Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Implementación de la solución
**importante**
Si la función de [hallazgos de control consolidados](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) está activada en Security Hub, habilite únicamente el manual de estrategias de Security Control (SC) al implementar esta solución. Si la función no está activada, habilite **únicamente** los manuales de estrategias para los estándares de seguridad que estén habilitados en Security Hub. Los resultados consolidados de controles se habilitan de manera predeterminada si habilitó el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha.
Esta solución utiliza [ CloudFormation plantillas y pilas de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) para automatizar su implementación. Las CloudFormation plantillas especifican los recursos de AWS incluidos en esta solución y sus propiedades. La CloudFormation pila aprovisiona los recursos que se describen en las plantillas.
Para que la solución funcione, se deben implementar tres plantillas. Primero, decida dónde implementar las plantillas y, a continuación, cómo implementarlas.
Esta descripción general describirá las plantillas y cómo decidir dónde y cómo implementarlas. Las siguientes secciones incluirán instrucciones más detalladas para implementar cada pila como una pila o StackSet.
# Decidir dónde implementar cada pila
Las tres plantillas se denominarán con los siguientes nombres y contendrán los siguientes recursos:
+ Pila de administración: función de pasos del orquestador, reglas de eventos y acción personalizada de Security Hub.
+ Pila de miembros: documentos de remediación de SSM Automation.
+ Pila de funciones de los miembros: funciones de IAM para las correcciones.
La pila de administradores debe implementarse una vez, en una sola cuenta y en una sola región. Debe implementarse en la cuenta y la región que haya configurado como destino de agregación para las conclusiones de Security Hub para su organización. Si desea utilizar la función de registro de acciones para supervisar los eventos de administración, debe implementar la pila de administración en la cuenta de administración de su organización o en una cuenta de administrador delegado.
La solución funciona con los hallazgos de Security Hub, por lo que no podrá operar con los hallazgos de una cuenta o región en particular si esa cuenta o región no se ha configurado para agregar los hallazgos en la cuenta y región del administrador del Security Hub.
**importante**
Si utiliza [AWS Security Hub (no CSPM)](https://aws.amazon.com/security-hub/), es responsable de asegurarse de que las cuentas de sus miembros incorporadas a AWS Security Hub CSPM también estén incorporadas a [AWS Security Hub (no CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). Las regiones agregadas en AWS Security Hub CSPM también deben coincidir con las regiones agregadas en AWS Security Hub (no CSPM).
Por ejemplo, una organización tiene cuentas que operan en las regiones `us-east-1` y`us-west-2`, con la cuenta `111111111111` de administrador delegado del Security Hub en la región`us-east-1`. Cuentas `222222222222` y `333333333333` deben ser cuentas de miembro de Security Hub para la cuenta `111111111111` de administrador delegado. Las tres cuentas deben estar configuradas para agregar los resultados de `us-west-2` a`us-east-1`. La pila de administración debe estar implementada `111111111111` en la cuenta`us-east-1`.
Para obtener más información sobre cómo encontrar la agregación, consulte la documentación sobre las [cuentas de administrador delegado](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) de Security Hub y la agregación [entre regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).
La pila de administradores debe completar primero la implementación antes de implementar las pilas de miembros para poder crear una relación de confianza entre las cuentas de los miembros y la cuenta central.
El grupo de miembros debe implementarse en todas las cuentas y regiones en las que desees corregir los problemas. Esto puede incluir la cuenta de administrador delegado de Security Hub en la que anteriormente se implementó la pila de administración de ASR. Los documentos de automatización deben ejecutarse en las cuentas de los miembros para poder utilizar la capa gratuita de SSM Automation.
Siguiendo el ejemplo anterior, si quiere corregir los problemas de todas las cuentas y regiones, la pila de miembros debe estar desplegada en las tres cuentas (`111111111111``222222222222`, y`333333333333`) y en ambas regiones (y). `us-east-1` `us-west-2`
La pila de funciones de los miembros se debe implementar en todas las cuentas, pero contiene recursos globales (funciones de IAM) que solo se pueden implementar una vez por cuenta. No importa en qué región se despliegue la pila de funciones de los miembros, por lo que, por motivos de simplicidad, le sugerimos que la despliegue en la misma región en la que se despliega la pila de funciones de administrador.
Siguiendo el ejemplo anterior, te sugerimos implementar la pila de roles de los miembros en las tres cuentas (`111111111111``222222222222`, y`333333333333`)`us-east-1`.
## Decidir cómo implementar cada pila
Las opciones para implementar una pila son
+ CloudFormation StackSet (permisos autogestionados)
+ CloudFormation StackSet (permisos administrados por el servicio)
+ CloudFormation Pila
StackSets con los permisos gestionados por el servicio, son los más prácticos, ya que no requieren el despliegue de funciones propias y se pueden implementar automáticamente en las nuevas cuentas de la organización. Lamentablemente, este método no admite pilas anidadas, que utilizamos tanto en la pila de administradores como en la pila de miembros. La única pila que se puede implementar de esta manera es la pila de roles de los miembros.
Tenga en cuenta que cuando se implementa en toda la organización, la cuenta de administración de la organización no está incluida, por lo que si desea corregir los errores en la cuenta de administración de la organización, debe realizar la implementación en esta cuenta por separado.
La pila de miembros se debe implementar en todas las cuentas y regiones, pero no se puede implementar StackSets con permisos gestionados por el servicio porque contiene pilas anidadas. Por lo tanto, sugerimos implementar esta pila con StackSets permisos autogestionados.
La pila de administración solo se implementa una vez, por lo que se puede implementar como una CloudFormation pila simple o StackSet con permisos autogestionados en una sola cuenta y región.
## Resultados de control consolidados
Las cuentas de su organización se pueden configurar con la función de hallazgos de control consolidados de Security Hub activada o desactivada. Consulte los [resultados del control consolidado](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) en la *Guía del usuario de AWS Security Hub*.
**importante**
Si esta función está habilitada, debe utilizar la versión 2.0.0 o posterior de la solución y activar el manual «SC» (control de seguridad) tanto en el grupo de administradores como en el de miembros. Estas pilas despliegan los documentos de automatización necesarios para trabajar con el control consolidado. IDs No es necesario implementar pilas para estándares individuales (como AWS FSBP) cuando utilice los resultados de control consolidados.
## Despliegue en China
La solución admite la implementación en las regiones de China, sin embargo, **debe usar los siguientes botones de inicio para la implementación con un solo clic en las regiones de China, en lugar de los botones de inicio que se proporcionan en otras secciones de esta guía**. El uso de los botones de «Iniciar solución» que se proporcionan en las próximas secciones de esta guía no funcionará si realiza la implementación en regiones de China. Puedes seguir descargando las plantillas desde cualquier enlace de bucket de S3 e implementar las pilas cargando el archivo de plantilla.
+ **automated-security-response-admin.plantilla:**
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.plantilla**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.plantilla**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud (EE. UU.) Despliegue
La solución admite el despliegue en las regiones GovCloud (EE. UU.); sin embargo, **debe utilizar los siguientes botones de inicio para el despliegue con un solo clic en las regiones GovCloud (EE. UU.), en lugar de los botones de inicio que se proporcionan en otras secciones de esta guía**. El uso de los botones de «Iniciar solución» que se incluyen en las próximas secciones de esta guía no funcionará si se realiza la implementación en regiones GovCloud (EE. UU.). Puedes seguir descargando las plantillas desde cualquier enlace de bucket de S3 e implementar las pilas cargando el archivo de plantilla.
+ **automated-security-response-admin.plantilla:**
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.plantilla**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.plantilla**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation Plantillas de AWS
[![\[View Template\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template**: utilice esta plantilla para lanzar la solución Automated Security Response on AWS. La plantilla instala los componentes principales de la solución, una pila anidada para los registros de AWS Step Functions y una pila anidada para cada estándar de seguridad que decida activar.
Los servicios utilizados incluyen Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 y AWS Systems Manager.
## Soporte para cuentas de administrador
Las siguientes plantillas se instalan en la cuenta de administrador de AWS Security Hub para activar los estándares de seguridad que desea admitir. Puede elegir cuál de las siguientes plantillas desea instalar al instalar la`automated-security-response-admin.template`.
**automated-security-response-orchestrator-log.template**: crea un grupo de CloudWatch registros para la función Orchestrator Step.
**automated-security-response-webui-nested-stack.template**: crea los recursos necesarios para respaldar la interfaz de usuario web de la solución.
**AFSBPStack.template: reglas** de prácticas recomendadas de seguridad fundamentales de AWS v1.0.0.
**CIS120Stack.template**: puntos de referencia de los Fundamentos de Amazon Web Services de la CEI, reglas v1.2.0.
**CIS140Stack.template**: puntos de referencia de los Fundamentos de Amazon Web Services de la CEI, reglas v1.4.0.
**CIS300Stack.template**: puntos de referencia de los Fundamentos de Amazon Web Services de la CEI, reglas de la versión 3.0.0.
**PCI321Stack.template**: reglas de PCI-DSS v3.2.1.
**NISTStack.template**: normas del Instituto Nacional de Estándares y Tecnología (NIST), versión 5.0.0.
**SCStack.template**: reglas de Security Controls v2.0.0.
## Funciones de los miembros
[![\[View Template\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template**: define las funciones de corrección necesarias en cada cuenta de miembro de AWS Security Hub.
## Cuentas de miembros
[![\[View Template\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template**: utilice esta plantilla después de configurar la solución principal para instalar los manuales de automatización y los permisos de AWS Systems Manager en cada una de las cuentas de los miembros de AWS Security Hub (incluida la cuenta de administrador). Esta plantilla le permite elegir qué manuales de normas de seguridad desea instalar.
`automated-security-response-member.template`Instala las siguientes plantillas en función de sus selecciones:
**automated-security-response-remediation-runbooks.template**: código de corrección común utilizado por uno o más de los estándares de seguridad.
**AFSBPMemberStack.template: manuales** de configuración, permisos y correcciones de AWS Foundational Security Best Practices v1.0.0.
**CIS120MemberStack.template**: puntos de referencia de CIS Amazon Web Services Foundations, guías de configuración, permisos y correcciones de la versión 1.2.0.
**CIS140MemberStack.template**: puntos de referencia de CIS Amazon Web Services Foundations, manuales de configuración, permisos y correcciones de la versión 1.4.0.
**CIS300MemberStack.template**: puntos de referencia de CIS Amazon Web Services Foundations, guías de configuración, permisos y correcciones de la versión 3.0.0.
**PCI321MemberStack.template: manuales de** configuración, permisos y correcciones de PCI-DSS v3.2.1.
**NISTMemberStack.template**: manuales de configuración, permisos y correcciones del Instituto Nacional de Estándares y Tecnología (NIST), versión 5.0.0.
**SCMemberStack.template**: manuales de configuración, permisos y correcciones del control de seguridad.
**automated-security-response-member-cloudtrail.template**: se utiliza en la función de registro de acciones para realizar un seguimiento, auditar y prestar servicio a la actividad.
## Integración del sistema de tickets
Utilice una de las siguientes plantillas para integrarla con su sistema de venta de entradas.
[![\[View Template\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template**: despliégalo si utilizas Jira como sistema de venta de entradas.
[![\[View Template\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template**: despliégalo si lo utilizas ServiceNow como sistema de venta de entradas.
Si quieres integrar un sistema de venta de entradas externo diferente, puedes usar cualquiera de estas pilas como modelo para entender cómo implementar tu propia integración personalizada.
# Despliegue automatizado: StackSets
**nota**
Recomendamos realizar la implementación con. StackSets Sin embargo, para las implementaciones con una sola cuenta o con fines de prueba o evaluación, considere la opción de [implementación en pilas](deployment.md).
Antes de lanzar la solución, revise la arquitectura, los componentes de la solución, la seguridad y las consideraciones de diseño que se describen en esta guía. Siga las step-by-step instrucciones de esta sección para configurar e implementar la solución en sus AWS Organizations.
**Tiempo de implementación:** aproximadamente 30 minutos por cuenta, según StackSet los parámetros.
## Requisitos previos
[AWS Organizations](https://aws.amazon.com/organizations/) le ayuda a gestionar y gobernar de forma centralizada su entorno y recursos de AWS con varias cuentas. StackSets funcionan mejor con AWS Organizations.
Si ya implementó la versión 1.3.x o una versión anterior de esta solución, debe desinstalar la solución existente. Para obtener más información, consulte [Actualizar](update-the-solution.md) la solución.
Antes de implementar esta solución, revise la implementación de AWS Security Hub:
+ Debe haber una cuenta de administrador de Security Hub delegada en su organización de AWS.
+ Security Hub debe configurarse para agregar los hallazgos de todas las regiones. Para obtener más información, consulte [Agregación de hallazgos en todas las regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) en la Guía del usuario de AWS Security Hub.
+ Debe [activar Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) para su organización en cada región en la que utilice AWS.
En este procedimiento se presupone que tiene varias cuentas que utilizan AWS Organizations y que ha delegado una cuenta de administrador de AWS Organizations y una cuenta de administrador de AWS Security Hub.
**Tenga en cuenta que esta solución funciona tanto con [AWS Security Hub como con AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Descripción general de la implementación
**nota**
StackSets la implementación de esta solución utiliza una combinación de servicios gestionados y autogestionados. StackSets Los sistemas autogestionados se StackSets deben utilizar actualmente, ya que utilizan sistemas anidados StackSets, que aún no son compatibles con los servicios gestionados. StackSets
Impleméntelo StackSets desde una [cuenta de administrador delegado](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) en sus AWS Organizations.
**Planificación**
Utilice el siguiente formulario como ayuda con la StackSets implementación. Prepare los datos y, a continuación, copie y pegue los valores durante la implementación.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Opcional) Paso 0: implementar la pila de integración de tickets](#step-0-stackset)
+ Si tiene intención de utilizar la función de venta de entradas, implemente primero la pila de integración de venta de entradas en su cuenta de administrador de Security Hub.
+ Copie el nombre de la función Lambda de esta pila y envíelo como entrada a la pila de administración (consulte el paso 1).
[Paso 1: Inicie la pila de administración en la cuenta de administrador delegada de Security Hub](#step-1-stackset)
+ Con una plantilla autogestionada StackSet, lance la CloudFormation plantilla de `automated-security-response-admin.template` AWS en su cuenta de administrador de AWS Security Hub en la misma región que su administrador de Security Hub. Esta plantilla utiliza pilas anidadas.
+ Elija qué estándares de seguridad desea instalar. De forma predeterminada, solo se selecciona SC (recomendado).
+ Elige un grupo de registros de Orchestrator existente para usarlo. Seleccione `Yes` si `SO0111-ASR- Orchestrator` ya existe en una instalación anterior.
+ Elija si desea habilitar la interfaz de usuario web de la solución. Si decide habilitar esta función, también debe introducir una dirección de correo electrónico para que se le asigne una función de administrador.
+ Seleccione sus preferencias para recopilar CloudWatch métricas relacionadas con el estado operativo de la solución.
Para obtener más información sobre la autogestión StackSets, consulte [Otorgar permisos autogestionados](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) en la Guía * CloudFormation del usuario de AWS*.
[Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub](#step-2-stackset)
Espere a que el paso 1 complete la implementación, ya que la plantilla del paso 2 hace referencia a las funciones de IAM creadas en el paso 1.
+ Con un servicio gestionado StackSet, lance la CloudFormation plantilla de `automated-security-response-member-roles.template` AWS en una sola región de cada cuenta de AWS Organizations.
+ Elija instalar esta plantilla automáticamente cuando una nueva cuenta se una a la organización.
+ Introduzca el ID de cuenta de su cuenta de administrador de AWS Security Hub.
+ Introduzca un valor para el `namespace` que se utilizará para evitar conflictos en el nombre del recurso con una implementación anterior o simultánea en la misma cuenta. Introduzca una cadena de hasta 9 caracteres alfanuméricos en minúscula.
[Paso 3: Lance la pila de miembros en cada cuenta y región de los miembros de AWS Security Hub](#step-3-stackset)
+ De forma autogestionada StackSets, lance la CloudFormation plantilla de `automated-security-response-member.template` AWS en todas las regiones en las que tenga recursos de AWS en todas las cuentas de su organización de AWS administradas por el mismo administrador de Security Hub.
**nota**
Hasta que la administración de servicios dé StackSets soporte a las agrupaciones agrupadas, debe realizar este paso para todas las cuentas nuevas que se unan a la organización.
+ Elija qué guías de normas de seguridad desea instalar.
+ Proporcione el nombre de un grupo de CloudTrail registros (utilizado en algunas correcciones).
+ Introduzca el ID de cuenta de su cuenta de administrador de AWS Security Hub.
+ Introduzca un valor para el `namespace` que se utilizará para evitar conflictos en el nombre del recurso con una implementación anterior o simultánea en la misma cuenta. Introduzca una cadena de hasta 9 caracteres alfanuméricos en minúscula. Debe coincidir con el `namespace` valor que seleccionaste para la pila de roles de los miembros. Además, no es necesario que el valor del espacio de nombres sea único para cada cuenta de miembro.
## (Opcional) Paso 0: lanzar una pila de integración de sistemas de tickets
1. Si tiene intención de utilizar la función de venta de entradas, inicie primero la pila de integración correspondiente.
1. Elige los paquetes de integración proporcionados para Jira o ServiceNow úsalos como modelo para implementar tu propia integración personalizada.
**Para implementar el stack de Jira, sigue estos** pasos:
1. Introduce un nombre para tu pila.
1. Proporciona el URI a tu instancia de Jira.
1. Proporcione la clave del proyecto de Jira al que quiere enviar los tickets.
1. Crea un nuevo secreto clave-valor en Secrets Manager que contenga tu `Username` Jira y. `Password`
**nota**
Puede optar por utilizar una clave de API de Jira en lugar de su contraseña si proporciona su nombre de usuario `Username` y su clave de API como. `Password`
1. Agrega el ARN de este secreto como entrada a la pila.
**Proporcione un nombre de pila, información del proyecto de Jira y credenciales de la API de Jira.**
![\[pila de integración del sistema de tickets (jira)\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Configuración de **campo de Jira**:
Tras implementar la pila de Jira, puedes personalizar los campos de tickets de Jira configurando la variable de `JIRA_FIELDS_MAPPING` entorno en la función Lambda. Esta cadena JSON anula los campos de ticket de Jira predeterminados y debe seguir la estructura de campos de la API de Jira.
Valores predeterminados cuando `JIRA_FIELDS_MAPPING` está vacío o no se especifican campos:
+ **prioridad**: `{"id": "3"}` (prioridad media)
+ **tipo de problema**: `{"id": "10006"}` (Tarea)
+ **AccountID**: se recupera automáticamente mediante el punto final de la API `GET /rest/api/2/myself`
Ejemplo de configuración con campos personalizados:
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Campo IDs común de Jira:
+ **Prioridad IDs**: 1 (más alta), 2 (alta), 3 (media), 4 (baja), 5 (más baja)
+ **ID del tipo de problema**: varía según el proyecto de Jira (por ejemplo, 10006 para la tarea)
+ **ID de cuenta: formato** `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Puedes encontrar tu campo IDs y tu cuenta de Jira IDs mediante la API REST de Jira:
+ `GET /rest/api/2/myself`para el ID de la cuenta
+ `GET /rest/api/2/priority`para priorizar IDs
+ `GET /rest/api/2/project/{projectKey}`para el tipo de problema IDs
Para obtener más información, consulta el [formato POST de la API REST v2 de Jira](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Para implementar la ServiceNow pila**:
1. Introduce un nombre para tu pila.
1. Proporcione el URI de la ServiceNow instancia.
1. Proporcione el nombre ServiceNow de la tabla.
1. Cree una clave de API ServiceNow con permiso para modificar la tabla en la que desea escribir.
1. Crea un secreto en Secrets Manager con la clave `API_Key` y proporciona el ARN secreto como entrada a la pila.
**Proporcione un nombre de pila, información ServiceNow del proyecto y credenciales de la ServiceNow API.**
![\[integración del sistema de tickets: stack servicenow\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Para crear una pila de integración personalizada**: incluya una función Lambda que el orquestador de soluciones Step Functions pueda utilizar para cada corrección. La función Lambda debe tomar la entrada proporcionada por Step Functions, crear una carga útil de acuerdo con los requisitos del sistema de emisión de entradas y realizar una solicitud al sistema para que cree el billete.
## Paso 1: Inicie la pila de administración en la cuenta de administrador delegada de Security Hub
1. Abre la [pila de administración](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) con tu cuenta de administrador de Security Hub. `automated-security-response-admin.template` Normalmente, uno por organización en una sola región. Como esta pila utiliza pilas anidadas, debes implementar esta plantilla como una plantilla autogestionada. StackSet
### Parameters
| Parámetro | Predeterminado | Description (Descripción) |
| --- | --- | --- |
| **Cargue SC Admin Stack** | `yes` | Especifique si desea instalar los componentes de administración para la corrección automática de los controles de SC. |
| **Cargue la pila de administración de AFSBP** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de los controles del FSBP. |
| **Cargue Admin Stack CIS120 ** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de CIS120 los controles. |
| **Cargue CIS140 Admin Stack** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de CIS140 los controles. |
| **Cargue CIS300 Admin Stack** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de CIS300 los controles. |
| **Cargue PC1321 Admin Stack** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de PC1321 los controles. |
| **Cargue la pila de administración del NIST** | `no` | Especifique si desea instalar los componentes de administración para la corrección automática de los controles del NIST. |
| **Reutilice el grupo de registros de Orchestrator** | `no` | Seleccione si desea reutilizar o no un grupo de `SO0111-ASR-Orchestrator` CloudWatch registros existente. Esto simplifica la reinstalación y las actualizaciones sin perder los datos de registro de una versión anterior. Reutilice la existente: `Orchestrator Log Group` elija `yes` si `Orchestrator Log Group` aún existe de una implementación anterior en esta cuenta; de lo contrario. `no` Si va a realizar una actualización de pila desde una versión anterior a la v2.3.0, elija `no` |
| **ShouldDeployWebINTERFAZ DE USUARIO** | `yes` | Implemente los componentes de la interfaz de usuario web, incluidos API Gateway, las funciones de Lambda y CloudFront la distribución. Seleccione «sí» para habilitar la interfaz de usuario basada en la web para ver los resultados y el estado de las correcciones. Si decide deshabilitar esta función, podrá seguir configurando las correcciones automatizadas y ejecutarlas bajo demanda mediante la acción personalizada CSPM de Security Hub. |
| **AdminUserEmail** | *(Entrada opcional)* | Dirección de correo electrónico del usuario administrador inicial. Este usuario tendrá acceso administrativo completo a la interfaz de usuario web de ASR. **Solo** se requiere cuando la interfaz de usuario web está habilitada. |
| **Utilice CloudWatch métricas** | `yes` | Especifique si desea habilitar CloudWatch las métricas para monitorear la solución. Esto creará un CloudWatch panel de control para ver las métricas. |
| **Usa CloudWatch métricas y alarmas** | `yes` | Especifique si desea activar CloudWatch las alarmas métricas para la solución. Esto creará alarmas para determinadas métricas recopiladas por la solución. |
| **RemediationFailureAlarmThreshold** | `5` | Especifique el umbral del porcentaje de errores de corrección por ID de control. Por ejemplo, si lo introduce`5`, recibirá una alarma si un ID de control no supera más del 5% de las correcciones en un día determinado. Este parámetro solo funciona si se crean alarmas (consulte el parámetro **Use CloudWatch Metrics Alarms**). |
| **EnableEnhancedCloudWatchMetrics** | `no` | Si`yes`, crea CloudWatch métricas adicionales para realizar un seguimiento de todos los controles de IDs forma individual en el CloudWatch panel de control y como CloudWatch alarmas. Consulte la sección de [costos](cost.md#additional-cost-enhanced-metrics) para comprender el costo adicional en el que incurre. |
| **TicketGenFunctionName** | *(Entrada opcional)* | Opcional. Déjelo en blanco si no quiere integrar un sistema de venta de entradas. De lo contrario, proporcione el nombre de la función Lambda del resultado de la pila del [paso 0](deployment.md#step-0), por ejemplo:. `SO0111-ASR-ServiceNow-TicketGenerator` |
**Configure StackSet las opciones**
![\[configurar las opciones del conjunto de pilas\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. En el parámetro **Números de cuenta**, introduzca el ID de cuenta de la cuenta de administrador de AWS Security Hub.
1. En el parámetro **Especificar regiones**, selecciona solo la región en la que está activada la administración de Security Hub. Espere a que se complete este paso antes de continuar con el paso 2.
## Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub
Utilice un servicio gestionado StackSets para implementar la plantilla de [roles de los miembros](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` StackSet Debe implementarse en una región por cuenta de miembro. Define las funciones globales que permiten las llamadas a la API entre cuentas desde la función escalonada de ASR Orchestrator.
### Parameters
| Parámetro | Predeterminado | Description (Descripción) |
| --- | --- | --- |
| **Namespace** | ** | Introduzca una cadena de hasta 9 caracteres alfanuméricos en minúscula. Espacio de nombres único que se añadirá como sufijo a los nombres de las funciones de IAM de corrección. Se debe usar el mismo espacio de nombres en los roles de los miembros y en las pilas de miembros. Esta cadena debe ser única para cada implementación de soluciones, pero no es necesario cambiarla durante las actualizaciones de la pila. **No** es necesario que el valor del espacio de nombres sea único por cuenta de miembro. |
| **Administrador de cuentas de Sec Hub** | ** | Introduzca el ID de cuenta de 12 dígitos de la cuenta de administrador de AWS Security Hub. Este valor otorga permisos al rol de solución de la cuenta de administrador. |
1. Implemente en toda la organización (lo habitual) o en las unidades organizativas, según las políticas de su organización.
1. Active la implementación automática para que las nuevas cuentas de AWS Organizations reciban estos permisos.
1. En el parámetro **Especificar regiones**, seleccione una sola región. Las funciones de IAM son globales. Puede continuar con el paso 3 mientras se StackSet implementa.
**Especifique los detalles StackSet **
![\[especificar los detalles del conjunto de pilas\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Paso 3: Lance la pila de miembros en cada cuenta y región de los miembros de AWS Security Hub
Como la [pila de miembros](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) utiliza pilas anidadas, debe realizar la implementación de forma autogestionada. StackSet Esto no admite la implementación automática en cuentas nuevas de la organización de AWS.
### Parameters
| Parámetro | Predeterminado | Description (Descripción) |
| --- | --- | --- |
| **Indique el nombre del LogGroup que se va a utilizar para crear alarmas y filtros métricos** | ** | Especifique el nombre del grupo de CloudWatch CloudTrail registros donde se registran las llamadas a la API. Se utiliza para las correcciones de CIS 3.1-3.14. |
| **Cargue la pila de miembros de SC** | `yes` | Especifique si desea instalar los componentes miembros para la reparación automática de los controles del SC. |
| **Cargue la pila de miembros de AFSBP** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de los controles del FSBP. |
| **Cargue la pila de miembros CIS120 ** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de CIS120 los controles. |
| **Cargue la pila CIS140 de miembros** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de CIS140 los controles. |
| **Cargue la pila CIS300 de miembros** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de CIS300 los controles. |
| **Cargue la pila PC1321 de miembros** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de PC1321 los controles. |
| **Cargue la pila de miembros del NIST** | `no` | Especifique si desea instalar los componentes miembros para la corrección automática de los controles del NIST. |
| **Cree un bucket de S3 para el registro de auditoría de Redshift** | `no` | Seleccione `yes` si se debe crear el depósito de S3 para la corrección de FSBP 4.4. RedShift *Para obtener más información sobre el bucket de S3 y la corrección, consulte la corrección de [Redshift.4 en la Guía del usuario de AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) Security Hub.* |
| **Cuenta de administrador de Sec Hub** | ** | Introduzca el ID de cuenta de 12 dígitos de la cuenta de administrador de AWS Security Hub. |
| **Namespace** | ** | Introduzca una cadena de hasta 9 caracteres alfanuméricos en minúscula. Esta cadena pasa a formar parte de los nombres de las funciones de IAM y del bucket de Action Log S3. Utilice el mismo valor para el despliegue de la pila de miembros y para el despliegue de la pila de roles de miembros. La cadena debe ser única para cada implementación de soluciones, pero no es necesario cambiarla durante las actualizaciones de la pila. |
| **EnableCloudTrailForASRActionLog** (Registro) | `no` | Seleccione esta opción `yes` si desea supervisar los eventos de administración que lleva a cabo la solución en el CloudWatch panel de control. La solución crea un CloudTrail registro en cada cuenta de miembro que seleccione`yes`. Debe implementar la solución en una organización de AWS para habilitar esta función. **Además, solo puede habilitar esta función en una sola región de la misma cuenta.** Consulte la sección de [costos](cost.md#additional-cost-action-log) para comprender el costo adicional que esto implica. |
**Cuentas**
![\[cuentas\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Ubicaciones de despliegue**: puedes especificar una lista de números de cuenta o unidades organizativas.
**Especifique las regiones**: seleccione todas las regiones en las que desee corregir los hallazgos. Puede ajustar las opciones de despliegue según convenga en función del número de cuentas y regiones. La concurrencia regional puede ser paralela.
# Despliegue automatizado: pilas
**nota**
Para los clientes con varias cuentas, recomendamos encarecidamente la [implementación con StackSets](deployment-stackset.md).
Antes de lanzar la solución, revise la arquitectura, los componentes de la solución, la seguridad y las consideraciones de diseño que se describen en esta guía. Siga las step-by-step instrucciones de esta sección para configurar e implementar la solución en su cuenta.
**Tiempo de implementación:** aproximadamente 30 minutos
## Requisitos previos
Antes de implementar esta solución, asegúrese de que AWS Security Hub esté en la misma región de AWS que sus cuentas principal y secundaria. Si ya implementó esta solución anteriormente, debe desinstalar la solución existente. Para obtener más información, consulte [Actualizar la solución](update-the-solution.md).
## Descripción general de la implementación
Siga los siguientes pasos para implementar esta solución en AWS.
[(Opcional) Paso 0: lanzar una pila de integración de sistemas de tickets](#step-0)
+ Si tiene intención de utilizar la función de venta de entradas, implemente primero la pila de integración de venta de entradas en su cuenta de administrador de Security Hub.
+ Copie el nombre de la función Lambda de esta pila y envíelo como entrada a la pila de administración (consulte el paso 1).
[Paso 1: lanza la pila de administración](#step-1)
+ Inicie la CloudFormation plantilla de `automated-security-response-admin.template` AWS en su cuenta de administrador de AWS Security Hub.
+ Elija qué estándares de seguridad desea instalar.
+ Elige un grupo de registros de Orchestrator existente para usarlo (`Yes`selecciónalo si `SO0111-ASR-Orchestrator` ya existe en una instalación anterior).
[Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub](#step-2)
+ Lance la CloudFormation plantilla de `automated-security-response-member-roles.template` AWS en una región por cuenta de miembro.
+ Introduzca el IG de 12 dígitos de la cuenta de administrador de AWS Security Hub.
[Paso 3: Inicie la pila de miembros](#step-3)
+ Especifique el nombre del grupo de CloudWatch registros que se utilizará con las correcciones de CIS 3.1-3.14. Debe ser el nombre de un grupo de CloudWatch registros que reciba registros. CloudTrail
+ Elija si desea instalar las funciones de corrección. Instale estos roles solo una vez por cuenta.
+ Seleccione los libros de jugadas que desee instalar.
+ Introduzca el ID de la cuenta de administrador de AWS Security Hub.
[Paso 4: (opcional) Ajuste las soluciones disponibles](#step-4)
+ Elimine cualquier corrección en función de la cuenta de cada miembro. Este paso es opcional.
## (Opcional) Paso 0: lanzar una pila de integración de sistemas de tickets
1. Si tiene intención de utilizar la función de venta de entradas, inicie primero la pila de integración correspondiente.
1. Elige los paquetes de integración proporcionados para Jira o ServiceNow úsalos como modelo para implementar tu propia integración personalizada.
**Para implementar el stack de Jira, sigue estos** pasos:
1. Introduce un nombre para tu pila.
1. Proporciona el URI a tu instancia de Jira.
1. Proporcione la clave del proyecto de Jira al que quiere enviar los tickets.
1. Crea un nuevo secreto clave-valor en Secrets Manager que contenga tu `Username` Jira y. `Password`
**nota**
Puede optar por utilizar una clave de API de Jira en lugar de su contraseña si proporciona su nombre de usuario `Username` y su clave de API como. `Password`
1. Agrega el ARN de este secreto como entrada a la pila.
**«Proporcione un nombre de pila, información del proyecto de Jira y credenciales de la API de Jira.**
![\[pila de integración del sistema de tickets (jira)\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Configuración de **campo de Jira**:
Para obtener información sobre la personalización de los campos de tickets de Jira, consulta la sección de configuración de campos de Jira en el [paso 0](deployment-stackset.md#step-0-stackset) de la implementación. StackSet
**Para implementar la pila**: ServiceNow
1. Introduce un nombre para tu pila.
1. Proporcione el URI de la ServiceNow instancia.
1. Proporcione el nombre ServiceNow de la tabla.
1. Cree una clave de API ServiceNow con permiso para modificar la tabla en la que desea escribir.
1. Crea un secreto en Secrets Manager con la clave `API_Key` y proporciona el ARN secreto como entrada a la pila.
**Proporcione un nombre de pila, información ServiceNow del proyecto y credenciales de la ServiceNow API.**
![\[integración del sistema de tickets: stack servicenow\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Para crear una pila de integración personalizada**: incluya una función Lambda que el orquestador de soluciones Step Functions pueda utilizar para cada corrección. La función Lambda debe tomar la entrada proporcionada por Step Functions, crear una carga útil de acuerdo con los requisitos del sistema de emisión de entradas y realizar una solicitud al sistema para que cree el billete.
## Paso 1: Lanza la pila de administración
**importante**
Esta solución incluye la recopilación de datos. Utilizamos estos datos para comprender mejor cómo utilizan los clientes esta solución, así como los servicios y productos relacionados. Los datos recopilados a través de esta encuesta son propiedad de AWS. La recopilación de datos está sujeta al [Aviso de privacidad de AWS](https://aws.amazon.com/privacy/).
Esta CloudFormation plantilla automatizada de AWS implementa la solución Automated Security Response on AWS en la nube de AWS. Antes de lanzar la pila, debe habilitar Security Hub y cumplir los [requisitos previos](#prerequisites).
**nota**
Usted es responsable del coste de los servicios de AWS utilizados durante la ejecución de esta solución. Para obtener más información, visite la sección de [costos](cost.md) de esta guía y consulte la página web de precios de cada servicio de AWS utilizado en esta solución.
1. Inicie sesión en la Consola de administración de AWS desde la cuenta en la que se encuentra configurado actualmente el AWS Security Hub y utilice el botón de abajo para lanzar la CloudFormation plantilla de `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) para usarla como punto de partida para su propia implementación.
1. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
**nota**
Esta solución utiliza AWS Systems Manager, que actualmente solo está disponible en regiones específicas de AWS. La solución funciona en todas las regiones que admiten este servicio. Para obtener la disponibilidad más reciente por región, consulte la [lista de servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto **URL de Amazon S3** y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los [límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de AWS Identity and Access Management*.
1. En la página de **parámetros**, seleccione **Siguiente**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
**nota**
Debe habilitar manualmente las correcciones automáticas en la cuenta de administrador después de implementar o actualizar las pilas de CloudFormation la solución.
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.
## Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub
`automated-security-response-member-roles.template` StackSet Debe implementarse en una sola región por cuenta de miembro. Define las funciones globales que permiten las llamadas a la API entre cuentas desde la función escalonada de ASR Orchestrator.
1. Inicie sesión en la Consola de administración de AWS para cada cuenta de miembro de AWS Security Hub (incluida la cuenta de administrador, que también es miembro). Seleccione el botón para lanzar la CloudFormation plantilla de `automated-security-response-member-roles.template` AWS. También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) para usarla como punto de partida para su propia implementación.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto URL de Amazon S3 y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los límites de IAM y STS en la Guía del usuario de AWS Identity and Access Management.
1. En la página de **parámetros**, especifique los siguientes parámetros y seleccione Siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 5 minutos. Puede continuar con el siguiente paso mientras se carga la pila.
## Paso 3: lanza la pila de miembros
**importante**
Esta solución incluye la recopilación de datos. Utilizamos estos datos para comprender mejor cómo utilizan los clientes esta solución, así como los servicios y productos relacionados. Los datos recopilados a través de esta encuesta son propiedad de AWS. La recopilación de datos está sujeta a la Política de privacidad de AWS.
La `automated-security-response-member` pila debe estar instalada en la cuenta de cada miembro de Security Hub. Esta pila define los manuales para la corrección automática. El administrador de cada cuenta de miembro puede controlar qué soluciones están disponibles a través de esta pila.
1. Inicie sesión en la Consola de administración de AWS para cada cuenta de miembro de AWS Security Hub (incluida la cuenta de administrador, que también es miembro). Seleccione el botón para lanzar la CloudFormation plantilla de `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) como punto de partida para su propia implementación. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
\$1
**nota**
Esta solución utiliza AWS Systems Manager, que actualmente está disponible en la mayoría de las regiones de AWS. La solución funciona en todas las regiones que admiten estos servicios. Para obtener la disponibilidad más reciente por región, consulte la [lista de servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto **URL de Amazon S3** y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los [límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de AWS Identity and Access Management*.
1. En la página de **parámetros**, especifique los siguientes parámetros y seleccione **Siguiente**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.
## Paso 4: (opcional) Ajustar las soluciones disponibles
Si quieres eliminar soluciones específicas de la cuenta de un miembro, puedes hacerlo actualizando la pila anidada según el estándar de seguridad. Para simplificar, las opciones de pila anidada no se propagan a la pila raíz.
1. Inicie sesión en la [ CloudFormation consola de AWS](https://console.aws.amazon.com/cloudformation/home) y seleccione la pila anidada.
1. Elija **Actualizar**.
1. Seleccione **Actualizar pila anidada y elija **Actualizar** pila**.
**Actualiza la pila anidada**
![\[pila anidada\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Seleccione **Usar la plantilla actual** y elija **Siguiente**.
1. Ajuste las soluciones disponibles. Cambie los valores de los controles deseados a `Available` y los no deseados a. `Not available`
**nota**
Al desactivar una corrección, se elimina el manual de corrección de soluciones para el estándar de seguridad y el control.
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Seleccione **Actualizar pila**.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.
# Despliegue de la Torre de Control (CT)
La guía de personalizaciones para la Torre de Control de AWS (cFCT) está destinada a administradores, DevOps profesionales, proveedores de software independientes, arquitectos de infraestructuras de TI e integradores de sistemas que desean personalizar y ampliar sus entornos de torres de control de AWS para su empresa y sus clientes. Proporciona información sobre cómo personalizar y ampliar el entorno de AWS Control Tower con el paquete de personalización CfCT.
**Tiempo de implementación: aproximadamente 30 minutos**
## Requisitos previos
Antes de implementar esta solución, asegúrese de que está destinada a los **administradores de la Torre de Control de AWS**.
Cuando esté listo para configurar su landing zone con la consola de AWS Control Tower o APIs siga estos pasos:
Para empezar a usar AWS Control Tower, consulte: [Introducción a AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Para obtener información sobre cómo personalizar tu zona de aterrizaje, consulta: [Personalización de tu zona de aterrizaje](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html)
Para lanzar y desplegar tu zona de aterrizaje, consulta: [Guía de despliegue de landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Descripción general del despliegue
Siga los siguientes pasos para implementar esta solución en AWS.
[Paso 1: Cree e implemente un bucket de S3](#step-1-cfn)
**nota**
Configuración del bucket de S3: solo para administradores. Este paso de configuración se realiza una sola vez y los usuarios finales no deben repetirlo. Los buckets de S3 almacenan el paquete de implementación, que incluye la CloudFormation plantilla de AWS y el código Lambda necesarios para la ejecución de ASR. Estos recursos se implementan mediante CfCt o. StackSet
**1. Configure el bucket de S3**
Configure el depósito de S3 que se utilizará para almacenar y servir los paquetes de despliegue.
**2. Configuración del entorno de**
Prepare las variables de entorno, las credenciales y las herramientas necesarias para el proceso de creación e implementación.
**3. Configure las políticas de bucket de S3**
Defina y aplique las políticas de bucket adecuadas para controlar el acceso y los permisos.
**4. Prepare la compilación**
Compila, empaquete o prepara de otro modo la aplicación o los activos para su implementación.
**5. Implemente paquetes en S3**
Cargue los artefactos de construcción preparados en el depósito de S3 designado.
[Paso 2: Apila la implementación en la Torre de Control de AWS](#step-2-cfn)
**1. Cree un manifiesto de compilación para los componentes de ASR**
Defina un manifiesto de compilación que enumere todos los componentes de ASR, sus versiones, dependencias e instrucciones de compilación.
**2. Actualice el CodePipeline**
Modifique la CodePipeline configuración de AWS para incluir los nuevos pasos de compilación, artefactos o etapas necesarios para implementar los componentes de ASR.
## Paso 1: Cree e implemente en un bucket de S3
Las soluciones de AWS utilizan dos grupos: un grupo para el acceso global a las plantillas, al que se accede a través de HTTPS, y grupos regionales para el acceso a los activos de la región, como el código Lambda.
**1. Configure el bucket de S3**
Elija un nombre de bucket único, por ejemplo, asr-staging. Defina dos variables de entorno en su terminal: una debe ser el nombre del bucket base con -reference como sufijo y la otra con la región de despliegue prevista como sufijo:
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Configuración del entorno**
En su cuenta de AWS, cree dos buckets con estos nombres, por ejemplo, asr-staging-reference y asr-staging-us-east -1. (El grupo de referencia contendrá las CloudFormation plantillas, el grupo regional contendrá todos los demás activos, como el paquete de código lambda). Sus depósitos deben estar cifrados y no permitir el acceso público
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**nota**
Al crear tus depósitos, asegúrate de que no sean de acceso público. Usa nombres de cubos aleatorios. Deshabilita el acceso público. Utilice el cifrado KMS. Y compruebe la propiedad del bucket antes de subirlo.
**3. Configuración de la política de cubos de S3**
Actualice la política de bucket de S3 \$1TEMPLATE\$1BUCKET\$1NAME para incluir los permisos para el ID de la cuenta de ejecución. PutObject Asigne este permiso a una función de IAM dentro de la cuenta de ejecución que esté autorizada a escribir en el bucket. Esta configuración le permite evitar crear el depósito en la cuenta de administración.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Modifique la política de depósitos de S3 de los activos para incluir los permisos. Asigne este permiso a una función de IAM dentro de la cuenta de ejecución que esté autorizada a escribir en el bucket. Repita esta configuración para cada grupo de activos regional (por ejemplo, asr-staging-us-east -1, asr-staging-eu-west -1, etc.), lo que permitirá realizar despliegues en varias regiones sin necesidad de crear los grupos en la cuenta de administración.
**4. Preparación de la compilación**
+ Requisitos previos:
+ Versión 2 de AWS CLI
+ Python 3.11\$1 con pip
+ AWS CDK 2.171.1 O SUPERIOR
+ Node.js 20\$1 con npm
+ Poetry v2 con complemento para exportar
+ Clon de Git [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Primero asegúrate de haber ejecutado npm install en la carpeta de origen.
A continuación, desde la carpeta de despliegue del repositorio clonado, ejecuta build-s3-dist.sh y pasa el nombre raíz del depósito (por ejemplo, mybucket) y la versión que estás creando (por ejemplo, la versión 1.0.0). Recomendamos usar una versión de semver basada en la versión descargada (p. ej. GitHub GitHub: v1.0.0, tu compilación: v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Implemente paquetes en S3**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Paso 2: Apila la implementación en la Torre de Control de AWS
**1. Cree un manifiesto para los componentes de ASR**
Después de implementar los artefactos de ASR en los buckets de S3, actualice el [manifiesto de la canalización](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html) de la Torre de Control para que haga referencia a la nueva versión y, a continuación, active la ejecución de la canalización, consulte: implementación de la torre de [control](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**importante**
Para garantizar la implementación correcta de la solución ASR, consulte la documentación oficial de AWS para obtener información detallada sobre la descripción general de las CloudFormation plantillas y los parámetros. Los enlaces de información figuran a continuación: [Guía general de los parámetros](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) de las [CloudFormation plantillas](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html)
El manifiesto de los componentes de ASR tiene el siguiente aspecto:
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Actualización de la canalización de códigos**
Agregue un archivo de manifiesto a un custom-control-tower-configuration archivo.zip y ejecute un CodePipeline, consulte: descripción general de la [canalización de códigos](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html)