

# アーキテクチャの概要
<a name="architecture-overview"></a>

このセクションでは、このソリューションでデプロイされるコンポーネントのリファレンス実装アーキテクチャ図を示します。

## アーキテクチャ図
<a name="architecture-diagram"></a>

このソリューションをデフォルトのパラメータでデプロイすると、以下に示す環境が AWS クラウドに構築されます。

 **AWS での自動化されたセキュリティ対応のアーキテクチャ** 

![AWS での自動化されたセキュリティ対応のアーキテクチャ](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/images/automated-security-response-on-aws-architecture-diagram.png)


**注記**  
AWS CloudFormation のリソースは、AWS Cloud Development Kit (AWS CDK) のコンストラクトで作成されています。

AWS CloudFormation テンプレートを使用してデプロイされたこのソリューションコンポーネントの大まかなフローは次のとおりです。

1.  **検出**: [AWS Security Hub](https://aws.amazon.com/security-hub/) は、AWS のセキュリティ状態の包括的なビューをユーザーに提供します。セキュリティ業界の基準とベストプラクティスに照らして環境を測定するのに役立ちます。そのために、AWS Config、Amazon Guard Duty、AWS Firewall Manager など、他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで*検出結果*として表示されます。新しい検出結果は [Amazon EventBridge](https://aws.amazon.com/eventbridge/) [イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)として送信されます。

1.  **リッスン**: EventBridge イベントは、サービスによって作成または変更されたすべての検出結果に対して AWS Security Hub によって出力されます。AWS の自動セキュリティレスポンス (ASR) は、AWS Security Hub によって生成されたイベントの検出をリッスンする 2 つの EventBridge ルールをデプロイします。
   +  **カスタムアクション** EventBridge ルール: ユーザーによって「Remediate with ASR」カスタムアクションがトリガーされたときに、AWS Security Hub CSPM によって出力される[カスタムアクション](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html)イベントをリッスンします。イベントは修復のためにオーケストレーターに転送されます。
   +  **検出結果** EventBridge ルール: AWS Security Hub および AWS Security Hub CSPM によって出力されるすべての検出結果の作成イベントまたは更新イベントをリッスンします。これらのイベントは、プリプロセッサの SQS キューに転送されて、さらに処理されます。

1.  **開始**: 修復は手動で開始することも、自動的に実行するように設定することもできます。修復を手動で実行するには、ソリューションによってデプロイされたウェブ UI または AWS Security Hub CSPM のカスタムアクション機能を使用できます。非本番環境で慎重にテストした後、自動修復をアクティブ化することもできます。修復別に自動化をアクティブ化できます。すべての修復で自動開始をアクティブ化する必要はありません。修復を自動的に実行するように設定するには、[[完全自動修復を有効にする] ページを参照してください。](enable-fully-automated-remediations.md)

1.  **修復前**: 管理者アカウントで、[AWS Step Functions](https://aws.amazon.com/step-functions/) は修復イベントを処理し、スケジューリングの準備を行います。

1.  **スケジュール**: ソリューションはスケジューリング [AWS Lambda](https://aws.amazon.com/lambda) 関数を呼び出して、修復イベントを [Amazon DynamoDB](https://aws.amazon.com/dynamodb) 状態テーブルに配置します。

1.  **オーケストレーション**: 管理者アカウントで、Step Functions はクロスアカウント [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) ロールを使用します。Step Functions は、セキュリティ検出結果を生成したリソースを含むメンバーアカウントで修復を呼び出します。

1.  **修復**: メンバーアカウントの [AWS Systems Manager](https://aws.amazon.com/systems-manager/) [Automation ドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)は、Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。

   オプションで、**EnableCloudTrailForASRActionLog** パラメータを使用して、メンバースタックのアクションログ機能を有効にできます。この機能は、メンバーアカウントでソリューションによって実行されたアクションをキャプチャし、ソリューションの [Amazon CloudWatch](https://aws.amazon.com/cloudwatch) ダッシュボードに表示します。

1.  **(オプション) チケットの作成**: **TicketGenFunctionName** パラメータを使用して管理者スタックでチケットを有効にすると、ソリューションは提供されたチケットジェネレーターの Lambda 関数を呼び出します。この Lambda 関数は、メンバーアカウントで修復が正常に実行された後に、チケット発行サービスにチケットを作成します。[Jira および ServiceNow との統合用のスタック](aws-cloudformation-template.md#ticket-system-integration)を提供しています。

1.  **通知とログ**: プレイブックは結果を Amazon CloudWatch [Logs グループ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)にログ記録し、[Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS) トピックに通知を送信して、Security Hub の検出結果を更新します。このソリューションは、[検出結果メモ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)にアクションの監査証跡を保持します。