本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 執行階段：最佳化雲端安全操作
<a name="run"></a>



![\[執行中人員的圖示\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/run.png)


在行走階段實作基準後，您的組織會進入執行階段。此階段著重於示範雲端中可用的網路安全功能，其中許多功能是不可能的，或者很難透過內部部署解決方案實作。此階段將不同的安全元件整合在一起，並自動化程序。自動化會釋放您的資源，讓他們可以專注於高價值的工作。

以下是執行階段中的唯一階段：
+ [最佳化](optimize.md) – 如何改善此程序並新增自動化？

# 最佳化：自動化和重複您的雲端安全操作
<a name="optimize"></a>

在最佳化階段，您可以自動化安全操作。如同爬蟲和行走階段，您可以在執行階段 AWS Security Hub CSPM 期間使用 來實現自動化和反覆運算。下圖顯示 Security Hub CSPM 如何觸發自訂 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 規則，以定義要針對特定調查結果和洞見採取的自動動作。如需詳細資訊，請參閱 Security Hub CSPM 文件中的[自動化](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html)。



![\[使用 AWS Security Hub CSPM 和 Amazon EventBridge 自動化雲端安全操作\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/optimize.png)


透過使用 Security Hub CSPM 作為中央自動化中樞，您也可以將活動轉送至 [https://www.splunk.com](https://www.splunk.com)。 然後， Splunk可以偵測異常的活動，並在 EventBridge 中觸發對應的動作。這可協助您自動化重複性任務，並為熟練的團隊成員提供更多時間專注於更高價值的活動。您也可以使用 [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)來收集日誌、擷取鑑識快照、隔離遭到入侵的伺服器，並將它們取代為黃金映像。此外，您可以使用 [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)函數[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)來修復環境中的漏洞，並使用 [Amazon Simple Queue Service (Amazon SQS)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html) 函數來驗證系統的安全性。透過採取這種方法，可以快速遏制和修復安全事件，並將對正常業務營運的影響降至最低。

以下是重複自動化動作的範例，如上圖所示：

1. 使用 Splunk 偵測可疑的活動。

1. 使用 Step Functions 收集日誌、撤銷存取權、隔離和取得鑑識快照。

1. 使用 EventBridge 規則啟動 Lambda 函數，以隔離、取得鑑識快照，並以黃金映像取代遭到入侵的伺服器。

1. 啟動 Lambda 函數，該函數使用 Systems Manager 來修復並在整個環境中套用修補程式。

1. 啟動使用 [Rapid7](https://www.rapid7.com/) 掃描器掃描並驗證 AWS 資源是否安全的 Amazon SQS 訊息。

如需詳細資訊，請參閱 AWS 安全部落格[中的 EC2 AWS 雲端 執行個體的 中的如何自動化事件回應](https://aws.amazon.com/blogs/security/how-to-automate-incident-response-in-aws-cloud-for-ec2-instances/)。