View a markdown version of this page

Gambaran umum arsitektur - Respon Keamanan Otomatis di AWS
Diagram arsitektur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum arsitektur

Bagian ini menyediakan diagram arsitektur implementasi referensi untuk komponen yang digunakan dengan solusi ini.

Diagram arsitektur

Menerapkan solusi ini dengan parameter default membangun lingkungan berikut di AWS Cloud.

Respon Keamanan Otomatis pada arsitektur AWS

respons keamanan otomatis pada diagram arsitektur aws
catatan

CloudFormation Sumber daya AWS dibuat dari konstruksi AWS Cloud Development Kit (AWS CDK).

Alur tingkat tinggi untuk komponen solusi yang digunakan dengan CloudFormation template AWS adalah sebagai berikut:

  1. Deteksi: AWS Security Hub memberi pelanggan pandangan komprehensif tentang status keamanan AWS mereka. Ini membantu mereka untuk mengukur lingkungan mereka terhadap standar industri keamanan dan praktik terbaik. Ini bekerja dengan mengumpulkan peristiwa dan data dari layanan AWS lainnya, seperti AWS Config, Amazon Guard Duty, dan AWS Firewall Manager. Peristiwa dan data ini dianalisis berdasarkan standar keamanan, seperti CIS AWS Foundations Benchmark. Pengecualian ditegaskan sebagai temuan di konsol AWS Security Hub. Temuan baru dikirim sebagai EventBridge acara Amazon.

  2. Dengarkan: EventBridge peristiwa dipancarkan oleh AWS Security Hub untuk setiap temuan yang dibuat atau dimodifikasi oleh layanan. Respons Keamanan Otomatis di AWS (ASR) menerapkan dua EventBridge aturan yang mendengarkan untuk menemukan peristiwa yang dihasilkan oleh AWS Security Hub:

    • EventBridge Aturan Tindakan Kustom: Mendengarkan peristiwa tindakan kustom yang dipancarkan oleh AWS Security Hub CSPM saat tindakan kustom 'Remeate with ASR' dipicu oleh pengguna. Acara ini diteruskan ke Orchestrator untuk remediasi.

    • EventBridge Aturan Temuan: Mendengarkan semua peristiwa pembuatan atau pembaruan penemuan yang dipancarkan oleh AWS Security Hub dan AWS Security Hub CSPM. Peristiwa ini diteruskan ke Antrian SQS Pra-Prosesor untuk diproses lebih lanjut.

  3. Memulai: Anda dapat memulai remediasi dengan tangan, atau mengonfigurasinya agar berjalan secara otomatis. Untuk menjalankan remediasi secara manual, Anda dapat menggunakan UI Web yang diterapkan oleh solusi atau fitur tindakan kustom di AWS Security Hub CSPM. Setelah pengujian yang cermat di lingkungan non-produksi, Anda juga dapat mengaktifkan remediasi otomatis. Anda dapat mengaktifkan otomatisasi untuk remediasi individual — Anda tidak perlu mengaktifkan inisiasi otomatis pada semua remediasi. Untuk mengonfigurasi remediasi agar berjalan secara otomatis, lihat halaman Aktifkan remediasi yang sepenuhnya otomatis.

  4. Pra-remediasi: Di akun admin, AWS Step Functions memproses peristiwa remediasi dan menyiapkannya untuk dijadwalkan.

  5. Jadwal: Solusinya memanggil fungsi AWS Lambda penjadwalan untuk menempatkan peristiwa remediasi di tabel status Amazon DynamoDB.

  6. Orchestrate: Di akun admin, Step Functions menggunakan peran AWS Identity and Access Management (IAM) lintas akun. Step Functions memanggil remediasi di akun anggota yang berisi sumber daya yang menghasilkan temuan keamanan.

  7. Remediasi: Dokumen AWS Systems Manager Automation di akun anggota melakukan tindakan yang diperlukan untuk memulihkan temuan pada sumber daya target, seperti menonaktifkan akses publik Lambda.

    Secara opsional, Anda dapat mengaktifkan fitur Action Log di tumpukan anggota dengan parameter EnableCloudTrailForASRActionLog. Fitur ini menangkap tindakan yang diambil oleh solusi di akun Anggota Anda dan menampilkannya di CloudWatch dasbor Amazon solusi.

  8. (Opsional) Buat tiket: Jika Anda menggunakan TicketGenFunctionNameparameter untuk mengaktifkan tiket di tumpukan Admin, solusinya akan memanggil fungsi Lambda generator tiket yang disediakan. Fungsi Lambda ini membuat tiket di layanan tiket Anda setelah remediasi berhasil dijalankan di akun Anggota. Kami menyediakan tumpukan untuk integrasi dengan Jira dan. ServiceNow

  9. Beri tahu dan log: Buku pedoman mencatat hasilnya ke grup CloudWatch log, mengirimkan pemberitahuan ke topik Amazon Simple Notification Service (Amazon SNS), dan memperbarui temuan Security Hub. Solusinya mempertahankan jejak audit tindakan dalam catatan temuan.