架构概述 - AWS 上的自动安全响应
架构图

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

架构概述

本节提供了此解决方案所部署组件的参考实施架构图。

架构图

使用默认参数部署此解决方案将在 AWS 云中构建以下环境。

AWS 架构上的自动安全响应

aws 架构图上的自动安全响应
注意

AWS CloudFormation 资源是基于 AWS Cloud Development Kit (AWS CDK) 结构创建的。

使用 AWS CloudFormation 模板部署的解决方案组件的高级流程如下:

  1. 检测AWS Security Hub 为客户提供其 AWS 安全状态的全面视图。它可以帮助他们根据安全行业标准和最佳实践来衡量自己的环境。它的工作原理是从其他 AWS 服务(例如 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager)收集事件和数据。这些事件和数据是根据安全标准进行分析的,例如 CIS AWS 基金会基准。异常会在 AWS Security Hub 控制台中作为发现结果进行断言。新发现将作为 Amazon EventBridge 事件发送。

  2. 收听:AWS Security Hub 会针对该服务创建或修改的每个发现发出 EventBridge 事件。AWS 上的自动安全响应 (ASR) 部署了两 EventBridge 条规则,用于监听 AWS Security Hub 生成的查找事件:

    • 自定义操作 EventBridge 规则:当用户触发 “使用 ASR 修复” 自定义操作时,监听 AWS Security Hub CSPM 发出的自定义操作事件。该事件将转发给 Orchestrator 进行修复。

    • 调查结果 EventBridge 规则:监听 AWS Security Hub 和 AWS Security Hub CSPM 发出的所有查找、创建或更新事件。这些事件被转发到预处理器的 SQS 队列进行进一步处理。

  3. 启动:您可以手动启动修复,也可以将其配置为自动运行。要手动运行修复,您可以使用解决方案部署的 Web 用户界面或 AWS Security Hub CSPM 中的自定义操作功能。在非生产环境中进行仔细测试后,您还可以激活自动修复。您可以为单个修正激活自动化,而无需激活所有修正的自动启动。要将修正配置为自动运行,请参阅启用全自动修复页面

  4. 预修复:在管理员账户中,AWS Step Fun ctions 处理修复事件并做好计划准备。

  5. 计划:该解决方案调用调度 AWS Lambda 函数将修复事件置于 Amazon DynamoD B 状态表中。

  6. 编排:在管理员账户中,Step Functions 使用跨账户 AWS 身份和访问管理 (IAM) 角色。Step Functions 在包含产生安全发现的资源的成员账户中调用补救措施。

  7. 补救:成员账户中的 A WS Systems Manager A utomation 文档执行修复目标资源发现所需的操作,例如禁用 Lambda 公共访问权限。

    或者,您可以使用日志参数在成员堆栈中启用操作EnableCloudTrailForASRAction日志功能。此功能可记录解决方案在您的成员账户中执行的操作,并将其显示在解决方案的 Amazon CloudWatch 控制面板中。

  8. (可选)创建票证:如果您使用TicketGenFunctionName参数在管理堆栈中启用票证,则解决方案将调用提供的票证生成器 Lambda 函数。在成员账户中成功执行补救措施后,此 Lambda 函数会在您的票务服务中创建票证。我们提供用于与 Jira 集成的堆栈,以及. ServiceNow

  9. 通知并记录:该剧本将结果记录到 CloudWatch 日志组,向亚马逊简单通知服务 (Amazon SNS) 主题发送通知,并更新 Security Hub 的调查结果。该解决方案在调查结果说明中保留了对操作的审计跟踪。