最佳化:自動化和反覆您的雲端安全操作 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

最佳化:自動化和反覆您的雲端安全操作

在最佳化階段,您可以自動化安全操作。如同爬蟲和行走階段,您可以在執行階段 AWS Security Hub 期間使用 來實現自動化和反覆運算。下圖顯示 Security Hub 如何觸發自訂 Amazon EventBridge 規則,定義針對特定調查結果和洞見採取的自動動作。如需詳細資訊,請參閱 Security Hub 文件中的自動化

使用 AWS Security Hub 和 Amazon EventBridge 來自動化雲端安全操作

使用 Security Hub 做為中央自動化中樞,您也可以將活動轉送至 Splunk。 然後, Splunk可以偵測異常的活動,並在 EventBridge 中觸發對應的動作。這可協助您自動化重複性任務,並為熟練的團隊成員提供更多時間專注於更高價值的活動。您也可以使用 AWS Step Functions來收集日誌、擷取鑑識快照、隔離遭入侵的伺服器,並將它們取代為黃金映像。此外,您可以使用 AWS Lambda函數AWS Systems Manager來修復環境中的漏洞,並使用 Amazon Simple Queue Service (Amazon SQS) 函數來驗證系統的安全性。透過採取這種方法,可以快速控制和修復安全事件,並將對正常業務操作的影響降至最低。

以下是重複自動化動作的範例,如上圖所示:

  1. 使用 Splunk 偵測有問題的活動。

  2. 使用 Step Functions 收集日誌、撤銷存取權、隔離和取得鑑識快照。

  3. 使用 EventBridge 規則來啟動 Lambda 函數,以隔離、取得鑑識快照,並將遭入侵的伺服器取代為黃金映像。

  4. 啟動 Lambda 函數,該函數使用 Systems Manager 來修復和套用修補程式到環境的其餘部分。

  5. 啟動使用 Rapid7 掃描器掃描並驗證 AWS 資源是否安全的 Amazon SQS 訊息。

如需詳細資訊,請參閱 AWS 安全部落格中的 EC2 AWS 雲端 執行個體的 中的如何自動化事件回應