Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einzelheiten zur Architektur
In diesem Abschnitt werden die Komponenten und AWS-Services beschrieben, aus denen diese Lösung besteht, sowie die Architekturdetails dazu, wie diese Komponenten zusammenarbeiten.
# Integration mit AWS Security Hub
Durch die Bereitstellung des `automated-security-response-admin` Stacks wird eine Integration mit der benutzerdefinierten Aktionsfunktion [von AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) erreicht. Wenn Benutzer der AWS Security Hub CSPM-Konsole auf **Actions >** **Remediate with ASR** klicken, werden die ausgewählten Ergebnisse an den Korrektur-Workflow gesendet EventBridge und lösen diesen aus.
Kontoübergreifende Berechtigungen und AWS Systems Manager Manager-Runbooks müssen mithilfe der Vorlagen und für alle AWS Security Hub Hub-Konten (Administrator und Mitglied) bereitgestellt werden. `automated-security-response-member.template` `automated-security-response-member-roles.template` CloudFormation [Weitere Informationen finden Sie unter Playbooks.](playbooks.md) Diese Vorlage ermöglicht eine automatische Problembehebung im Zielkonto.
Benutzer können mithilfe von Amazon DynamoDB vollautomatische Problembehebungen auf Kontrollbasis konfigurieren. Diese Option aktiviert die vollautomatische Behebung von Ergebnissen, sobald sie an AWS Security Hub gemeldet werden. Standardmäßig sind automatische Initiierungen deaktiviert. Diese Option kann jederzeit nach der Installation geändert werden, indem die [DynamoDB-Tabelle für die Standardisierungskonfiguration](enable-fully-automated-remediations.md) geändert wird.
# Kontoübergreifende Problembehebung
Automated Security Response auf AWS verwendet kontenübergreifende Rollen, um mithilfe von kontenübergreifenden Rollen über primäre und sekundäre Konten hinweg zu arbeiten. Diese Rollen werden während der Installation der Lösung für Mitgliedskonten bereitgestellt. Jeder Problembehebung wird eine individuelle Rolle zugewiesen. Dem Behebungsprozess im primären Konto wird die Berechtigung erteilt, die Behebungsrolle in dem Konto zu übernehmen, für das eine Korrektur erforderlich ist. Die Wiederherstellung wird von AWS Systems Manager Manager-Runbooks durchgeführt, die in dem Konto ausgeführt werden, für das eine Korrektur erforderlich ist.
# Spielbücher
*Eine Reihe von Abhilfemaßnahmen ist in einem Paket zusammengefasst, das als Playbook bezeichnet wird.* Playbooks werden mithilfe der Vorlagen dieser Lösung installiert, aktualisiert und entfernt. Informationen zu den in den einzelnen Playbooks unterstützten Problembehebungen finden Sie im [Entwicklerhandbuch](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html) → Playbooks. Diese Lösung unterstützt derzeit die folgenden Playbooks:
+ Security Control, ein Playbook, das auf die Funktion Consolidated Control Findings von AWS Security Hub abgestimmt ist, wurde am 23. Februar 2023 veröffentlicht.
**Wichtig**
Wenn [Consolidated Control Findings](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) in Security Hub aktiviert sind, ist dies das einzige Playbook, das in der Lösung aktiviert werden sollte.
+ [Center for Internet Security (CIS) Benchmarks der Amazon Web Services Foundation, Version 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), veröffentlicht am 18. Mai 2018.
+ [Benchmarks der Amazon Web Services Foundations des Center for Internet Security (CIS), Version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard), veröffentlicht am 9. November 2022.
+ [Center for Internet Security (CIS) Benchmarks der Amazon Web Services Foundation, Version 3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard), veröffentlicht am 13. Mai 2024.
+ [AWS Foundational Security Best Practices (FSBP) Version 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), veröffentlicht im März 2021.
+ [Version 3.2.1 der Datensicherheitsstandards der Zahlungskartenindustrie (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html), veröffentlicht im Mai 2018.
+ [Version 5.0.0 des Nationalen Instituts für Standards und Technologie (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html), veröffentlicht im November 2023.
Nach der Bereitstellung der CloudFormation Lösungs-Stacks sind die Playbooks sofort einsatzbereit — es ist keine zusätzliche Konfiguration erforderlich, um die oben aufgeführten Sicherheitsstandards zu korrigieren.
## Zentralisierte Protokollierung
Automatisierte Sicherheitsreaktionen auf AWS-Protokollen in einer einzigen CloudWatch Protokollgruppe, SO0111-ASR. Diese Protokolle enthalten eine detaillierte Protokollierung der Lösung zur Fehlerbehebung und Verwaltung der Lösung.
# Benachrichtigungen
Diese Lösung verwendet ein Amazon Simple Notification Service (Amazon SNS) -Thema, um Behebungsergebnisse zu veröffentlichen. Sie können Abonnements für dieses Thema verwenden, um die Funktionen der Lösung zu erweitern. Sie können beispielsweise E-Mail-Benachrichtigungen senden und Trouble-Tickets aktualisieren.
+ **SO0111-ASR\$1Topic** — Wird verwendet, um allgemeine Informationen und Fehlermeldungen im Zusammenhang mit ausgeführten Behebungen zu senden.
+ **SO0111-ASR\$1Alarm\$1Topic** — Wird verwendet, um zu benachrichtigen, wenn einer der Alarme der Lösung ausgelöst wird, was darauf hinweist, dass die Lösung nicht wie erwartet funktioniert.
## AWS-Services in dieser Lösung
Die Lösung verwendet die folgenden Dienste. Für die Nutzung der Lösung sind Kerndienste erforderlich, und unterstützende Dienste verbinden die Kerndienste.
| AWS Service | Description |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Kern**. EventBridge Regeln werden verwendet, um Ereignisse abzuhören und auszulösen, die von AWS Security Hub und AWS Security Hub CSPM ausgegeben werden. |
| [AWS ICH](https://aws.amazon.com/iam/) | **Kern**. Stellt viele Rollen bereit, um Problembehebungen auf verschiedenen Ressourcen zu ermöglichen. |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Kern.** Stellt mehrere Lambda-Funktionen bereit, die vom Step Function Orchestator zur Behebung von Problemen verwendet werden. Dient als Backend für die in API Gateway integrierte Weboberfläche der Lösung. |
| [AWS Security Hub](https://aws.amazon.com/security-hub/) | **Kern**. Bietet Kunden einen umfassenden Überblick über ihren AWS-Sicherheitsstatus. |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **Kern**. Stellt einen Orchestrator bereit, der die Behebungsdokumente mit API-Aufrufen von AWS Systems Manager aufruft. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Kern.** Stellt System Manager Automation-Dokumente bereit, die die von der Lösung auszuführende Behebungslogik enthalten. Verwendet Parameter Store, um Lösungsmetadaten und Konfigurationseinstellungen zu verwalten. |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **Kern.** Speichert die zuletzt ausgeführte Behebung in jedem Konto und jeder Region, um die Planung von Korrekturen zu optimieren. Speichert Ergebnisse, die von AWS Security Hub und AWS Security Hub CSPM generiert wurden. Speichert Metadaten zur Problembehebung und Lösungskonfiguration. Speichert Daten für Benutzer, die auf die Weboberfläche der Lösung zugreifen. |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **Unterstützend.** Zeichnet Änderungen auf, die die Lösung an Ihren AWS-Ressourcen vornimmt, und zeigt sie auf einem CloudWatch Dashboard an. |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **Unterstützend**. Stellt Protokollgruppen bereit, die von den verschiedenen Playbooks zum Protokollieren der Ergebnisse verwendet werden. Sammelt Messwerte, die auf einem benutzerdefinierten Dashboard mit Alarmen angezeigt werden. |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **Unterstützend**. Stellt SNS-Themen bereit, die eine Benachrichtigung erhalten, sobald eine Problembehebung abgeschlossen ist. |
| [AWS SQS](https://aws.amazon.com/sqs/) | **Unterstützend**. Hilft bei der Planung von Korrekturen, sodass die Lösung Korrekturen parallel ausführen kann. Puffert Lambda-Ausführungen mithilfe von Lambda-Mappings. EventSource |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **Unterstützend**. Wird verwendet, um Daten für Problembehebungen zu verschlüsseln. |
| [AWS Config](https://aws.amazon.com/config) | **Unterstützend.** Zeichnet alle Ressourcen zur Verwendung mit AWS Security Hub auf. |
| [Amazon S3](https://aws.amazon.com/s3) | **Unterstützend**. Speichert den exportierten Behebungsverlauf und die Protokolldaten. Hostet die Weboberfläche der Lösung als einseitige Anwendung (SPA). |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **Unterstützend**. Stellt die Web-Benutzeroberfläche der Lösung bereit |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **Unterstützend**. Erstellt die REST-API der Lösung zur Unterstützung der Benutzeroberfläche. |
| [AWS WAF](https://aws.amazon.com/waf) | **Unterstützend**. Schützt die Weboberfläche der Lösung. |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **Unterstützend**. Wird verwendet, um den Zugriff auf die Weboberfläche der Lösung zu authentifizieren und zu autorisieren. |