最適化: クラウドセキュリティ運用を自動化して反復する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

最適化: クラウドセキュリティ運用を自動化して反復する

最適化フェーズでは、セキュリティ運用を自動化します。クロールステージとウォークステージと同様に、実行ステージ AWS Security Hub CSPM で を使用して自動化と反復を実現できます。次の図は、Security Hub CSPM が特定の検出結果とインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールをトリガーする方法を示しています。詳細については、Security Hub CSPM ドキュメントの「オートメーション」を参照してください。

AWS Security Hub CSPM と Amazon EventBridge を使用してクラウドセキュリティオペレーションを自動化する

Security Hub CSPM を中央オートメーションハブとして使用することで、アクティビティを に転送することもできますSplunk。 は、異常なアクティビティを検出し、EventBridge で対応するアクションをトリガーSplunkできます。これにより、繰り返し実行されるタスクを自動化することで、スキルのあるチームメンバーがより価値の高いアクティビティに集中する時間を増やすことができます。また、AWS Step Functions を使用して、ログを収集したり、フォレンジックスナップショットを作成したり、侵害されたサーバーを隔離したり、それらをゴールデンイメージに置き換えたりすることもできます。さらに、AWS Lambda 関数を使用することもできます。この関数は、AWS Systems Manager を使用して環境全体の脆弱性を修復し、Amazon Simple Queue Service (Amazon SQS) を使用してシステムのセキュリティを検証します。このアプローチを採用することで、通常の業務への影響を最小限に抑えながら、セキュリティインシデントを迅速に封じ込めて修復できます。

以下は、前の図に示されているように、繰り返し実行される自動アクションの例です。

  1. Splunk を使用して、疑わしいアクティビティを検出します。

  2. Step Functions を使用して、ログを収集し、アクセスを取り消し、隔離し、フォレンジックスナップショットを作成します。

  3. EventBridge ルールを使用して、侵害されたサーバーの隔離、フォレンジックスナップショットの取得、ゴールデンイメージへの置き換えを行う Lambda 関数を開始します。

  4. Systems Manager を使用して残りの環境全体の修復とパッチ適用を行う Lambda 関数を開始します。

  5. Rapid7 スキャナーを使用して AWS リソースが安全かどうかをスキャンおよび検証する Amazon SQS メッセージを開始します。

詳細については、 AWS セキュリティブログのEC2 インスタンス AWS クラウド の でのインシデント対応を自動化する方法」を参照してください。