Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Despliegue automatizado: pilas
**nota**
Para los clientes con varias cuentas, recomendamos encarecidamente la [implementación con StackSets](deployment-stackset.md).
Antes de lanzar la solución, revise la arquitectura, los componentes de la solución, la seguridad y las consideraciones de diseño que se describen en esta guía. Siga las step-by-step instrucciones de esta sección para configurar e implementar la solución en su cuenta.
**Tiempo de implementación:** aproximadamente 30 minutos
## Requisitos previos
Antes de implementar esta solución, asegúrese de que AWS Security Hub esté en la misma región de AWS que sus cuentas principal y secundaria. Si ya implementó esta solución anteriormente, debe desinstalar la solución existente. Para obtener más información, consulte [Actualizar la solución](update-the-solution.md).
## Descripción general de la implementación
Siga los siguientes pasos para implementar esta solución en AWS.
[(Opcional) Paso 0: lanzar una pila de integración de sistemas de tickets](#step-0)
+ Si tiene intención de utilizar la función de venta de entradas, implemente primero la pila de integración de venta de entradas en su cuenta de administrador de Security Hub.
+ Copie el nombre de la función Lambda de esta pila y envíelo como entrada a la pila de administración (consulte el paso 1).
[Paso 1: lanza la pila de administración](#step-1)
+ Inicie la CloudFormation plantilla de `automated-security-response-admin.template` AWS en su cuenta de administrador de AWS Security Hub.
+ Elija qué estándares de seguridad desea instalar.
+ Elige un grupo de registros de Orchestrator existente para usarlo (`Yes`selecciónalo si `SO0111-ASR-Orchestrator` ya existe en una instalación anterior).
[Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub](#step-2)
+ Lance la CloudFormation plantilla de `automated-security-response-member-roles.template` AWS en una región por cuenta de miembro.
+ Introduzca el IG de 12 dígitos de la cuenta de administrador de AWS Security Hub.
[Paso 3: Inicie la pila de miembros](#step-3)
+ Especifique el nombre del grupo de CloudWatch registros que se utilizará con las correcciones de CIS 3.1-3.14. Debe ser el nombre de un grupo de CloudWatch registros que reciba registros. CloudTrail
+ Elija si desea instalar las funciones de corrección. Instale estos roles solo una vez por cuenta.
+ Seleccione los libros de jugadas que desee instalar.
+ Introduzca el ID de la cuenta de administrador de AWS Security Hub.
[Paso 4: (opcional) Ajuste las soluciones disponibles](#step-4)
+ Elimine cualquier corrección en función de la cuenta de cada miembro. Este paso es opcional.
## (Opcional) Paso 0: lanzar una pila de integración de sistemas de tickets
1. Si tiene intención de utilizar la función de venta de entradas, inicie primero la pila de integración correspondiente.
1. Elige los paquetes de integración proporcionados para Jira o ServiceNow úsalos como modelo para implementar tu propia integración personalizada.
**Para implementar el stack de Jira, sigue estos** pasos:
1. Introduce un nombre para tu pila.
1. Proporciona el URI a tu instancia de Jira.
1. Proporcione la clave del proyecto de Jira al que quiere enviar los tickets.
1. Crea un nuevo secreto clave-valor en Secrets Manager que contenga tu `Username` Jira y. `Password`
**nota**
Puede optar por utilizar una clave de API de Jira en lugar de su contraseña si proporciona su nombre de usuario `Username` y su clave de API como. `Password`
1. Agrega el ARN de este secreto como entrada a la pila.
**«Proporcione un nombre de pila, información del proyecto de Jira y credenciales de la API de Jira.**
![\[pila de integración del sistema de tickets (jira)\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Configuración de **campo de Jira**:
Para obtener información sobre la personalización de los campos de tickets de Jira, consulta la sección de configuración de campos de Jira en el [paso 0](deployment-stackset.md#step-0-stackset) de la implementación. StackSet
**Para implementar la pila**: ServiceNow
1. Introduce un nombre para tu pila.
1. Proporcione el URI de la ServiceNow instancia.
1. Proporcione el nombre ServiceNow de la tabla.
1. Cree una clave de API ServiceNow con permiso para modificar la tabla en la que desea escribir.
1. Crea un secreto en Secrets Manager con la clave `API_Key` y proporciona el ARN secreto como entrada a la pila.
**Proporcione un nombre de pila, información ServiceNow del proyecto y credenciales de la ServiceNow API.**
![\[integración del sistema de tickets: stack servicenow\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Para crear una pila de integración personalizada**: incluya una función Lambda que el orquestador de soluciones Step Functions pueda utilizar para cada corrección. La función Lambda debe tomar la entrada proporcionada por Step Functions, crear una carga útil de acuerdo con los requisitos del sistema de emisión de entradas y realizar una solicitud al sistema para que cree el billete.
## Paso 1: Lanza la pila de administración
**importante**
Esta solución incluye la recopilación de datos. Utilizamos estos datos para comprender mejor cómo utilizan los clientes esta solución, así como los servicios y productos relacionados. Los datos recopilados a través de esta encuesta son propiedad de AWS. La recopilación de datos está sujeta al [Aviso de privacidad de AWS](https://aws.amazon.com/privacy/).
Esta CloudFormation plantilla automatizada de AWS implementa la solución Automated Security Response on AWS en la nube de AWS. Antes de lanzar la pila, debe habilitar Security Hub y cumplir los [requisitos previos](#prerequisites).
**nota**
Usted es responsable del coste de los servicios de AWS utilizados durante la ejecución de esta solución. Para obtener más información, visite la sección de [costos](cost.md) de esta guía y consulte la página web de precios de cada servicio de AWS utilizado en esta solución.
1. Inicie sesión en la Consola de administración de AWS desde la cuenta en la que se encuentra configurado actualmente el AWS Security Hub y utilice el botón de abajo para lanzar la CloudFormation plantilla de `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) para usarla como punto de partida para su propia implementación.
1. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
**nota**
Esta solución utiliza AWS Systems Manager, que actualmente solo está disponible en regiones específicas de AWS. La solución funciona en todas las regiones que admiten este servicio. Para obtener la disponibilidad más reciente por región, consulte la [lista de servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto **URL de Amazon S3** y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los [límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de AWS Identity and Access Management*.
1. En la página de **parámetros**, seleccione **Siguiente**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
**nota**
Debe habilitar manualmente las correcciones automáticas en la cuenta de administrador después de implementar o actualizar las pilas de CloudFormation la solución.
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.
## Paso 2: Instalar las funciones de corrección en cada cuenta de miembro de AWS Security Hub
`automated-security-response-member-roles.template` StackSet Debe implementarse en una sola región por cuenta de miembro. Define las funciones globales que permiten las llamadas a la API entre cuentas desde la función escalonada de ASR Orchestrator.
1. Inicie sesión en la Consola de administración de AWS para cada cuenta de miembro de AWS Security Hub (incluida la cuenta de administrador, que también es miembro). Seleccione el botón para lanzar la CloudFormation plantilla de `automated-security-response-member-roles.template` AWS. También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) para usarla como punto de partida para su propia implementación.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto URL de Amazon S3 y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los límites de IAM y STS en la Guía del usuario de AWS Identity and Access Management.
1. En la página de **parámetros**, especifique los siguientes parámetros y seleccione Siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 5 minutos. Puede continuar con el siguiente paso mientras se carga la pila.
## Paso 3: lanza la pila de miembros
**importante**
Esta solución incluye la recopilación de datos. Utilizamos estos datos para comprender mejor cómo utilizan los clientes esta solución, así como los servicios y productos relacionados. Los datos recopilados a través de esta encuesta son propiedad de AWS. La recopilación de datos está sujeta a la Política de privacidad de AWS.
La `automated-security-response-member` pila debe estar instalada en la cuenta de cada miembro de Security Hub. Esta pila define los manuales para la corrección automática. El administrador de cada cuenta de miembro puede controlar qué soluciones están disponibles a través de esta pila.
1. Inicie sesión en la Consola de administración de AWS para cada cuenta de miembro de AWS Security Hub (incluida la cuenta de administrador, que también es miembro). Seleccione el botón para lanzar la CloudFormation plantilla de `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
También puede [descargar la plantilla](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) como punto de partida para su propia implementación. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar esta solución en una región de AWS diferente, utilice el selector de regiones de la barra de navegación de AWS Management Console.
\$1
**nota**
Esta solución utiliza AWS Systems Manager, que actualmente está disponible en la mayoría de las regiones de AWS. La solución funciona en todas las regiones que admiten estos servicios. Para obtener la disponibilidad más reciente por región, consulte la [lista de servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. En la página **Crear pila**, compruebe que la URL de la plantilla correcta esté en el cuadro de texto **URL de Amazon S3** y, a continuación, seleccione **Siguiente**.
1. En la página **Especificar los detalles de la pila**, especifique un nombre para la pila. Para obtener información sobre las limitaciones de nombres de caracteres, consulte los [límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de AWS Identity and Access Management*.
1. En la página de **parámetros**, especifique los siguientes parámetros y seleccione **Siguiente**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/deployment.html)
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Elija **Create stack** (Crear pila) para implementar la pila.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.
## Paso 4: (opcional) Ajustar las soluciones disponibles
Si quieres eliminar soluciones específicas de la cuenta de un miembro, puedes hacerlo actualizando la pila anidada según el estándar de seguridad. Para simplificar, las opciones de pila anidada no se propagan a la pila raíz.
1. Inicie sesión en la [ CloudFormation consola de AWS](https://console.aws.amazon.com/cloudformation/home) y seleccione la pila anidada.
1. Elija **Actualizar**.
1. Seleccione **Actualizar pila anidada y elija **Actualizar** pila**.
**Actualiza la pila anidada**
![\[pila anidada\]](http://docs.aws.amazon.com/es_es/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Seleccione **Usar la plantilla actual** y elija **Siguiente**.
1. Ajuste las soluciones disponibles. Cambie los valores de los controles deseados a `Available` y los no deseados a. `Not available`
**nota**
Al desactivar una corrección, se elimina el manual de corrección de soluciones para el estándar de seguridad y el control.
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Revisar**, revise y confirme la configuración. Seleccione la casilla para reconocer que la plantilla creará recursos de AWS Identity and Access Management (AWS IAM).
1. Seleccione **Actualizar pila**.
Puede ver el estado de la pila en la CloudFormation consola de AWS en la columna **Estado**. Debería recibir el estado CREATE\$1COMPLETE en aproximadamente 15 minutos.