架構概觀

Detect：AWS Security Hub 可為客戶提供 AWS 安全狀態的完整檢視。它有助於他們根據安全產業標準和最佳實務來衡量其環境。它的運作方式是從其他 AWS 服務收集事件和資料，例如 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager。這些事件和資料會根據安全標準進行分析，例如 CIS AWS Foundations Benchmark。例外狀況會在 AWS Security Hub 主控台中宣告為問題清單。新的問題清單會以 Amazon EventBridge 事件的形式傳送。

接聽：AWS Security Hub 會針對服務建立或修改的每個問題清單發出 EventBridge 事件。AWS (ASR) 上的自動化安全回應會部署兩個 EventBridge 規則，以接聽 AWS Security Hub 產生的問題清單事件：

啟動：您可以手動啟動修復，或將其設定為自動執行。若要手動執行修復，您可以使用 解決方案部署的 Web UI 或 AWS Security Hub CSPM 中的自訂動作功能。在非生產環境中仔細測試之後，您也可以啟用自動化修復。您可以啟用個別修補的自動化，您不需要在所有修補上啟用自動啟動。若要將修復設定為自動執行，請參閱啟用完全自動化的修復頁面。

預先修復：在管理員帳戶中，AWS Step Functions 會處理修復事件並準備排程。

排程：解決方案會叫用排程 AWS Lambda 函數，將修復事件放在 Amazon DynamoDB 狀態資料表中。

協調：在管理員帳戶中，Step Functions 使用跨帳戶 AWS Identity and Access Management (IAM) 角色。Step Functions 會在成員帳戶中叫用修復，其中包含產生安全調查結果的資源。

修復：成員帳戶中的 AWS Systems Manager Automation 文件會執行修復目標資源問題清單所需的動作，例如停用 Lambda 公開存取。

或者，您可以使用 EnableCloudTrailForASRActionLog 參數在成員堆疊中啟用動作日誌功能。此功能會擷取成員帳戶中解決方案採取的動作，並將其顯示在解決方案的 Amazon CloudWatch 儀表板中。

（選用） 建立票證：如果您使用 TicketGenFunctionName 參數在 Admin 堆疊中啟用票證，解決方案會叫用提供的票證產生器 Lambda 函數。此 Lambda 函數會在成員帳戶中成功執行修復之後，在您的票證服務中建立票證。我們提供與 Jira 和 ServiceNow 整合的堆疊。

通知和日誌：程序手冊會將結果記錄到 CloudWatch 日誌群組、傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題，並更新 Security Hub 問題清單。解決方案會在問題清單備註中維護動作的稽核線索。