Pré-requisitos Visão geral da implantação (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tickets Etapa 1: Inicie a pilha de administração na conta de administrador delegada do Security Hub Etapa 2: instalar as funções de remediação em cada conta de membro do AWS Security Hub Etapa 3: Inicie a pilha de membros em cada conta e região de membro do AWS Security Hub

Implantação automatizada - StackSets

nota

Recomendamos implantar com StackSets. No entanto, para implantações em uma única conta ou para fins de teste ou avaliação, considere a opção de implantação de pilhas.

Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em seu AWS Organizations.

Tempo de implantação: aproximadamente 30 minutos por conta, dependendo StackSet dos parâmetros.

Pré-requisitos

AWSO Organizations ajuda você a gerenciar e governar centralmente seu AWS ambiente e seus recursos de várias contas. StackSets funcionam melhor com AWS Organizations.

Se você já implantou a versão 1.3.x ou anterior dessa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte Atualizar a solução.

Antes de implantar essa solução, revise sua implantação do AWS Security Hub:

Deve haver uma conta de administrador delegada do Security Hub em sua AWS organização.
O Security Hub deve ser configurado para agregar descobertas em todas as regiões. Para obter mais informações, consulte Agregando descobertas entre regiões no Guia do Usuário do AWS Security Hub.
Você deve ativar o Security Hub para sua organização em cada região em que você AWS usa.

Esse procedimento pressupõe que você tenha várias contas usando AWS Organizations e tenha delegado uma conta de administrador e uma conta de AWS Organizations administrador do AWS Security Hub.

Visão geral da implantação

nota

StackSets a implantação dessa solução usa uma combinação de serviços gerenciados e autogerenciados. StackSets O autogerenciado StackSets deve ser usado atualmente, pois eles usam aninhados StackSets, que ainda não são compatíveis com o gerenciamento de serviços. StackSets

Implante o a StackSets partir de uma conta de administrador delegado em seu AWS Organizations.

Planejamento

Use o formulário a seguir para ajudar na StackSets implantação. Prepare seus dados e, em seguida, copie e cole os valores durante a implantação.

AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list): 
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list): 
___________________,
___________________,
___________________,
___________________,
___________________

(Opcional) Etapa 0: implantar a pilha de integração de tíquetes

Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).

Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub

Usando um modelo autogerenciado StackSet, inicie o aws-sharr-deploy.template AWS CloudFormation modelo em sua conta de administrador do AWS Security Hub na mesma região do administrador do Security Hub. Esse modelo usa pilhas aninhadas.
Escolha quais padrões de segurança instalar. Por padrão, somente SC é selecionado (recomendado).
Escolha um grupo de registros existente do Orchestrator para usar. Selecione Yes se SO0111-SHARR- Orchestrator já existe em uma instalação anterior.

Para obter mais informações sobre autogerenciamento StackSets, consulte Conceder permissões autogerenciadas no Guia do AWS CloudFormation usuário.

Etapa 2: instalar as funções de remediação na conta de cada AWS Security Hub membro

Aguarde até que a Etapa 1 conclua a implantação, pois o modelo na Etapa 2 faz referência às IAM funções criadas pela Etapa 1.

Usando um serviço gerenciado StackSet, lance o aws-sharr-member-roles.template AWS CloudFormation modelo em uma única região em cada conta do seu. AWS Organizations
Escolha instalar esse modelo automaticamente quando uma nova conta ingressar na organização.
Insira o ID da sua conta de AWS Security Hub administrador.

Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub

Usando o autogerenciamento StackSets, inicie o aws-sharr-member.template AWS CloudFormation modelo em todas as regiões em que você tem AWS recursos em todas as contas AWS da sua organização gerenciadas pelo mesmo administrador do Security Hub.

nota
Até que o StackSets suporte gerenciado por serviços esteja aninhado, você deve executar essa etapa para todas as novas contas que ingressarem na organização.
Escolha quais playbooks do Security Standard instalar.
Forneça o nome de um grupo de CloudTrail registros (usado por algumas correções).
Insira o ID da sua conta de AWS Security Hub administrador.

(Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tickets

Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.
Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.

Para implantar a pilha do Jira:
1. Insira um nome para sua pilha.
2. Forneça o URI para sua instância do Jira.
3. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.
4. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. Username Password
  
  nota
  Você pode optar por usar uma API chave do Jira no lugar da sua senha, fornecendo seu nome de usuário como Username e sua API chave como o. Password
5. Adicione esse segredo como entrada na pilha. ARN
Para implantar a ServiceNow pilha:
1. Insira um nome para sua pilha.
2. Forneça o URI da sua ServiceNow instância.
3. Forneça o nome ServiceNow da sua tabela.
4. Crie uma API chave ServiceNow com permissão para modificar a tabela na qual você pretende gravar.
5. Crie um segredo no Secrets Manager com a chave API_Key e forneça o segredo ARN como entrada para a pilha.
Para criar uma pilha de integração personalizada: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.

Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub

Inicie a pilha de administração,aws-sharr-deploy.template, com sua conta de administrador do Security Hub. Normalmente, um por organização em uma única região. Como essa pilha usa pilhas aninhadas, você deve implantar esse modelo como autogerenciado. StackSet

Configurar StackSet opções
Para o parâmetro Números da conta, insira o ID da conta de administrador do AWS Security Hub.
Para o parâmetro Especificar regiões, selecione somente a região em que o administrador do Security Hub está ativado. Aguarde a conclusão dessa etapa antes de prosseguir para a Etapa 2.

Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub

Use um serviço gerenciado StackSets para implantar o modelo de funções de membro,. aws-sharr-member-roles.template Isso StackSet deve ser implantado em uma região por conta de membro. Ele define as funções globais que permitem API chamadas entre contas a partir da função de etapa do SHARR Orchestrator.

Implante em toda a organização (típica) ou em unidades organizacionais, de acordo com as políticas de sua organização.
Ative a implantação automática para que novas contas nas AWS Organizations recebam essas permissões.
Para o parâmetro Especificar regiões, selecione uma única região. IAMas funções são globais. Você pode continuar na Etapa 3 enquanto isso é StackSet implantado.

Especifique StackSet detalhes

Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub

Como a pilha de membros usa pilhas aninhadas, você deve implantá-la como autogerenciada. StackSet Isso não oferece suporte à implantação automática em novas contas na AWS organização.

Parâmetros

LogGroup Configuração: escolha o grupo de registros que recebe CloudTrail os registros. Se não existir nenhum ou se o grupo de registros for diferente para cada conta, escolha um valor conveniente. Os administradores da conta devem atualizar o parâmetro Systems Manager — Parameter Store /Solutions/SO0111/Metrics _ LogGroupName depois de criar um grupo de CloudWatch registros para CloudTrail registros. Isso é necessário para remediações que criam alarmes de métricas nas API chamadas.

Padrões: escolha os padrões a serem carregados na conta do membro. Isso só instala os runbooks do AWS Systems Manager — não ativa o Padrão de Segurança.

SecHubAdminAccount: insira o ID da conta de administrador do AWS Security Hub na qual você instalou o modelo de administração da solução.

Contas

Locais de implantação: você pode especificar uma lista de números de contas ou unidades organizacionais.

Especifique regiões: selecione todas as regiões nas quais você deseja corrigir as descobertas. Você pode ajustar as opções de implantação conforme apropriado para o número de contas e regiões. A simultaneidade de regiões pode ser paralela.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS CloudFormation modelos

Implantação automatizada - Stacks