As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Implante a solução
**Importante**
Se o recurso de [descobertas de controle consolidado](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) estiver ativado no Security Hub, ative somente o manual do Security Control (SC) ao implantar essa solução. Se o recurso não estiver ativado, habilite **somente** os playbooks para os padrões de segurança habilitados no Security Hub. Por padrão, as descobertas de controles consolidadas estarão ativadas se você tiver habilitado o CSPM do Security Hub a partir de 23 de fevereiro de 2023, inclusive.
Essa solução usa [ CloudFormation modelos e pilhas da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) para automatizar sua implantação. Os CloudFormation modelos especificam os recursos da AWS incluídos nessa solução e suas propriedades. A CloudFormation pilha provisiona os recursos descritos nos modelos.
Para que a solução funcione, três modelos devem ser implantados. Primeiro, decida onde implantar os modelos e, em seguida, decida como implantá-los.
Essa visão geral descreverá os modelos e como decidir onde e como implantá-los. As próximas seções terão instruções mais detalhadas para implantar cada pilha como uma pilha ou. StackSet
# Decidindo onde implantar cada pilha
Os três modelos serão chamados pelos seguintes nomes e conterão os seguintes recursos:
+ Pilha de administração: função de etapa do orquestrador, regras de eventos e ação personalizada do Security Hub.
+ Pilha de membros: documentos de automação SSM de remediação.
+ Pilha de funções dos membros: funções do IAM para remediações.
A pilha de administração deve ser implantada uma vez, em uma única conta e em uma única região. Ele deve ser implantado na conta e na região que você configurou como destino de agregação das descobertas do Security Hub para sua organização. Se quiser usar o recurso Action Log para monitorar eventos de gerenciamento, você deve implantar a pilha Admin na conta de gerenciamento da sua organização ou em uma conta de administrador delegado.
A solução opera com base nas descobertas do Security Hub, portanto, não poderá operar nas descobertas de uma conta e região específicas se essa conta ou região não tiver sido configurada para agregar descobertas na conta e região do administrador do Security Hub.
**Importante**
Se você estiver usando o [AWS Security Hub (não CSPM)](https://aws.amazon.com/security-hub/), você é responsável por garantir que suas contas membros integradas ao AWS Security Hub CSPM também estejam integradas ao [AWS Security Hub (não CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). As regiões agregadas no AWS Security Hub CSPM também devem corresponder às regiões agregadas no AWS Security Hub (não CSPM).
Por exemplo, uma organização tem contas operando em regiões `us-east-1` e`us-west-2`, com a conta `111111111111` como administrador delegado do Security Hub, na região`us-east-1`. Contas `222222222222` e `333333333333` devem ser contas de membros do Security Hub para a conta `111111111111` de administrador delegado. Todas as três contas devem ser configuradas para agregar descobertas `us-west-2` de a. `us-east-1` A pilha de administração deve ser implantada na conta`111111111111`. `us-east-1`
Para obter mais detalhes sobre como encontrar a agregação, consulte a documentação das [contas de administrador delegado](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) do Security Hub e da agregação [entre](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) regiões.
A pilha de administradores deve concluir a implantação antes de implantar as pilhas de membros para que uma relação de confiança possa ser criada das contas dos membros para a conta do hub.
A pilha de membros deve ser implantada em todas as contas e regiões nas quais você deseja corrigir as descobertas. Isso pode incluir a conta de administrador delegado do Security Hub na qual você implantou anteriormente o ASR Admin Stack. Os documentos de automação devem ser executados nas contas dos membros para usar o nível gratuito da automação SSM.
Usando o exemplo anterior, se você quiser corrigir as descobertas de todas as contas e regiões, a pilha de membros deve ser implantada nas três contas (`111111111111``222222222222`, e`333333333333`) e nas duas regiões (`us-east-1`e). `us-west-2`
A pilha de funções dos membros deve ser implantada em todas as contas, mas contém recursos globais (funções do IAM) que só podem ser implantados uma vez por conta. Não importa em qual região você implanta a pilha de funções de membro, então, para simplificar, sugerimos implantá-la na mesma região em que a pilha de administradores está implantada.
Usando o exemplo anterior, sugerimos implantar a pilha de funções de membro em todas as três contas (`111111111111`,`222222222222`, e`333333333333`) em. `us-east-1`
## Decidindo como implantar cada pilha
As opções para implantar uma pilha são
+ CloudFormation StackSet (permissões autogerenciadas)
+ CloudFormation StackSet (permissões gerenciadas pelo serviço)
+ CloudFormation Pilha
StackSets com permissões gerenciadas por serviços são as mais convenientes porque não exigem a implantação de suas próprias funções e podem ser implantadas automaticamente em novas contas na organização. Infelizmente, esse método não é compatível com pilhas aninhadas, que usamos tanto na pilha Admin quanto na pilha de membros. A única pilha que pode ser implantada dessa forma é a pilha de funções dos membros.
Lembre-se de que, ao implantar em toda a organização, a conta de gerenciamento da organização não é incluída. Portanto, se você quiser corrigir as descobertas na conta de gerenciamento da organização, deverá implantar nessa conta separadamente.
A pilha de membros deve ser implantada em todas as contas e regiões, mas não pode ser implantada usando StackSets permissões gerenciadas por serviços porque contém pilhas aninhadas. Por isso, sugerimos implantar essa pilha StackSets com permissões autogerenciadas.
A pilha Admin é implantada apenas uma vez, portanto, pode ser implantada como uma CloudFormation pilha simples ou StackSet com permissões autogerenciadas em uma única conta e região.
## Descobertas de controle consolidadas
As contas em sua organização podem ser configuradas com o recurso consolidado de descobertas de controle do Security Hub ativado ou desativado. Consulte os [resultados do controle consolidado](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) no *Guia do usuário do AWS Security Hub*.
**Importante**
Quando esse recurso está ativado, você deve usar a versão 2.0.0 ou posterior da solução e ativar o manual “SC” (Controle de Segurança) nas pilhas Admin e Member. Essas pilhas implantam os documentos de automação necessários para trabalhar com controle consolidado. IDs Você não precisa implantar pilhas para padrões individuais (como o AWS FSBP) ao usar descobertas de controle consolidadas.
## Implantação na China
A solução oferece suporte à implantação nas regiões da China, no entanto, **você deve usar os seguintes botões de inicialização para implantação com um clique nas regiões da China, em vez dos botões de inicialização fornecidos em outras seções deste guia**. O uso dos botões “Launch Solution” fornecidos nas próximas seções deste guia não funcionará se você estiver implantando em regiões da China. Você ainda pode baixar os modelos de qualquer link de bucket do S3 e implantar as pilhas fazendo o upload do arquivo de modelo.
+ **automated-security-response-admin.modelo**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template:**
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modelo**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud Implantação (EUA)
A solução oferece suporte à implantação em regiões GovCloud (EUA), no entanto, **você deve usar os seguintes botões de inicialização para implantação com um clique nas regiões GovCloud (EUA), em vez dos botões de inicialização fornecidos em outras seções deste guia**. O uso dos botões “Launch Solution” fornecidos nas próximas seções deste guia não funcionará se você estiver implantando em regiões GovCloud (EUA). Você ainda pode baixar os modelos de qualquer link de bucket do S3 e implantar as pilhas fazendo o upload do arquivo de modelo.
+ **automated-security-response-admin.modelo**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template:**
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modelo**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation Modelos da AWS
[![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template** - Use esse modelo para iniciar a solução Automated Security Response na AWS. O modelo instala os principais componentes da solução, uma pilha aninhada para os logs do AWS Step Functions e uma pilha aninhada para cada padrão de segurança que você escolher ativar.
Os serviços usados incluem Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 e AWS Systems Manager.
## Suporte à conta de administrador
Os modelos a seguir são instalados na conta de administrador do AWS Security Hub para ativar os padrões de segurança que você deseja apoiar. Você pode escolher qual dos seguintes modelos instalar ao instalar `automated-security-response-admin.template` o.
**automated-security-response-orchestrator-log.template** - Cria um grupo de CloudWatch registros para a função de etapa do orquestrador.
**automated-security-response-webui-nested-stack.template** - Cria os recursos para oferecer suporte à interface de usuário da Web da solução.
**AFSBPStack.template — Regras** das melhores práticas de segurança da AWS Foundational v1.0.0.
**CIS120Stack.template** - benchmarks do CIS Amazon Web Services Foundations, regras v1.2.0.
**CIS140Stack.template** - benchmarks do CIS Amazon Web Services Foundations, regras v1.4.0.
**CIS300Stack.template** - benchmarks do CIS Amazon Web Services Foundations, regras v3.0.0.
**PCI321Stack.template** - regras do PCI-DSS v3.2.1.
**NISTStack.template** - Instituto Nacional de Padrões e Tecnologia (NIST), regras da v5.0.0.
**SCStack.template - Regras do** Security Controls v2.0.0.
## Funções dos membros
[![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template** - Define as funções de remediação necessárias em cada conta membro do AWS Security Hub.
## Contas-membros
[![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template** — Use esse modelo depois de configurar a solução principal para instalar os runbooks e permissões de automação do AWS Systems Manager em cada uma das suas contas de membro do AWS Security Hub (incluindo a conta de administrador). Esse modelo permite que você escolha quais playbooks padrão de segurança instalar.
Ele `automated-security-response-member.template` instala os seguintes modelos com base em suas seleções:
**automated-security-response-remediation-runbooks.template** - Código de remediação comum usado por um ou mais dos padrões de segurança.
**AFSBPMemberStack.template —** Configurações, permissões e runbooks de remediação das melhores práticas de segurança da AWS Foundational v1.0.0.
**CIS120MemberStack.template** - benchmarks do CIS Amazon Web Services Foundations, configurações, permissões e runbooks de remediação da versão 1.2.0.
**CIS140MemberStack.template** - benchmarks do CIS Amazon Web Services Foundations, configurações, permissões e runbooks de remediação da versão 1.4.0.
**CIS300MemberStack.template** - benchmarks do CIS Amazon Web Services Foundations, configurações, permissões e runbooks de remediação da versão 3.0.0.
**PCI321MemberStack.template** - Configurações, permissões e runbooks de remediação do PCI-DSS v3.2.1.
**NISTMemberStack.template** - Instituto Nacional de Padrões e Tecnologia (NIST), configurações, permissões e runbooks de remediação v5.0.0.
**SCMemberStack.template** - Configurações de controle de segurança, permissões e runbooks de remediação.
**automated-security-response-member-cloudtrail.template** - Usado no recurso Action Log para rastrear e auditar atividades de serviços.
## Integração do sistema de tickets
Use um dos modelos a seguir para integrar-se ao seu sistema de emissão de bilhetes.
[![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template** - Implante se você usa o Jira como seu sistema de tíquetes.
[![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template** - Implante se você usar ServiceNow como seu sistema de emissão de bilhetes.
Se você quiser integrar um sistema de tíquetes externo diferente, você pode usar qualquer uma dessas pilhas como modelo para entender como implementar sua própria integração personalizada.
# Implantação automatizada - StackSets
**nota**
Recomendamos implantar com StackSets. No entanto, para implantações em uma única conta ou para fins de teste ou avaliação, considere a opção de [implantação de pilhas](deployment.md).
Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em seu AWS Organizations.
**Tempo de implantação:** aproximadamente 30 minutos por conta, dependendo StackSet dos parâmetros.
## Pré-requisitos
[O AWS Organizations](https://aws.amazon.com/organizations/) ajuda você a gerenciar e governar centralmente seu ambiente e seus recursos multicontas da AWS. StackSets funcionam melhor com o AWS Organizations.
Se você já implantou a versão 1.3.x ou anterior dessa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte [Atualizar a solução](update-the-solution.md).
Antes de implantar essa solução, revise sua implantação do AWS Security Hub:
+ Deve haver uma conta de administrador delegada do Security Hub em sua organização da AWS.
+ O Security Hub deve ser configurado para agregar descobertas em todas as regiões. Para obter mais informações, consulte [Agregando descobertas entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) no Guia do usuário do AWS Security Hub.
+ Você deve [ativar o Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) para sua organização em cada região em que você usa a AWS.
Esse procedimento pressupõe que você tenha várias contas usando o AWS Organizations e tenha delegado uma conta de administrador do AWS Organizations e uma conta de administrador do AWS Security Hub.
**Observe que essa solução funciona com o [AWS Security Hub e o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Visão geral da implantação
**nota**
StackSets a implantação dessa solução usa uma combinação de serviços gerenciados e autogerenciados. StackSets O autogerenciado StackSets deve ser usado atualmente, pois eles usam aninhados StackSets, que ainda não são compatíveis com o gerenciamento de serviços. StackSets
Implemente o a StackSets partir de uma [conta de administrador delegado](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) em seu AWS Organizations.
**Planejamento**
Use o formulário a seguir para ajudar na StackSets implantação. Prepare seus dados e, em seguida, copie e cole os valores durante a implantação.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Opcional) Etapa 0: implantar a pilha de integração de tíquetes](#step-0-stackset)
+ Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
+ Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).
[Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub](#step-1-stackset)
+ Usando um modelo autogerenciado StackSet, execute o CloudFormation modelo `automated-security-response-admin.template` da AWS em sua conta de administrador do AWS Security Hub na mesma região do administrador do Security Hub. Esse modelo usa pilhas aninhadas.
+ Escolha quais padrões de segurança instalar. Por padrão, somente SC é selecionado (recomendado).
+ Escolha um grupo de registros existente do Orchestrator para usar. Selecione `Yes` se `SO0111-ASR- Orchestrator` já existe em uma instalação anterior.
+ Escolha se deseja ativar a interface de usuário da Web da solução. Se você optar por ativar esse recurso, também deverá inserir um endereço de e-mail para receber uma função de administrador.
+ Selecione suas preferências para coletar CloudWatch métricas relacionadas à integridade operacional da solução.
Para obter mais informações sobre autogerenciamento StackSets, consulte [Conceder permissões autogerenciadas no Guia CloudFormation ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) *do usuário da AWS*.
[Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub](#step-2-stackset)
Aguarde a etapa 1 para concluir a implantação, pois o modelo na etapa 2 faz referência às funções do IAM criadas pela etapa 1.
+ Usando um serviço gerenciado StackSet, execute o CloudFormation modelo da `automated-security-response-member-roles.template` AWS em uma única região em cada conta em seu AWS Organizations.
+ Escolha instalar esse modelo automaticamente quando uma nova conta ingressar na organização.
+ Insira o ID da conta de administrador do AWS Security Hub.
+ Insira um valor para o `namespace` que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos.
[Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub](#step-3-stackset)
+ Usando o autogerenciamento StackSets, lance o CloudFormation modelo `automated-security-response-member.template` da AWS em todas as regiões em que você tem recursos da AWS em todas as contas da sua organização da AWS gerenciadas pelo mesmo administrador do Security Hub.
**nota**
Até que o StackSets suporte gerenciado por serviços esteja aninhado, você deve executar essa etapa para todas as novas contas que ingressarem na organização.
+ Escolha quais playbooks do Security Standard instalar.
+ Forneça o nome de um grupo de CloudTrail registros (usado por algumas correções).
+ Insira o ID da conta de administrador do AWS Security Hub.
+ Insira um valor para o `namespace` que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Isso deve corresponder ao `namespace` valor que você selecionou para a pilha de funções de membro. Além disso, o valor do namespace não precisa ser exclusivo por conta de membro.
## (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes
1. Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.
1. Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.
**Para implantar a pilha do Jira:**
1. Insira um nome para sua pilha.
1. Forneça o URI para sua instância do Jira.
1. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.
1. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. `Username` `Password`
**nota**
Você pode optar por usar uma chave de API do Jira no lugar de sua senha, fornecendo seu nome de usuário como `Username` e sua chave de API como o. `Password`
1. Adicione o ARN desse segredo como entrada na pilha.
**Forneça um nome de pilha, informações do projeto Jira e credenciais da API Jira.**
![\[pilha de integração do sistema de tickets jira\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuração do Jira Field**:
Depois de implantar a pilha do Jira, você pode personalizar os campos do ticket do Jira definindo a variável de `JIRA_FIELDS_MAPPING` ambiente na função Lambda. Essa string JSON substitui os campos padrão do ticket do Jira e deve seguir a estrutura dos campos da API do Jira.
Valores padrão quando `JIRA_FIELDS_MAPPING` está vazio ou os campos não são especificados:
+ **prioridade**: `{"id": "3"}` (Prioridade média)
+ **tipo de problema: `{"id": "10006"}` (Tarefa**)
+ **accountId**: recuperado automaticamente usando o endpoint da API `GET /rest/api/2/myself`
Exemplo de configuração com campos personalizados:
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Campo IDs comum do Jira:
+ **Prioridade IDs**: 1 (mais alta), 2 (alta), 3 (média), 4 (baixa), 5 (mais baixa)
+ **ID do tipo de problema**: varia de acordo com o projeto do Jira (por exemplo, 10006 para Task)
+ **ID da conta**: Formato `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Você pode encontrar seu campo IDs e sua conta do Jira IDs usando a API REST do Jira:
+ `GET /rest/api/2/myself`para ID da conta
+ `GET /rest/api/2/priority`para prioridade IDs
+ `GET /rest/api/2/project/{projectKey}`para tipo de problema IDs
Para obter mais informações, consulte o formato [POST do problema da API REST v2 do Jira](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Para implantar a ServiceNow pilha**:
1. Insira um nome para sua pilha.
1. Forneça o URI da sua ServiceNow instância.
1. Forneça o nome ServiceNow da sua tabela.
1. Crie uma chave de API ServiceNow com permissão para modificar a tabela na qual você pretende gravar.
1. Crie um segredo no Secrets Manager com a chave `API_Key` e forneça o ARN secreto como entrada para a pilha.
**Forneça um nome da pilha, informações ServiceNow do projeto e credenciais ServiceNow da API.**
![\[serviço de pilha de integração de sistemas de tickets agora\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Para criar uma pilha de integração personalizada**: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.
## Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub
1. Inicie a [pilha de administração](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template),`automated-security-response-admin.template`, com sua conta de administrador do Security Hub. Normalmente, um por organização em uma única região. Como essa pilha usa pilhas aninhadas, você deve implantar esse modelo como autogerenciado. StackSet
### Parâmetros
| Parâmetro | Padrão | Description |
| --- | --- | --- |
| **Carregar SC Admin Stack** | `yes` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles SC. |
| **Carregar pilha de administração do AFSBP** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles do FSBP. |
| **Carregar pilha de CIS120 administração** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS120 controles. |
| **Carregar pilha de CIS140 administração** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS140 controles. |
| **Carregar pilha de CIS300 administração** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS300 controles. |
| **Carregar pilha de PC1321 administração** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automatizada dos PC1321 controles. |
| **Carregar o NIST Admin Stack** | `no` | Especifique se deseja instalar os componentes administrativos para remediação automática dos controles do NIST. |
| **Reutilizar o grupo de registros do Orchestrator** | `no` | Selecione se deseja ou não reutilizar um grupo de `SO0111-ASR-Orchestrator` CloudWatch registros existente. Isso simplifica a reinstalação e as atualizações sem perder os dados de log de uma versão anterior. Reutilize o existente, `Orchestrator Log Group` escolha `yes` se o `Orchestrator Log Group` ainda existe de uma implantação anterior nessa conta, caso contrário`no`. Se você estiver executando uma atualização de pilha de uma versão anterior à v2.3.0, escolha `no` |
| **ShouldDeployWebUI** | `yes` | Implante os componentes da interface de usuário da Web, incluindo API Gateway, funções Lambda e CloudFront distribuição. Selecione “sim” para ativar a interface de usuário baseada na web para visualizar as descobertas e o status da remediação. Se você optar por desativar esse recurso, ainda poderá configurar remediações automatizadas e executar remediações sob demanda usando a ação personalizada CSPM do Security Hub. |
| **AdminUserEmail** | *(Entrada opcional)* | Endereço de e-mail do usuário administrador inicial. Esse usuário terá acesso administrativo total à interface do usuário da Web do ASR. Obrigatório **somente** quando a interface do usuário da Web está ativada. |
| **Use CloudWatch métricas** | `yes` | Especifique se deseja ativar CloudWatch as métricas para monitorar a solução. Isso criará um CloudWatch painel para visualizar as métricas. |
| **Use CloudWatch alarmes de métricas** | `yes` | Especifique se deseja ativar os alarmes de CloudWatch métricas para a solução. Isso criará alarmes para determinadas métricas coletadas pela solução. |
| **RemediationFailureAlarmThreshold** | `5` | Especifique o limite para a porcentagem de falhas de remediação por ID de controle. Por exemplo, se você entrar`5`, receberá um alarme se um ID de controle falhar em mais de 5% das remediações em um determinado dia. Esse parâmetro funciona somente se os alarmes forem criados (consulte o parâmetro **Use CloudWatch Metrics Alarms)**. |
| **EnableEnhancedCloudWatchMetrics** | `no` | Se`yes`, cria CloudWatch métricas adicionais para rastrear todos os controles IDs individualmente no CloudWatch painel e como CloudWatch alarmes. Consulte a seção [Custo](cost.md#additional-cost-enhanced-metrics) para entender o custo adicional que isso acarreta. |
| **TicketGenFunctionName** | *(Entrada opcional)* | Opcional. Deixe em branco se você não quiser integrar um sistema de bilhetagem. Caso contrário, forneça o nome da função Lambda da saída da pilha da [Etapa 0](deployment.md#step-0), por exemplo:. `SO0111-ASR-ServiceNow-TicketGenerator` |
**Configurar StackSet opções**
![\[configurar opções de conjunto de pilhas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Para o parâmetro **Números da conta**, insira o ID da conta de administrador do AWS Security Hub.
1. Para o parâmetro **Especificar regiões**, selecione somente a região em que o administrador do Security Hub está ativado. Aguarde a conclusão dessa etapa antes de prosseguir para a Etapa 2.
## Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub
Use um serviço gerenciado StackSets para implantar o [modelo de funções de membro](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Isso StackSet deve ser implantado em uma região por conta de membro. Ele define as funções globais que permitem chamadas de API entre contas a partir da função de etapa do ASR Orchestrator.
### Parâmetros
| Parâmetro | Padrão | Description |
| --- | --- | --- |
| **Namespace** | ** | Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Namespace exclusivo a ser adicionado como sufixo aos nomes das funções do IAM de remediação. O mesmo namespace deve ser usado nas funções e pilhas de membros. Essa sequência de caracteres deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha. O valor do namespace **não** precisa ser exclusivo por conta de membro. |
| **Administrador da conta Sec Hub** | ** | Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub. Esse valor concede permissões para a função de solução da conta de administrador. |
1. Implante em toda a organização (típica) ou em unidades organizacionais, de acordo com as políticas de sua organização.
1. Ative a implantação automática para que novas contas no AWS Organizations recebam essas permissões.
1. Para o parâmetro **Especificar regiões**, selecione uma única região. As funções do IAM são globais. Você pode continuar na Etapa 3 enquanto isso é StackSet implantado.
**Especifique StackSet detalhes**
![\[especificar detalhes do conjunto de pilhas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub
Como a pilha de [membros usa pilhas](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) aninhadas, você deve implantá-la como autogerenciada. StackSet Isso não oferece suporte à implantação automática em novas contas na organização da AWS.
### Parâmetros
| Parâmetro | Padrão | Description |
| --- | --- | --- |
| **Forneça o nome do LogGroup a ser usado para criar filtros métricos e alarmes** | ** | Especifique o nome de um grupo de CloudWatch registros em que CloudTrail registra chamadas de API. Isso é usado para remediações do CIS 3.1-3.14. |
| **Carregar pilha de membros SC** | `yes` | Especifique se deseja instalar os componentes do membro para remediação automatizada dos controles SC. |
| **Carregar pilha de membros do AFSBP** | `no` | Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do FSBP. |
| **Carregar pilha de CIS120 membros** | `no` | Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS120 controles. |
| **Carregar pilha de CIS140 membros** | `no` | Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS140 controles. |
| **Carregar pilha de CIS300 membros** | `no` | Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS300 controles. |
| **Carregar pilha de PC1321 membros** | `no` | Especifique se deseja instalar os componentes do membro para remediação automatizada dos PC1321 controles. |
| **Carregar pilha de membros do NIST** | `no` | Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do NIST. |
| **Crie um bucket do S3 para o registro de auditoria do Redshift** | `no` | Selecione `yes` se o bucket do S3 deve ser criado para a remediação do FSBP 4.4. RedShift *Para obter detalhes sobre o bucket S3 e a remediação, consulte a remediação do [Redshift.4 no Guia do usuário do](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) AWS Security Hub.* |
| **Conta de administrador do Sec Hub** | ** | Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub. |
| **Namespace** | ** | Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Essa string se torna parte dos nomes das funções do IAM e do bucket do Action Log S3. Use o mesmo valor para implantação de pilha de membros e implantação de pilha de funções de membros. A string deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha. |
| **EnableCloudTrailForASRActionLog** (Log) | `no` | Selecione `yes` se você deseja monitorar os eventos de gerenciamento conduzidos pela solução no CloudWatch painel. A solução cria uma CloudTrail trilha em cada conta de membro selecionada`yes`. Você deve implantar a solução em uma organização da AWS para habilitar esse recurso. **Além disso, você só pode ativar esse recurso em uma única região dentro da mesma conta.** Consulte a seção [Custo](cost.md#additional-cost-action-log) para entender o custo adicional que isso acarreta. |
**Contas**
![\[contas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Locais de implantação**: você pode especificar uma lista de números de contas ou unidades organizacionais.
**Especifique regiões**: selecione todas as regiões nas quais você deseja corrigir as descobertas. Você pode ajustar as opções de implantação conforme apropriado para o número de contas e regiões. A simultaneidade de regiões pode ser paralela.
# Implantação automatizada - Stacks
**nota**
Para clientes com várias contas, é altamente recomendável [implantar com StackSets](deployment-stackset.md).
Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em sua conta.
**Tempo de implantação:** Aproximadamente 30 minutos
## Pré-requisitos
Antes de implantar essa solução, certifique-se de que o AWS Security Hub esteja na mesma região da AWS que suas contas primária e secundária. Se você já implantou essa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte [Atualizar a solução](update-the-solution.md).
## Visão geral da implantação
Use as etapas a seguir para implantar essa solução na AWS.
[(Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes](#step-0)
+ Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
+ Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).
[Etapa 1: iniciar a pilha de administração](#step-1)
+ Inicie o CloudFormation modelo `automated-security-response-admin.template` da AWS em sua conta de administrador do AWS Security Hub.
+ Escolha quais padrões de segurança instalar.
+ Escolha um grupo de registros existente do Orchestrator para usar (selecione `Yes` se `SO0111-ASR-Orchestrator` já existe em uma instalação anterior).
[Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub](#step-2)
+ Lance o CloudFormation modelo `automated-security-response-member-roles.template` da AWS em uma região por conta de membro.
+ Insira o IG da conta de 12 dígitos para a conta de administrador do AWS Security Hub.
[Etapa 3: iniciar a pilha de membros](#step-3)
+ Especifique o nome do grupo de CloudWatch registros a ser usado com as remediações do CIS 3.1-3.14. Ele deve ser o nome de um grupo de CloudWatch registros de registros que recebe CloudTrail registros.
+ Escolha se deseja instalar as funções de remediação. Instale essas funções somente uma vez por conta.
+ Selecione quais playbooks instalar.
+ Insira o ID da conta de administrador do AWS Security Hub.
[Etapa 4: (Opcional) Ajustar as remediações disponíveis](#step-4)
+ Remova todas as correções por conta de membro. Esta etapa é opcional.
## (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes
1. Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.
1. Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.
**Para implantar a pilha do Jira:**
1. Insira um nome para sua pilha.
1. Forneça o URI para sua instância do Jira.
1. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.
1. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. `Username` `Password`
**nota**
Você pode optar por usar uma chave de API do Jira no lugar de sua senha, fornecendo seu nome de usuário como `Username` e sua chave de API como o. `Password`
1. Adicione o ARN desse segredo como entrada na pilha.
**“Forneça um nome de pilha, informações do projeto Jira e credenciais da API do Jira.**
![\[pilha de integração do sistema de tickets jira\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuração do Jira Field**:
Para obter informações sobre como personalizar os campos de ticket do Jira, consulte a seção Configuração de campo do Jira na [Etapa 0 da implantação](deployment-stackset.md#step-0-stackset). StackSet
**Para implantar a ServiceNow pilha**:
1. Insira um nome para sua pilha.
1. Forneça o URI da sua ServiceNow instância.
1. Forneça o nome ServiceNow da sua tabela.
1. Crie uma chave de API ServiceNow com permissão para modificar a tabela na qual você pretende gravar.
1. Crie um segredo no Secrets Manager com a chave `API_Key` e forneça o ARN secreto como entrada para a pilha.
**Forneça um nome da pilha, informações ServiceNow do projeto e credenciais ServiceNow da API.**
![\[serviço de pilha de integração de sistemas de tickets agora\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Para criar uma pilha de integração personalizada**: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.
## Etapa 1: iniciar a pilha de administração
**Importante**
Essa solução inclui coleta de dados. Usamos esses dados para entender melhor como os clientes usam essa solução e os serviços e produtos relacionados. A AWS possui os dados coletados por meio dessa pesquisa. A coleta de dados está sujeita ao [Aviso de Privacidade da AWS](https://aws.amazon.com/privacy/).
Esse CloudFormation modelo automatizado da AWS implanta a solução Automated Security Response on AWS na nuvem da AWS. Antes de iniciar a pilha, você deve habilitar o Security Hub e preencher os [pré-requisitos](#prerequisites).
**nota**
Você é responsável pelo custo dos serviços da AWS usados ao executar essa solução. Para obter mais detalhes, visite a seção [Custo](cost.md) neste guia e consulte a página de preços de cada serviço da AWS usado nesta solução.
1. Faça login no AWS Management Console a partir da conta em que o AWS Security Hub está atualmente configurado e use o botão abaixo para iniciar o CloudFormation modelo `automated-security-response-admin.template` da AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Também é possível [fazer download do modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) para usá-lo como ponto de partida para a sua própria implantação.
1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.
**nota**
Essa solução usa o AWS Systems Manager, que atualmente está disponível somente em regiões específicas da AWS. A solução funciona em todas as regiões que oferecem suporte a esse serviço. Para obter a disponibilidade mais atual por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do **Amazon S3** e escolha Avançar.**
1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte [os limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do AWS Identity and Access Management*.
1. Na página **Parâmetros**, escolha **Avançar**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)
**nota**
Você deve ativar manualmente as correções automáticas na conta do administrador após implantar ou atualizar as pilhas da CloudFormation solução.
1. Na página **Configurar opções de pilha**, selecione **Avançar**.
1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).
1. Selecione **Create stack** (Criar pilha) para implantar a pilha.
Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.
## Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub
O `automated-security-response-member-roles.template` StackSet deve ser implantado em apenas uma região por conta de membro. Ele define as funções globais que permitem chamadas de API entre contas a partir da função de etapa do ASR Orchestrator.
1. Faça login no Console de Gerenciamento da AWS para cada conta de membro do AWS Security Hub (incluindo a conta de administrador, que também é membro). Selecione o botão para iniciar o CloudFormation modelo `automated-security-response-member-roles.template` da AWS. Também é possível [fazer download do modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) para usá-lo como ponto de partida para a sua própria implantação.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.
1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do Amazon S3 e escolha Avançar.**
1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte os limites do IAM e do STS no Guia do usuário do AWS Identity and Access Management.
1. Na página **Parâmetros**, especifique os parâmetros a seguir e escolha Avançar.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Na página **Configurar opções de pilha**, selecione **Avançar**.
1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).
1. Selecione **Create stack** (Criar pilha) para implantar a pilha.
Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em cerca de 5 minutos. Você pode continuar com a próxima etapa enquanto essa pilha é carregada.
## Etapa 3: iniciar a pilha de membros
**Importante**
Essa solução inclui coleta de dados. Usamos esses dados para entender melhor como os clientes usam essa solução e os serviços e produtos relacionados. A AWS possui os dados coletados por meio dessa pesquisa. A coleta de dados está sujeita à Política de Privacidade da AWS.
A `automated-security-response-member` pilha deve ser instalada em cada conta de membro do Security Hub. Essa pilha define os runbooks para remediação automatizada. O administrador da conta de cada membro pode controlar quais remediações estão disponíveis por meio dessa pilha.
1. Faça login no Console de Gerenciamento da AWS para cada conta de membro do AWS Security Hub (incluindo a conta de administrador, que também é membro). Selecione o botão para iniciar o CloudFormation modelo `automated-security-response-member.template` da AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Você também pode [baixar o modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) como ponto de partida para sua própria implementação. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.
\$1
**nota**
Essa solução usa o AWS Systems Manager, que atualmente está disponível na maioria das regiões da AWS. A solução funciona em todas as regiões que oferecem suporte a esses serviços. Para obter a disponibilidade mais atual por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do **Amazon S3** e escolha Avançar.**
1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte [os limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do AWS Identity and Access Management*.
1. Na página **Parâmetros**, especifique os parâmetros a seguir e escolha **Avançar**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Na página **Configurar opções de pilha**, selecione **Avançar**.
1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).
1. Selecione **Create stack** (Criar pilha) para implantar a pilha.
Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.
## Etapa 4: (Opcional) Ajustar as remediações disponíveis
Se quiser remover correções específicas da conta de um membro, você pode fazer isso atualizando a pilha aninhada de acordo com o padrão de segurança. Para simplificar, as opções de pilha aninhada não são propagadas para a pilha raiz.
1. Faça login no [ CloudFormation console da AWS](https://console.aws.amazon.com/cloudformation/home) e selecione a pilha aninhada.
1. Selecione **Atualizar**.
1. Selecione **Atualizar pilha aninhada e escolha **Atualizar** pilha**.
**Atualizar pilha aninhada**
![\[pilha aninhada\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Selecione **Usar modelo atual** e escolha **Avançar**.
1. Ajuste as remediações disponíveis. Altere os valores dos controles desejados para `Available` e dos controles indesejados para`Not available`.
**nota**
Desativar uma remediação remove o runbook de remediação de soluções para o padrão e controle de segurança.
1. Na página **Configurar opções de pilha**, selecione **Avançar**.
1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).
1. Escolha **Atualizar pilha**.
Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.
# Implantação da Control Tower (CT)
O guia Customizations for AWS Control Tower (cFCT) é para administradores, DevOps profissionais, fornecedores independentes de software, arquitetos de infraestrutura de TI e integradores de sistemas que desejam personalizar e ampliar seus ambientes da AWS Control Tower para suas empresas e clientes. Ele fornece informações sobre a personalização e a extensão do ambiente do AWS Control Tower com o pacote de personalização do CfCT.
**Tempo de implantação:** Aproximadamente 30 minutos
## Pré-requisitos
Antes de implantar essa solução, certifique-se de que ela seja destinada aos **administradores do AWS Control Tower**.
Quando você estiver pronto para configurar sua landing zone usando o console do AWS Control Tower ou APIs siga estas etapas:
Para começar a usar o AWS Control Tower, consulte: [Getting Started with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Para saber como personalizar sua zona de pouso, consulte: [Personalizando sua zona de pouso](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html)
Para iniciar e implantar sua zona de pouso, consulte: [Guia de implantação da zona de pouso](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Visão geral da implantação
Use as etapas a seguir para implantar essa solução na AWS.
[Etapa 1: criar e implantar o bucket S3](#step-1-cfn)
**nota**
Configuração do bucket S3 — somente para ADMIN. Essa é uma etapa de configuração única e não deve ser repetida pelos usuários finais. Os buckets do S3 armazenam o pacote de implantação, incluindo o CloudFormation modelo da AWS e o código Lambda necessários para a execução do ASR. Esses recursos são implantados usando CfCt ou StackSet.
**1. Configurar o bucket S3**
Configure o bucket do S3 que será usado para armazenar e servir seus pacotes de implantação.
**2. Configurar o ambiente do**
Prepare as variáveis de ambiente, as credenciais e as ferramentas necessárias para o processo de criação e implantação.
**3. Configurar políticas de bucket do S3**
Defina e aplique as políticas de bucket apropriadas para controlar o acesso e as permissões.
**4. Prepare a construção**
Compile, empacote ou prepare seu aplicativo ou ativos para implantação.
**5. Implantar pacotes no S3**
Faça o upload dos artefatos de construção preparados para o bucket S3 designado.
[Etapa 2: implantação de pilhas no AWS Control Tower](#step-2-cfn)
**1. Crie um manifesto de construção para componentes do ASR**
Defina um manifesto de construção que liste todos os componentes do ASR, suas versões, dependências e instruções de construção.
**2. Atualize o CodePipeline**
Modifique a CodePipeline configuração da AWS para incluir as novas etapas de construção, artefatos ou estágios necessários para a implantação dos componentes do ASR.
## Etapa 1: criar e implantar no bucket S3
As soluções da AWS usam dois buckets: um bucket para acesso global aos modelos, que é acessado via HTTPS, e buckets regionais para acessar ativos dentro da região, como o código Lambda.
**1. Configurar o bucket S3**
Escolha um nome de bucket exclusivo, por exemplo, asr-staging. Defina duas variáveis de ambiente em seu terminal, uma deve ser o nome base do bucket com -reference como sufixo e a outra com a região de implantação pretendida como sufixo:
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Configuração do ambiente**
Na sua conta da AWS, crie dois buckets com esses nomes, por exemplo, asr-staging-reference e asr-staging-us-east -1. (O bucket de referência conterá os CloudFormation modelos, o bucket regional conterá todos os outros ativos, como o pacote de código lambda.) Seus buckets devem ser criptografados e impedir o acesso público
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**nota**
Ao criar seus buckets, certifique-se de que eles não estejam acessíveis ao público. Use nomes de bucket aleatórios. Desative o acesso público. Use a criptografia KMS. E verifique a propriedade do bucket antes de fazer o upload.
**3. Configuração da política de buckets do S3**
Atualize a política de bucket do S3 \$1TEMPLATE\$1BUCKET\$1NAME para incluir permissões para o ID da conta de execução. PutObject Atribua essa permissão a uma função do IAM na conta de execução que está autorizada a gravar no bucket. Essa configuração permite que você evite criar o bucket na conta de gerenciamento.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Altere a política de bucket do S3 do ativo para incluir permissões. Atribua essa permissão a uma função do IAM na conta de execução que está autorizada a gravar no bucket. Repita essa configuração para cada bucket de ativos regional (por exemplo, asr-staging-us-east asr-staging-eu-west -1, -1 etc.), permitindo implantações em várias regiões sem precisar criar os buckets na conta de gerenciamento.
**4. Preparação da construção**
+ Pré-requisitos:
+ AWS CLI v2
+ Python 3.11\$1 com pip
+ AWS CDK 2.171.1\$1
+ Node.js 20\$1 com npm
+ Poesia v2 com plugin para exportar
+ Clone do Git [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Primeiro, certifique-se de ter executado npm install na pasta de origem.
Em seguida, na pasta de implantação em seu repositório clonado, execute build-s3-dist.sh, passando o nome raiz do seu bucket (ex. mybucket) e a versão que você está criando (por exemplo, v1.0.0). Recomendamos usar uma versão semver com base na versão baixada de GitHub (ex. GitHub: v1.0.0, sua compilação: v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Implante pacotes no S3**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Etapa 2: implantação de pilhas no AWS Control Tower
**1. Crie um manifesto para componentes do ASR**
[Depois de implantar artefatos ASR nos buckets do S3, atualize o [manifesto do pipeline](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html) do Control Tower para fazer referência à nova versão e, em seguida, acione a execução do pipeline, consulte: implantação da torre de controle](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**Importante**
Para garantir a implantação correta da solução ASR, consulte a documentação oficial da AWS para obter informações detalhadas sobre a visão geral dos CloudFormation modelos e a descrição dos parâmetros. Links de informações abaixo: [Guia de visão geral dos parâmetros dos CloudFormation ](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) [modelos](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html)
O manifesto dos componentes do ASR tem a seguinte aparência:
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Atualização do pipeline de código**
Adicione um arquivo de manifesto a custom-control-tower-configuration um.zip e execute uma CodePipeline, consulte: visão geral [do pipeline de código](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html)