Otimizar: automatize e itere suas operações de segurança na nuvem - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Otimizar: automatize e itere suas operações de segurança na nuvem

Na etapa de otimização, você automatiza suas operações de segurança. Assim como os estágios de rastreamento e caminhada, você pode usar AWS Security Hub CSPM durante o estágio de execução para obter automação e iteração. A imagem a seguir mostra como o CSPM do Security Hub pode acionar uma EventBridge regra personalizada da Amazon que define ações automáticas a serem tomadas em relação a descobertas e insights específicos. Para obter mais informações, consulte Automações na documentação do CSPM do Security Hub.

Usando AWS Security Hub CSPM a Amazon EventBridge para automatizar as operações de segurança na nuvem

Ao usar o Security Hub CSPM como um hub central de automação, você também pode encaminhar atividades para o. Splunk Splunkpode então detectar aqueles que são anômalos e acionar as ações correspondentes em. EventBridge Isso ajuda você a automatizar tarefas repetitivas e oferece mais tempo para que os membros qualificados da equipe se concentrem em atividades de maior valor. Você também pode usar o AWS Step Functions para coletar logs, obter snapshots forenses, colocar servidores comprometidos em quarentena e substituí-los por uma imagem de referência. Além disso, você pode usar uma função do AWS Lambda que usa o AWS Systems Manager para remediar vulnerabilidades em todo o ambiente, e usa uma função do Amazon Simple Queue Service (Amazon SQS) para validar a segurança dos sistemas. Ao adotar essa abordagem, é possível conter e remediar rapidamente os incidentes de segurança com impacto mínimo nas operações comerciais normais.

Confira abaixo um exemplo de ações automatizadas repetidas, conforme exibido na imagem anterior:

  1. Use o Splunk para detectar atividades questionáveis.

  2. Use o Step Functions para coletar logs, revogar o acesso, colocar em quarentena e obter snapshots forenses.

  3. Use uma EventBridge regra para iniciar uma função Lambda que coloca em quarentena, tira instantâneos forenses e substitui servidores comprometidos por uma imagem dourada.

  4. Inicie uma função do Lambda que usa o Systems Manager para remediar e aplicar patches em todo o restante do ambiente.

  5. Inicie uma mensagem do Amazon SQS que usa o scanner Rapid7 para escanear e validar se o AWS recurso está seguro.

Para obter mais informações, consulte Como automatizar a resposta a incidentes em quatro Nuvem AWS EC2 instâncias no blog AWS de segurança.