Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Detalles de la arquitectura
En esta sección se describen los componentes y los servicios de AWS que componen esta solución y los detalles de la arquitectura sobre cómo funcionan juntos estos componentes.
# Integración de AWS Security Hub
La implementación de la `automated-security-response-admin` pila crea una integración con la función de acción personalizada de [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Cuando los usuarios de la consola CSPM de AWS Security Hub hacen clic en **Acciones >** **Remediar con ASR**, los resultados seleccionados se envían EventBridge y activan el flujo de trabajo de corrección.
Los permisos entre cuentas y los manuales de ejecución de AWS Systems Manager deben implementarse en todas las cuentas de AWS Security Hub (administrador y miembro) mediante las plantillas `automated-security-response-member.template` y `automated-security-response-member-roles.template` CloudFormation . [Para obtener más información, consulte los manuales de estrategias.](playbooks.md) Esta plantilla permite la corrección automática en la cuenta de destino.
Los usuarios pueden configurar soluciones totalmente automatizadas para cada control mediante Amazon DynamoDB. Esta opción activa la corrección totalmente automática de los hallazgos en cuanto se notifican a AWS Security Hub. De forma predeterminada, las iniciaciones automáticas están desactivadas. Esta opción se puede cambiar en cualquier momento después de la instalación modificando la tabla de [DynamoDB de Configuración de Remediación](enable-fully-automated-remediations.md).
# Corrección entre cuentas
Automated Security Response en AWS utiliza funciones entre cuentas para funcionar en cuentas principales y secundarias mediante funciones entre cuentas. Estas funciones se implementan en las cuentas de los miembros durante la instalación de la solución. A cada corrección se le asigna una función individual. Al proceso de corrección de la cuenta principal se le concede permiso para asumir la función de corrección en la cuenta que requiere la corrección. La corrección la llevan a cabo los runbooks de AWS Systems Manager que se ejecutan en la cuenta que requiere la corrección.
# Libros de jugadas
*Un conjunto de soluciones se agrupa en un paquete denominado manual de estrategias.* Los libros de estrategias se instalan, actualizan y eliminan mediante las plantillas de esta solución. Para obtener información sobre las soluciones compatibles en cada libro de jugadas, consulte la [Guía para desarrolladores](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html) → Guías de estrategias. Actualmente, esta solución es compatible con los siguientes manuales de estrategias:
+ Security Control, un manual alineado con la función de hallazgos de control consolidados de AWS Security Hub, publicado el 23 de febrero de 2023.
**importante**
Cuando [los hallazgos de control consolidados](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) están habilitados en Security Hub, este es el único manual que debe habilitarse en la solución.
+ Análisis [comparativos de Amazon Web Services Foundations del Center for Internet Security (CIS), versión 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), publicados el 18 de mayo de 2018.
+ Puntos de [referencia de Amazon Web Services Foundations del Center for Internet Security (CIS), versión 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard), publicados el 9 de noviembre de 2022.
+ Puntos de [referencia de Amazon Web Services Foundations del Center for Internet Security (CIS), versión 3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard), publicados el 13 de mayo de 2024.
+ [AWS Foundational Security Best Practices (FSBP) versión 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), publicada en marzo de 2021.
+ Los [estándares de seguridad de datos del sector de las tarjetas de pago (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html), versión 3.2.1, publicados en mayo de 2018.
+ [Versión 5.0.0 del Instituto Nacional de Estándares y Tecnología (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html), publicada en noviembre de 2023.
Tras implementar los CloudFormation paquetes de soluciones, los manuales están listos para su uso inmediato; no es necesaria ninguna configuración adicional para poder corregir los estándares de seguridad enumerados anteriormente.
## Registro centralizado
La respuesta de seguridad automatizada en AWS registra en un único grupo de CloudWatch registros, SO0111-ASR. Estos registros contienen registros detallados de la solución para la resolución de problemas y la administración de la solución.
# Notificaciones
Esta solución utiliza un tema del Amazon Simple Notification Service (Amazon SNS) para publicar los resultados de las correcciones. Puede utilizar las suscripciones a este tema para ampliar las capacidades de la solución. Por ejemplo, puede enviar notificaciones por correo electrónico y actualizar los tickets de problemas.
+ **SO0111-ASR\$1topic**: se utiliza para enviar información general y mensajes de error relacionados con las correcciones ejecutadas.
+ **SO0111-ASR\$1Alarm\$1Topic: se utiliza para notificar cuando se activa una de las alarmas de la solución**, lo que indica que la solución no funciona como se esperaba.
## Los servicios de AWS en esta solución
La solución utiliza los siguientes servicios. Los servicios principales son necesarios para usar la solución y los servicios de soporte conectan los servicios principales.
| Servicio de AWS | Description (Descripción) |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Núcleo**. EventBridge las reglas se utilizan para escuchar y activar los eventos emitidos por AWS Security Hub y AWS Security Hub CSPM. |
| [AWS IAM](https://aws.amazon.com/iam/) | **Principal.** Despliega muchas funciones para permitir la corrección de problemas en distintos recursos. |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Principal.** Implementa varias funciones lambda que utilizará el orquestador de funciones escalonadas para solucionar problemas. Sirve como backend para la interfaz de usuario web de la solución integrada con API Gateway. |
| [AWS Security Hub](https://aws.amazon.com/security-hub/) | **Principal.** Ofrece a los clientes una visión completa del estado de seguridad de AWS. |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **Principal.** Implementa un orquestador que invocará los documentos de corrección con las llamadas a la API de AWS Systems Manager. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Principal.** Implementa documentos de automatización de System Manager que contienen la lógica de corrección que debe ejecutar la solución. Utiliza el almacén de parámetros para mantener los metadatos de la solución y los ajustes de configuración. |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **Principal.** Almacena la última corrección ejecutada en cada cuenta y región para optimizar la programación de las correcciones. Almacena los hallazgos generados por AWS Security Hub y AWS Security Hub CSPM. Almacena los metadatos de corrección y configuración de la solución. Almacena los datos para los usuarios que acceden a la interfaz de usuario web de la solución. |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **Admite.** Registra los cambios que la solución realiza en sus recursos de AWS y los muestra en un CloudWatch panel de control. |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **Admite.** Implementa grupos de registros que los distintos manuales de estrategias utilizarán para registrar los resultados. Recopila métricas para mostrarlas en un panel personalizado con alarmas. |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **Admite.** Despliega temas de SNS que reciben una notificación una vez que se ha completado una corrección. |
| [AWS SQS](https://aws.amazon.com/sqs/) | **Admite.** Ayuda a programar las correcciones para que la solución pueda ejecutarlas en paralelo. Almacena en búfer las ejecuciones de Lambda mediante mapeos de EventSource Lambda. |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **Admite.** Se utiliza para cifrar datos con fines de corrección. |
| [AWS Config](https://aws.amazon.com/config) | **Admite.** Registra todos los recursos para usarlos con AWS Security Hub. |
| [Amazon S3](https://aws.amazon.com/s3) | **Admite.** Almacena el historial de correcciones y los datos de registro exportados. Aloja la interfaz de usuario web de la solución como una aplicación de página única (SPA). |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **Admite.** Ofrece la interfaz de usuario web de la solución |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **Admite.** Crea la API REST de la solución para admitir la interfaz de usuario. |
| [AWS WAF](https://aws.amazon.com/waf) | **Admite.** Protege la interfaz de usuario web de la solución. |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **Admite.** Se utiliza para autenticar y autorizar el acceso a la interfaz de usuario web de la solución. |