan menggantinya dengan gambar emas. Selain itu, Anda dapat menggunakan AWS Lambdafungsi yang digunakan AWS Systems Manageruntuk memulihkan kerentanan di seluruh lingkungan dan menggunakan fungsi Amazon Simple Queue Service (Amazon SQS) untuk memvalidasi keamanan sistem. Dengan mengambil pendekatan ini, dimungkinkan untuk dengan cepat menahan dan memulihkan insiden keamanan dengan dampak minimal terhadap operasi bisnis normal.

Berikut ini adalah contoh tindakan otomatis berulang, seperti yang ditunjukkan pada gambar sebelumnya:

  1. Gunakan Splunk untuk mendeteksi aktivitas yang dipertanyakan.

  2. Gunakan Step Functions untuk mengumpulkan log, mencabut akses, karantina, dan mengambil snapshot forensik.

  3. Gunakan EventBridge aturan untuk memulai fungsi Lambda yang mengkarantina, mengambil foto forensik, dan mengganti server yang disusupi dengan gambar emas.

  4. Mulai fungsi Lambda yang menggunakan Systems Manager untuk memulihkan dan menerapkan tambalan di seluruh lingkungan lainnya.

  5. Mulai pesan Amazon SQS yang menggunakan pemindai Rapid7 untuk memindai dan memvalidasi apakah sumber daya aman. AWS

Untuk informasi selengkapnya, lihat Cara mengotomatiskan respons insiden dalam EC2 instance AWS Cloud for di Blog AWS Keamanan.