Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatischer Umgang mit Sicherheitsbedrohungen mit vordefinierten Reaktions- und Abhilfemaßnahmen in AWS Security Hub
Dieser Implementierungsleitfaden bietet einen Überblick über die Automated Security Response on AWS-Lösung, ihre Referenzarchitektur und Komponenten, Überlegungen zur Planung der Bereitstellung und Konfigurationsschritte für die Bereitstellung der Automated Security Response on AWS-Lösung in der Amazon Web Services (AWS) -Cloud.
Verwenden Sie diese Navigationstabelle, um schnell Antworten auf diese Fragen zu finden:
| Wenn du willst. | Lesen. |
| --- | --- |
| Informieren Sie sich über die Kosten für den Betrieb dieser Lösung | [Kosten](cost.md) |
| Machen Sie sich mit den Sicherheitsüberlegungen für diese Lösung vertraut | [Sicherheit](security.md) |
| Erfahren Sie, wie Sie Kontingente für diese Lösung einplanen | [Kontingente](quotas.md) |
| Erfahren Sie, welche AWS-Regionen für diese Lösung unterstützt werden | [Unterstützte AWS-Regionen](plan-your-deployment.md#supported-aws-regions) |
| Sehen Sie sich die in dieser Lösung enthaltene CloudFormation AWS-Vorlage an oder laden Sie sie herunter, um die Infrastrukturressourcen (den „Stack“) für diese Lösung automatisch bereitzustellen | [ CloudFormation AWS-Vorlagen](aws-cloudformation-template.md) |
| Greifen Sie auf den Quellcode zu und verwenden Sie optional das AWS Cloud Development Kit (AWS CDK), um die Lösung bereitzustellen. | [GitHub Repository](https://github.com/aws-solutions/automated-security-response-on-aws) |
Die kontinuierliche Weiterentwicklung der Sicherheit erfordert proaktive Maßnahmen zur Sicherung von Daten, was es für Sicherheitsteams schwierig, teuer und zeitaufwändig machen kann, zu reagieren. Mit der Automated Security Response on AWS-Lösung können Sie schnell auf Sicherheitsprobleme reagieren, indem sie vordefinierte Antworten und Abhilfemaßnahmen bereitstellt, die auf branchenüblichen Compliance-Standards und Best Practices basieren.
[Automated Security Response on AWS ist eine AWS-Lösung, die mit [AWS Security Hub zusammenarbeitet](https://aws.amazon.com/security-hub/), um Ihre Sicherheit zu verbessern und Ihre Workloads an den Best Practices für Well-Architected Security auszurichten (0)SEC1.](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html) Diese Lösung erleichtert es Kunden von AWS Security Hub, häufig auftretende Sicherheitsprobleme zu lösen und ihren Sicherheitsstatus in AWS zu verbessern.
Sie können bestimmte Playbooks auswählen, die in Ihrem Security Hub-Primärkonto bereitgestellt werden sollen. Jedes Playbook enthält die erforderlichen benutzerdefinierten Aktionen, [Identity and Access Management Zugriffsmanagement-Rollen](https://aws.amazon.com/iam/) (IAM), [ EventBridge Amazon-Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), [AWS Systems Manager Manager-Automatisierungsdokumente, AWS](https://aws.amazon.com/systems-manager/) [Lambda Lambda-Funktionen und AWS](https://aws.amazon.com/lambda/) [Step](https://aws.amazon.com/step-functions/) Functions, die erforderlich sind, um einen Korrektur-Workflow innerhalb eines einzelnen AWS-Kontos oder über mehrere Konten hinweg zu starten. Abhilfemaßnahmen erfolgen über das Menü Aktionen in AWS Security Hub und ermöglichen es autorisierten Benutzern, einen Fehler in all ihren von AWS Security Hub verwalteten Konten mit einer einzigen Aktion zu beheben. Sie können beispielsweise Empfehlungen des AWS Foundations Benchmark des Center for Internet Security (CIS) anwenden, einem Compliance-Standard für die Sicherung von AWS-Ressourcen, um sicherzustellen, dass Passwörter innerhalb von 90 Tagen ablaufen, und die Verschlüsselung von in AWS gespeicherten Ereignisprotokollen durchzusetzen.
**Anmerkung**
Die Behebung ist für Notfallsituationen vorgesehen, die sofortiges Handeln erfordern. Diese Lösung nimmt Änderungen zur Behebung von Ergebnissen nur vor, wenn sie von Ihnen über die AWS Security Hub-Managementkonsole initiiert wurden oder wenn die automatische Problembehebung mithilfe der DynamoDB-Tabelle Remediation Configuration aktiviert wurde. Um diese Änderungen rückgängig zu machen, müssen Sie die Ressourcen manuell in ihren ursprünglichen Zustand zurückversetzen.
Beachten Sie bei der Behebung von AWS-Ressourcen, die als Teil des CloudFormation Stacks bereitgestellt werden, dass dies zu Abweichungen führen kann. Wenn möglich, korrigieren Sie die Stack-Ressourcen, indem Sie den Code, der die Stack-Ressourcen definiert, ändern und den Stack aktualisieren. Weitere Informationen finden Sie unter [Was ist Drift](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)? im * CloudFormation AWS-Benutzerhandbuch*.
Automated Security Response on AWS umfasst die Playbook-Korrekturen für die Sicherheitsstandards, die als Teil der folgenden Punkte definiert wurden:
+ [Zentrum für Internetsicherheit (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)
+ [Benchmark v1.4.0 für CIS AWS-Stiftungen](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)
+ [Benchmark v3.0.0 für CIS AWS-Stiftungen](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)
+ [Bewährte Methoden der AWS-Grundsicherheit (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)
+ [Datensicherheitsstandard der Zahlungskartenbranche (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)
+ [Nationales Institut für Standards und Technologie (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)
Die Lösung umfasst auch ein Security Controls (SC) -Playbook für die [Funktion konsolidierter Kontrollergebnisse](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) von AWS Security Hub. Weitere Informationen finden Sie unter [Playbooks](playbooks.md). Wir empfehlen, das SC-Playbook zusammen mit den konsolidierten Kontrollergebnissen in Security Hub zu verwenden.
In diesem Implementierungsleitfaden werden architektonische Überlegungen und Konfigurationsschritte für die Bereitstellung der Automated Security Response on AWS-Lösung in der AWS-Cloud erörtert. Es enthält Links zu [ CloudFormationAWS-Vorlagen](https://aws.amazon.com/cloudformation/), mit denen die AWS-Rechen-, Netzwerk-, Speicher- und anderen Services gestartet, konfiguriert und ausgeführt werden, die für die Bereitstellung dieser Lösung auf AWS erforderlich sind, wobei die bewährten AWS-Methoden für Sicherheit und Verfügbarkeit verwendet werden.
Der Leitfaden richtet sich an IT-Infrastrukturarchitekten, Administratoren und DevOps Fachleute, die über praktische Erfahrung mit der Architektur in der AWS-Cloud verfügen.
# Features und Vorteile
Die automatisierte Sicherheitsreaktion auf AWS bietet die folgenden Funktionen:
**Automatisches Korrigieren von Ergebnissen bei bestimmten Kontrollen**
Konfigurieren Sie die Lösung so, dass Ergebnisse für bestimmte Kontrollen automatisch korrigiert werden, indem Sie die DynamoDB-Tabelle für die Behebungskonfiguration ändern, die für das Administratorkonto bereitgestellt wurde.
**Verwalten Sie Behebungen für mehrere Konten und Regionen von einem Standort aus**
Initiieren Sie von einem AWS Security Hub-Administratorkonto aus, das als Aggregationsziel für die Konten und Regionen Ihrer Organisation konfiguriert ist, eine Behebung eines Fehlers in einem beliebigen Konto und jeder Region, in der die Lösung bereitgestellt wird.
**Lassen Sie sich über Abhilfemaßnahmen und deren Ergebnisse benachrichtigen**
Abonnieren Sie das von der Lösung bereitgestellte Amazon SNS SNS-Thema, um benachrichtigt zu werden, wenn Abhilfemaßnahmen eingeleitet werden und ob die Behebung erfolgreich war oder nicht.
**Verwenden Sie die Web-Benutzeroberfläche, um Abhilfemaßnahmen zu starten, anzuzeigen und zu verwalten**
Sie haben die Möglichkeit, bei der Bereitstellung des Admin-Stacks die Weboberfläche der Lösung zu aktivieren. Dadurch erhalten Sie eine umfassende, benutzerfreundliche Ansicht, in der Sie Behebungen durchführen und alle von der Lösung in der Vergangenheit durchgeführten Behebungen einsehen können.
**Integrieren Sie in Ticketsysteme wie Jira oder ServiceNow**
Damit Ihr Unternehmen auf Abhilfemaßnahmen reagieren kann (z. B. die Aktualisierung Ihres Infrastrukturcodes), kann diese Lösung Tickets an Ihr externes Ticketsystem weiterleiten.
**Verwenden Sie AWSConfig Remediations in den GovCloud Partitionen und China**
Bei einigen der in der Lösung enthaltenen Abhilfemaßnahmen handelt es sich um Neupakete von AWS-eigenen AWSConfig Behebungsdokumenten, die in der kommerziellen Partition verfügbar sind, jedoch nicht in oder in China. GovCloud Stellen Sie diese Lösung bereit, um diese Dokumente in diesen Partitionen zu verwenden.
**Erweitern Sie die Lösung um benutzerdefinierte Problembehebungs- und Playbook-Implementierungen**
Die Lösung ist so konzipiert, dass sie erweiterbar und anpassbar ist. Um eine alternative Problembehebungsimplementierung zu spezifizieren, stellen Sie maßgeschneiderte AWS Systems Manager Manager-Automatisierungsdokumente und AWS IAM-Rollen bereit. Um eine ganze Reihe neuer Kontrollen zu unterstützen, die in der Lösung nicht implementiert sind, stellen Sie ein benutzerdefiniertes Playbook bereit.
# Anwendungsfälle
**Erzwingen Sie die Einhaltung eines Standards in allen Konten und Regionen Ihres Unternehmens**
Stellen Sie das Playbook für einen Standard bereit (z. B. AWS Foundational Security Best Practices), um die bereitgestellten Abhilfemaßnahmen nutzen zu können. Initiieren Sie automatisch oder manuell Abhilfemaßnahmen für Ressourcen in allen Konten und Regionen, in denen die Lösung eingesetzt wird, um Ressourcen zu reparieren, die nicht den Vorschriften entsprechen.
**Stellen Sie benutzerdefinierte Abhilfemaßnahmen oder Playbooks bereit, um die Compliance-Anforderungen Ihres Unternehmens zu erfüllen**
Verwenden Sie die bereitgestellten Orchestrator-Komponenten als Framework. Erstellen Sie benutzerdefinierte Problembehebungen, um out-of-compliance Ressourcen entsprechend den spezifischen Anforderungen Ihres Unternehmens zu adressieren.
# Konzepte und Definitionen
In diesem Abschnitt werden die wichtigsten Konzepte beschrieben und die für diese Lösung spezifische Terminologie definiert:
**Problembehebung, Runbook zur Problembehebung**
Eine Implementierung einer Reihe von Schritten zur Behebung eines Fehlers. Beispielsweise würde eine Korrektur für das Steuerelement Security Control (SC) Lambda.1 „Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten“ die Richtlinie der entsprechenden AWS-Lambda-Funktion dahingehend ändern, dass Aussagen, die den öffentlichen Zugriff ermöglichen, entfernt werden.
**Runbook steuern**
Eines aus einer Reihe von AWS Systems Manager (SSM) -Automatisierungsdokumenten, die der Orchestrator verwendet, um eine eingeleitete Behebung für eine bestimmte Kontrolle an das richtige Behebungs-Runbook weiterzuleiten. Beispielsweise werden die Abhilfemaßnahmen für SC Lambda.1 und AWS Foundational Security Best Practices (FSBP) Lambda.1 mit demselben Reparatur-Runbook implementiert. Der Orchestrator ruft das Kontroll-Runbook für jedes Steuerelement auf, das die Namen ASR-AFSBP\$1Lambda.1 bzw. ASR-SC\$12.0.0\$1Lambda.1 trägt. Jedes Kontroll-Runbook ruft dasselbe Behebungs-Runbook auf, das in diesem Fall ASR- lauten würde. RemoveLambdaPublicAccess
**Orchestrator**
Die von der Lösung bereitgestellten Step Functions, die als Eingabe ein Findobjekt von AWS Security Hub verwendet und das richtige Kontroll-Runbook im Zielkonto und in der Zielregion aufruft. Der Orchestrator benachrichtigt das SNS-Thema der Lösung außerdem, wenn die Behebung gestartet wird und wann die Behebung erfolgreich ist oder fehlschlägt.
**Standard**
Eine Gruppe von Kontrollen, die von einer Organisation als Teil eines Compliance-Frameworks definiert wurden. Einer der von AWS Security Hub und dieser Lösung unterstützten Standards ist beispielsweise AWS FSBP.
**Steuerung**
Eine Beschreibung der Eigenschaften, über die eine Ressource verfügen sollte oder nicht, um den Vorschriften zu entsprechen. Die Kontrolle AWS FSBP Lambda.1 besagt beispielsweise, dass AWS Lambda Functions den öffentlichen Zugriff verbieten sollte. Eine Funktion, die öffentlichen Zugriff ermöglicht, würde diese Kontrolle nicht erfüllen.
**konsolidierte Kontrollergebnisse, Sicherheitskontrolle, Ansicht der Sicherheitskontrollen**
Eine Funktion von AWS Security Hub, die, wenn sie aktiviert ist, Ergebnisse mit ihrer konsolidierten Kontrolle anzeigt IDs , IDs anstatt die Ergebnisse, die einem bestimmten Standard entsprechen. Beispielsweise sind die Steuerelemente AWS FSBP S3.2, CIS v1.2.0 2.3, CIS v1.4.0 2.1.5.2 und PCI-DSS v3.2.1 S3.1 alle der konsolidierten (SC) Steuerung S3.2 „S3-Buckets sollten öffentlichen Lesezugriff verbieten“ zugeordnet. Wenn diese Funktion aktiviert ist, werden SC-Runbooks verwendet.
**[Solution Web UI] delegierter Administrator**
Im Kontext der Weboberfläche der Lösung ist ein delegierter Administrator ein Benutzer, der vom Administrator eingeladen wurde und vollen Zugriff darauf hat, Behebungen durchzuführen und den Behebungsverlauf einzusehen. Dieser Benutzer kann auch andere Benutzer des Kontobetreibers anzeigen und verwalten.
**[Solution Web UI] Kontobetreiber**
Im Kontext der Weboberfläche der Lösung ist ein Kontobetreiber ein Benutzer, der von einem Administrator oder einem delegierten Administrator eingeladen wird, auf die Weboberfläche der Lösung zuzugreifen. Dieser Benutzer ist mit einer Liste von AWS-Konto-IDs verknüpft, die in seiner Einladung angegeben sind. Er kann nur Behebungen ausführen und den Behebungsverlauf einsehen, soweit er sich auf Ressourcen in diesen Konten bezieht.
Eine allgemeine Referenz zu AWS-Begriffen finden Sie im [AWS-Glossar.](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)