Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bereitstellen der Lösung
**Wichtig**
Wenn die Funktion für [konsolidierte Kontrollergebnisse](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) in Security Hub aktiviert ist, aktivieren Sie bei der Bereitstellung dieser Lösung nur das Security Control (SC) -Playbook. Wenn die Funktion nicht aktiviert ist, aktivieren Sie **nur** die Playbooks für die Sicherheitsstandards, die in Security Hub aktiviert sind. Consolidated Control Findings ist standardmäßig aktiviert, wenn Sie Security Hub CSPM am oder nach dem 23. Februar 2023 aktivieren.
Diese Lösung verwendet [ CloudFormation AWS-Vorlagen und -Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html), um ihre Bereitstellung zu automatisieren. Die CloudFormation Vorlagen spezifizieren die in dieser Lösung enthaltenen AWS-Ressourcen und ihre Eigenschaften. Der CloudFormation Stack stellt die Ressourcen bereit, die in den Vorlagen beschrieben sind.
Damit die Lösung funktioniert, müssen drei Vorlagen bereitgestellt werden. Entscheiden Sie zunächst, wo die Vorlagen bereitgestellt werden sollen, und entscheiden Sie dann, wie sie bereitgestellt werden sollen.
In dieser Übersicht werden die Vorlagen beschrieben und es wird beschrieben, wie entschieden wird, wo und wie sie eingesetzt werden sollen. In den nächsten Abschnitten finden Sie detailliertere Anweisungen zur Bereitstellung der einzelnen Stacks als Stack oder StackSet.
# Entscheiden, wo jeder Stack eingesetzt werden soll
Die drei Vorlagen werden mit den folgenden Namen bezeichnet und enthalten die folgenden Ressourcen:
+ Admin-Stack: Orchestrator-Schrittfunktion, Ereignisregeln und benutzerdefinierte Security Hub Hub-Aktion.
+ Mitgliederliste: SSM Automation-Dokumente zur Problembehebung.
+ Rollenstapel für Mitglieder: IAM-Rollen für Problembehebungen.
Der Admin-Stack muss einmal in einem einzigen Konto und in einer einzigen Region bereitgestellt werden. Es muss in dem Konto und der Region bereitgestellt werden, die Sie als Aggregationsziel für Security Hub Hub-Ergebnisse für Ihre Organisation konfiguriert haben. Wenn Sie die Action Log-Funktion zur Überwachung von Verwaltungsereignissen verwenden möchten, müssen Sie den Admin-Stack im Verwaltungskonto Ihrer Organisation oder in einem delegierten Administratorkonto bereitstellen.
Die Lösung arbeitet mit Security Hub-Ergebnissen, sodass sie nicht mit Ergebnissen aus einem bestimmten Konto und einer bestimmten Region arbeiten kann, wenn dieses Konto oder diese Region nicht so konfiguriert wurde, dass Ergebnisse im Security Hub-Administratorkonto und in der Region zusammengefasst werden.
**Wichtig**
Wenn Sie [AWS Security Hub (nicht CSPM)](https://aws.amazon.com/security-hub/) verwenden, sind Sie dafür verantwortlich, dass Ihre Mitgliedskonten, die bei AWS Security Hub CSPM angemeldet sind, auch bei [AWS Security Hub (nicht CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)) integriert sind. In AWS Security Hub CSPM aggregierte Regionen sollten auch mit Regionen übereinstimmen, die in AWS Security Hub aggregiert wurden (nicht CSPM).
Beispielsweise hat eine Organisation Konten, die in Regionen betrieben werden`us-west-2`, `us-east-1` und hat mit einem Konto `111111111111` als Security Hub einen delegierten Administrator in Region`us-east-1`. Konten `222222222222` und `333333333333` müssen Security Hub Hub-Mitgliedskonten für das delegierte Administratorkonto `111111111111` sein. Alle drei Konten müssen so konfiguriert sein, dass sie die Ergebnisse von `us-west-2` bis `us-east-1` aggregieren. Der Admin-Stack muss für das Konto `111111111111` in bereitgestellt werden`us-east-1`.
Weitere Informationen zur Suche nach Aggregation finden Sie in der Dokumentation zu [delegierten Security Hub-Administratorkonten](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) und [regionsübergreifender](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) Aggregation.
Der Admin-Stack muss zuerst die Bereitstellung abschließen, bevor die Mitglieds-Stacks bereitgestellt werden, damit eine Vertrauensbeziehung zwischen den Mitgliedskonten und dem Hub-Konto hergestellt werden kann.
Der Mitglieds-Stack muss für jedes Konto und jede Region bereitgestellt werden, in der Sie Fehler korrigieren möchten. Dazu kann das delegierte Security Hub-Administratorkonto gehören, in dem Sie zuvor den ASR-Admin-Stack bereitgestellt haben. Die Automatisierungsdokumente müssen in den Mitgliedskonten ausgeführt werden, um das kostenlose Kontingent für SSM Automation nutzen zu können.
Wenn Sie anhand des vorherigen Beispiels Ergebnisse aus allen Konten und Regionen korrigieren möchten, muss der Member-Stack für alle drei Konten (`111111111111``222222222222`, und`333333333333`) und beide Regionen (und) bereitgestellt werden. `us-east-1` `us-west-2`
Der Mitgliederrollen-Stack muss für jedes Konto bereitgestellt werden, er enthält jedoch globale Ressourcen (IAM-Rollen), die nur einmal pro Konto bereitgestellt werden können. Es spielt keine Rolle, in welcher Region Sie den Mitgliederrollen-Stack bereitstellen. Der Einfachheit halber empfehlen wir daher, ihn in derselben Region bereitzustellen, in der der Admin-Stack bereitgestellt wird.
Unter Verwendung des vorherigen Beispiels empfehlen wir, den Mitgliederrollen-Stack für alle drei Konten (`111111111111``222222222222`, und`333333333333`) in bereitzustellen`us-east-1`.
## Entscheiden Sie, wie die einzelnen Stacks bereitgestellt werden sollen
Die Optionen für die Bereitstellung eines Stacks sind
+ CloudFormation StackSet (selbstverwaltete Berechtigungen)
+ CloudFormation StackSet (vom Service verwaltete Berechtigungen)
+ CloudFormation Stapel
StackSets mit vom Service verwalteten Berechtigungen sind am praktischsten, da sie nicht die Bereitstellung eigener Rollen erfordern und automatisch für neue Konten in der Organisation bereitgestellt werden können. Leider unterstützt diese Methode keine verschachtelten Stacks, die wir sowohl im Admin-Stack als auch im Member-Stack verwenden. Der einzige Stack, der auf diese Weise bereitgestellt werden kann, ist der Stack der Mitgliedsrollen.
Beachten Sie, dass bei der Bereitstellung für die gesamte Organisation das Organisationsverwaltungskonto nicht enthalten ist. Wenn Sie also Fehler im Organisationsverwaltungskonto korrigieren möchten, müssen Sie die Bereitstellung für dieses Konto separat durchführen.
Der Mitgliederstapel muss für jedes Konto und jede Region bereitgestellt werden, kann jedoch nicht StackSets mit vom Dienst verwalteten Berechtigungen bereitgestellt werden, da er verschachtelte Stacks enthält. Wir empfehlen daher, diesen Stack StackSets mit selbstverwalteten Berechtigungen bereitzustellen.
Der Admin-Stack wird nur einmal bereitgestellt, sodass er als einfacher CloudFormation Stack oder StackSet mit selbstverwalteten Berechtigungen in einem einzigen Konto und einer Region bereitgestellt werden kann.
## Konsolidierte Kontrollergebnisse
Die Konten in Ihrer Organisation können so konfiguriert werden, dass die Funktion für konsolidierte Kontrollergebnisse von Security Hub aktiviert oder deaktiviert wird. Weitere Informationen finden Sie im *AWS Security Hub Hub-Benutzerhandbuch* unter [Ergebnisse konsolidierter Kontrollen](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).
**Wichtig**
Wenn diese Funktion aktiviert ist, müssen Sie die Lösungsversion 2.0.0 oder höher verwenden und das Playbook „SC“ (Security Control) sowohl im Admin- als auch im Member-Stack aktivieren. Diese Stacks stellen die Automatisierungsdokumente bereit, die für die Arbeit mit konsolidierter Steuerung erforderlich sind. IDs Sie müssen keine Stacks für einzelne Standards (wie AWS FSBP) bereitstellen, wenn Sie konsolidierte Kontrollergebnisse verwenden.
## Einsatz in China
Die Lösung unterstützt die Bereitstellung in China Regionen, **Sie müssen jedoch die folgenden Startschaltflächen für die Bereitstellung mit einem Klick verwenden und nicht die Startschaltflächen in anderen Abschnitten dieses Handbuchs**. Die Verwendung der Schaltflächen „Lösung starten“ in den nächsten Abschnitten dieses Handbuchs funktioniert nicht, wenn Sie in China Regionen bereitstellen. Sie können die Vorlagen weiterhin von einem beliebigen S3-Bucket-Link herunterladen und die Stacks bereitstellen, indem Sie die Vorlagendatei hochladen.
+ **automated-security-response-admin.vorlage:**
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-rollen.vorlage**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.vorlage**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud Einsatz (in den USA)
Die Lösung unterstützt zwar die Bereitstellung in Regionen GovCloud (USA), **Sie müssen jedoch die folgenden Startschaltflächen für die Bereitstellung mit einem Klick verwenden und nicht die Startschaltflächen in anderen Abschnitten dieses Handbuchs**. GovCloud Die Verwendung der Schaltflächen „Lösung starten“ in den nächsten Abschnitten dieses Handbuchs funktioniert nicht, wenn Sie die Bereitstellung in Regionen GovCloud (USA) durchführen. Sie können die Vorlagen weiterhin von einem beliebigen S3-Bucket-Link herunterladen und die Stacks bereitstellen, indem Sie die Vorlagendatei hochladen.
+ **automated-security-response-admin.vorlage:**
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-rollen.vorlage**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.vorlage**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation AWS-Vorlagen
[![\[View Template\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template** — Verwenden Sie diese Vorlage, um die Automated Security Response on AWS-Lösung zu starten. Die Vorlage installiert die Kernkomponenten der Lösung, einen verschachtelten Stack für die AWS Step Functions Functions-Protokolle und einen verschachtelten Stack für jeden Sicherheitsstandard, den Sie aktivieren möchten.
Zu den verwendeten Services gehören Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 und AWS Systems Manager.
## Unterstützung für Administratorkonten
Die folgenden Vorlagen sind im AWS Security Hub-Administratorkonto installiert, um die Sicherheitsstandards zu aktivieren, die Sie unterstützen möchten. Sie können wählen, welche der folgenden Vorlagen Sie bei der Installation von installieren möchten`automated-security-response-admin.template`.
**automated-security-response-orchestrator-log.template** — Erstellt eine CloudWatch Protokollgruppe für die Orchestrator-Step-Funktion.
**automated-security-response-webui-nested-stack.template** — Erstellt die Ressourcen zur Unterstützung der Weboberfläche der Lösung.
**AFSBPStack.template — Regeln für** bewährte Methoden der AWS Foundational Security v1.0.0.
**CIS120Stack.template** — CIS Amazon Web Services Foundations Benchmarks, v1.2.0-Regeln.
**CIS140Stack.template** — CIS Amazon Web Services Foundations Benchmarks, v1.4.0-Regeln.
**CIS300Stack.template** — CIS Amazon Web Services Foundations Benchmarks, v3.0.0-Regeln.
**PCI321Stack.template — PCI-DSS v3.2.1-Regeln.**
**NISTStack.template** — Regeln des Nationalen Instituts für Standards und Technologie (NIST), Version 5.0.0.
**SCStack.template** — Regeln für Security Controls v2.0.0.
## Rollen der Mitglieder
[![\[View Template\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template** — Definiert die Wiederherstellungsrollen, die in jedem AWS Security Hub-Mitgliedskonto benötigt werden.
## Mitgliedskonten
[![\[View Template\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template** — Verwenden Sie diese Vorlage, nachdem Sie die Kernlösung eingerichtet haben, um die Runbooks und Berechtigungen für die Automatisierung von AWS Systems Manager in jedem Ihrer AWS Security Hub Hub-Mitgliedskonten (einschließlich des Administratorkontos) zu installieren. Mit dieser Vorlage können Sie auswählen, welche Playbooks nach Sicherheitsstandards installiert werden sollen.
Die `automated-security-response-member.template` installiert die folgenden Vorlagen auf der Grundlage Ihrer Auswahl:
**automated-security-response-remediation-runbooks.template** — Allgemeiner Problembehebungscode, der von einem oder mehreren Sicherheitsstandards verwendet wird.
**AFSBPMemberStack.template** — AWS Foundational Security Best Practices v1.0.0 Runbooks für Einstellungen, Berechtigungen und Problembehebungen.
**CIS120MemberStack.template** — Benchmarks, Einstellungen, Berechtigungen und Problembehebungen der CIS Amazon Web Services Foundations, Version 1.2.0.
**CIS140MemberStack.template** — Benchmarks, Einstellungen, Berechtigungen und Problembehebungen der CIS Amazon Web Services Foundations, Version 1.4.0.
**CIS300MemberStack.template** — Benchmarks der Amazon Web Services Foundations in CIS, Version 3.0.0, Einstellungen, Berechtigungen und Runbooks zur Problembehebung.
**PCI321MemberStack.template** — PCI-DSS v3.2.1-Runbooks für Einstellungen, Berechtigungen und Problembehebungen.
**NISTMemberStack.template** — Runbooks für Einstellungen, Berechtigungen und Problembehebung des National Institute of Standards and Technology (NIST), Version 5.0.0.
**SCMemberStack.template** — Runbooks für Einstellungen, Berechtigungen und Problembehebungen von Security Control.
**automated-security-response-member-cloudtrail.template** — Wird in der Aktionsprotokollfunktion zur Nachverfolgung und Prüfung von Serviceaktivitäten verwendet.
## Integration des Ticketsystems
Verwenden Sie eine der folgenden Vorlagen, um sie in Ihr Ticketsystem zu integrieren.
[![\[View Template\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template** — Bereitstellen, wenn Sie Jira als Ticketsystem verwenden.
[![\[View Template\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template** — Bereitstellen, wenn Sie es ServiceNow als Ticketsystem verwenden.
Wenn Sie ein anderes externes Ticketsystem integrieren möchten, können Sie einen dieser Stacks als Vorlage verwenden, um zu verstehen, wie Sie Ihre eigene benutzerdefinierte Integration implementieren können.
# Automatisierte Bereitstellung - StackSets
**Anmerkung**
Wir empfehlen die Bereitstellung mit. StackSets Für Bereitstellungen mit einem einzigen Konto oder zu Test- oder Evaluierungszwecken sollten Sie jedoch die [Bereitstellungsoption Stacks](deployment.md) in Betracht ziehen.
Bevor Sie die Lösung auf den Markt bringen, sollten Sie sich mit der Architektur, den Lösungskomponenten, der Sicherheit und dem Design vertraut machen, die in diesem Handbuch behandelt werden. Folgen Sie den step-by-step Anweisungen in diesem Abschnitt, um die Lösung zu konfigurieren und in Ihren AWS Organizations bereitzustellen.
**Bereitstellungszeit:** Ungefähr 30 Minuten pro Konto, abhängig von den StackSet Parametern.
## Voraussetzungen
[AWS Organizations](https://aws.amazon.com/organizations/) hilft Ihnen dabei, Ihre AWS-Umgebung und Ressourcen mit mehreren Konten zentral zu verwalten und zu steuern. StackSets funktioniert am besten mit AWS Organizations.
Wenn Sie bereits Version 1.3.x oder eine frühere Version dieser Lösung bereitgestellt haben, müssen Sie die bestehende Lösung deinstallieren. Weitere Informationen finden Sie unter Lösung [aktualisieren](update-the-solution.md).
Bevor Sie diese Lösung bereitstellen, überprüfen Sie Ihre AWS Security Hub Hub-Bereitstellung:
+ In Ihrer AWS-Organisation muss ein delegiertes Security Hub-Administratorkonto vorhanden sein.
+ Security Hub sollte so konfiguriert sein, dass die Ergebnisse regionsübergreifend zusammengefasst werden. Weitere Informationen finden Sie unter [Aggregieren von Ergebnissen in verschiedenen Regionen](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) im AWS Security Hub Hub-Benutzerhandbuch.
+ Sie sollten [Security Hub für Ihr Unternehmen in jeder Region aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html), in der Sie AWS nutzen.
Bei diesem Verfahren wird davon ausgegangen, dass Sie mehrere Konten bei AWS Organizations haben und ein AWS Organizations Organizations-Administratorkonto und ein AWS Security Hub-Administratorkonto delegiert haben.
**Bitte beachten Sie, dass diese Lösung sowohl mit [AWS Security Hub als auch mit AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) funktioniert.**
## Überblick über die Bereitstellung
**Anmerkung**
StackSets Bei der Bereitstellung dieser Lösung wird eine Kombination aus serviceverwaltetem und StackSets selbstverwaltetem System verwendet. Self-Managed StackSets muss derzeit verwendet werden, da sie Nested verwenden StackSets, die bei Service-Managed noch nicht unterstützt werden. StackSets
Stellen Sie das StackSets von einem [delegierten Administratorkonto](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) in Ihren AWS Organizations aus bereit.
**Planung**
Verwenden Sie das folgende Formular, um bei der StackSets Bereitstellung zu helfen. Bereiten Sie Ihre Daten vor und kopieren Sie dann die Werte und fügen Sie sie während der Bereitstellung ein.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Optional) Schritt 0: Stellen Sie den Ticketing-Integrationsstapel bereit](#step-0-stackset)
+ Wenn Sie die Ticketing-Funktion verwenden möchten, stellen Sie zuerst den Ticketing-Integrations-Stack in Ihrem Security Hub-Administratorkonto bereit.
+ Kopieren Sie den Namen der Lambda-Funktion aus diesem Stack und stellen Sie ihn als Eingabe für den Admin-Stack bereit (siehe Schritt 1).
[Schritt 1: Starten Sie den Admin-Stack im delegierten Security Hub-Administratorkonto](#step-1-stackset)
+ Starten Sie die `automated-security-response-admin.template` CloudFormation AWS-Vorlage mithilfe einer selbstverwalteten StackSet Version in Ihrem AWS Security Hub-Administratorkonto in derselben Region wie Ihr Security Hub-Administrator. Diese Vorlage verwendet verschachtelte Stacks.
+ Wählen Sie aus, welche Sicherheitsstandards installiert werden sollen. Standardmäßig ist nur SC ausgewählt (empfohlen).
+ Wählen Sie eine vorhandene Orchestrator-Protokollgruppe aus, die Sie verwenden möchten. Wählen Sie aus`Yes`, ob diese `SO0111-ASR- Orchestrator` bereits in einer früheren Installation vorhanden ist.
+ Wählen Sie aus, ob die Weboberfläche der Lösung aktiviert werden soll. Wenn Sie diese Funktion aktivieren möchten, müssen Sie auch eine E-Mail-Adresse eingeben, um eine Administratorrolle zu erhalten.
+ Wählen Sie Ihre Einstellungen für die Erfassung von CloudWatch Kennzahlen zum Betriebsstatus der Lösung aus.
Weitere Informationen zur Selbstverwaltung StackSets finden Sie unter [Gewähren selbstverwalteter Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) im * CloudFormation AWS-Benutzerhandbuch*.
[Schritt 2: Installieren Sie die Behebungsrollen in jedem AWS Security Hub-Mitgliedskonto](#step-2-stackset)
Warten Sie, bis Schritt 1 die Bereitstellung abgeschlossen hat, da die Vorlage in Schritt 2 auf die in Schritt 1 erstellten IAM-Rollen verweist.
+ Starten Sie die `automated-security-response-member-roles.template` CloudFormation AWS-Vorlage mithilfe eines Service-Managed StackSet in einer einzigen Region in jedem Konto in Ihren AWS Organizations.
+ Wählen Sie, ob diese Vorlage automatisch installiert werden soll, wenn der Organisation ein neues Konto beitritt.
+ Geben Sie die Konto-ID Ihres AWS Security Hub-Administratorkontos ein.
+ Geben Sie einen Wert für ein`namespace`, der verwendet wird, um Konflikte zwischen Ressourcennamen bei einer vorherigen oder gleichzeitigen Bereitstellung in demselben Konto zu verhindern. Geben Sie eine Zeichenfolge mit bis zu 9 alphanumerischen Kleinbuchstaben ein.
[Schritt 3: Starten Sie den Mitglieds-Stack für jedes AWS Security Hub-Mitgliedskonto und jede Region](#step-3-stackset)
+ Starten Sie die `automated-security-response-member.template` CloudFormation AWS-Vorlage mithilfe von Selbstverwaltung in allen Regionen StackSets, in denen Sie AWS-Ressourcen in jedem Konto Ihrer AWS-Organisation haben, das von demselben Security Hub-Administrator verwaltet wird.
**Anmerkung**
Bis Service-Managed Nested Stacks StackSets unterstützt, müssen Sie diesen Schritt für alle neuen Konten ausführen, die der Organisation beitreten.
+ Wählen Sie aus, welche Security Standard-Playbooks installiert werden sollen.
+ Geben Sie den Namen einer CloudTrail Protokollgruppe an (die bei einigen Problembehebungen verwendet wird).
+ Geben Sie die Konto-ID Ihres AWS Security Hub-Administratorkontos ein.
+ Geben Sie einen Wert für ein`namespace`, der verwendet wird, um Konflikte zwischen Ressourcennamen bei einer vorherigen oder gleichzeitigen Bereitstellung in demselben Konto zu verhindern. Geben Sie eine Zeichenfolge mit bis zu 9 alphanumerischen Kleinbuchstaben ein. Dieser Wert sollte mit dem `namespace` Wert übereinstimmen, den Sie für den Mitgliederrollen-Stack ausgewählt haben. Außerdem muss der Namespace-Wert nicht für jedes Mitgliedskonto eindeutig sein.
## (Optional) Schritt 0: Starten Sie einen Ticketsystem-Integrationsstapel
1. Wenn Sie die Ticketing-Funktion verwenden möchten, starten Sie zuerst den entsprechenden Integrationsstapel.
1. Wählen Sie die bereitgestellten Integrations-Stacks für Jira oder verwenden Sie sie als Vorlage ServiceNow, um Ihre eigene benutzerdefinierte Integration zu implementieren.
**So stellen Sie den Jira-Stack bereit**:
1. Geben Sie einen Namen für Ihren Stack ein.
1. Geben Sie den URI für Ihre Jira-Instanz ein.
1. Geben Sie den Projektschlüssel für das Jira-Projekt ein, an das Sie Tickets senden möchten.
1. Erstellen Sie in Secrets Manager ein neues Key-Value-Secret, das Ihre `Username` Jira und enthält. `Password`
**Anmerkung**
Sie können einen Jira-API-Schlüssel anstelle Ihres Passworts verwenden, indem Sie Ihren Benutzernamen als `Username` und Ihren API-Schlüssel als angeben. `Password`
1. Fügen Sie den ARN dieses Geheimnisses als Eingabe zum Stack hinzu.
**Geben Sie einen Stacknamen, Jira-Projektinformationen und Jira-API-Anmeldeinformationen an.**
![\[Stack für die Ticketsystemintegration (Jira).\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Konfiguration des **Jira-Feldes**:
Nach der Bereitstellung des Jira-Stacks können Sie die Jira-Ticketfelder anpassen, indem Sie die `JIRA_FIELDS_MAPPING` Umgebungsvariable in der Lambda-Funktion festlegen. Diese JSON-Zeichenfolge überschreibt die standardmäßigen Jira-Ticketfelder und muss der Jira-API-Feldstruktur folgen.
Standardwerte, wenn leer `JIRA_FIELDS_MAPPING` ist oder Felder nicht angegeben sind:
+ **Priorität**: `{"id": "3"}` (Mittlere Priorität)
+ **Art des Problems**: `{"id": "10006"}` (Aufgabe)
+ **accountId**: Automatisch über den `GET /rest/api/2/myself` API-Endpunkt abgerufen
Beispielkonfiguration mit benutzerdefinierten Feldern:
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Gemeinsames Jira-Feld IDs:
+ **Priorität IDs**: 1 (am höchsten), 2 (hoch), 3 (mittel), 4 (niedrig), 5 (am niedrigsten)
+ **ID des Problemtyps**: Variiert je nach Jira-Projekt (z. B. 10006 für Task)
+ **Konto-ID: Format** `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Sie können Ihr Jira-Feld IDs und Konto IDs mithilfe der Jira-REST-API finden:
+ `GET /rest/api/2/myself`für Konto-ID
+ `GET /rest/api/2/priority`für Priorität IDs
+ `GET /rest/api/2/project/{projectKey}`für den Typ des Problems IDs
Weitere Informationen findest du im [POST-Format für das Jira REST API v2 Issue](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**So stellst du den ServiceNow Stack** bereit:
1. Geben Sie einen Namen für Ihren Stack ein.
1. Geben Sie den URI Ihrer ServiceNow Instanz an.
1. Geben Sie Ihren ServiceNow Tabellennamen an.
1. Erstellen Sie einen API-Schlüssel ServiceNow mit der Berechtigung, die Tabelle zu ändern, in die Sie schreiben möchten.
1. Erstellen Sie in Secrets Manager ein Geheimnis mit dem Schlüssel `API_Key` und geben Sie den geheimen ARN als Eingabe für den Stack an.
**Geben Sie einen Stacknamen, ServiceNow Projektinformationen und ServiceNow API-Anmeldeinformationen an.**
![\[Stack zur Ticketsystemintegration: Servicenow\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**So erstellen Sie einen benutzerdefinierten Integrationsstapel**: Fügen Sie eine Lambda-Funktion hinzu, die der Solution Orchestrator Step Functions für jede Korrektur aufrufen kann. Die Lambda-Funktion sollte die von Step Functions bereitgestellten Eingaben verwenden, eine Payload gemäß den Anforderungen Ihres Ticketsystems erstellen und eine Anfrage an Ihr System stellen, um das Ticket zu erstellen.
## Schritt 1: Starten Sie den Admin-Stack im delegierten Security Hub-Administratorkonto
1. Starten Sie den [Admin-Stack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) mit Ihrem Security Hub-Administratorkonto. `automated-security-response-admin.template` In der Regel eines pro Organisation in einer einzigen Region. Da dieser Stack verschachtelte Stacks verwendet, müssen Sie diese Vorlage als selbstverwaltete Vorlage bereitstellen. StackSet
### Parameters
| Parameter | Standard | Description |
| --- | --- | --- |
| **Laden Sie den SC Admin Stack** | `yes` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von SC-Steuerelementen installiert werden sollen. |
| **Laden Sie den AFSBP Admin Stack** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von FSBP-Steuerelementen installiert werden sollen. |
| **Admin-Stack laden CIS120 ** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von CIS120 Kontrollen installiert werden sollen. |
| ** CIS140 Admin-Stack laden** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von CIS140 Kontrollen installiert werden sollen. |
| ** CIS300 Admin-Stack laden** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von CIS300 Kontrollen installiert werden sollen. |
| ** PC1321 Admin-Stack laden** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von PC1321 Kontrollen installiert werden sollen. |
| **Laden Sie den NIST Admin Stack** | `no` | Geben Sie an, ob die Admin-Komponenten für die automatische Korrektur von NIST-Steuerelementen installiert werden sollen. |
| **Orchestrator-Protokollgruppe wiederverwenden** | `no` | Wählen Sie aus, ob eine bestehende `SO0111-ASR-Orchestrator` CloudWatch Protokollgruppe wiederverwendet werden soll oder nicht. Dies vereinfacht die Neuinstallation und Upgrades, ohne dass Protokolldaten aus einer früheren Version verloren gehen. Bestehende Objekte wiederverwenden`yes`, `Orchestrator Log Group` wählen Sie aus, ob sie `Orchestrator Log Group` noch aus einer früheren Bereitstellung in diesem Konto vorhanden sind, andernfalls`no`. Wenn Sie ein Stack-Update von einer früheren Version als v2.3.0 aus durchführen, wählen Sie `no` |
| **ShouldDeployWebUI** | `yes` | Stellen Sie die Web-UI-Komponenten bereit, einschließlich API Gateway, Lambda-Funktionen und CloudFront Verteilung. Wählen Sie „Ja“, um die webbasierte Benutzeroberfläche zur Anzeige der Ergebnisse und des Behebungsstatus zu aktivieren. Wenn Sie sich dafür entscheiden, diese Funktion zu deaktivieren, können Sie mit der benutzerdefinierten Security Hub CSPM-Aktion weiterhin automatische Problembehebungen konfigurieren und Behebungen bei Bedarf ausführen. |
| **AdminUserEmail** | *(Optionale Eingabe)* | E-Mail-Adresse für den ersten Admin-Benutzer. Dieser Benutzer wird vollen Administratorzugriff auf die ASR-Webbenutzeroberfläche haben. **Nur** erforderlich, wenn die Web-Benutzeroberfläche aktiviert ist. |
| **Verwenden Sie CloudWatch Metriken** | `yes` | Geben Sie an, ob CloudWatch Metrics für die Überwachung der Lösung aktiviert werden sollen. Dadurch wird ein CloudWatch Dashboard zum Anzeigen von Metriken erstellt. |
| **Verwenden Sie CloudWatch Metrik-Alarme** | `yes` | Geben Sie an, ob CloudWatch Metrik-Alarme für die Lösung aktiviert werden sollen. Dadurch werden Alarme für bestimmte von der Lösung gesammelte Metriken erstellt. |
| **RemediationFailureAlarmThreshold** | `5` | Geben Sie den Schwellenwert für den Prozentsatz der Behebungsfehler pro Kontroll-ID an. Wenn Sie beispielsweise einen Wert eingeben`5`, erhalten Sie einen Alarm, wenn eine Kontroll-ID an einem bestimmten Tag bei mehr als 5% der Behebungen fehlschlägt. Dieser Parameter funktioniert nur, wenn Alarme erstellt wurden (siehe Parameter „** CloudWatch Metrik-Alarme verwenden**“). |
| **EnableEnhancedCloudWatchMetrics** | `no` | Wenn`yes`, werden zusätzliche CloudWatch Messwerte erstellt, um die gesamte Steuerung IDs einzeln im CloudWatch Dashboard und als CloudWatch Alarme nachzuverfolgen. Informationen zu den zusätzlichen [Kosten](cost.md#additional-cost-enhanced-metrics), die dadurch entstehen, finden Sie im Abschnitt Kosten. |
| **TicketGenFunctionName** | *(Optionale Eingabe)* | Optional. Lassen Sie das Feld leer, wenn Sie kein Ticketsystem integrieren möchten. Andernfalls geben Sie den Lambda-Funktionsnamen aus der Stack-Ausgabe von [Schritt 0](deployment.md#step-0) an, zum Beispiel:`SO0111-ASR-ServiceNow-TicketGenerator`. |
**Optionen konfigurieren StackSet **
![\[Stackset-Optionen konfigurieren\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Geben Sie für den Parameter **Kontonummern** die Konto-ID des AWS Security Hub-Administratorkontos ein.
1. Wählen Sie für den Parameter **Regionen angeben** nur die Region aus, in der der Security Hub-Administrator aktiviert ist. Warten Sie, bis dieser Schritt abgeschlossen ist, bevor Sie mit Schritt 2 fortfahren.
## Schritt 2: Installieren Sie die Behebungsrollen in jedem AWS Security Hub-Mitgliedskonto
Verwenden Sie einen vom Service verwalteten Dienst StackSets , um die [Vorlage für Mitgliederrollen](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) bereitzustellen,. `automated-security-response-member-roles.template` Diese StackSet muss in einer Region pro Mitgliedskonto bereitgestellt werden. Es definiert die globalen Rollen, die kontoübergreifende API-Aufrufe von der ASR Orchestrator-Schrittfunktion aus ermöglichen.
### Parameters
| Parameter | Standard | Description |
| --- | --- | --- |
| **Namespace** | ** | Geben Sie eine Zeichenfolge mit bis zu 9 alphanumerischen Kleinbuchstaben ein. Eindeutiger Namespace, der als Suffix zu IAM-Rollennamen für die Wartung hinzugefügt werden soll. Derselbe Namespace sollte in den Mitgliedsrollen und Mitgliedsstapeln verwendet werden. Diese Zeichenfolge sollte für jede Lösungsbereitstellung eindeutig sein, muss aber bei Stack-Updates nicht geändert werden. Der Namespace-Wert muss **nicht** für jedes Mitgliedskonto eindeutig sein. |
| **Sec Hub-Kontoadministrator** | ** | Geben Sie die 12-stellige Konto-ID für das AWS Security Hub-Administratorkonto ein. Dieser Wert gewährt der Lösungsrolle des Administratorkontos Berechtigungen. |
1. Stellen Sie die Lösung gemäß den Richtlinien Ihrer Organisation in der gesamten Organisation (in der Regel) oder in verschiedenen Organisationseinheiten bereit.
1. Aktivieren Sie die automatische Bereitstellung, damit neue Konten in den AWS Organizations diese Berechtigungen erhalten.
1. Wählen Sie für den Parameter **Regionen angeben** eine einzelne Region aus. IAM-Rollen sind global. Während der StackSet Bereitstellung können Sie mit Schritt 3 fortfahren.
**Geben Sie Einzelheiten an StackSet **
![\[Stackset-Details angeben\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Schritt 3: Starten Sie den Mitglieds-Stack für jedes AWS Security Hub-Mitgliedskonto und jede Region
Da der [Mitglieds-Stack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) verschachtelte Stacks verwendet, müssen Sie ihn als selbstverwaltetes System bereitstellen. StackSet Dies unterstützt keine automatische Bereitstellung für neue Konten in der AWS-Organisation.
### Parameters
| Parameter | Standard | Description |
| --- | --- | --- |
| **Geben Sie den Namen der LogGroup an, die zur Erstellung von metrischen Filtern und Alarmen verwendet werden sollen** | ** | Geben Sie den Namen einer CloudWatch Logs-Gruppe an, in der API-Aufrufe CloudTrail protokolliert werden. Dies wird für CIS 3.1-3.14-Korrekturen verwendet. |
| **Laden Sie den SC-Mitgliedsstapel** | `yes` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Wiederherstellung der SC-Steuerelemente installiert werden sollen. |
| **Laden Sie den AFSBP-Mitgliedsstapel** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Behebung von FSBP-Steuerelementen installiert werden sollen. |
| **Mitgliedsstapel laden CIS120 ** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Korrektur von CIS120 Kontrollen installiert werden sollen. |
| ** CIS140 Mitgliedsstapel laden** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Korrektur von CIS140 Kontrollen installiert werden sollen. |
| ** CIS300 Mitgliedsstapel laden** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Korrektur von CIS300 Kontrollen installiert werden sollen. |
| ** PC1321 Mitgliedsstapel laden** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Korrektur von PC1321 Kontrollen installiert werden sollen. |
| **Laden Sie den NIST-Mitgliedsstapel** | `no` | Geben Sie an, ob die Mitgliedskomponenten für die automatische Korrektur von NIST-Kontrollen installiert werden sollen. |
| **S3-Bucket für Redshift Audit Logging erstellen** | `no` | Wählen Sie aus`yes`, ob der S3-Bucket für die FSBP 4.4-Wiederherstellung erstellt werden soll RedShift. *Einzelheiten zum S3-Bucket und zur Behebung finden Sie unter [Redshift.4-Remediation](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) im AWS Security Hub Hub-Benutzerhandbuch.* |
| **Sec Hub-Administratorkonto** | ** | Geben Sie die 12-stellige Konto-ID für das AWS Security Hub-Administratorkonto ein. |
| **Namespace** | ** | Geben Sie eine Zeichenfolge mit bis zu 9 alphanumerischen Kleinbuchstaben ein. Diese Zeichenfolge wird Teil der IAM-Rollennamen und des Action Log S3-Buckets. Verwenden Sie denselben Wert für die Bereitstellung des Member-Stacks und die Stack-Bereitstellung der Mitgliedsrollen. Die Zeichenfolge sollte für jede Lösungsbereitstellung eindeutig sein, muss aber bei Stack-Updates nicht geändert werden. |
| **EnableCloudTrailForASRActionProtokoll** | `no` | Wählen Sie aus, `yes` ob Sie die von der Lösung ausgeführten Verwaltungsereignisse im CloudWatch Dashboard überwachen möchten. Die Lösung erstellt in jedem Mitgliedskonto, das Sie auswählen, eine CloudTrail Spur`yes`. Sie müssen die Lösung in einer AWS-Organisation bereitstellen, um diese Funktion zu aktivieren. **Darüber hinaus können Sie diese Funktion nur in einer einzigen Region innerhalb desselben Kontos aktivieren.** Informationen zu den zusätzlichen [Kosten](cost.md#additional-cost-action-log), die dadurch entstehen, finden Sie im Abschnitt Kosten. |
**Konten**
![\[Konten\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Einsatzorte**: Sie können eine Liste mit Kontonummern oder Organisationseinheiten angeben.
**Regionen angeben**: Wählen Sie alle Regionen aus, in denen Sie die Ergebnisse korrigieren möchten. Sie können die Bereitstellungsoptionen entsprechend der Anzahl der Konten und Regionen anpassen. Die Parallelität der Regionen kann parallel sein.
# Automatisierte Bereitstellung — Stacks
**Anmerkung**
Für Kunden mit mehreren Konten empfehlen wir dringend die [Bereitstellung mit StackSets](deployment-stackset.md).
Bevor Sie die Lösung auf den Markt bringen, sollten Sie sich mit der Architektur, den Lösungskomponenten, der Sicherheit und den Entwurfsüberlegungen vertraut machen, die in diesem Handbuch behandelt werden. Folgen Sie den step-by-step Anweisungen in diesem Abschnitt, um die Lösung zu konfigurieren und in Ihrem Konto bereitzustellen.
**Zeit für die Bereitstellung:** Ungefähr 30 Minuten
## Voraussetzungen
Bevor Sie diese Lösung bereitstellen, stellen Sie sicher, dass sich AWS Security Hub in derselben AWS-Region wie Ihr primäres und sekundäres Konto befindet. Wenn Sie diese Lösung bereits bereitgestellt haben, müssen Sie die bestehende Lösung deinstallieren. Weitere Informationen finden Sie unter [Lösung aktualisieren](update-the-solution.md).
## Überblick über die Bereitstellung
Gehen Sie wie folgt vor, um diese Lösung auf AWS bereitzustellen.
[(Optional) Schritt 0: Starten Sie einen Ticketsystem-Integrationsstapel](#step-0)
+ Wenn Sie die Ticketing-Funktion verwenden möchten, stellen Sie zuerst den Ticketing-Integrations-Stack in Ihrem Security Hub-Administratorkonto bereit.
+ Kopieren Sie den Namen der Lambda-Funktion aus diesem Stack und stellen Sie ihn als Eingabe für den Admin-Stack bereit (siehe Schritt 1).
[Schritt 1: Starten Sie den Admin-Stack](#step-1)
+ Starten Sie die `automated-security-response-admin.template` CloudFormation AWS-Vorlage in Ihrem AWS Security Hub-Administratorkonto.
+ Wählen Sie aus, welche Sicherheitsstandards installiert werden sollen.
+ Wählen Sie eine vorhandene Orchestrator-Protokollgruppe aus, die verwendet werden soll (wählen Sie aus, `Yes` ob sie `SO0111-ASR-Orchestrator` bereits in einer früheren Installation vorhanden ist).
[Schritt 2: Installieren Sie die Behebungsrollen in jedem AWS Security Hub-Mitgliedskonto](#step-2)
+ Starten Sie die `automated-security-response-member-roles.template` CloudFormation AWS-Vorlage in einer Region pro Mitgliedskonto.
+ Geben Sie die 12-stellige Konto-IG für das AWS Security Hub-Administratorkonto ein.
[Schritt 3: Starten Sie den Member-Stack](#step-3)
+ Geben Sie den Namen der CloudWatch Protokollgruppe an, die bei CIS 3.1-3.14-Problembehebungen verwendet werden soll. Es muss der Name einer CloudWatch Logs-Protokollgruppe sein, die Protokolle empfängt. CloudTrail
+ Wählen Sie aus, ob die Behebungsrollen installiert werden sollen. Installieren Sie diese Rollen nur einmal pro Konto.
+ Wählen Sie aus, welche Playbooks installiert werden sollen.
+ Geben Sie die Konto-ID des AWS Security Hub-Administratorkontos ein.
[Schritt 4: (Optional) Passen Sie die verfügbaren Abhilfemaßnahmen an](#step-4)
+ Entfernen Sie alle Behebungen pro Mitgliedskonto. Dieser Schritt ist optional.
## (Optional) Schritt 0: Starten Sie einen Ticketsystem-Integrationsstapel
1. Wenn Sie die Ticketing-Funktion verwenden möchten, starten Sie zuerst den entsprechenden Integrationsstapel.
1. Wählen Sie die bereitgestellten Integrations-Stacks für Jira oder verwenden Sie sie als Vorlage ServiceNow, um Ihre eigene benutzerdefinierte Integration zu implementieren.
**So stellen Sie den Jira-Stack bereit**:
1. Geben Sie einen Namen für Ihren Stack ein.
1. Geben Sie den URI für Ihre Jira-Instanz ein.
1. Geben Sie den Projektschlüssel für das Jira-Projekt ein, an das Sie Tickets senden möchten.
1. Erstellen Sie in Secrets Manager ein neues Key-Value-Secret, das Ihre `Username` Jira und enthält. `Password`
**Anmerkung**
Sie können einen Jira-API-Schlüssel anstelle Ihres Passworts verwenden, indem Sie Ihren Benutzernamen als `Username` und Ihren API-Schlüssel als angeben. `Password`
1. Fügen Sie den ARN dieses Geheimnisses als Eingabe zum Stack hinzu.
**„Geben Sie einen Stacknamen, Jira-Projektinformationen und Jira-API-Anmeldeinformationen an.**
![\[Integration von Ticketsystemen, Stack, Jira.\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Konfiguration des **Jira-Feldes**:
Informationen zum Anpassen von Jira-Ticketfeldern finden Sie im Abschnitt Jira-Feldkonfiguration in [Schritt 0](deployment-stackset.md#step-0-stackset) der Bereitstellung. StackSet
**So stellen Sie den Stack bereit: ServiceNow **
1. Geben Sie einen Namen für Ihren Stack ein.
1. Geben Sie den URI Ihrer ServiceNow Instanz an.
1. Geben Sie Ihren ServiceNow Tabellennamen an.
1. Erstellen Sie einen API-Schlüssel ServiceNow mit der Berechtigung, die Tabelle zu ändern, in die Sie schreiben möchten.
1. Erstellen Sie in Secrets Manager ein Geheimnis mit dem Schlüssel `API_Key` und geben Sie den geheimen ARN als Eingabe für den Stack an.
**Geben Sie einen Stacknamen, ServiceNow Projektinformationen und ServiceNow API-Anmeldeinformationen an.**
![\[Stack zur Ticketsystemintegration: Servicenow\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**So erstellen Sie einen benutzerdefinierten Integrationsstapel**: Fügen Sie eine Lambda-Funktion hinzu, die der Solution Orchestrator Step Functions für jede Korrektur aufrufen kann. Die Lambda-Funktion sollte die von Step Functions bereitgestellten Eingaben verwenden, eine Payload gemäß den Anforderungen Ihres Ticketsystems erstellen und eine Anfrage an Ihr System stellen, um das Ticket zu erstellen.
## Schritt 1: Starten Sie den Admin-Stack
**Wichtig**
Diese Lösung beinhaltet die Datenerfassung. Wir verwenden diese Daten, um besser zu verstehen, wie Kunden diese Lösung und die damit verbundenen Services und Produkte nutzen. AWS ist Eigentümer der im Rahmen dieser Umfrage gesammelten Daten. Die Datenerfassung unterliegt dem [AWS-Datenschutzhinweis](https://aws.amazon.com/privacy/).
Diese automatisierte CloudFormation AWS-Vorlage stellt die Automated Security Response on AWS-Lösung in der AWS-Cloud bereit. Bevor Sie den Stack starten, müssen Sie Security Hub aktivieren und die [Voraussetzungen erfüllen](#prerequisites).
**Anmerkung**
Sie sind für die Kosten der AWS-Services verantwortlich, die Sie beim Betrieb dieser Lösung in Anspruch nehmen. Weitere Informationen finden Sie im Abschnitt [Kosten](cost.md) in diesem Handbuch und auf der Preisseite für jeden AWS-Service, der in dieser Lösung verwendet wird.
1. Melden Sie sich von dem Konto aus, in dem der AWS Security Hub derzeit konfiguriert ist, bei der AWS-Managementkonsole an, und verwenden Sie die Schaltfläche unten, um die `automated-security-response-admin.template` CloudFormation AWS-Vorlage zu starten.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Sie können auch [die Vorlage herunterladen](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) als Ausgangspunkt für eine eigene Implementierung verwenden.
1. Die Vorlage wird standardmäßig in der Region USA Ost (Nord-Virginia) gestartet. Um diese Lösung in einer anderen AWS-Region zu starten, verwenden Sie die Regionsauswahl in der Navigationsleiste der AWS-Managementkonsole.
**Anmerkung**
Diese Lösung verwendet AWS Systems Manager, der derzeit nur in bestimmten AWS-Regionen verfügbar ist. Die Lösung funktioniert in allen Regionen, die diesen Service unterstützen. Die aktuelle Verfügbarkeit nach Regionen finden Sie in der [Liste der regionalen AWS-Dienste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Vergewissern Sie sich auf der Seite **Stack erstellen**, dass sich die richtige Vorlagen-URL im Textfeld **Amazon S3 S3-URL** befindet, und wählen Sie dann **Weiter** aus.
1. Weisen Sie Ihrem **Lösungsstapel auf der Seite „Stack-Details angeben**“ einen Namen zu. Informationen zu Einschränkungen bei der Benennung von Zeichen finden Sie unter [IAM- und STS-Beschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) im *AWS Identity and Access Management-Benutzerhandbuch*.
1. Wählen Sie auf der Seite „**Parameter**“ die Option **Weiter** aus.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/deployment.html)
**Anmerkung**
Sie müssen automatische Problembehebungen im Admin-Konto manuell aktivieren, nachdem Sie die Stacks der Lösung bereitgestellt oder aktualisiert haben. CloudFormation
1. Wählen Sie auf der Seite **Configure stack options** (Stack-Optionen konfigurieren) **Next** (Weiter) aus.
1. Überprüfen und bestätigen Sie die Einstellungen auf der Seite **Review. ** Markieren Sie das Kästchen, um zu bestätigen, dass die Vorlage AWS Identity and Access Management (IAM) -Ressourcen erstellt.
1. Wählen Sie **Stack erstellen** aus, um den Stack bereitzustellen.
Sie können den Status des Stacks in der CloudFormation AWS-Konsole in der Spalte **Status anzeigen**. Sie sollten in etwa 15 Minuten den Status CREATE\$1COMPLETE erhalten.
## Schritt 2: Installieren Sie die Behebungsrollen in jedem AWS Security Hub-Mitgliedskonto
Die `automated-security-response-member-roles.template` StackSet dürfen nur in einer Region pro Mitgliedskonto bereitgestellt werden. Es definiert die globalen Rollen, die kontoübergreifende API-Aufrufe über die ASR Orchestrator-Schrittfunktion ermöglichen.
1. Melden Sie sich bei der AWS-Managementkonsole für jedes AWS Security Hub-Mitgliedskonto an (einschließlich des Administratorkontos, das ebenfalls Mitglied ist). Wählen Sie die Schaltfläche, um die `automated-security-response-member-roles.template` CloudFormation AWS-Vorlage zu starten. Sie können auch [die Vorlage herunterladen](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) als Ausgangspunkt für eine eigene Implementierung verwenden.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Die Vorlage wird standardmäßig in der Region USA Ost (Nord-Virginia) gestartet. Um diese Lösung in einer anderen AWS-Region zu starten, verwenden Sie die Regionsauswahl in der Navigationsleiste der AWS-Managementkonsole.
1. Vergewissern Sie sich auf der Seite **Stack erstellen**, dass sich die richtige Vorlagen-URL im Textfeld Amazon S3 S3-URL befindet, und wählen Sie dann **Weiter** aus.
1. Weisen Sie Ihrem **Lösungsstapel auf der Seite „Stack-Details angeben**“ einen Namen zu. Informationen zu Einschränkungen bei der Benennung von Zeichen finden Sie unter IAM- und STS-Beschränkungen im AWS Identity and Access Management-Benutzerhandbuch.
1. Geben Sie auf der Seite **Parameter** die folgenden Parameter an und wählen Sie Weiter.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Wählen Sie auf der Seite **Configure stack options** (Stack-Optionen konfigurieren) **Next** (Weiter) aus.
1. Überprüfen und bestätigen Sie die Einstellungen auf der Seite **Review. ** Markieren Sie das Kästchen, um zu bestätigen, dass die Vorlage AWS Identity and Access Management (IAM) -Ressourcen erstellt.
1. Wählen Sie **Stack erstellen** aus, um den Stack bereitzustellen.
Sie können den Status des Stacks in der CloudFormation AWS-Konsole in der Spalte **Status anzeigen**. Sie sollten in etwa 5 Minuten den Status CREATE\$1COMPLETE erhalten. Sie können mit dem nächsten Schritt fortfahren, während dieser Stapel geladen wird.
## Schritt 3: Starten Sie den Member-Stack
**Wichtig**
Diese Lösung beinhaltet die Datenerfassung. Wir verwenden diese Daten, um besser zu verstehen, wie Kunden diese Lösung und die damit verbundenen Services und Produkte nutzen. AWS ist Eigentümer der im Rahmen dieser Umfrage gesammelten Daten. Die Datenerfassung unterliegt der AWS-Datenschutzrichtlinie.
Der `automated-security-response-member` Stack muss in jedem Security Hub-Mitgliedskonto installiert werden. Dieser Stack definiert die Runbooks für die automatisierte Problembehebung. Der Administrator jedes Mitgliedskontos kann kontrollieren, welche Abhilfemaßnahmen über diesen Stack verfügbar sind.
1. Melden Sie sich bei der AWS-Managementkonsole für jedes AWS Security Hub-Mitgliedskonto an (einschließlich des Administratorkontos, das ebenfalls Mitglied ist). Wählen Sie die Schaltfläche, um die `automated-security-response-member.template` CloudFormation AWS-Vorlage zu starten.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Sie können [die Vorlage auch als Ausgangspunkt für Ihre eigene Implementierung herunterladen](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template). Die Vorlage wird standardmäßig in der Region USA Ost (Nord-Virginia) gestartet. Um diese Lösung in einer anderen AWS-Region zu starten, verwenden Sie die Regionsauswahl in der Navigationsleiste der AWS-Managementkonsole.
\$1
**Anmerkung**
Diese Lösung verwendet AWS Systems Manager, der derzeit in den meisten AWS-Regionen verfügbar ist. Die Lösung funktioniert in allen Regionen, die diese Services unterstützen. Die aktuelle Verfügbarkeit nach Regionen finden Sie in der [Liste der regionalen AWS-Dienste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Vergewissern Sie sich auf der Seite **Stack erstellen**, dass sich die richtige Vorlagen-URL im Textfeld **Amazon S3 S3-URL** befindet, und wählen Sie dann **Weiter** aus.
1. Weisen Sie Ihrem **Lösungsstapel auf der Seite „Stack-Details angeben**“ einen Namen zu. Informationen zu Einschränkungen bei der Benennung von Zeichen finden Sie unter [IAM- und STS-Beschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) im *AWS Identity and Access Management-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Parameter** die folgenden Parameter an und wählen Sie **Weiter**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Wählen Sie auf der Seite **Configure stack options** (Stack-Optionen konfigurieren) **Next** (Weiter) aus.
1. Überprüfen und bestätigen Sie die Einstellungen auf der Seite **Review. ** Markieren Sie das Kästchen, um zu bestätigen, dass die Vorlage AWS Identity and Access Management (IAM) -Ressourcen erstellt.
1. Wählen Sie **Stack erstellen** aus, um den Stack bereitzustellen.
Sie können den Status des Stacks in der CloudFormation AWS-Konsole in der Spalte **Status anzeigen**. Sie sollten in etwa 15 Minuten den Status CREATE\$1COMPLETE erhalten.
## Schritt 4: (Optional) Passen Sie die verfügbaren Abhilfemaßnahmen an
Wenn Sie bestimmte Abhilfemaßnahmen aus einem Mitgliedskonto entfernen möchten, können Sie dies tun, indem Sie den verschachtelten Stack entsprechend dem Sicherheitsstandard aktualisieren. Der Einfachheit halber werden die Optionen für verschachtelte Stacks nicht an den Root-Stack weitergegeben.
1. Melden Sie sich bei der [ CloudFormation AWS-Konsole](https://console.aws.amazon.com/cloudformation/home) an und wählen Sie den verschachtelten Stack aus.
1. Wählen Sie **Aktualisieren** aus.
1. Wählen Sie **Verschachtelten Stack aktualisieren und anschließend Stack** **aktualisieren** aus.
**Verschachtelten Stapel aktualisieren**
![\[verschachtelter Stapel\]](http://docs.aws.amazon.com/de_de/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Wählen Sie **Aktuelle Vorlage verwenden** und **dann Weiter** aus.
1. Passen Sie die verfügbaren Abhilfemaßnahmen an. Ändern Sie die Werte für gewünschte Steuerelemente auf `Available` und für unerwünschte Steuerelemente auf. `Not available`
**Anmerkung**
Wenn Sie eine Problembehebung deaktivieren, wird das Runbook zur Problembehebung für den Sicherheitsstandard und die Sicherheitskontrolle entfernt.
1. Wählen Sie auf der Seite **Configure stack options** (Stack-Optionen konfigurieren) **Next** (Weiter) aus.
1. Überprüfen und bestätigen Sie die Einstellungen auf der Seite **Review. ** Markieren Sie das Kästchen, um zu bestätigen, dass die Vorlage AWS Identity and Access Management (IAM) -Ressourcen erstellt.
1. Wählen Sie **Stack aktualisieren** aus.
Sie können den Status des Stacks in der CloudFormation AWS-Konsole in der Spalte **Status anzeigen**. Sie sollten in etwa 15 Minuten den Status CREATE\$1COMPLETE erhalten.
# Einsatz des Control Tower (CT)
Der Leitfaden Customizations for AWS Control Tower (cFCT) richtet sich an Administratoren, DevOps Fachleute, unabhängige Softwareanbieter, IT-Infrastrukturarchitekten und Systemintegratoren, die ihre AWS Control Tower Tower-Umgebungen für ihr Unternehmen und ihre Kunden anpassen und erweitern möchten. Es enthält Informationen zur Anpassung und Erweiterung der AWS Control Tower Tower-Umgebung mit dem cFCT-Anpassungspaket.
**Zeit für die Bereitstellung: Ungefähr 30** Minuten
## Voraussetzungen
Stellen Sie vor der Bereitstellung dieser Lösung sicher, dass sie für **AWS Control Tower Tower-Administratoren** vorgesehen ist.
Wenn Sie bereit sind, Ihre landing zone mit der AWS Control Tower Tower-Konsole einzurichten APIs, oder gehen Sie wie folgt vor:
Informationen zu den ersten Schritten mit AWS Control Tower finden Sie unter: [Erste Schritte mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Informationen zum Anpassen Ihrer landing zone finden Sie unter: [Anpassen Ihrer Landezone](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html)
Informationen zum Starten und Bereitstellen Ihrer landing zone finden Sie unter: [Leitfaden zur Bereitstellung von Landezonen](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Überblick über den Einsatz
Gehen Sie wie folgt vor, um diese Lösung auf AWS bereitzustellen.
[Schritt 1: S3-Bucket erstellen und bereitstellen](#step-1-cfn)
**Anmerkung**
S3-Bucket-Konfiguration — nur für ADMIN. Dies ist ein einmaliger Einrichtungsschritt und sollte von Endbenutzern nicht wiederholt werden. Die S3-Buckets speichern das Bereitstellungspaket, einschließlich der CloudFormation AWS-Vorlage und des Lambda-Codes, die für die Ausführung von ASR erforderlich sind. Diese Ressourcen werden mit oder bereitgestellt. CfCt StackSet
**1. Konfigurieren Sie den S3-Bucket**
Richten Sie den S3-Bucket ein, der zum Speichern und Bereitstellen Ihrer Bereitstellungspakete verwendet wird.
**2. Einrichten der -Umgebung**
Bereiten Sie die erforderlichen Umgebungsvariablen, Anmeldeinformationen und Tools vor, die für den Build- und Bereitstellungsprozess erforderlich sind.
**3. Konfigurieren Sie S3-Bucket-Richtlinien**
Definieren und wenden Sie die entsprechenden Bucket-Richtlinien an, um den Zugriff und die Berechtigungen zu kontrollieren.
**4. Bereiten Sie den Build vor**
Kompilieren, verpacken oder bereiten Sie Ihre Anwendung oder Ressourcen auf andere Weise für die Bereitstellung vor.
**5. Stellen Sie Pakete auf S3 bereit**
Laden Sie die vorbereiteten Build-Artefakte in den dafür vorgesehenen S3-Bucket hoch.
[Schritt 2: Stack-Bereitstellung auf AWS Control Tower](#step-2-cfn)
**1. Erstellen Sie ein Build-Manifest für ASR-Komponenten**
Definieren Sie ein Build-Manifest, das alle ASR-Komponenten, ihre Versionen, Abhängigkeiten und Build-Anweisungen auflistet.
**2. Aktualisieren Sie das CodePipeline**
Ändern Sie die CodePipeline AWS-Konfiguration so, dass sie die neuen Build-Schritte, Artefakte oder Stufen enthält, die für die Bereitstellung der ASR-Komponenten erforderlich sind.
## Schritt 1: Erstellen und Bereitstellen im S3-Bucket
AWS-Lösungen verwenden zwei Buckets: einen Bucket für den globalen Zugriff auf Vorlagen, auf den über HTTPS zugegriffen wird, und regionale Buckets für den Zugriff auf Ressourcen innerhalb der Region, wie z. B. Lambda-Code.
**1. Konfigurieren Sie den S3-Bucket**
Wählen Sie einen eindeutigen Bucket-Namen, z. B. asr-staging. Legen Sie zwei Umgebungsvariablen auf Ihrem Terminal fest. Eine sollte der Basis-Bucket-Name mit -reference als Suffix sein, die andere mit der gewünschten Einsatzregion als Suffix:
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Einrichtung der Umgebung**
Erstellen Sie in Ihrem AWS-Konto zwei Buckets mit diesen Namen, z. B. asr-staging-reference und asr-staging-us-east -1. (Der Referenz-Bucket enthält die CloudFormation Vorlagen, der regionale Bucket enthält alle anderen Assets wie das Lambda-Code-Bundle.) Ihre Buckets sollten verschlüsselt sein und keinen öffentlichen Zugriff zulassen
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**Anmerkung**
Achten Sie bei der Erstellung Ihrer Buckets darauf, dass sie nicht öffentlich zugänglich sind. Verwenden Sie zufällige Bucket-Namen. Deaktivieren Sie den öffentlichen Zugriff. Verwenden Sie die KMS-Verschlüsselung. Und überprüfen Sie vor dem Hochladen, ob Sie den Bucket besitzen.
**3. Einrichtung der S3-Buckets-Richtlinie**
Aktualisieren Sie die S3-Bucket-Richtlinie \$1TEMPLATE\$1BUCKET\$1NAME so, dass sie die Berechtigungen für die Ausführungskonto-ID enthält PutObject . Weisen Sie diese Berechtigung einer IAM-Rolle innerhalb des Execute-Kontos zu, die berechtigt ist, in den Bucket zu schreiben. Durch diese Konfiguration können Sie vermeiden, dass der Bucket im Verwaltungskonto erstellt wird.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Ändern Sie die Asset-S3-Bucket-Richtlinie so, dass sie Berechtigungen einbezieht. Weisen Sie diese Berechtigung einer IAM-Rolle innerhalb des Execute-Kontos zu, das berechtigt ist, in den Bucket zu schreiben. Wiederholen Sie dieses Setup für jeden regionalen Asset-Bucket (z. B. asr-staging-us-east -1, asr-staging-eu-west -1 usw.), sodass Bereitstellungen in mehreren Regionen möglich sind, ohne dass die Buckets im Management-Konto erstellt werden müssen.
**4. Vorbereitung des Builds**
+ Voraussetzungen:
+ AWS-CLI Version 2
+ Python 3.11\$1 mit Pip
+ AWS CDK 2.171.1\$1
+ Node.js 20\$1 mit npm
+ Poetry v2 mit Plugin zum Exportieren
+ Git-Klon [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Stellen Sie zunächst sicher, dass Sie npm install im Quellordner ausgeführt haben.
Führen Sie als Nächstes im Bereitstellungsordner in Ihrem geklonten Repo build-s3-dist.sh aus und übergeben Sie dabei den Stammnamen Ihres Buckets (z. B. mybucket) und die Version, die Sie erstellen (z. B. v1.0.0). Wir empfehlen, eine Semver-Version zu verwenden, die auf der heruntergeladenen Version basiert (z. B. GitHub GitHub: v1.0.0, dein Build: v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Pakete auf S3 bereitstellen**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Schritt 2: Stack-Bereitstellung auf AWS Control Tower
**1. Erstellen Sie ein Manifest für ASR-Komponenten**
[Nachdem Sie ASR-Artefakte in den S3-Buckets bereitgestellt haben, aktualisieren Sie das Control Tower [Tower-Pipeline-Manifest](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html), sodass es auf die neue Version verweist, und lösen Sie dann den Pipeline-Lauf aus, siehe: Controltower-Bereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**Wichtig**
Um die korrekte Bereitstellung der ASR-Lösung sicherzustellen, finden Sie in der offiziellen AWS-Dokumentation detaillierte Informationen zur Übersicht der CloudFormation Vorlagen und zur Beschreibung der Parameter. Links zu den Informationen finden Sie unten: Leitfaden zur [Übersicht über die Parameter](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) der [CloudFormation Vorlagen](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html)
Das Manifest für die ASR-Komponenten sieht wie folgt aus:
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Aktualisierung der Code-Pipeline**
Fügen Sie einer custom-control-tower-configuration ZIP-Datei eine Manifestdatei hinzu und führen Sie eine aus CodePipeline, siehe: [Code-Pipeline-Übersicht](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html)