本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 奔跑阶段：优化您的云安全运营
<a name="run"></a>



![\[奔跑的人图标\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/run.png)


在“行走”阶段实施基准后，您的组织将进入“奔跑”阶段。本阶段的重点是展示云可用的网络安全功能，其中许多功能通过本地解决方案无法或很难实施。此阶段汇集了不同的安全组件并实现了流程自动化。自动化可以腾出您的资源，使其能够专注于高价值的工作。

以下是“奔跑”阶段的唯一分阶段：
+ [优化](optimize.md)：如何改进此过程并添加自动化？

# 优化：自动化并迭代您的云安全运营
<a name="optimize"></a>

在优化分阶段，您可以自动化安全运营。就像爬行和行走阶段一样，你可以在跑步 AWS Security Hub CSPM 阶段使用它来实现自动化和迭代。下图显示了 Security Hub CSPM 如何触发自定义 A [mazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 规则，该规则定义了针对特定发现和见解采取的自动操作。有关更多信息，请参阅 Security Hub CSPM 文档中的[自动化](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html)。



![\[使用 AWS Security Hub CSPM 和 Amazon EventBridge 自动执行云安全操作\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/optimize.png)


通过使用 Security Hub CSPM 作为中央自动化中心，您还可以将活动转发到。[https://www.splunk.com](https://www.splunk.com) Splunk然后可以检测到异常的并在中触发相应的操作。 EventBridge这可以帮助您自动执行重复性任务，使技能娴熟的团队成员能有更多时间专注于更高价值的活动。您还可以使用 [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) 收集日志、拍摄取证快照、隔离受损服务器并将其替换为黄金映像。此外，您还可以使用 [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 函数，以使用 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 修复整个环境中的漏洞，并使用 [Amazon Simple Queue Service（Amazon SQS）](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)功能来验证系统的安全性。通过采用此方法，可以快速遏制并修复安全事件，同时将对正常业务运营的影响降至最低。

以下是重复执行自动化操作的示例，如上图中所示：

1. 使用 Splunk 检测可疑活动。

1. 使用 Step Functions 收集日志、撤销访问权限、隔离和拍摄取证快照。

1. 使用 EventBridge 规则启动 Lambda 函数，该函数可隔离、拍摄取证快照并用黄金映像替换受感染的服务器。

1. 启动 Lambda 函数，以使用 Systems Manager 对整个环境的其余部分进行修复并应用补丁。

1. 启动一条 Amazon SQS 消息，该消息使用 [Rapid7](https://www.rapid7.com/) 扫描器扫描并验证资源是否安全。 AWS 

有关更多信息，请参阅 AWS 安全博客中 [EC2 实例中的 AWS 云 如何自动执行事件响应](https://aws.amazon.com/blogs/security/how-to-automate-incident-response-in-aws-cloud-for-ec2-instances/)。