已知问题解决方案 - 开启自动安全响应 AWS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

已知问题解决方案

  • 问题:解决方案部署失败,错误提示资源已在 Amazon 中可用 CloudWatch。

    解决方案:检查 “ CloudFormation 资源/事件” 部分中是否有错误消息,指出日志组已存在。SHARR部署模板允许重复使用现有的日志组。确认您已选择重复使用。

  • 问题:解决方案部署失败,在 playbook 嵌套堆栈中出现错误, EventBridge 规则创建失败

    解决方案:随着部署的剧本数量,你可能已经达到了 EventBridge 规则的配额。您可以通过将 Security Hub 中的整合控制结果与本解决方案中的 SC 剧本配对、仅部署所用标准的行动手册或请求增加 EventBridge 规则配额来避免这种情况。

  • 问题:我使用同一个账户在多个区域运行 Security Hub。我想在多个区域部署此解决方案。

    解决方案:在与 Security Hub 管理员相同的账户和区域中部署管理堆栈。将成员模板安装到配置了 Security Hub 成员的每个账户和区域。在 Security Hub 中启用聚合。

  • 问题:部署后,SO0111-SHARR-Orchestrator 立即在 “获取自动化文档” 状态下失败,并显示 502 错误:“由于访问被拒绝,Lambda 无法解密环境变量。KMS请检查该功能的KMS按键设置。 KMS例外: UnrecognizedClientExceptionKMS消息:请求中包含的安全令牌无效。(服务: AWSLambda;状态码:502;错误代码:KMSAccessDeniedException;请求编号:...”

    解决方案:在运行修复之前,让解决方案稳定下来大约 10 分钟。如果问题仍然存在,请提交支持请求或 GitHub 问题。

  • 问题:我尝试补救一个发现,但什么也没发生。

    解决方案:查看调查结果的注释,了解未得到补救的原因。一个常见的原因是该发现没有自动补救措施。目前,除了通过备注之外,如果不存在任何补救措施,则无法直接向用户提供反馈。查看解决方案日志。在控制台中打开 “ CloudWatch日志”。查找 SO0111-SHARR CloudWatch 日志组。对列表进行排序,使最近更新的直播排在最前面。选择您尝试运行的结果的日志流。你应该在那里发现任何错误。失败的一些原因可能是:发现控制与补救控制不匹配、跨账户补救(尚不支持),或者发现已得到补救。如果无法确定失败的原因,请收集日志并提交支持请求。

  • 问题:开始修复后,Security Hub 控制台中的状态尚未更新。

    解决方案:Security Hub 控制台不会自动更新。刷新当前视图。调查结果的状态应更新。调查结果可能需要几个小时才能从 “失败” 转换为 “通过”。调查结果是根据其他服务(例如 AWS Config)发送到 Sec AWS urity Hub 的事件数据创建的。重新评估规则之前的时间取决于底层服务。如果这不能解决问题,请参考前面的 “我试图纠正发现但什么也没发生” 的解决方案。

  • 问题:Orchestrator 步骤函数在 “获取自动化文档状态” 中失败:调用操作时出现错误 (AccessDenied)。 AssumeRole

    解决方案:成员模板尚未安装在尝试修正发现SHARR的成员账户中。按照成员模板的部署说明进行操作。

  • 问题:Config.1 运行手册失败,因为录制器或传送渠道已经存在。

    解决方案:仔细检查您的 AWS Config 设置,确保 Config 设置正确。在某些情况下,自动修复无法修复现有的 AWS Config 设置。

  • 问题:修复成功但返回消息 "No output available yet because the step is not successfully executed."

    解决方案:这是此版本中的一个已知问题,其中某些补救运行手册不返回响应。如果修复运行手册不起作用,则会正确失败并发出解决方案信号。

  • 问题:解析失败并发送了堆栈跟踪。

    解决方案:有时,我们会错过处理导致堆栈跟踪而不是错误消息的错误情况的机会。尝试从跟踪数据中解决问题。如果需要帮助,请提交支持请求。

  • 问题:在自定义操作资源上移除 v1.3.0 堆栈失败。

    解决方案:移除自定义操作后,移除管理模板可能会失败。这是一个已知问题,将在下一个版本中修复。如果发生这种情况:

    1. 登录 Sec AWSurity Hub 管理控制台

    2. 在管理员帐户中,前往 “设置”

    3. 选择 “自定义操作” 选项卡

    4. 手动删除条目 “使用SHARR修复”。

    5. 再次删除堆栈。

  • 问题:重新部署管理堆栈后,步进功能失败。AssumeRole

    解决方案:重新部署管理员堆栈会中断管理员账户中的管理员角色和成员账户中的成员角色之间的信任联系。您必须在所有成员账户中重新部署成员角色堆栈。

  • 问题:超过 24 小时PASSED后,CIS3.x 补救措施未显示。

    解决方案:如果您在成员账户中没有订阅该SO0111-SHARR_LocalAlarmNotificationSNS主题,这种情况很常见。