最適化: クラウドセキュリティオペレーションを自動化して反復する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

最適化: クラウドセキュリティオペレーションを自動化して反復する

最適化フェーズでは、セキュリティオペレーションを自動化します。クロールステージやウォークステージと同様に、実行ステージ AWS Security Hub で を使用して自動化と反復を実現できます。次の図は、Security Hub が特定の検出結果とインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールをトリガーする方法を示しています。詳細については、Security Hub ドキュメントの「オートメーション」を参照してください。

AWS Security Hub と Amazon EventBridge を使用してクラウドセキュリティオペレーションを自動化する

Security Hub を中央オートメーションハブとして使用することで、アクティビティを に転送することもできますSplunk。 は、異常なアクティビティを検出し、EventBridge で対応するアクションをトリガーSplunkできます。これにより、反復的なタスクを自動化し、スキルのあるチームメンバーが価値の高いアクティビティに集中する時間が増えます。AWS Step Functions を使用して、ログの収集、フォレンジックスナップショットの作成、侵害されたサーバーの隔離、ゴールデンイメージへの置換を行うこともできます。さらに、 を使用する AWS Lambda関数を使用して環境全体の脆弱性をAWS Systems Manager修復し、Amazon Simple Queue Service (Amazon SQS) 関数を使用してシステムのセキュリティを検証できます。このアプローチを採用することで、通常の事業運営への影響を最小限に抑えながら、セキュリティインシデントを迅速に封じ込めて修復できます。

以下は、前の図に示すように、繰り返される自動アクションの例です。

  1. を使用して疑わしいアクティビティを検出Splunkします。

  2. Step Functions を使用して、ログの収集、アクセスの取り消し、隔離、フォレンジックスナップショットの作成を行います。

  3. EventBridge ルールを使用して、侵害されたサーバーを隔離し、フォレンジックスナップショットを作成し、ゴールデンイメージに置き換える Lambda 関数を起動します。

  4. Systems Manager を使用して、残りの環境全体にパッチを修復して適用する Lambda 関数を開始します。

  5. Rapid7 スキャナーを使用して AWS リソースが安全かどうかをスキャンおよび検証する Amazon SQS メッセージを開始します。

詳細については、 AWS セキュリティブログのEC2 インスタンス AWS クラウド の でのインシデント対応を自動化する方法」を参照してください。