View a markdown version of this page

Visão geral da arquitetura - Resposta de segurança automatizada na AWS
Diagrama de arquitetura

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da arquitetura

Esta seção fornece um diagrama de arquitetura de implementação de referência para os componentes implantados com essa solução.

Diagrama de arquitetura

A implantação dessa solução com os parâmetros padrão cria o seguinte ambiente na nuvem da AWS.

Resposta de segurança automatizada na arquitetura da AWS

resposta de segurança automatizada no diagrama de arquitetura aws
nota

Os CloudFormation recursos da AWS são criados a partir de construções do AWS Cloud Development Kit (AWS CDK).

O fluxo de alto nível para os componentes da solução implantados com o CloudFormation modelo da AWS é o seguinte:

  1. Detectar: o AWS Security Hub oferece aos clientes uma visão abrangente do estado de segurança da AWS. Isso os ajuda a medir seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Ele funciona coletando eventos e dados de outros serviços da AWS, como AWS Config, Amazon Guard Duty e AWS Firewall Manager. Esses eventos e dados são analisados de acordo com padrões de segurança, como o CIS AWS Foundations Benchmark. As exceções são declaradas como descobertas no console do AWS Security Hub. Novas descobertas são enviadas como EventBridge eventos da Amazon.

  2. Ouça: EventBridge os eventos são emitidos pelo AWS Security Hub para cada descoberta criada ou modificada pelo serviço. O Automated Security Response on AWS (ASR) implanta duas EventBridge regras que escutam a localização de eventos gerados pelo AWS Security Hub:

    • EventBridge Regra de ação personalizada: escuta eventos de ações personalizadas emitidos pelo AWS Security Hub CSPM quando a ação personalizada “Remediar com ASR” é acionada por um usuário. O evento é encaminhado ao orquestrador para correção.

    • EventBridge Regra de descobertas: escuta todas as descobertas, eventos de criação ou atualização emitidos pelo AWS Security Hub e pelo AWS Security Hub CSPM. Esses eventos são encaminhados para a fila SQS do pré-processador para processamento adicional.

  3. Iniciar: você pode iniciar as remediações manualmente ou configurá-las para serem executadas automaticamente. Para executar uma remediação manualmente, você pode usar a interface de usuário da Web implantada pela solução ou o recurso de ações personalizadas no AWS Security Hub CSPM. Depois de testes cuidadosos em um ambiente que não seja de produção, você também pode ativar correções automatizadas. Você pode ativar automações para remediações individuais — você não precisa ativar iniciações automáticas em todas as remediações. Para configurar as remediações para serem executadas automaticamente, consulte a página Habilitar remediações totalmente automatizadas.

  4. Pré-remediação: na conta do administrador, o AWS Step Functions processa o evento de remediação e o prepara para ser agendado.

  5. Cronograma: A solução invoca a função de agendamento do AWS Lambda para colocar o evento de remediação na tabela de estados do Amazon DynamoDB.

  6. Orquestrar: na conta de administrador, o Step Functions usa funções entre contas do AWS Identity and Access Management (IAM). Step Functions invoca a remediação na conta do membro que contém o recurso que produziu a descoberta de segurança.

  7. Remediar: um documento do AWS Systems Manager Automation na conta do membro executa a ação necessária para corrigir a descoberta no recurso de destino, como desativar o acesso público do Lambda.

    Opcionalmente, você pode ativar o recurso Action Log nas pilhas de membros com o parâmetro EnableCloudTrailForASRActionLog. Esse recurso captura as ações realizadas pela solução em suas contas de membros e as exibe no CloudWatch painel da solução na Amazon.

  8. (Opcional) Crie um ticket: se você usar o TicketGenFunctionNameparâmetro para ativar a emissão de tíquetes na pilha de administração, a solução invoca a função Lambda do gerador de tickets fornecida. Essa função Lambda cria um ticket em seu serviço de emissão de bilhetes após a correção ter sido executada com sucesso na conta do membro. Fornecemos pilhas para integração com o Jira e. ServiceNow

  9. Notificar e registrar: o manual registra os resultados em um CloudWatch grupo de registros, envia uma notificação para um tópico do Amazon Simple Notification Service (Amazon SNS) e atualiza a descoberta do Security Hub. A solução mantém uma trilha de auditoria das ações nas notas de descoberta.