新しい修復の追加 - AWS での自動化されたセキュリティ対応
概要ステップ 1. メンバーアカウントでランブックを作成するステップ 2. メンバーアカウントで IAM ロールを作成するステップ 3: (オプション) 管理者アカウントで自動修復ルールを作成する

新しい修復の追加

既存のプレイブックに新しい修復を追加する場合、ソリューション自体を変更する必要はありません。

注記

この後の説明では、このソリューションによってインストールされたリソースを開始点として活用します。慣例により、ほとんどのソリューションのリソース名には SHARRSO0111 が含まれ、見つけやすく、識別し易いようになっています。

概要

AWS での自動化されたセキュリティ対応のランブックは、次の標準的な命名規則に従う必要があります。

ASR-<standard>-<version>-<control>

Standard: セキュリティ標準の略称です。これは SHARR がサポートするセキュリティ基準に一致する必要があります。CIS、AFSBP、PCI、NIST、または SC のいずれかでなければなりません。

Version: セキュリティ基準のバージョン。この場合も、SHARR がサポートするバージョンと検出結果データのバージョンが一致している必要があります。

Control: 修復するコントロールのコントロール ID。これは検出結果データと一致する必要があります。

  1. メンバーアカウントでランブックを作成します。

  2. メンバーアカウントで IAM ロールを作成します。

  3. (オプション) 管理者アカウントで自動修復ルールを作成します。

ステップ 1. メンバーアカウントでランブックを作成する

  1. AWS Systems Manager コンソールにサインインし、JSON の検出結果の例を取得します。

  2. 検出結果を修復するオートメーションランブックを作成します。[自己所有] タブで、[ドキュメント] タブの下にある任意の ASR- ドキュメントを開始点として使用します。

  3. 管理者アカウントの AWS Step Functions がランブックを実行します。ランブックをコールしたときにロールを渡すために、ランブックで修復ロールを指定する必要があります。

ステップ 2. メンバーアカウントで IAM ロールを作成する

  1. AWS Identity and Access Management コンソール にサインインします。

  2. IAM SO0111 ロールから例を取得し、新しいロールを作成します。このロール名は「SO0111-Remediate-<standard>-<version>-<control>」で始まる必要があります。例えば、CIS v1.2.0 コントロール 5.6 を追加する場合、このロールは SO0111-Remediate-CIS-1.2.0-5.6 である必要があります。

  3. この例を使用して、修復を実行するために必要な API 呼び出しのみを許可する、適切な範囲が設定されたロールを作成します。

この時点で、修復はアクティブになり、AWS Security Hub の SHARR カスタムアクションからの自動修復が可能になります。

ステップ 3: (オプション) 管理者アカウントで自動修復ルールを作成する

自動修復 (「自動化」ではない) とは、AWS Security Hub が検出結果を受け取るとすぐに修復を実行することです。このオプションを使用する前に、慎重にリスクを検討するようにしてください。

  1. CloudWatch Events で同じセキュリティ標準のルール例を確認してください。ルールの命名規則は、standard_control_AutoTrigger になります。

  2. 使用する例からイベントパターンをコピーします。

  3. GeneratorId の値を、JSON の検出結果の GeneratorId と一致するように変更します。

  4. ルールを保存してアクティブにします。