Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita riparazioni completamente automatizzate
L'altra modalità operativa della soluzione consiste nel correggere automaticamente i risultati non appena arrivano in Security Hub.
Importante
Prima di abilitare riparazioni completamente automatizzate, assicurati che la soluzione sia configurata negli account e nelle aree in cui sei conforme alla soluzione che apporta modifiche automatiche. Se desideri restringere l'ambito delle riparazioni automatiche della soluzione, consulta la sezione seguente sul filtraggio delle riparazioni completamente automatizzate.
Esempio: abilitare riparazioni completamente automatizzate per Lambda.1
L'attivazione delle riparazioni automatiche avvierà le riparazioni su tutte le risorse corrispondenti al controllo abilitato (Lambda.1).
Importante
Conferma che desideri che questa autorizzazione venga revocata a tutte le funzioni Lambda pubbliche incluse nell'ambito della soluzione. Le riparazioni completamente automatizzate non saranno limitate alla funzione che avete creato. La soluzione correggerà questo controllo se viene rilevato in uno qualsiasi degli account e delle regioni in cui è installato.
| Account | Scopo | Azione in us-east-1 | Azione in us-west-2 |
|---|---|---|---|
|
|
Admin |
Conferma nessuna funzione pubblica desiderata |
Conferma nessuna funzione pubblica desiderata |
|
|
Membro |
Conferma nessuna funzione pubblica desiderata |
Conferma nessuna funzione pubblica desiderata |
Individua la tabella DynamoDB per la configurazione della riparazione
Nell'account Admin, visualizza lo Outputs stack Admin nella console. CloudFormation Vedrai un output intitolatoRemediationConfigurationDynamoDBTable.
Questo è il nome della tabella DynamoDB di Remediation Configuration, che controlla le configurazioni di riparazione automatizzate per la soluzione. Copia il valore di questo output e individua la tabella DynamoDB corrispondente nella console DynamoDB.
| Account | Scopo | Azione in us-east-1 | Azione in us-west-2 |
|---|---|---|---|
|
|
Admin |
Individua la tabella DynamoDB per la configurazione della riparazione. |
Nessuno |
|
|
Membro |
Nessuno |
Nessuno |
Modifica la tabella di configurazione della riparazione
Nella console DynamoDB in cui si trova la tabella di configurazione della riparazione, seleziona Esplora elementi della tabella.
Ogni elemento della tabella corrisponde a un controllo Security Hub supportato dalla soluzione. Ogni elemento ha un automatedRemediationEnabled attributo che può essere modificato per consentire riparazioni completamente automatizzate per il controllo associato.
Per abilitare Lambda.1, in Elementi di scansione o interrogazione seleziona Query. In Chiave di partizione: ControlID, immettete e fate clic su Esegui. Lambda.1 Verrà restituito un singolo elemento corrispondente al controllo Lambda.1.
Ora, seleziona l'Lambda.1elemento, quindi fai clic su Azioni > Modifica elemento.
Infine, modifica il valore dell'automatedRemediationEnabledattributo in True. Fate clic su Salva e chiudi.
| Account | Scopo | Azione in us-east-1 | Azione in us-west-2 |
|---|---|---|---|
|
|
Admin |
Modificare la tabella DynamoDB di configurazione della riparazione. |
Nessuno |
|
|
Membro |
Nessuno |
Nessuno |
Configura la risorsa
Nell'account membro, riconfigura la funzione Lambda per consentire l'accesso pubblico.
| Account | Scopo | Azione in us-east-1 | Azione in us-west-2 |
|---|---|---|---|
|
|
Admin |
Nessuno |
Nessuno |
|
|
Membro |
Nessuno |
Configurare la funzione Lambda per consentire l'accesso pubblico |
Conferma che la correzione ha risolto il problema
Config potrebbe impiegare del tempo per rilevare nuovamente la configurazione non sicura. Dovresti ricevere due notifiche SNS. La prima indicherà che è stata avviata una riparazione. Il secondo indicherà che la riparazione è riuscita. Dopo aver ricevuto la seconda notifica, accedi alla console Lambda nell'account membro e conferma che l'accesso pubblico è stato revocato.
| Account | Scopo | Azione in us-east-1 | Azione in us-west-2 |
|---|---|---|---|
|
|
Admin |
Nessuno |
Nessuno |
|
|
Membro |
Nessuno |
Conferma che la riparazione è riuscita |
(Facoltativo) Configura il filtraggio per riparazioni completamente automatizzate
Se desideri limitare l'ambito in cui la soluzione esegue le riparazioni, puoi applicare filtri. Questi filtri si applicheranno solo alle riparazioni completamente automatizzate e non influiranno sulle riparazioni richiamate manualmente.
La soluzione offre il filtraggio in base alle seguenti dimensioni:
-
ID dell'account
-
Unità organizzative (OUs)
-
Tag delle risorse
Ogni dimensione è configurabile modificando i parametri di Systems Manager distribuiti dalla soluzione corrispondente alla dimensione specificata. Tutti i parametri di filtro in Parameter Store possono essere trovati nell'account Admin sotto il percorso. /ASR/Filters/
Ogni dimensione ha due parametri per la configurazione, uno per il valore del filtro e un altro per la modalità di filtro. Ad esempio, la dimensione Account Ids ha due parametri denominati /ASR/Filters/AccountFilters e/ASR/Filters/AccountFilterMode. Entrambi devono essere modificati per configurare il filtro sugli ID degli account.
Ad esempio, per limitare l'esecuzione delle riparazioni completamente automatiche solo negli account 111111111111222222222222, è necessario modificare il valore di /ASR/Filters/AccountFilters «1111, 222222222222". Quindi, modifica il valore in «Includi». /ASR/Filters/AccountFilterMode La soluzione ignorerà quindi tutti i risultati generati per account diversi da 1111 o 222222222222.
Ogni parametro di filtro richiede un elenco di valori delimitato da virgole su cui filtrare e ogni parametro «mode» può essere impostato su Include, Exclude o Disabled.
