Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Automatisieren Sie die Behebung von AWS Security Hub Hub-Standardergebnissen

PDF
Fokusmodus
Automatisieren Sie die Behebung von AWS Security Hub Hub-Standardergebnissen - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenZugehörige RessourcenAnlagen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellt von Chandini Penmetsa (AWS) und Aromal Raj Jayarajan (AWS)

Übersicht

Mit AWS Security Hub können Sie Prüfungen auf bewährte Standardmethoden wie die folgenden aktivieren:

  • Bewährte Methoden für die grundlegende Sicherheit von AWS

  • Benchmark für CIS AWS Foundations

  • Payment Card Industry Data Security Standard (PCI DSS)

Jeder dieser Standards hat vordefinierte Kontrollen. Security Hub prüft, ob die Kontrolle in einem bestimmten AWS-Konto vorhanden ist, und meldet die Ergebnisse.

AWS Security Hub sendet EventBridge standardmäßig alle Ergebnisse an Amazon. Dieses Muster bietet eine Sicherheitskontrolle, die eine EventBridge Regel zur Identifizierung der Standardergebnisse von AWS Foundational Security Best Practices einsetzt. Die Regel identifiziert die folgenden Ergebnisse für automatische Skalierung, virtuelle private Clouds (VPCs), Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (Amazon RDS) aus dem AWS Foundational Security Best Practices-Standard:

  • [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten Load Balancer-Zustandsprüfungen verwenden

  • [EC2.2] Die VPC-Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Datenverkehr zulassen

  • [EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

  • [EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

  • [RDS.1] RDS-Snapshots sollten privat sein.

  • [RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances und -Cluster konfiguriert werden

  • [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein

Die EventBridge Regel leitet diese Ergebnisse an eine AWS Lambda Lambda-Funktion weiter, die das Ergebnis behebt. Die Lambda-Funktion sendet dann eine Benachrichtigung mit Informationen zur Problembehebung an ein Amazon Simple Notification Service (Amazon SNS) -Thema.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein aktives AWS-Konto

  • Eine E-Mail-Adresse, an die Sie die Abhilfemaßnahme erhalten möchten

  • Security Hub und AWS Config sind in der AWS-Region aktiviert, in der Sie die Steuerung bereitstellen möchten

  • Ein Amazon Simple Storage Service (Amazon S3) -Bucket in derselben Region wie die Steuerung zum Hochladen des AWS Lambda Lambda-Codes

Einschränkungen

  • Diese Sicherheitskontrolle behebt automatisch neue Ergebnisse, die nach der Implementierung der Sicherheitskontrolle gemeldet wurden. Um bestehende Ergebnisse zu korrigieren, wählen Sie die Ergebnisse manuell in der Security Hub Hub-Konsole aus. Wählen Sie dann unter Aktionen die AFSBPRemedybenutzerdefinierte Aktion aus, die im Rahmen der Bereitstellung durch AWS erstellt wurde CloudFormation.

  • Diese Sicherheitskontrolle ist regional und muss in den AWS-Regionen eingesetzt werden, die Sie überwachen möchten.

  • Für die Lösung EC2 5.6 wird zur Aktivierung von VPC Flow Logs eine Amazon CloudWatch Logs-Protokollgruppe im Format with /VpcFlowLogs/vpc _id erstellt. Wenn eine Protokollgruppe mit demselben Namen existiert, wird die bestehende Protokollgruppe verwendet.

  • Für die Lösung EC2 1.7, um die Amazon EBS-Standardverschlüsselung zu aktivieren, wird der Standardschlüssel des AWS Key Management Service (AWS KMS) verwendet. Diese Änderung verhindert die Verwendung bestimmter Instances, die keine Verschlüsselung unterstützen.

Architektur

Zieltechnologie-Stack

  • Lambda-Funktion

  • Amazon SNS-Thema

  • EventBridge Regel

  • AWS Identity and Access Management (IAM) -Rollen für Lambda-Funktionen, VPC Flow Logs und Amazon Relational Database Service (Amazon RDS) Enhanced Monitoring

Zielarchitektur

Workflow zur Automatisierung der Behebung von AWS Security Hub Hub-Ergebnissen.

Automatisierung und Skalierung

Wenn Sie AWS Organizations verwenden, können Sie AWS verwenden, CloudFormation StackSets um diese Vorlage in mehreren Konten bereitzustellen, die überwacht werden sollen.

Tools

Tools

  • AWS CloudFormation — AWS CloudFormation ist ein Service, der Sie bei der Modellierung und Einrichtung von AWS-Ressourcen unterstützt, indem Infrastruktur als Code verwendet wird.

  • EventBridge— Amazon EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, SaaS-Anwendungen (Software as a Service) und AWS-Services und leitet diese Daten an Ziele wie Lambda-Funktionen weiter.

  • Lambda — AWS Lambda unterstützt die Ausführung von Code ohne Bereitstellung oder Verwaltung von Servern.

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, den Sie für eine Vielzahl von Speicherlösungen verwenden können, darunter Websites, mobile Anwendungen, Backups und Data Lakes.

  • Amazon SNS — Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.

Bewährte Methoden

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Definieren Sie den S3-Bucket.

Wählen oder erstellen Sie auf der Amazon S3 S3-Konsole einen S3-Bucket mit einem eindeutigen Namen, der keine führenden Schrägstriche enthält. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS-Konten gemeinsam genutzt. Ihr S3-Bucket muss sich in derselben Region befinden wie die Security Hub Hub-Ergebnisse, die ausgewertet werden.

Cloud-Architekt

Laden Sie den Lambda-Code in den S3-Bucket hoch.

Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt „Anlagen“ bereitgestellt wird, in den definierten S3-Bucket hoch.

Cloud-Architekt

Stellen Sie die CloudFormation AWS-Vorlage bereit.

Stellen Sie die CloudFormation AWS-Vorlage bereit, die als Anlage zu diesem Muster bereitgestellt wird. Geben Sie im nächsten Epos die Werte für die Parameter an.

Cloud-Architekt

Stellen Sie die Sicherheitskontrolle bereit

AufgabeBeschreibungErforderliche Fähigkeiten

Definieren Sie den S3-Bucket.

Wählen oder erstellen Sie auf der Amazon S3 S3-Konsole einen S3-Bucket mit einem eindeutigen Namen, der keine führenden Schrägstriche enthält. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS-Konten gemeinsam genutzt. Ihr S3-Bucket muss sich in derselben Region befinden wie die Security Hub Hub-Ergebnisse, die ausgewertet werden.

Cloud-Architekt

Laden Sie den Lambda-Code in den S3-Bucket hoch.

Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt „Anlagen“ bereitgestellt wird, in den definierten S3-Bucket hoch.

Cloud-Architekt

Stellen Sie die CloudFormation AWS-Vorlage bereit.

Stellen Sie die CloudFormation AWS-Vorlage bereit, die als Anlage zu diesem Muster bereitgestellt wird. Geben Sie im nächsten Epos die Werte für die Parameter an.

Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Geben Sie den S3-Bucket-Namen an.

Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt haben.

Cloud-Architekt

Geben Sie das Amazon S3 S3-Präfix an.

<file-name>Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket ohne führende Schrägstriche an (z. B.<directory>/.zip).

Cloud-Architekt

Geben Sie den ARN des SNS-Themas an.

Geben Sie das SNS-Thema Amazon Resource Name (ARN) an, wenn Sie ein vorhandenes SNS-Thema für Behebungsbenachrichtigungen verwenden möchten. Um ein neues SNS-Thema zu verwenden, behalten Sie den Wert „Keine“ bei (der Standardwert).

Cloud-Architekt

Geben Sie eine E-Mail-Adresse an.

Geben Sie eine E-Mail-Adresse an, an die Sie die Behebungsbenachrichtigungen erhalten möchten (nur erforderlich, wenn AWS das SNS-Thema erstellen CloudFormation soll).

Cloud-Architekt

Definieren Sie die Protokollierungsebene.

Definieren Sie die Protokollierungsebene und die Häufigkeit für Ihre Lambda-Funktion. „Info“ bezeichnet detaillierte Informationsmeldungen über den Fortschritt der Anwendung. „Fehler“ bezeichnet Fehlerereignisse, die dazu führen könnten, dass die Anwendung weiterhin ausgeführt werden kann. „Warnung“ steht für potenziell schädliche Situationen.

Cloud-Architekt

Geben Sie den ARN der IAM-Rolle für VPC Flow Logs an.

Geben Sie den ARN der IAM-Rolle an, der für VPC Flow Logs verwendet werden soll. (Wenn „Keine“ als Eingabe eingegeben wird, CloudFormation erstellt AWS eine IAM-Rolle und verwendet sie.)

Cloud-Architekt

Geben Sie den ARN für die IAM-Rolle RDS Enhanced Monitoring an.

Geben Sie den ARN der IAM-Rolle an, der für RDS Enhanced Monitoring verwendet werden soll. (Wenn „Keine“ eingegeben wird, CloudFormation erstellt AWS eine IAM-Rolle und verwendet sie.)

Cloud-Architekt

Vervollständigen Sie die Parameter in der CloudFormation AWS-Vorlage

AufgabeBeschreibungErforderliche Fähigkeiten

Geben Sie den S3-Bucket-Namen an.

Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt haben.

Cloud-Architekt

Geben Sie das Amazon S3 S3-Präfix an.

<file-name>Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket ohne führende Schrägstriche an (z. B.<directory>/.zip).

Cloud-Architekt

Geben Sie den ARN des SNS-Themas an.

Geben Sie das SNS-Thema Amazon Resource Name (ARN) an, wenn Sie ein vorhandenes SNS-Thema für Behebungsbenachrichtigungen verwenden möchten. Um ein neues SNS-Thema zu verwenden, behalten Sie den Wert „Keine“ bei (der Standardwert).

Cloud-Architekt

Geben Sie eine E-Mail-Adresse an.

Geben Sie eine E-Mail-Adresse an, an die Sie die Behebungsbenachrichtigungen erhalten möchten (nur erforderlich, wenn AWS das SNS-Thema erstellen CloudFormation soll).

Cloud-Architekt

Definieren Sie die Protokollierungsebene.

Definieren Sie die Protokollierungsebene und die Häufigkeit für Ihre Lambda-Funktion. „Info“ bezeichnet detaillierte Informationsmeldungen über den Fortschritt der Anwendung. „Fehler“ bezeichnet Fehlerereignisse, die dazu führen könnten, dass die Anwendung weiterhin ausgeführt werden kann. „Warnung“ steht für potenziell schädliche Situationen.

Cloud-Architekt

Geben Sie den ARN der IAM-Rolle für VPC Flow Logs an.

Geben Sie den ARN der IAM-Rolle an, der für VPC Flow Logs verwendet werden soll. (Wenn „Keine“ als Eingabe eingegeben wird, CloudFormation erstellt AWS eine IAM-Rolle und verwendet sie.)

Cloud-Architekt

Geben Sie den ARN für die IAM-Rolle RDS Enhanced Monitoring an.

Geben Sie den ARN der IAM-Rolle an, der für RDS Enhanced Monitoring verwendet werden soll. (Wenn „Keine“ eingegeben wird, CloudFormation erstellt AWS eine IAM-Rolle und verwendet sie.)

Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie das Amazon SNS SNS-Abonnement.

Wenn die Vorlage erfolgreich bereitgestellt wurde und ein neues SNS-Thema erstellt wurde, wird eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse gesendet. Um Behebungsbenachrichtigungen zu erhalten, müssen Sie diese Abonnement-E-Mail-Nachricht bestätigen.

Cloud-Architekt

Bestätigen Sie das Abonnement

AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie das Amazon SNS SNS-Abonnement.

Wenn die Vorlage erfolgreich bereitgestellt wurde und ein neues SNS-Thema erstellt wurde, wird eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse gesendet. Um Behebungsbenachrichtigungen zu erhalten, müssen Sie diese Abonnement-E-Mail-Nachricht bestätigen.

Cloud-Architekt

Zugehörige Ressourcen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.