Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Automatisieren Sie die Behebung von AWS Security Hub Hub-Standardergebnissen - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenZugehörige RessourcenAnlagen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren Sie die Behebung von AWS Security Hub Hub-Standardergebnissen

PDF

Erstellt von Chandini Penmetsa () und Aromal Raj Jayarajan () AWS AWS

Übersicht

Mit AWS Security Hub können Sie Prüfungen auf bewährte Standardmethoden wie die folgenden aktivieren:

  • Bewährte AWS-Methoden für grundlegende Sicherheit

  • CISAWSMaßstab für Stiftungen

  • Datensicherheitsstandard der Zahlungskartenbranche (PCIDSS)

Für jeden dieser Standards gibt es vordefinierte Kontrollen. Security Hub prüft, ob die Kontrolle in einem bestimmten AWS Konto vorhanden ist, und meldet die Ergebnisse.

AWSSecurity Hub sendet EventBridge standardmäßig alle Ergebnisse an Amazon. Dieses Muster bietet eine Sicherheitskontrolle, die eine EventBridge Regel zur Identifizierung der Standardergebnisse von Best Practices im Bereich der AWS grundlegenden Sicherheit einsetzt. Die Regel identifiziert die folgenden Ergebnisse für automatische Skalierung, virtuelle private Clouds (VPCs), Amazon Elastic Block Store (AmazonEBS) und Amazon Relational Database Service (AmazonRDS) aus dem Standard AWS Foundational Security Best Practices:

  • [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten Load Balancer-Zustandsprüfungen verwenden

  • [EC2.2] Die VPC Standardsicherheitsgruppe sollte eingehenden und ausgehenden Datenverkehr nicht zulassen

  • [EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

  • [EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

  • [RDS.1] RDS Schnappschüsse sollten privat sein

  • [RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances und Cluster konfiguriert werden

  • [RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein

Die EventBridge Regel leitet diese Ergebnisse an eine AWS Lambda-Funktion weiter, die das Ergebnis behebt. Die Lambda-Funktion sendet dann eine Benachrichtigung mit Informationen zur Problembehebung an ein Amazon Simple Notification Service (AmazonSNS) -Thema.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein aktives Konto AWS

  • Eine E-Mail-Adresse, an die Sie die Behebungsbenachrichtigung erhalten möchten

  • Security Hub und AWS Config sind in der AWS Region aktiviert, in der Sie das Steuerelement bereitstellen möchten

  • Ein Amazon Simple Storage Service (Amazon S3) -Bucket in derselben Region wie die Steuerung zum Hochladen des AWS Lambda-Codes

Einschränkungen

  • Diese Sicherheitskontrolle behebt automatisch neue Ergebnisse, die nach der Implementierung der Sicherheitskontrolle gemeldet wurden. Um bestehende Ergebnisse zu korrigieren, wählen Sie die Ergebnisse manuell in der Security Hub Hub-Konsole aus. Wählen Sie dann unter Aktionen die AFSBPRemedybenutzerdefinierte Aktion aus, die im Rahmen der Bereitstellung von AWS CloudFormation erstellt wurde.

  • Diese Sicherheitskontrolle ist regional und muss in den AWS Regionen eingesetzt werden, die Sie überwachen möchten.

  • Für die Lösung EC2 5.6 wird zur Aktivierung von VPC Flow Logs eine Amazon CloudWatch Logs-Protokollgruppe im Format with /VpcFlowLogs/vpc _id erstellt. Wenn eine Protokollgruppe mit demselben Namen existiert, wird die bestehende Protokollgruppe verwendet.

  • Für die Lösung EC2 1.7 wird zur Aktivierung der EBS Amazon-Standardverschlüsselung der AWS Standardschlüssel Key Management Service (AWSKMS) verwendet. Diese Änderung verhindert die Verwendung bestimmter Instances, die keine Verschlüsselung unterstützen.

Architektur

Zieltechnologie-Stack

  • Lambda-Funktion

  • SNSAmazon-Thema

  • EventBridge Regel

  • AWSIdentity and Access Management (IAM) -Rollen für Lambda-Funktionen, VPC Flow Logs und Amazon Relational Database Service (AmazonRDS) Enhanced Monitoring

Zielarchitektur

Workflow zur Automatisierung der Behebung von AWS Security Hub Hub-Ergebnissen.

Automatisierung und Skalierung

Wenn Sie AWS Organizations verwenden AWS CloudFormation StackSets, können Sie diese Vorlage für mehrere Konten verwenden, die Sie überwachen möchten.

Tools

Tools

  • AWS CloudFormation— AWS CloudFormation ist ein Service, der Ihnen hilft, AWS Ressourcen zu modellieren und einzurichten, indem er Infrastruktur als Code verwendet.

  • EventBridge— Amazon EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, SaaS-Anwendungen (Software as a Service) und AWS Services und leitet diese Daten an Ziele wie Lambda-Funktionen weiter.

  • Lambda — AWS Lambda unterstützt die Ausführung von Code ohne Bereitstellung oder Verwaltung von Servern.

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, den Sie für eine Vielzahl von Speicherlösungen verwenden können, darunter Websites, mobile Anwendungen, Backups und Data Lakes.

  • Amazon SNS — Amazon Simple Notification Service (AmazonSNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.

Bewährte Methoden

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Definieren Sie den S3-Bucket.

Wählen oder erstellen Sie auf der Amazon S3 S3-Konsole einen S3-Bucket mit einem eindeutigen Namen, der keine führenden Schrägstriche enthält. Ein S3-Bucket-Name ist weltweit eindeutig und der Namespace wird von allen AWS Konten gemeinsam genutzt. Ihr S3-Bucket muss sich in derselben Region befinden wie die Security Hub Hub-Ergebnisse, die ausgewertet werden.

Cloud-Architekt

Laden Sie den Lambda-Code in den S3-Bucket hoch.

Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt „Anlagen“ bereitgestellt wird, in den definierten S3-Bucket hoch.

Cloud-Architekt

Stellen Sie die AWS CloudFormation Vorlage bereit.

Stellen Sie die AWS CloudFormation Vorlage bereit, die als Anlage zu diesem Muster bereitgestellt wird. Geben Sie im nächsten Epos die Werte für die Parameter an.

Cloud-Architekt

Stellen Sie die Sicherheitskontrolle bereit

AufgabeBeschreibungErforderliche Fähigkeiten

Definieren Sie den S3-Bucket.

Wählen oder erstellen Sie auf der Amazon S3 S3-Konsole einen S3-Bucket mit einem eindeutigen Namen, der keine führenden Schrägstriche enthält. Ein S3-Bucket-Name ist weltweit eindeutig und der Namespace wird von allen AWS Konten gemeinsam genutzt. Ihr S3-Bucket muss sich in derselben Region befinden wie die Security Hub Hub-Ergebnisse, die ausgewertet werden.

Cloud-Architekt

Laden Sie den Lambda-Code in den S3-Bucket hoch.

Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt „Anlagen“ bereitgestellt wird, in den definierten S3-Bucket hoch.

Cloud-Architekt

Stellen Sie die AWS CloudFormation Vorlage bereit.

Stellen Sie die AWS CloudFormation Vorlage bereit, die als Anlage zu diesem Muster bereitgestellt wird. Geben Sie im nächsten Epos die Werte für die Parameter an.

Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Geben Sie den S3-Bucket-Namen an.

Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt haben.

Cloud-Architekt

Geben Sie das Amazon S3 S3-Präfix an.

<file-name>Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket ohne führende Schrägstriche an (z. B.<directory>/.zip).

Cloud-Architekt

Geben Sie das SNS Thema anARN.

Geben Sie das SNS Thema Amazon-Ressourcenname (ARN) an, wenn Sie ein vorhandenes SNS Thema für Behebungsbenachrichtigungen verwenden möchten. Um ein neues SNS Thema zu verwenden, behalten Sie den Wert „Keine“ bei (der Standardwert).

Cloud-Architekt

Geben Sie eine E-Mail-Adresse an.

Geben Sie eine E-Mail-Adresse an, an die Sie die Behebungsbenachrichtigungen erhalten möchten (nur erforderlich, wenn Sie das SNS Thema erstellen AWS CloudFormation möchten).

Cloud-Architekt

Definieren Sie die Protokollierungsebene.

Definieren Sie die Protokollierungsebene und die Häufigkeit für Ihre Lambda-Funktion. „Info“ bezeichnet detaillierte Informationsmeldungen über den Fortschritt der Anwendung. „Fehler“ bezeichnet Fehlerereignisse, die dazu führen könnten, dass die Anwendung weiterhin ausgeführt werden kann. „Warnung“ steht für potenziell schädliche Situationen.

Cloud-Architekt

Stellen Sie die VPC Flow IAM Logs-Rolle bereitARN.

Geben Sie die IAM Rolle ARN an, die für VPC Flow Logs verwendet werden soll. (Wenn „Keine“ als Eingabe eingegeben wird, AWS CloudFormation wird eine IAM Rolle erstellt und verwendet.)

Cloud-Architekt

Stellen Sie die IAM Rolle „RDSEnhanced Monitoring“ bereitARN.

Geben Sie die IAM Rolle ARN an, die für die RDS erweiterte Überwachung verwendet werden soll. (Wenn „Keine“ eingegeben wird, wird eine IAM Rolle AWS CloudFormation erstellt und verwendet.)

Cloud-Architekt

Vervollständigen Sie die Parameter in der AWS CloudFormation Vorlage

AufgabeBeschreibungErforderliche Fähigkeiten

Geben Sie den S3-Bucket-Namen an.

Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt haben.

Cloud-Architekt

Geben Sie das Amazon S3 S3-Präfix an.

<file-name>Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket ohne führende Schrägstriche an (z. B.<directory>/.zip).

Cloud-Architekt

Geben Sie das SNS Thema anARN.

Geben Sie das SNS Thema Amazon-Ressourcenname (ARN) an, wenn Sie ein vorhandenes SNS Thema für Behebungsbenachrichtigungen verwenden möchten. Um ein neues SNS Thema zu verwenden, behalten Sie den Wert „Keine“ bei (der Standardwert).

Cloud-Architekt

Geben Sie eine E-Mail-Adresse an.

Geben Sie eine E-Mail-Adresse an, an die Sie die Behebungsbenachrichtigungen erhalten möchten (nur erforderlich, wenn Sie das SNS Thema erstellen AWS CloudFormation möchten).

Cloud-Architekt

Definieren Sie die Protokollierungsebene.

Definieren Sie die Protokollierungsebene und die Häufigkeit für Ihre Lambda-Funktion. „Info“ bezeichnet detaillierte Informationsmeldungen über den Fortschritt der Anwendung. „Fehler“ bezeichnet Fehlerereignisse, die dazu führen könnten, dass die Anwendung weiterhin ausgeführt werden kann. „Warnung“ steht für potenziell schädliche Situationen.

Cloud-Architekt

Stellen Sie die VPC Flow IAM Logs-Rolle bereitARN.

Geben Sie die IAM Rolle ARN an, die für VPC Flow Logs verwendet werden soll. (Wenn „Keine“ als Eingabe eingegeben wird, AWS CloudFormation wird eine IAM Rolle erstellt und verwendet.)

Cloud-Architekt

Stellen Sie die IAM Rolle „RDSEnhanced Monitoring“ bereitARN.

Geben Sie die IAM Rolle ARN an, die für die RDS erweiterte Überwachung verwendet werden soll. (Wenn „Keine“ eingegeben wird, wird eine IAM Rolle AWS CloudFormation erstellt und verwendet.)

Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie das SNS Amazon-Abonnement.

Wenn die Vorlage erfolgreich bereitgestellt wurde und ein neues SNS Thema erstellt wurde, wird eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse gesendet. Um Behebungsbenachrichtigungen zu erhalten, müssen Sie diese Abonnement-E-Mail-Nachricht bestätigen.

Cloud-Architekt

Bestätigen Sie das Abonnement

AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie das SNS Amazon-Abonnement.

Wenn die Vorlage erfolgreich bereitgestellt wurde und ein neues SNS Thema erstellt wurde, wird eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse gesendet. Um Behebungsbenachrichtigungen zu erhalten, müssen Sie diese Abonnement-E-Mail-Nachricht bestätigen.

Cloud-Architekt

Zugehörige Ressourcen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.