Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Détails de l'architecture
Cette section décrit les composants et les services AWS qui constituent cette solution ainsi que les détails de l'architecture sur la manière dont ces composants fonctionnent ensemble.
# Intégration à AWS Security Hub
Le déploiement de la `automated-security-response-admin` pile crée une intégration avec la fonctionnalité d'action personnalisée d'[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Lorsque les utilisateurs de la console AWS Security Hub CSPM cliquent sur **Actions > Corriger** **avec ASR, les résultats sélectionnés sont envoyés au flux de travail de correction** EventBridge et déclenchent celui-ci.
Les autorisations entre comptes et les runbooks AWS Systems Manager doivent être déployés sur tous les comptes AWS Security Hub (administrateur et membre) à l'aide des modèles `automated-security-response-member.template` et `automated-security-response-member-roles.template` CloudFormation . Pour plus d'informations, reportez-vous à [Playbooks](playbooks.md). Ce modèle permet une correction automatique dans le compte cible.
Les utilisateurs peuvent configurer des corrections entièrement automatisées pour chaque contrôle à l'aide d'Amazon DynamoDB. Cette option active la correction entièrement automatique des résultats dès qu'ils sont signalés à AWS Security Hub. Par défaut, les initiations automatiques sont désactivées. Cette option peut être modifiée à tout moment après l'installation en modifiant la table [DynamoDB de configuration de correction](enable-fully-automated-remediations.md).
# Assainissement entre comptes
La réponse de sécurité automatisée sur AWS utilise des rôles entre comptes pour fonctionner entre les comptes principaux et secondaires à l'aide de rôles entre comptes. Ces rôles sont déployés sur les comptes des membres lors de l'installation de la solution. Un rôle individuel est attribué à chaque correction. Le processus de correction dans le compte principal est autorisé à assumer le rôle de correction dans le compte qui nécessite une correction. La correction est effectuée par les runbooks AWS Systems Manager exécutés dans le compte qui nécessite une correction.
# Playbooks
Un ensemble de mesures correctives est regroupé dans un package appelé *playbook*. Les playbooks sont installés, mis à jour et supprimés à l'aide des modèles de cette solution. Pour plus d'informations sur les corrections prises en charge dans chaque playbook, reportez-vous au [Guide du développeur →](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html) Playbooks. Cette solution prend actuellement en charge les playbooks suivants :
+ Security Control, un manuel aligné sur la fonctionnalité Consolidated Control findings d'AWS Security Hub, publié le 23 février 2023.
**Important**
Lorsque [les résultats de contrôle consolidés](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) sont activés dans Security Hub, il s'agit du seul playbook qui doit être activé dans la solution.
+ [Benchmarks du Center for Internet Security (CIS) Amazon Web Services Foundations, version 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), publiés le 18 mai 2018.
+ [Benchmarks Amazon Web Services Foundations du Center for Internet Security (CIS), version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard), publiés le 9 novembre 2022.
+ [Benchmarks du Center for Internet Security (CIS) Amazon Web Services Foundations, version 3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard), publiés le 13 mai 2024.
+ [Meilleures pratiques de sécurité fondamentales (FSBP) d'AWS, version 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), publiée en mars 2021.
+ [Normes de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) version 3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html), publiées en mai 2018.
+ [Version 5.0.0 du National Institute of Standards and Technology (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html), publiée en novembre 2023.
Une fois les CloudFormation piles de la solution déployées, les playbooks sont immédiatement prêts à être utilisés. Aucune configuration supplémentaire n'est requise pour permettre de corriger les problèmes liés aux normes de sécurité répertoriées ci-dessus.
## Journalisation centralisée
La réponse de sécurité automatisée sur AWS se connecte à un seul groupe de CloudWatch journaux, SO0111-ASR. Ces journaux contiennent une journalisation détaillée de la solution pour le dépannage et la gestion de la solution.
# Notifications
Cette solution utilise une rubrique Amazon Simple Notification Service (Amazon SNS) pour publier les résultats des mesures correctives. Vous pouvez utiliser les abonnements à cette rubrique pour étendre les fonctionnalités de la solution. Par exemple, vous pouvez envoyer des notifications par e-mail et mettre à jour les tickets d'incident.
+ **SO0111-ASR\$1Topic** — Utilisé pour envoyer des informations générales et des messages d'erreur relatifs aux corrections exécutées.
+ **SO0111-ASR\$1Alarm\$1Topic — Utilisé pour avertir lorsque l'une des alarmes** de la solution est déclenchée, indiquant que la solution ne fonctionne pas comme prévu.
## Services AWS inclus dans cette solution
La solution utilise les services suivants. Les services de base sont nécessaires pour utiliser la solution, et les services de support connectent les services principaux.
| Service AWS | Description |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Noyau**. EventBridge les règles sont utilisées pour écouter et déclencher les événements émis par AWS Security Hub et AWS Security Hub CSPM. |
| [AWS IAM](https://aws.amazon.com/iam/) | **Noyau**. Déploie de nombreux rôles pour permettre des corrections sur différentes ressources. |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Noyau.** Déploie plusieurs fonctions lambda qui seront utilisées par l'orchestrateur de fonctions par étapes pour résoudre les problèmes. Sert de backend à l'interface utilisateur Web de la solution intégrée à API Gateway. |
| [AWS Security Hub](https://aws.amazon.com/security-hub/) | **Noyau**. Fournit aux clients une vue complète de leur état de sécurité AWS. |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **Noyau**. Déploie un orchestrateur qui invoquera les documents de correction à l'aide des appels d'API AWS Systems Manager. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Noyau**. Déploie les documents d'automatisation de System Manager qui contiennent la logique de correction à exécuter par la solution. Utilise le magasin de paramètres pour gérer les métadonnées et les paramètres de configuration de la solution. |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **Noyau**. Stocke la dernière correction exécutée dans chaque compte et région afin d'optimiser la planification des corrections. Stocke les résultats générés par AWS Security Hub et AWS Security Hub CSPM. Stocke les métadonnées de correction et de configuration de la solution. Stocke les données destinées aux utilisateurs accédant à l'interface utilisateur Web de la solution. |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **Soutenir.** Enregistre les modifications apportées par la solution à vos ressources AWS et les affiche sur un CloudWatch tableau de bord. |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **Soutenir**. Déploie des groupes de journaux que les différents playbooks utiliseront pour enregistrer les résultats. Collecte des métriques à afficher sur un tableau de bord personnalisé avec des alarmes. |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **Soutenir**. Déploie les rubriques SNS qui reçoivent une notification une fois la correction terminée. |
| [AWS SQS](https://aws.amazon.com/sqs/) | **Soutenir**. Aide à planifier les mesures correctives afin que la solution puisse les exécuter en parallèle. Met en mémoire tampon les exécutions Lambda à l'aide de mappages EventSource Lambda. |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **Soutenir**. Utilisé pour chiffrer les données à des fins de correction. |
| [AWS Config](https://aws.amazon.com/config) | **Soutenir**. Enregistre toutes les ressources destinées à être utilisées avec AWS Security Hub. |
| [Amazon S3](https://aws.amazon.com/s3) | **Soutenir**. Stocke l'historique des mesures correctives exportés et les données du journal. Héberge l'interface utilisateur Web de la solution sous la forme d'une application monopage (SPA). |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **Soutenir**. Fournit l'interface utilisateur Web de la solution |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **Soutenir**. Crée l'API REST de la solution pour prendre en charge l'interface utilisateur. |
| [AWS WAF](https://aws.amazon.com/waf) | **Soutenir**. Protège l'interface utilisateur Web de la solution. |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **Soutenir**. Utilisé pour authentifier et autoriser l'accès à l'interface utilisateur Web de la solution. |