Risoluzione di problemi noti - Risposta di sicurezza automatizzata su AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione di problemi noti

  • Problema: l'implementazione della soluzione non riesce a causa di un errore che indica che le risorse sono già disponibili in Amazon CloudWatch.

    Risoluzione: verifica la presenza di un messaggio di errore nella sezione CloudFormation risorse/eventi che indica che i gruppi di log esistono già. I modelli di distribuzione ASR consentono il riutilizzo dei gruppi di log esistenti. Verifica di aver selezionato il riutilizzo.

  • Problema: la soluzione non viene distribuita con un errore in uno stack annidato di playbook in cui non viene creata una regola EventBridge

    Risoluzione: probabilmente hai raggiunto la quota di EventBridge regole con il numero di playbook distribuiti. Puoi evitarlo utilizzando i risultati del controllo consolidato in Security Hub abbinati al playbook SC di questa soluzione, implementando solo i playbook per gli standard utilizzati o richiedendo un aumento della quota di regole. EventBridge

  • Problema: eseguo Security Hub in più regioni con lo stesso account. Voglio implementare questa soluzione in più regioni.

    Soluzione: distribuisci lo stack di amministrazione nello stesso account e nella stessa regione dell'amministratore del Security Hub. Installa il modello di membro in ogni account e regione in cui è configurato un membro del Security Hub. Abilita l'aggregazione nel Security Hub.

  • Problema: subito dopo la distribuzione, SO0111-ASR-Orchestrator non funziona nello stato del documento Get Automation con un errore 502: «`Lambda non è riuscita a decrittografare le variabili di ambiente perché l'accesso al KMS è stato negato. Controlla le impostazioni dei tasti KMS della funzione. Eccezione KMS: messaggio UnrecognizedClientException KMS: il token di sicurezza incluso nella richiesta non è valido. (Servizio: AWSLambda; Codice di stato: 502; Codice di errore:; ID richiesta: KMSAccessDeniedException... `»

    Risoluzione: attendere circa 10 minuti per stabilizzare la soluzione prima di eseguire le riparazioni. Se il problema persiste, apri un ticket o GitHub un problema di assistenza.

  • Problema: ho tentato di porre rimedio a un problema ma non è successo nulla.

    Risoluzione: controlla le note del risultato per scoprire i motivi per cui non è stato posto rimedio. Una causa comune è che non è prevista alcuna correzione automatica del problema. Al momento non è possibile fornire un feedback diretto all'utente se non esiste alcuna soluzione se non tramite le note. Esamina i log della soluzione. Apri CloudWatch Logs nella console. Trova il gruppo CloudWatch SO0111-ASR Logs. Ordina l'elenco in modo che gli stream aggiornati più di recente vengano visualizzati per primi. Seleziona il flusso di registro per il risultato che hai tentato di eseguire. Dovresti trovare eventuali errori lì. Alcune ragioni dell'errore potrebbero essere: mancata corrispondenza tra Finding Control e Correation Control, risoluzione tra account diversi (non ancora supportata) o il fatto che il risultato sia già stato risolto. Se non riesci a determinare il motivo dell'errore, raccogli i log e apri un ticket di assistenza.

  • Problema: dopo aver avviato una riparazione, lo stato nella console Security Hub non è stato aggiornato.

    Risoluzione: la console Security Hub non si aggiorna automaticamente. Aggiorna la visualizzazione corrente. Lo stato del risultato dovrebbe essere aggiornato. Potrebbero essere necessarie diverse ore prima che il risultato passi da Failed a Passed. I risultati vengono creati dai dati degli eventi inviati da altri servizi, come AWS Config, ad AWS Security Hub. Il tempo prima che una regola venga rivalutata dipende dal servizio sottostante. Se ciò non risolve il problema, fate riferimento alla risoluzione precedente per «`Ho provato a correggere un problema ma non è successo niente. `»

  • Problema: la funzione step di Orchestrator non funziona in Get Automation Document State: si è verificato un errore (AccessDenied) durante la chiamata dell'operazione. AssumeRole

    Risoluzione: il modello di membro non è stato installato nell'account membro in cui ASR sta tentando di correggere un risultato. Segui le istruzioni per la distribuzione del modello di membro.

  • Problema: il runbook Config.1 non funziona perché il registratore o il canale di distribuzione esistono già.

    Risoluzione: ispeziona attentamente le impostazioni di AWS Config per assicurarti che Config sia configurato correttamente. In alcuni casi, la riparazione automatica non è in grado di correggere le impostazioni AWS Config esistenti.

  • Problema: la riparazione ha esito positivo ma restituisce il messaggio "No output available yet because the step is not successfully executed."

    Risoluzione: si tratta di un problema noto in questa versione a causa del quale alcuni runbook di correzione non restituiscono una risposta. I runbook di correzione falliranno correttamente e segnaleranno la soluzione se non funzionano.

  • Problema: la risoluzione non è riuscita e ha inviato una traccia dello stack.

    Risoluzione: a volte perdiamo l'opportunità di gestire una condizione di errore che genera una traccia dello stack anziché un messaggio di errore. Tentativo di risolvere il problema utilizzando i dati di traccia. Apri un ticket di supporto se hai bisogno di assistenza.

  • Problema: la rimozione dello stack v1.3.0 non è riuscita sulla risorsa Custom Action.

    Risoluzione: la rimozione del modello di amministrazione potrebbe non riuscire a seguito della rimozione dell'azione personalizzata. Si tratta di un problema noto che verrà risolto nella prossima versione. Se ciò si verifica:

    1. Accedi alla console di gestione AWS Security Hub.

    2. Nell'account amministratore, vai a Impostazioni.

    3. Seleziona la scheda Azioni personalizzate

    4. Eliminare manualmente la voce Remediate with ASR.

    5. Elimina nuovamente lo stack.

  • Problema: dopo aver ridistribuito lo stack di amministrazione, la funzione Step non funziona. AssumeRole

    Soluzione: la ridistribuzione dello stack di amministrazione interrompe la connessione di fiducia tra il ruolo di amministratore nell'account amministratore e il ruolo di membro negli account dei membri. È necessario ridistribuire lo stack dei ruoli dei membri in tutti gli account dei membri.

  • Problema: le riparazioni di CIS 3.x non vengono visualizzate PASSED dopo più di 24 ore.

    Soluzione: si tratta di un evento comune se non si dispone di abbonamenti all'argomento SO0111-ASR_LocalAlarmNotification SNS nell'account del membro.