优化:自动化并迭代您的云安全运营 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

优化:自动化并迭代您的云安全运营

在优化分阶段,您可以自动化安全运营。就像爬行和行走阶段一样,你可以在跑步 AWS Security Hub CSPM 阶段使用它来实现自动化和迭代。下图显示了 Security Hub CSPM 如何触发自定义 A mazon EventBridge 规则,该规则定义了针对特定发现和见解采取的自动操作。有关更多信息,请参阅 Security Hub CSPM 文档中的自动化

使用 AWS Security Hub CSPM 和 Amazon EventBridge 自动执行云安全操作

通过使用 Security Hub CSPM 作为中央自动化中心,您还可以将活动转发到。Splunk Splunk然后可以检测到异常的并在中触发相应的操作。 EventBridge这可以帮助您自动执行重复性任务,使技能娴熟的团队成员能有更多时间专注于更高价值的活动。您还可以使用 AWS Step Functions 收集日志、拍摄取证快照、隔离受损服务器并将其替换为黄金映像。此外,您还可以使用 AWS Lambda 函数,以使用 AWS Systems Manager 修复整个环境中的漏洞,并使用 Amazon Simple Queue Service(Amazon SQS)功能来验证系统的安全性。通过采用此方法,可以快速遏制并修复安全事件,同时将对正常业务运营的影响降至最低。

以下是重复执行自动化操作的示例,如上图中所示:

  1. 使用 Splunk 检测可疑活动。

  2. 使用 Step Functions 收集日志、撤销访问权限、隔离和拍摄取证快照。

  3. 使用 EventBridge 规则启动 Lambda 函数,该函数可隔离、拍摄取证快照并用黄金映像替换受感染的服务器。

  4. 启动 Lambda 函数,以使用 Systems Manager 对整个环境的其余部分进行修复并应用补丁。

  5. 启动一条 Amazon SQS 消息,该消息使用 Rapid7 扫描器扫描并验证资源是否安全。 AWS

有关更多信息,请参阅 AWS 安全博客中 AWS Cloud 针对 EC2 实例的 “如何自动执行事件响应”。