本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 AWS Security Hub 中使用预定义的响应和补救措施自动应对安全威胁 本实施指南概述了 AWS 上的自动安全响应解决方案、其参考架构和组件、部署规划注意事项、将 AWS 上的自动安全响应解决方案部署到 Amazon Web Services (AWS) 云的配置步骤。 使用以下导航表可快速找到这些问题的答案: | 如果您想. . . | 阅读. . . | | --- | --- | | 了解运行此解决方案的成本 | [成本](cost.md) | | 了解此解决方案的安全注意事项 | [安全性](security.md) | | 知道如何为此解决方案规划配额 | [配额](quotas.md) | | 了解此解决方案支持哪些 AWS 区域 | [支持的 AWS 区域](plan-your-deployment.md#supported-aws-regions) | | 查看或下载此解决方案中包含的 AWS CloudFormation 模板,以自动部署此解决方案的基础设施资源(“堆栈”) | [AWS CloudFormation 模板](aws-cloudformation-template.md) | | 访问源代码,(可选)并使用 AWS Cloud Development Kit(AWS CDK)部署解决方案。 | [GitHub 存储库](https://github.com/aws-solutions/automated-security-response-on-aws) | 安全的持续发展需要采取积极措施来保护数据,这会使安全团队难以做出反应,而且成本高昂且耗时。AWS 上的自动安全响应解决方案可根据行业合规标准和最佳实践提供预定义的响应和补救措施,从而帮助您快速应对安全问题。 [AWS 上的自动安全响应是一种 AWS 解决方案,可与 AWS Sec [urity Hub 配合使用](https://aws.amazon.com/security-hub/),以提高您的安全性,并帮助您的工作负载与 Well-Architected 安全支柱最佳实践 SEC1 (0) 保持一致。](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html)该解决方案让 AWS Security Hub 的客户可以更轻松地解决常见的安全问题并改善他们在 AWS 中的安全状况。 您可以选择要在您的 Security Hub 主账户中部署的特定攻略手册。每本手册都包含在单个 A [WS 账户或多个账户中启动补救工作流程所需的必要自定义操作、[身份和访问管理](https://aws.amazon.com/iam/) (IAM) 角色、[亚马逊 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)、[AWS S](https://aws.amazon.com/lambda/) ystems Manager](https://aws.amazon.com/systems-manager/) 自动化文档、[AWS Lambda 函数和 AWS Step](https://aws.amazon.com/step-functions/) Functions。补救措施可通过 AWS Security Hub 的 “操作” 菜单进行,允许授权用户通过单一操作修复其所有 AWS Security Hub 管理的账户中的发现。例如,您可以应用互联网安全中心 (CIS) AWS Foundations Benchmark(一项保护 AWS 资源的合规标准)的建议,确保密码在 90 天内过期,并对存储在 AWS 中的事件日志强制加密。 **注意** 补救措施旨在应对需要立即采取行动的紧急情况。只有在您通过 AWS Security Hub 管理控制台启动或使用修复配置 DynamoDB 表启用自动修复时,此解决方案才会对修复发现的内容进行更改。要恢复这些更改,必须手动将资源恢复到其原始状态。 修复作为 CloudFormation 堆栈一部分部署的 AWS 资源时,请注意这可能会导致偏差。如果可能,请通过修改定义堆栈资源的代码并更新堆栈来修复堆栈资源。有关更多信息,请参阅[什么是漂移?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift) 在 *AWS CloudFormation 用户指南*中。 AWS 上的自动安全响应包括针对以下内容中定义的安全标准的行动手册补救措施: + [互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard) + [CIS AWS 基金会基准测试 v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard) + [CIS AWS 基金会基准测试 v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) + [AWS 基础安全最佳实践 (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) + [支付卡行业数据安全标准 (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) + [美国国家标准与技术研究所 (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 该解决方案还包括 AWS Security Hub [整合控制结果功能的安全控制](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) (SC) 手册。有关更多信息,请参阅[剧本](playbooks.md)。我们建议使用 SC 手册以及 Security Hub 中的综合控制结果。 本实施指南讨论了在 AWS 云中部署 AWS 上的自动安全响应解决方案的架构注意事项和配置步骤。它包括指向 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 模板的链接,这些模板使用 AWS 安全性和可用性最佳实践启动、配置和运行在 AWS 上部署此解决方案所需的 AWS 计算、网络、存储和其他服务。 本指南面向在 AWS 云中具有架构实践经验的 IT 基础设施架构师、管理员和 DevOps 专业人士。