最適化: クラウドセキュリティオペレーションを自動化して反復する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

最適化: クラウドセキュリティオペレーションを自動化して反復する

最適化フェーズでは、セキュリティオペレーションを自動化します。クロールステージやウォークステージと同様に、実行ステージ AWS Security Hub で を使用して自動化と反復を実現できます。次の図は、Security Hub が特定の検出結果とインサイトに対して実行する自動アクションを定義するカスタム Amazon EventBridge ルールをトリガーする方法を示しています。詳細については、Security Hub ドキュメントの「オートメーション」を参照してください。

AWS Security Hub と Amazon EventBridge を使用してクラウドセキュリティオペレーションを自動化する

Security Hub を中央オートメーションハブとして使用することで、アクティビティを に転送することもできますSplunk。 は、異常であるアクティビティを検出し、対応するアクションを EventBridge でトリガーSplunkできます。これにより、反復的なタスクを自動化し、スキルのあるチームメンバーが価値の高いアクティビティに集中する時間が増えます。AWS Step Functions を使用して、ログの収集、フォレンジックスナップショットの作成、侵害されたサーバーの隔離、ゴールデンイメージへの置換を行うこともできます。さらに、 AWS Lambdaを使用して環境全体の脆弱性AWS Systems Managerを修正し、Amazon Simple Queue Service (Amazon SQS) 関数を使用してシステムのセキュリティを検証する 関数を使用できます。このアプローチを採用することで、通常の業務への影響を最小限に抑えながら、セキュリティインシデントを迅速に封じ込めて修正できます。

以下は、前の図に示すように、繰り返し実行される自動アクションの例です。

  1. を使用して、疑わしいアクティビティを検出Splunkします。

  2. Step Functions を使用して、ログの収集、アクセスの取り消し、隔離、フォレンジックスナップショットの作成を行います。

  3. EventBridge ルールを使用して、侵害されたサーバーを隔離し、フォレンジックスナップショットを作成し、ゴールデンイメージに置き換える Lambda 関数を開始します。

  4. Systems Manager を使用して、残りの環境全体にパッチを修正して適用する Lambda 関数を開始します。

  5. Rapid7 スキャナーを使用して AWS リソースが安全かどうかをスキャンおよび検証する Amazon SQS メッセージを開始します。

詳細については、 AWS セキュリティブログのEC2 インスタンスの でインシデント対応を自動化する方法 AWS クラウド」を参照してください。