アーキテクチャの概要

検出: AWS Security Hub は、AWS のセキュリティ状態の包括的なビューをユーザーに提供します。セキュリティ業界の基準とベストプラクティスに照らして環境を測定するのに役立ちます。そのために、AWS Config、Amazon Guard Duty、AWS Firewall Manager など、他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出結果として表示されます。新しい検出結果は Amazon EventBridge イベントとして送信されます。

リッスン: EventBridge イベントは、サービスによって作成または変更されたすべての検出結果に対して AWS Security Hub によって出力されます。AWS の自動セキュリティレスポンス (ASR) は、AWS Security Hub によって生成されたイベントの検出をリッスンする 2 つの EventBridge ルールをデプロイします。

開始: 修復は手動で開始することも、自動的に実行するように設定することもできます。修復を手動で実行するには、ソリューションによってデプロイされたウェブ UI または AWS Security Hub CSPM のカスタムアクション機能を使用できます。非本番環境で慎重にテストした後、自動修復をアクティブ化することもできます。修復別に自動化をアクティブ化できます。すべての修復で自動開始をアクティブ化する必要はありません。修復を自動的に実行するように設定するには、[完全自動修復を有効にする] ページを参照してください。

修復前: 管理者アカウントで、AWS Step Functions は修復イベントを処理し、スケジューリングの準備を行います。

スケジュール: ソリューションはスケジューリング AWS Lambda 関数を呼び出して、修復イベントを Amazon DynamoDB 状態テーブルに配置します。

オーケストレーション: 管理者アカウントで、Step Functions はクロスアカウント AWS Identity and Access Management (IAM) ロールを使用します。Step Functions は、セキュリティ検出結果を生成したリソースを含むメンバーアカウントで修復を呼び出します。

修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。

オプションで、EnableCloudTrailForASRActionLog パラメータを使用して、メンバースタックのアクションログ機能を有効にできます。この機能は、メンバーアカウントでソリューションによって実行されたアクションをキャプチャし、ソリューションの Amazon CloudWatch ダッシュボードに表示します。

(オプション) チケットの作成: TicketGenFunctionName パラメータを使用して管理者スタックでチケットを有効にすると、ソリューションは提供されたチケットジェネレーターの Lambda 関数を呼び出します。この Lambda 関数は、メンバーアカウントで修復が正常に実行された後に、チケット発行サービスにチケットを作成します。Jira および ServiceNow との統合用のスタックを提供しています。

通知とログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出結果を更新します。このソリューションは、検出結果メモにアクションの監査証跡を保持します。