Pré-requisitos Visão geral da implantação (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tickets Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub

Implantação automatizada - StackSets

nota

Recomendamos implantar com StackSets. No entanto, para implantações em uma única conta ou para fins de teste ou avaliação, considere a opção de implantação de pilhas.

Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em seu AWS Organizations.

Tempo de implantação: aproximadamente 30 minutos por conta, dependendo StackSet dos parâmetros.

Pré-requisitos

O AWS Organizations ajuda você a gerenciar e governar centralmente seu ambiente e seus recursos multicontas da AWS. StackSets funcionam melhor com o AWS Organizations.

Se você já implantou a versão 1.3.x ou anterior dessa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte Atualizar a solução.

Antes de implantar essa solução, revise sua implantação do AWS Security Hub:

Deve haver uma conta de administrador delegada do Security Hub em sua organização da AWS.
O Security Hub deve ser configurado para agregar descobertas em todas as regiões. Para obter mais informações, consulte Agregando descobertas entre regiões no Guia do usuário do AWS Security Hub.
Você deve ativar o Security Hub para sua organização em cada região em que você usa a AWS.

Esse procedimento pressupõe que você tenha várias contas usando o AWS Organizations e tenha delegado uma conta de administrador do AWS Organizations e uma conta de administrador do AWS Security Hub.

Observe que essa solução funciona com o AWS Security Hub e o AWS Security Hub CSPM.

Visão geral da implantação

nota

StackSets a implantação dessa solução usa uma combinação de serviços gerenciados e autogerenciados. StackSets O autogerenciado StackSets deve ser usado atualmente, pois eles usam aninhados StackSets, que ainda não são compatíveis com o gerenciamento de serviços. StackSets

Implemente o a StackSets partir de uma conta de administrador delegado em seu AWS Organizations.

Planejamento

Use o formulário a seguir para ajudar na StackSets implantação. Prepare seus dados e, em seguida, copie e cole os valores durante a implantação.

AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________

(Opcional) Etapa 0: implantar a pilha de integração de tíquetes

Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).

Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub

Usando um modelo autogerenciado StackSet, execute o CloudFormation modelo automated-security-response-admin.template da AWS em sua conta de administrador do AWS Security Hub na mesma região do administrador do Security Hub. Esse modelo usa pilhas aninhadas.
Escolha quais padrões de segurança instalar. Por padrão, somente SC é selecionado (recomendado).
Escolha um grupo de registros existente do Orchestrator para usar. Selecione Yes se SO0111-ASR- Orchestrator já existe em uma instalação anterior.
Escolha se deseja ativar a interface de usuário da Web da solução. Se você optar por ativar esse recurso, também deverá inserir um endereço de e-mail para receber uma função de administrador.
Selecione suas preferências para coletar CloudWatch métricas relacionadas à integridade operacional da solução.

Para obter mais informações sobre autogerenciamento StackSets, consulte Conceder permissões autogerenciadas no Guia CloudFormation do usuário da AWS.

Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub

Aguarde até que a Etapa 1 conclua a implantação, pois o modelo na Etapa 2 faz referência às funções do IAM criadas pela Etapa 1.

Usando um serviço gerenciado StackSet, execute o CloudFormation modelo da automated-security-response-member-roles.template AWS em uma única região em cada conta em seu AWS Organizations.
Escolha instalar esse modelo automaticamente quando uma nova conta ingressar na organização.
Insira o ID da conta de administrador do AWS Security Hub.
Insira um valor para o namespace que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos.

Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub

Usando o autogerenciamento StackSets, lance o CloudFormation modelo automated-security-response-member.template da AWS em todas as regiões em que você tem recursos da AWS em todas as contas da sua organização da AWS gerenciadas pelo mesmo administrador do Security Hub.

nota
Até que o StackSets suporte gerenciado por serviços esteja aninhado, você deve executar essa etapa para todas as novas contas que ingressarem na organização.
Escolha quais playbooks do Security Standard instalar.
Forneça o nome de um grupo de CloudTrail registros (usado por algumas correções).
Insira o ID da conta de administrador do AWS Security Hub.
Insira um valor para o namespace que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Isso deve corresponder ao namespace valor que você selecionou para a pilha de funções de membro. Além disso, o valor do namespace não precisa ser exclusivo por conta de membro.

(Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tickets

Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.
Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.

Para implantar a pilha do Jira:
1. Insira um nome para sua pilha.
2. Forneça o URI para sua instância do Jira.
3. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.
4. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. Username Password
  
  nota
  Você pode optar por usar uma chave de API do Jira no lugar de sua senha, fornecendo seu nome de usuário como Username e sua chave de API como o. Password
5. Adicione o ARN desse segredo como entrada na pilha.
  
  Forneça um nome de pilha, informações do projeto Jira e credenciais da API Jira.
  
  Para implantar a ServiceNow pilha:
6. Insira um nome para sua pilha.
7. Forneça o URI da sua ServiceNow instância.
8. Forneça o nome ServiceNow da sua tabela.
9. Crie uma chave de API ServiceNow com permissão para modificar a tabela na qual você pretende gravar.
10. Crie um segredo no Secrets Manager com a chave API_Key e forneça o ARN secreto como entrada para a pilha.
  
  Forneça um nome da pilha, informações ServiceNow do projeto e credenciais ServiceNow da API.
  
  Para criar uma pilha de integração personalizada: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.

Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub

Inicie a pilha de administração,automated-security-response-admin.template, com sua conta de administrador do Security Hub. Normalmente, um por organização em uma única região. Como essa pilha usa pilhas aninhadas, você deve implantar esse modelo como autogerenciado. StackSet

Parameters

Parameter	Padrão	Description
Carregar SC Admin Stack	`yes`	Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles SC.
Carregar pilha de administração do AFSBP	`no`	Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles do FSBP.
Carregar CIS12 0 pilha de administração	`no`	Especifique se deseja instalar os componentes administrativos para remediação automática de CIS12 0 controles.
Carregar CIS14 0 pilha de administração	`no`	Especifique se deseja instalar os componentes administrativos para remediação automática de CIS14 0 controles.
Carregar CIS3 00 Admin Stack	`no`	Especifique se deseja instalar os componentes administrativos para remediação automática dos controles CIS3 00.
Carregar pilha de PC1321 administração	`no`	Especifique se deseja instalar os componentes administrativos para remediação automatizada dos PC1321 controles.
Carregar o NIST Admin Stack	`no`	Especifique se deseja instalar os componentes administrativos para remediação automática dos controles do NIST.
Reutilizar o grupo de registros do Orchestrator	`no`	Selecione se deseja ou não reutilizar um grupo de `SO0111-ASR-Orchestrator` CloudWatch registros existente. Isso simplifica a reinstalação e as atualizações sem perder os dados de log de uma versão anterior. Reutilize o existente, `Orchestrator Log Group` escolha `yes` se o `Orchestrator Log Group` ainda existe de uma implantação anterior nessa conta, caso contrário`no`. Se você estiver executando uma atualização de pilha de uma versão anterior à v2.3.0, escolha `no`
ShouldDeployWebUI	`yes`	Implante os componentes da interface de usuário da Web, incluindo API Gateway, funções Lambda e CloudFront distribuição. Selecione “sim” para ativar a interface de usuário baseada na web para visualizar as descobertas e o status da remediação. Se você optar por desativar esse recurso, ainda poderá configurar remediações automatizadas e executar remediações sob demanda usando a ação personalizada CSPM do Security Hub.
AdminUserEmail	(Entrada opcional)	Endereço de e-mail do usuário administrador inicial. Esse usuário terá acesso administrativo total à interface do usuário da Web do ASR. Obrigatório somente quando a interface do usuário da Web está ativada.
Use CloudWatch métricas	`yes`	Especifique se deseja ativar CloudWatch as métricas para monitorar a solução. Isso criará um CloudWatch painel para visualizar métricas.
Use CloudWatch alarmes de métricas	`yes`	Especifique se deseja ativar os alarmes de CloudWatch métricas para a solução. Isso criará alarmes para determinadas métricas coletadas pela solução.
RemediationFailureAlarmThreshold	`5`	Especifique o limite para a porcentagem de falhas de remediação por ID de controle. Por exemplo, se você entrar`5`, receberá um alarme se um ID de controle falhar em mais de 5% das remediações em um determinado dia. Esse parâmetro funciona somente se os alarmes forem criados (consulte o parâmetro Use CloudWatch Metrics Alarms).
EnableEnhancedCloudWatchMetrics	`no`	Se`yes`, cria CloudWatch métricas adicionais para rastrear todos os controles IDs individualmente no CloudWatch painel e como CloudWatch alarmes. Consulte a seção Custo para entender o custo adicional que isso acarreta.
TicketGenFunctionName	(Entrada opcional)	Opcional. Deixe em branco se você não quiser integrar um sistema de bilhetagem. Caso contrário, forneça o nome da função Lambda da saída da pilha da Etapa 0, por exemplo:. `SO0111-ASR-ServiceNow-TicketGenerator`

Configurar StackSet opções

Para o parâmetro Números da conta, insira o ID da conta de administrador do AWS Security Hub.
Para o parâmetro Especificar regiões, selecione somente a região em que o administrador do Security Hub está ativado. Aguarde a conclusão dessa etapa antes de prosseguir para a Etapa 2.

Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub

Use um serviço gerenciado StackSets para implantar o modelo de funções de membro,. automated-security-response-member-roles.template Isso StackSet deve ser implantado em uma região por conta de membro. Ele define as funções globais que permitem chamadas de API entre contas a partir da função de etapa do ASR Orchestrator.

Parameters

Parameter	Padrão	Description
Namespace	`<Requires input>`	Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Namespace exclusivo a ser adicionado como sufixo aos nomes das funções do IAM de remediação. O mesmo namespace deve ser usado nas funções e pilhas de membros. Essa sequência de caracteres deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha. O valor do namespace não precisa ser exclusivo por conta de membro.
Administrador da conta Sec Hub	`<Requires input>`	Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub. Esse valor concede permissões para a função de solução da conta de administrador.

Implante em toda a organização (típica) ou em unidades organizacionais, de acordo com as políticas de sua organização.
Ative a implantação automática para que novas contas no AWS Organizations recebam essas permissões.
Para o parâmetro Especificar regiões, selecione uma única região. As funções do IAM são globais. Você pode continuar na Etapa 3 enquanto isso é StackSet implantado.

Especifique StackSet detalhes

Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub

Como a pilha de membros usa pilhas aninhadas, você deve implantá-la como autogerenciada. StackSet Isso não oferece suporte à implantação automática em novas contas na organização da AWS.

Parameters

Parameter	Padrão	Description
Forneça o nome do LogGroup a ser usado para criar filtros métricos e alarmes	`<Requires input>`	Especifique o nome de um grupo de CloudWatch registros em que CloudTrail registra chamadas de API. Isso é usado para remediações do CIS 3.1-3.14.
Carregar pilha de membros SC	`yes`	Especifique se deseja instalar os componentes do membro para remediação automatizada dos controles SC.
Carregar pilha de membros do AFSBP	`no`	Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do FSBP.
Carregar pilha de CIS12 0 membros	`no`	Especifique se deseja instalar os componentes do membro para remediação automatizada de CIS12 0 controles.
Carregar pilha de CIS14 0 membros	`no`	Especifique se deseja instalar os componentes do membro para remediação automatizada de CIS14 0 controles.
Carregar pilha de CIS3 100 membros	`no`	Especifique se deseja instalar os componentes do membro para remediação automatizada dos controles CIS3 00.
Carregar pilha de PC1321 membros	`no`	Especifique se deseja instalar os componentes do membro para remediação automatizada dos PC1321 controles.
Carregar pilha de membros do NIST	`no`	Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do NIST.
Crie um bucket do S3 para o registro de auditoria do Redshift	`no`	Selecione `yes` se o bucket do S3 deve ser criado para a remediação do FSBP 4.4. RedShift Para obter detalhes sobre o bucket S3 e a remediação, consulte a remediação do Redshift.4 no Guia do usuário do AWS Security Hub.
Conta de administrador do Sec Hub	`<Requires input>`	Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub.
Namespace	`<Requires input>`	Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Essa string se torna parte dos nomes das funções do IAM e do bucket do Action Log S3. Use o mesmo valor para implantação de pilha de membros e implantação de pilha de funções de membros. A string deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha.
EnableCloudTrailForASRActionLog (Log)	`no`	Selecione `yes` se você deseja monitorar os eventos de gerenciamento conduzidos pela solução no CloudWatch painel. A solução cria uma CloudTrail trilha em cada conta de membro selecionada`yes`. Você deve implantar a solução em uma organização da AWS para habilitar esse recurso. Além disso, você só pode ativar esse recurso em uma única região dentro da mesma conta. Consulte a seção Custo para entender o custo adicional que isso acarreta.

Contas

Locais de implantação: você pode especificar uma lista de números de contas ou unidades organizacionais.

Especifique regiões: selecione todas as regiões nas quais você deseja corrigir as descobertas. Você pode ajustar as opções de implantação conforme apropriado para o número de contas e regiões. A simultaneidade de regiões pode ser paralela.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

CloudFormation Modelos da AWS

Implantação automatizada - Stacks