自动部署- StackSets - AWS 上的自动安全响应
先决条件部署概述(可选)步骤 0:启动工单系统集成堆栈第 1 步:在委派的 Security Hub 管理员账户中启动管理堆栈第 2 步:将修复角色安装到每个 AWS Security Hub 成员账户中步骤 3:将成员堆栈启动到每个 AWS Security Hub 成员账户和区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动部署- StackSets

注意

我们建议使用进行部署 StackSets。但是,对于单账户部署或出于测试或评估目的,请考虑使用堆栈部署选项。

在启动解决方案之前,请查看本指南中讨论的架构、解决方案组件、安全性和设计注意事项。按照本节中的 step-by-step说明配置解决方案并将其部署到您的 AWS Organizations 中。

部署时间:每个账户大约 30 分钟,具体取决于 StackSet 参数。

先决条件

AWS O rganizations 可帮助您集中管理和管理您的多账户 AWS 环境和资源。 StackSets 最适合与 AWS Organiations 合作。

如果您之前部署过此解决方案的 1.3.x 或更早版本,则必须卸载现有解决方案。有关更多信息,请参阅更新解决方案

在部署此解决方案之前,请查看您的 AWS Security Hub 部署情况:

  • 您的 AWS 组织中必须有一个委托的 Security Hub 管理员账户。

  • 应将 Security Hub 配置为汇总各区域的调查结果。有关更多信息,请参阅 AWS Security Hub 用户指南中的跨区域汇总结果

  • 您应该在每个使用 AWS 的地区为您的组织激活 Security Hub

此过程假设您有多个使用 AWS Organizations 的账户,并且已经委托了一个 AWS Organizations 管理员账户和一个 AWS Security Hub 管理员账户。

请注意,此解决方案同时适用于 AWS Security Hub 和 AWS Security Hub CSPM

部署概述

注意

StackSets 此解决方案的部署使用了服务管理和自我 StackSets管理的组合。当前 StackSets 必须使用自我管理,因为它们使用的是嵌套 StackSets,而服务 StackSets管理尚不支持嵌套。

使用您的 StackSets AWS Organizati ons 中的委托管理员账户进行部署。

规划

使用以下表格来帮助进行 StackSets 部署。准备好数据,然后在部署期间复制并粘贴这些值。

AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________

(可选)步骤 0:部署工单集成堆栈

  • 如果您打算使用工单功能,请先将工单集成堆栈部署到您的 Security Hub 管理员帐户中。

  • 从该堆栈中复制 Lambda 函数名称并将其作为输入提供给管理堆栈(参见步骤 1)。

第 1 步:在委派的 Security Hub 管理员账户中启动管理堆栈

  • 使用自我管理 StackSet,将 automated-security-response-admin.template AWS CloudFormation 模板启动到您的 AWS Security Hub 管理员账户中,该账户与您的 Security Hub 管理员位于同一区域。此模板使用嵌套堆栈。

  • 选择要安装的安全标准。默认情况下,仅选择 SC(推荐)。

  • 选择要使用的现有 Orchestrator 日志组。Yes如果之前的安装中SO0111-ASR- Orchestrator已经存在,请选择此选项。

  • 选择是否启用解决方案的 Web UI。如果您选择启用此功能,则还必须输入要分配管理员角色的电子邮件地址。

  • 选择收集与解决方案运行状况相关的 CloudWatch 指标的首选项。

有关自我管理的更多信息 StackSets,请参阅 AW S CloudFormation 用户指南中的授予自我管理权限

第 2 步:将修复角色安装到每个 AWS Security Hub 成员账户中

请等待步骤 1 完成部署,因为步骤 2 中的模板引用了步骤 1 创建的 IAM 角色。

  • 使用服务托管 StackSet,将 automated-security-response-member-roles.template AWS CloudFormation 模板启动到您的 AWS Organizations 中每个账户的单个区域。

  • 选择在新账户加入组织时自动安装此模板。

  • 输入您的 AWS Security Hub 管理员账户的账户 ID。

  • 输入一个值,namespace该值将用于防止资源名称与同一个账户中的先前或并发部署发生冲突。输入最多 9 个小写字母数字字符的字符串。

第 3 步:将成员堆栈启动到每个 AWS Security Hub 成员账户和区域

  • 使用自我管理 StackSets,将 automated-security-response-member.template AWS CloudFormation 模板启动到所有区域,在该区域中,您的 AWS 组织中的每个账户都有 AWS 资源,由同一 Security Hub 管理员管理。

    注意

    在服务管理 StackSets 支持嵌套堆栈之前,您必须为加入组织的所有新帐户执行此步骤。

  • 选择要安装的 “安全标准” 行动手册。

  • 提供 CloudTrail 日志组的名称(用于某些补救措施)。

  • 输入您的 AWS Security Hub 管理员账户的账户 ID。

  • 输入一个值,namespace该值将用于防止资源名称与同一个账户中的先前或并发部署发生冲突。输入最多 9 个小写字母数字字符的字符串。这应该与您为成员角色堆栈选择的namespace值相匹配,此外,每个成员账户的命名空间值不必是唯一的。

(可选)步骤 0:启动工单系统集成堆栈

  1. 如果您打算使用票证功能,请先启动相应的集成堆栈。

  2. 为 Jira 或选择提供的集成堆栈 ServiceNow,或者将其用作蓝图来实现您自己的自定义集成。

    要部署 Jira 堆栈,请执行以下操作:

    1. 输入堆栈的名称。

    2. 为您的 Jira 实例提供 URI。

    3. 为要向其发送工单的 Jira 项目提供项目密钥。

    4. 在 Secrets Manager 中创建一个新的键值密钥,用于存放你的 Jira Username 和。Password

      注意

      您可以选择使用 Jira API 密钥代替密码,方法是提供用户名为Username,API 密钥作为。Password

    5. 将此密钥的 ARN 作为输入添加到堆栈中。

      提供堆栈名称 Jira 项目信息以及 Jira API 凭证。

      票务系统集成堆栈 jira

      要部署 ServiceNow 堆栈,请执行以下操作:

    6. 输入堆栈的名称。

    7. 提供您的 ServiceNow 实例的 URI。

    8. 提供您的 ServiceNow 表名。

    9. 在中创建 API 密钥,该密钥 ServiceNow 具有修改您要写入的表的权限。

    10. 使用密钥在 Secrets Manager 中创建密钥,API_Key然后将密钥 ARN 作为堆栈的输入提供给堆栈。

      提供堆栈名称、 ServiceNow 项目信息和 ServiceNow API 凭证。

      票务系统集成堆栈服务now

      要创建自定义集成堆栈,请执行以下操作:添加一个 Lambda 函数,解决方案协调器 Step Functions 可以在每次修复中调用该函数。Lambda 函数应采用 Step Functions 提供的输入,根据票务系统的要求构造有效负载,然后向您的系统请求创建票证。

第 1 步:在委派的 Security Hub 管理员账户中启动管理堆栈

  1. 使用您的 Securit automated-security-response-admin.template y Hub 管理员帐户启动管理堆栈。通常,在单个区域中每个组织一个。由于此堆栈使用嵌套堆栈,因此您必须将此模板部署为自 StackSet管理模板。

Parameters

参数 默认值 描述

加载 SC 管理堆栈

yes

指定是否安装用于自动修复 SC 控件的管理组件。

加载 AFSBP 管理堆栈

no

指定是否安装用于自动修复 FSBP 控件的管理组件。

加载 CIS12 0 管理堆栈

no

指定是否安装管理组件以自动修复 CIS12 0 个控件。

加载 CIS14 0 管理堆栈

no

指定是否安装管理组件以自动修复 CIS14 0 个控件。

加载 CIS3 00 管理堆栈

no

指定是否安装管理组件以自动修复 CIS3 00 个控件。

加载 PC1321 管理堆栈

no

指定是否安装管理组件以自动修复 PC1321 控件。

加载 NIST 管理堆栈

no

指定是否安装用于自动修复 NIST 控件的管理组件。

重用 Orchestrator 日志组

no

选择是否重复使用现有的SO0111-ASR-Orchestrator CloudWatch 日志组。这简化了重新安装和升级,而不会丢失先前版本的日志数据。yes如果此账户中Orchestrator Log Group仍存在先前部署的现有Orchestrator Log Group选择,否则,请重复使用现有选择no。如果您要从低于 v2.3.0 的版本执行堆栈更新,请选择 no

ShouldDeployWeb用户界面

yes

部署 Web 用户界面组件,包括 API Gateway、Lambda 函数和 CloudFront 分发。选择 “是” 以启用基于 Web 的用户界面,用于查看发现结果和补救状态。如果您选择禁用此功能,您仍然可以使用 Security Hub CSPM 自定义操作配置自动修复并按需运行修复。

AdminUserEmail

(可选输入)

初始管理员用户的电子邮件地址。此用户将拥有对 ASR Web UI 的完全管理权限。仅在启用 Web 用户界面时才需要。

使用 CloudWatch 指标

yes

指定是否启用用于监控解决方案的 CloudWatch 指标。这将创建一个用于查看指标的 CloudWatch 控制面板。

使用 CloudWatch 指标警报

yes

指定是否为解决方案启用 CloudWatch 指标警报。这将为解决方案收集的某些指标创建警报。

RemediationFailureAlarmThreshold

5

为每个控件 ID 指定修复失败百分比的阈值。例如,如果您输入5,则如果控制 ID 在给定日期失败超过 5% 的补救措施,则会收到警报。

此参数仅在创建警报后才起作用(请参阅使用 CloudWatch 指标警报参数)。

EnableEnhancedCloudWatchMetrics

no

如果yes,则会创建其他 CloudWatch 指标,以便在 CloudWatch 仪表板上 IDs 单独跟踪所有控制并作为 CloudWatch 警报进行跟踪。

要了解由此产生的额外成本,请参阅 “成本” 部分。

TicketGenFunctionName

(可选输入)

可选。如果您不想集成票务系统,请留空。否则,请提供步骤 0 的堆栈输出中的 Lambda 函数名称,例如:。SO0111-ASR-ServiceNow-TicketGenerator

配置 StackSet 选项

配置堆栈集选项

  1. 账号参数中,输入 AWS Security Hub 管理员账户的账户 ID。

  2. 在 “指定区域” 参数中,仅选择开启 Security Hub 管理员的区域。等待此步骤完成后再进入步骤 2。

第 2 步:将修复角色安装到每个 AWS Security Hub 成员账户中

使用服务托管 StackSets 部署成员角色模板automated-security-response-member-roles.template每个成员账户 StackSet 必须将其部署在一个区域。它定义了允许通过 ASR Orchestrator 步骤函数进行跨账户 API 调用的全局角色。

Parameters

参数 默认值 描述

命名空间

<Requires input>

输入最多 9 个小写字母数字字符的字符串。将添加为修复 IAM 角色名称的后缀的唯一命名空间。成员角色和成员堆栈中应使用相同的命名空间。对于每个解决方案部署,此字符串应是唯一的,但在堆栈更新期间无需更改。每个成员账户的命名空间值必是唯一的。

Sec Hub 账户管理员

<Requires input>

输入 AWS Security Hub 管理员账户的 12 位数账户 ID。此值向管理员账户的解决方案角色授予权限。

  1. 根据您的组织政策,部署到整个组织(典型值)或组织单位。

  2. 开启自动部署,这样 AWS Organizations 中的新账户就可以获得这些权限。

  3. 在 “指定区域” 参数中,选择单个区域。IAM 角色是全球性的。 StackSet 部署期间,您可以继续执行步骤 3。

    指定 StackSet 细节

    指定堆栈集详细信息

步骤 3:将成员堆栈启动到每个 AWS Security Hub 成员账户和区域

由于成员堆栈使用嵌套堆栈,因此您必须部署为自 StackSet管理堆栈。这不支持自动部署到 AWS 组织中的新账户。

Parameters

参数 默认值 描述

提供用于创建指标筛选器和警报的名称 LogGroup

<Requires input>

指定用于记录 API 调用的 CloudWatch CloudTrail 日志组的名称。这用于 CIS 3.1-3.14 的补救措施。

加载 SC 成员堆栈

yes

指定是否安装用于自动修复 SC 控件的成员组件。

加载 AFSBP 成员堆栈

no

指定是否安装用于自动修复 FSBP 控件的成员组件。

加载 CIS12 0 成员堆栈

no

指定是否安装成员组件以自动修复 CIS12 0 个控件。

加载 CIS14 0 成员堆栈

no

指定是否安装成员组件以自动修复 CIS14 0 个控件。

加载 CIS3 00 个成员堆栈

no

指定是否安装用于自动修复 CIS3 00 控件的成员组件。

加载 PC1321 成员堆栈

no

指定是否安装成员组件以自动修复 PC1321 控件。

加载 NIST 成员堆栈

no

指定是否安装用于自动修复 NIST 控件的成员组件。

为 Redshift 审计日志创建 S3 存储桶

no

选择yes是否应为 FSBP RedShift .4 修复创建 S3 存储桶。有关 S3 存储桶和补救措施的详细信息,请查看 AWS Security Hub 用户指南中的 Redshift.4 补救措施

Sec Hub 管理员账户

<Requires input>

输入 AWS Security Hub 管理员账户的 12 位数账户 ID。

命名空间

<Requires input>

输入最多 9 个小写字母数字字符的字符串。此字符串成为 IAM 角色名称和 Action Log S3 存储桶的一部分。对成员堆栈部署和成员角色堆栈部署使用相同的值。每个解决方案部署的字符串都应是唯一的,但在堆栈更新期间无需更改。

EnableCloudTrailForASRAction日志

no

选择yes是否要在 CloudWatch 仪表板上监控解决方案执行的管理事件。该解决方案会在您选择的每个成员账户中创建一个 CloudTrail 跟踪yes。您必须将解决方案部署到 AWS 组织中才能启用此功能。此外,您只能在同一个账户的单个地区启用此功能。要了解由此产生的额外成本,请参阅 “成本” 部分。

账户

accounts

部署地点:您可以指定账号或组织单位列表。

指定区域:选择要修复结果的所有区域。您可以根据账户数量和区域数量调整部署选项。区域并发可以是并行的。