Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déploiement de la solution
**Important**
Si la fonctionnalité [de consolidation des résultats de contrôle](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) est activée dans Security Hub, activez uniquement le playbook Security Control (SC) lors du déploiement de cette solution. Si la fonctionnalité n'est pas activée, activez **uniquement** les playbooks conformément aux normes de sécurité activées dans Security Hub. Les résultats de contrôle consolidés sont activés par défaut si vous activez Security Hub CSPM le 23 février 2023 ou après cette date.
Cette solution utilise des [ CloudFormation modèles et des piles AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) pour automatiser son déploiement. Les CloudFormation modèles spécifient les ressources AWS incluses dans cette solution et leurs propriétés. La CloudFormation pile fournit les ressources décrites dans les modèles.
Pour que la solution fonctionne, trois modèles doivent être déployés. Décidez d'abord où déployer les modèles, puis comment les déployer.
Cette présentation décrit les modèles et explique comment décider où et comment les déployer. Les sections suivantes contiendront des instructions plus détaillées pour déployer chaque pile en tant que Stack ou StackSet.
# Décider où déployer chaque stack
Les trois modèles seront désignés par les noms suivants et contiendront les ressources suivantes :
+ Stack d'administration : fonction d'étape de l'orchestrateur, règles relatives aux événements et action personnalisée du Security Hub.
+ Pile de membres : documents de correction SSM Automation.
+ Les rôles des membres se cumulent : rôles IAM pour les mesures correctives.
La pile d'administrateurs doit être déployée une seule fois, dans un seul compte et dans une seule région. Il doit être déployé dans le compte et dans la région que vous avez configurés comme destination d'agrégation pour les résultats du Security Hub relatifs à votre organisation. Si vous souhaitez utiliser la fonctionnalité Action Log pour surveiller les événements de gestion, vous devez déployer la pile Admin dans le compte de gestion de votre organisation ou dans un compte d'administrateur délégué.
La solution fonctionne sur la base des résultats du Security Hub. Elle ne sera donc pas en mesure de fonctionner sur les résultats d'un compte ou d'une région en particulier si ce compte ou cette région n'a pas été configuré pour agréger les résultats dans le compte administrateur du Security Hub et dans la région.
**Important**
Si vous utilisez [AWS Security Hub (non-CSPM)](https://aws.amazon.com/security-hub/), il vous incombe de vous assurer que vos comptes membres intégrés avec AWS Security Hub CSPM sont également intégrés avec [AWS Security Hub (non-CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). Les régions agrégées dans AWS Security Hub CSPM doivent également correspondre aux régions agrégées dans AWS Security Hub (non CSPM).
Par exemple, une organisation possède des comptes opérant dans des régions `us-east-1` et dont `us-west-2` le compte est `111111111111` celui d'administrateur délégué du Security Hub dans la région`us-east-1`. Les comptes `222222222222` et les comptes `333333333333` doivent être des comptes membres du Security Hub pour le compte d'administrateur délégué`111111111111`. Les trois comptes doivent être configurés pour agréger les résultats de `us-west-2` à`us-east-1`. La pile d'administrateurs doit être déployée pour être prise `111111111111` en compte`us-east-1`.
Pour plus de détails sur la recherche de l'agrégation, consultez la documentation relative aux [comptes d'administrateur délégué](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) de Security Hub et à l'[agrégation entre régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).
La pile d'administrateurs doit d'abord terminer le déploiement avant de déployer les piles de membres afin qu'une relation de confiance puisse être créée entre les comptes des membres et le compte du hub.
La pile de membres doit être déployée dans chaque compte et région dans lesquels vous souhaitez corriger les résultats. Cela peut inclure le compte d'administrateur délégué Security Hub sur lequel vous avez précédemment déployé la pile d'administrateurs ASR. Les documents d'automatisation doivent être exécutés dans les comptes des membres afin d'utiliser le niveau gratuit de SSM Automation.
Dans l'exemple précédent, si vous souhaitez corriger les résultats de tous les comptes et régions, la pile de membres doit être déployée sur les trois comptes (`111111111111``222222222222`, et`333333333333`) et sur les deux régions (`us-east-1`et`us-west-2`).
La pile de rôles des membres doit être déployée sur chaque compte, mais elle contient des ressources globales (rôles IAM) qui ne peuvent être déployées qu'une seule fois par compte. Peu importe la région dans laquelle vous déployez la pile de rôles des membres, par souci de simplicité, nous vous suggérons de déployer le déploiement dans la même région que celle dans laquelle la pile d'administrateurs est déployée.
À l'aide de l'exemple précédent, nous vous suggérons de déployer la pile de rôles des membres sur les trois comptes (`111111111111``222222222222`,, et`333333333333`) de`us-east-1`.
## Décider de la manière de déployer chaque stack
Les options de déploiement d'une pile sont les suivantes :
+ CloudFormation StackSet (autorisations autogérées)
+ CloudFormation StackSet (autorisations gérées par le service)
+ CloudFormation Empilez
StackSets avec des autorisations gérées par les services sont les plus pratiques car elles ne nécessitent pas le déploiement de vos propres rôles et peuvent être automatiquement déployées sur de nouveaux comptes au sein de l'organisation. Malheureusement, cette méthode ne prend pas en charge les piles imbriquées, que nous utilisons à la fois dans la pile d'administration et dans la pile de membres. La seule pile qui peut être déployée de cette façon est la pile des rôles des membres.
Sachez que lors du déploiement dans l'ensemble de l'organisation, le compte de gestion de l'organisation n'est pas inclus. Par conséquent, si vous souhaitez corriger les résultats du compte de gestion de l'organisation, vous devez effectuer le déploiement sur ce compte séparément.
La pile de membres doit être déployée sur tous les comptes et régions, mais elle ne peut pas être déployée StackSets avec des autorisations gérées par le service car elle contient des piles imbriquées. Nous vous suggérons donc de déployer cette pile StackSets avec des autorisations autogérées.
La pile d'administration n'est déployée qu'une seule fois, elle peut donc être déployée en tant que CloudFormation pile simple ou en tant que pile StackSet avec des autorisations autogérées dans un seul compte et une seule région.
## Conclusions de contrôle consolidées
Les comptes de votre organisation peuvent être configurés en activant ou en désactivant la fonction de consolidation des résultats de contrôle de Security Hub. Consultez les [résultats des contrôles consolidés](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) dans le *guide de l'utilisateur d'AWS Security Hub*.
**Important**
Lorsque cette fonctionnalité est activée, vous devez utiliser la version 2.0.0 ou ultérieure de la solution et activer le playbook « SC » (Security Control) à la fois dans les piles Admin et Member. Ces piles déploient les documents d'automatisation nécessaires pour fonctionner avec un contrôle IDs consolidé. Il n'est pas nécessaire de déployer des piles pour des normes individuelles (telles que AWS FSBP) lorsque vous utilisez des résultats de contrôle consolidés.
## Déploiement en Chine
La solution prend en charge le déploiement dans les régions chinoises, mais **vous devez utiliser les boutons de lancement suivants pour un déploiement en un clic dans les régions chinoises, plutôt que les boutons de lancement fournis dans d'autres sections de ce guide**. L'utilisation des boutons « Lancer la solution » fournis dans les sections à venir de ce guide ne fonctionnera pas si vous effectuez un déploiement dans des régions de Chine. Vous pouvez toujours télécharger les modèles depuis n'importe quel lien vers un compartiment S3 et déployer les piles en chargeant le fichier modèle.
+ **automated-security-response-admin.modèle** :
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template** :
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modèle** :
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud Déploiement (États-Unis)
La solution prend en charge le déploiement dans les régions GovCloud (États-Unis), mais **vous devez utiliser les boutons de lancement suivants pour un déploiement en un clic dans les régions GovCloud (États-Unis), plutôt que les boutons de lancement fournis dans d'autres sections de ce guide**. L'utilisation des boutons « Lancer la solution » fournis dans les sections à venir de ce guide ne fonctionnera pas si vous effectuez un déploiement dans des régions GovCloud (États-Unis). Vous pouvez toujours télécharger les modèles depuis n'importe quel lien vers un compartiment S3 et déployer les piles en chargeant le fichier modèle.
+ **automated-security-response-admin.modèle** :
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template** :
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modèle** :
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation Modèles AWS
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template** - Utilisez ce modèle pour lancer la solution Automated Security Response on AWS. Le modèle installe les composants principaux de la solution, une pile imbriquée pour les journaux AWS Step Functions et une pile imbriquée pour chaque norme de sécurité que vous choisissez d'activer.
Les services utilisés incluent Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 et AWS Systems Manager.
## Support pour les comptes d'administrateur
Les modèles suivants sont installés dans le compte administrateur AWS Security Hub pour activer les normes de sécurité que vous souhaitez prendre en charge. Vous pouvez choisir le modèle à installer parmi les modèles suivants lors de l'installation du`automated-security-response-admin.template`.
**automated-security-response-orchestrator-log.template** - Crée un groupe de CloudWatch journaux pour la fonction Orchestrator Step.
**automated-security-response-webui-nested-stack.template** - Crée les ressources nécessaires à la prise en charge de l'interface utilisateur Web de la solution.
**AFSBPStack.template - Règles** relatives aux meilleures pratiques de sécurité de base d'AWS v1.0.0.
**CIS120Stack.template** - Benchmarks de la CIS Amazon Web Services Foundations, règles de la version v1.2.0.
**CIS140Stack.template** - Benchmarks de la CIS Amazon Web Services Foundations, règles de la version v1.4.0.
**CIS300Stack.template** - Benchmarks de la CIS Amazon Web Services Foundations, règles v3.0.0.
**PCI321Stack.template** - Règles PCI-DSS v3.2.1.
**NISTStack.template** - Institut national des normes et de la technologie (NIST), règles de la version 5.0.0.
**SCStack.template - Règles** de Security Controls v2.0.0.
## Rôles des membres
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template** - Définit les rôles de correction nécessaires dans chaque compte membre d'AWS Security Hub.
## Comptes membres
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template** - Utilisez ce modèle après avoir configuré la solution principale pour installer les runbooks d'automatisation et les autorisations d'AWS Systems Manager sur chacun de vos comptes membres d'AWS Security Hub (y compris le compte administrateur). Ce modèle vous permet de choisir les playbooks standard de sécurité à installer.
`automated-security-response-member.template`Installe les modèles suivants en fonction de vos sélections :
**automated-security-response-remediation-runbooks.template** - Code de correction courant utilisé par une ou plusieurs normes de sécurité.
**AFSBPMemberStack.template -** Les meilleures pratiques de sécurité de base d'AWS v1.0.0, les paramètres, les autorisations et les manuels de correction.
**CIS120MemberStack.template** - Benchmarks CIS Amazon Web Services Foundations, paramètres de la version 1.2.0, autorisations et manuels de correction.
**CIS140MemberStack.template** - Benchmarks CIS Amazon Web Services Foundations, paramètres de la version 1.4.0, autorisations et manuels de correction.
**CIS300MemberStack.template** - Benchmarks CIS Amazon Web Services Foundations, paramètres de la version 3.0.0, autorisations et manuels de correction.
**PCI321MemberStack.template** - Paramètres, autorisations et manuels de correction de la norme PCI-DSS v3.2.1.
**NISTMemberStack.template** - National Institute of Standards and Technology (NIST), paramètres, autorisations et manuels de correction de la version 5.0.0.
**SCMemberStack.template** - Paramètres de contrôle de sécurité, autorisations et runbooks de correction.
**automated-security-response-member-cloudtrail.template** - Utilisé dans la fonctionnalité Action Log pour suivre et auditer l'activité des services.
## Intégration du système de billetterie
Utilisez l'un des modèles suivants pour l'intégrer à votre système de billetterie.
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template** - Déployez si vous utilisez Jira comme système de billetterie.
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template** - Déployez si vous l'utilisez ServiceNow comme système de billetterie.
Si vous souhaitez intégrer un autre système de billetterie externe, vous pouvez utiliser l'une de ces piles comme modèle pour comprendre comment implémenter votre propre intégration personnalisée.
# Déploiement automatisé - StackSets
**Note**
Nous vous recommandons de déployer avec StackSets. Toutefois, pour les déploiements à compte unique ou à des fins de test ou d'évaluation, envisagez l'option de [déploiement stacks](deployment.md).
Avant de lancer la solution, passez en revue l'architecture, les composants de la solution, la sécurité et les considérations de conception abordées dans ce guide. Suivez les step-by-step instructions de cette section pour configurer et déployer la solution dans vos organisations AWS.
**Temps de déploiement :** environ 30 minutes par compte, selon StackSet les paramètres.
## Conditions préalables
[AWS Organizations](https://aws.amazon.com/organizations/) vous aide à gérer et à gouverner de manière centralisée votre environnement et vos ressources AWS multi-comptes. StackSets fonctionnent de manière optimale avec AWS Organizations.
Si vous avez déjà déployé la version v1.3.x ou une version antérieure de cette solution, vous devez désinstaller la solution existante. Pour plus d'informations, reportez-vous à la section [Mettre à jour la solution](update-the-solution.md).
Avant de déployer cette solution, passez en revue votre déploiement d'AWS Security Hub :
+ Il doit y avoir un compte administrateur Security Hub délégué dans votre organisation AWS.
+ Security Hub doit être configuré pour agréger les résultats entre les régions. Pour plus d'informations, reportez-vous à la section [Agrégation des résultats entre les régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) dans le guide de l'utilisateur d'AWS Security Hub.
+ Vous devez [activer Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) pour votre organisation dans chaque région où vous utilisez AWS.
Cette procédure suppose que vous disposez de plusieurs comptes utilisant AWS Organizations et que vous avez délégué un compte administrateur AWS Organizations et un compte administrateur AWS Security Hub.
**Notez que cette solution fonctionne à la fois avec [AWS Security Hub et AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Vue d'ensemble du déploiement
**Note**
StackSets le déploiement de cette solution utilise une combinaison de gestion des services et d'autogestion. StackSets L'autogéré StackSets doit être utilisé actuellement, car ils utilisent le mode imbriqué StackSets, qui n'est pas encore pris en charge par le service géré. StackSets
StackSets Déployez-le à partir d'un [compte d'administrateur délégué](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) dans vos organisations AWS.
**Planification**
Utilisez le formulaire suivant pour faciliter le StackSets déploiement. Préparez vos données, puis copiez-collez les valeurs pendant le déploiement.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Facultatif) Étape 0 : Déployer la pile d'intégration des tickets](#step-0-stackset)
+ Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, déployez d'abord la pile d'intégration de billetterie dans votre compte administrateur Security Hub.
+ Copiez le nom de la fonction Lambda depuis cette pile et fournissez-le comme entrée à la pile d'administration (voir Étape 1).
[Étape 1 : Lancez la pile d'administration dans le compte administrateur délégué du Security Hub](#step-1-stackset)
+ À l'aide d'un outil autogéré StackSet, lancez le CloudFormation modèle `automated-security-response-admin.template` AWS sur votre compte d'administrateur AWS Security Hub dans la même région que votre administrateur Security Hub. Ce modèle utilise des piles imbriquées.
+ Choisissez les normes de sécurité à installer. Par défaut, seul SC est sélectionné (recommandé).
+ Choisissez un groupe de journaux Orchestrator existant à utiliser. Sélectionnez `Yes` s'il existe `SO0111-ASR- Orchestrator` déjà depuis une installation précédente.
+ Choisissez d'activer ou non l'interface utilisateur Web de la solution. Si vous choisissez d'activer cette fonctionnalité, vous devez également saisir une adresse e-mail pour qu'un rôle d'administrateur soit attribué.
+ Sélectionnez vos préférences en matière de collecte de CloudWatch statistiques relatives à l'état de fonctionnement de la solution.
Pour plus d'informations sur l'autogestion StackSets, reportez-vous à la section [Accorder des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) dans le guide de * CloudFormation l'utilisateur AWS*.
[Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub](#step-2-stackset)
Attendez que l'étape 1 soit terminée, car le modèle de l'étape 2 fait référence aux rôles IAM créés par l'étape 1.
+ À l'aide d'un service géré StackSet, lancez le CloudFormation modèle `automated-security-response-member-roles.template` AWS dans une seule région dans chaque compte de vos organisations AWS.
+ Choisissez d'installer ce modèle automatiquement lorsqu'un nouveau compte rejoint l'organisation.
+ Entrez l'ID de compte de votre compte d'administrateur AWS Security Hub.
+ Entrez une valeur pour le `namespace` qui sera utilisé pour éviter les conflits de noms de ressources avec un déploiement précédent ou simultané dans le même compte. Entrez une chaîne de 9 caractères alphanumériques minuscules maximum.
[Étape 3 : Lancez la pile de membres dans chaque compte membre et région d'AWS Security Hub](#step-3-stackset)
+ À l'aide de l'autogestion StackSets, lancez le CloudFormation modèle `automated-security-response-member.template` AWS dans toutes les régions où vous disposez de ressources AWS dans chaque compte de votre organisation AWS géré par le même administrateur du Security Hub.
**Note**
Jusqu'à ce que le StackSets support géré par les services soit intégré, vous devez effectuer cette étape pour tous les nouveaux comptes qui rejoignent l'organisation.
+ Choisissez les playbooks Security Standard à installer.
+ Indiquez le nom d'un groupe de CloudTrail journaux (utilisé par certaines corrections).
+ Entrez l'ID de compte de votre compte d'administrateur AWS Security Hub.
+ Entrez une valeur pour le `namespace` qui sera utilisé pour éviter les conflits de noms de ressources avec un déploiement précédent ou simultané dans le même compte. Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Cela doit correspondre à la `namespace` valeur que vous avez sélectionnée pour la pile des rôles des membres. De plus, la valeur de l'espace de noms n'a pas besoin d'être unique par compte membre.
## (Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets
1. Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, lancez d'abord la pile d'intégration correspondante.
1. Choisissez les piles d'intégration fournies pour Jira ou ServiceNow utilisez-les comme modèle pour implémenter votre propre intégration personnalisée.
**Pour déployer la pile Jira**, procédez comme suit :
1. Entrez un nom pour votre pile.
1. Fournissez l'URI de votre instance Jira.
1. Fournissez la clé de projet pour le projet Jira auquel vous souhaitez envoyer des tickets.
1. Créez un nouveau secret clé-valeur dans Secrets Manager qui contient votre `Username` Jira et. `Password`
**Note**
Vous pouvez choisir d'utiliser une clé d'API Jira à la place de votre mot de passe en fournissant votre nom d'utilisateur `Username` et votre clé API en tant que. `Password`
1. Ajoutez l'ARN de ce secret comme entrée à la pile.
**Fournissez un nom de pile, des informations sur le projet Jira et des informations d'identification de l'API Jira.**
![\[stack d'intégration du système de tickets jira\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuration du champ Jira** :
Après avoir déployé la pile Jira, vous pouvez personnaliser les champs des tickets Jira en définissant la variable d'`JIRA_FIELDS_MAPPING`environnement sur la fonction Lambda. Cette chaîne JSON remplace les champs de ticket Jira par défaut et doit suivre la structure des champs de l'API Jira.
Valeurs par défaut lorsqu'il `JIRA_FIELDS_MAPPING` est vide ou que les champs ne sont pas spécifiés :
+ **priorité** : `{"id": "3"}` (Priorité moyenne)
+ type de **problème : `{"id": "10006"}` (Tâche**)
+ **AccountID** : Récupéré automatiquement à l'aide du point de terminaison de l'API `GET /rest/api/2/myself`
Exemple de configuration avec des champs personnalisés :
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Champ IDs Jira commun :
+ **Priorité IDs** : 1 (la plus élevée), 2 (haute), 3 (moyenne), 4 (faible), 5 (la plus faible)
+ **ID du type de problème** : varie en fonction du projet Jira (par exemple, 10006 pour Task)
+ **Identifiant du compte** : Format `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Vous pouvez trouver votre champ IDs et votre compte Jira à IDs l'aide de l'API REST de Jira :
+ `GET /rest/api/2/myself`pour l'identifiant du compte
+ `GET /rest/api/2/priority`pour la priorité IDs
+ `GET /rest/api/2/project/{projectKey}`pour le type de problème IDs
Pour plus d'informations, reportez-vous au [format POST Issue POST de l'API Jira REST v2](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Pour déployer la ServiceNow pile** :
1. Entrez un nom pour votre pile.
1. Indiquez l'URI de votre ServiceNow instance.
1. Entrez le nom ServiceNow de votre table.
1. Créez une clé d'API ServiceNow avec l'autorisation de modifier la table dans laquelle vous souhaitez écrire.
1. Créez un secret dans Secrets Manager avec la clé `API_Key` et fournissez l'ARN secret en entrée de la pile.
**Fournissez un nom de pile, des informations sur le ServiceNow projet et des informations d'identification de ServiceNow l'API.**
![\[stack d'intégration du système de tickets servicenow\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Pour créer une pile d'intégration personnalisée** : incluez une fonction Lambda que l'orchestrateur de solutions Step Functions peut appeler pour chaque correction. La fonction Lambda doit prendre les données fournies par Step Functions, construire une charge utile conformément aux exigences de votre système de billetterie et demander à votre système de créer le ticket.
## Étape 1 : Lancez la pile d'administration dans le compte administrateur délégué du Security Hub
1. Lancez la [pile d'`automated-security-response-admin.template`administration](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) avec votre compte d'administrateur Security Hub. Généralement, un par organisation dans une seule région. Comme cette pile utilise des piles imbriquées, vous devez déployer ce modèle en tant que modèle autogéré. StackSet
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Charger SC Admin Stack** | `yes` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles SC. |
| **Charger la pile d'administration AFSBP** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles FSBP. |
| **Charger CIS120 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS120 contrôles. |
| **Charger CIS140 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS140 contrôles. |
| **Charger CIS300 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS300 contrôles. |
| **Charger PC1321 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des PC1321 contrôles. |
| **Charger le NIST Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles NIST. |
| **Réutiliser le groupe de journaux Orchestrator** | `no` | Choisissez de réutiliser ou non un groupe de `SO0111-ASR-Orchestrator` CloudWatch journaux existant. Cela simplifie la réinstallation et les mises à niveau sans perdre les données du journal d'une version précédente. Réutilisez l'existant, `Orchestrator Log Group` choisissez `yes` s'il existe `Orchestrator Log Group` toujours depuis un déploiement antérieur dans ce compte, sinon`no`. Si vous effectuez une mise à jour de la pile à partir d'une version antérieure à la version 2.3.0, choisissez `no` |
| **ShouldDeployWebUI** | `yes` | Déployez les composants de l'interface utilisateur Web, notamment API Gateway, les fonctions Lambda et CloudFront la distribution. Sélectionnez « Oui » pour activer l'interface utilisateur Web permettant de visualiser les résultats et l'état des mesures correctives. Si vous choisissez de désactiver cette fonctionnalité, vous pouvez toujours configurer des corrections automatisées et exécuter des corrections à la demande à l'aide de l'action personnalisée Security Hub CSPM. |
| **AdminUserEmail** | *(Entrée facultative)* | Adresse e-mail de l'utilisateur administrateur initial. Cet utilisateur aura un accès administratif complet à l'interface utilisateur Web d'ASR. Obligatoire **uniquement** lorsque l'interface utilisateur Web est activée. |
| **Utiliser CloudWatch les métriques** | `yes` | Spécifiez si vous souhaitez activer CloudWatch les métriques pour surveiller la solution. Cela créera un CloudWatch tableau de bord pour consulter les statistiques. |
| **Utiliser les alarmes CloudWatch métriques** | `yes` | Spécifiez si vous souhaitez activer CloudWatch les alarmes métriques pour la solution. Cela créera des alarmes pour certaines métriques collectées par la solution. |
| **RemediationFailureAlarmThreshold** | `5` | Spécifiez le seuil pour le pourcentage d'échecs de correction par ID de contrôle. Par exemple, si vous entrez`5`, vous recevez une alarme si un ID de contrôle échoue dans plus de 5 % des cas de correction au cours d'une journée donnée. Ce paramètre ne fonctionne que si des alarmes sont créées (voir le paramètre **Utiliser CloudWatch les alarmes métriques**). |
| **EnableEnhancedCloudWatchMetrics** | `no` | Si`yes`, crée des CloudWatch métriques supplémentaires pour suivre tous les contrôles IDs individuellement sur le CloudWatch tableau de bord et sous forme d' CloudWatch alarmes. Consultez la section [Coût](cost.md#additional-cost-enhanced-metrics) pour comprendre les coûts supplémentaires que cela entraîne. |
| **TicketGenFunctionName** | *(Entrée facultative)* | Facultatif. Laissez ce champ vide si vous ne souhaitez pas intégrer de système de billetterie. Sinon, fournissez le nom de la fonction Lambda à partir de la sortie de la pile de l'[étape 0](deployment.md#step-0), par exemple :. `SO0111-ASR-ServiceNow-TicketGenerator` |
** StackSet Options de configuration**
![\[configurer les options du stackset\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Pour le paramètre **Account numbers**, entrez l'ID de compte du compte administrateur AWS Security Hub.
1. Pour le **paramètre Specify** regions, sélectionnez uniquement la région dans laquelle l'administrateur Security Hub est activé. Attendez que cette étape soit terminée avant de passer à l'étape 2.
## Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub
Utilisez un service géré StackSets pour déployer le [modèle de rôles des membres](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Cela StackSet doit être déployé dans une région par compte membre. Il définit les rôles globaux qui autorisent les appels d'API entre comptes à partir de la fonction d'étape ASR Orchestrator.
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Namespace** | ** | Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Espace de noms unique à ajouter en tant que suffixe aux noms de rôles IAM de correction. Le même espace de noms doit être utilisé dans les rôles des membres et dans les piles de membres. Cette chaîne doit être unique pour chaque déploiement de solution, mais il n'est pas nécessaire de la modifier lors des mises à jour de la pile. Il n'est **pas** nécessaire que la valeur de l'espace de noms soit unique par compte membre. |
| **Administrateur du compte Sec Hub** | ** | Entrez l'ID de compte à 12 chiffres du compte administrateur AWS Security Hub. Cette valeur accorde des autorisations au rôle de solution du compte administrateur. |
1. Déployez dans l'ensemble de l'organisation (standard) ou dans les unités organisationnelles, conformément aux politiques de votre organisation.
1. Activez le déploiement automatique afin que les nouveaux comptes des organisations AWS reçoivent ces autorisations.
1. Pour le paramètre **Spécifier les régions**, sélectionnez une seule région. Les rôles IAM sont globaux. Vous pouvez passer à l'étape 3 pendant le StackSet déploiement.
**Spécifiez StackSet les détails**
![\[spécifier les détails du stackset\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Étape 3 : Lancez la pile de membres dans chaque compte membre et région d'AWS Security Hub
Comme la [pile de membres](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) utilise des piles imbriquées, vous devez effectuer le déploiement en tant que solution autogérée. StackSet Cela ne prend pas en charge le déploiement automatique vers de nouveaux comptes dans l'organisation AWS.
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Indiquez le nom du LogGroup à utiliser pour créer des filtres métriques et des alarmes** | ** | Spécifiez le nom d'un groupe CloudWatch Logs dans lequel sont CloudTrail enregistrés les appels d'API. Ceci est utilisé pour les corrections CIS 3.1-3.14. |
| **Load SC Member Stack** | `yes` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles SC. |
| **Charger la pile de membres de l'AFSBP** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles FSBP. |
| **Charger la pile de CIS120 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS120 contrôles. |
| **Charger la pile de CIS140 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS140 contrôles. |
| **Charger la pile de CIS300 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS300 contrôles. |
| **Charger la pile de PC1321 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des PC1321 contrôles. |
| **Charger la pile de membres du NIST** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles NIST. |
| **Création d'un compartiment S3 pour la journalisation des audits Redshift** | `no` | Indiquez `yes` si le compartiment S3 doit être créé pour la correction FSBP RedShift .4. Pour plus de détails sur le compartiment S3 et la correction, consultez la correction [Redshift.4 dans le guide de l'utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) d'*AWS* Security Hub. |
| **Compte administrateur Sec Hub** | ** | Entrez l'ID de compte à 12 chiffres du compte administrateur AWS Security Hub. |
| **Namespace** | ** | Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Cette chaîne fait partie des noms de rôles IAM et du compartiment Action Log S3. Utilisez la même valeur pour le déploiement de la pile de membres et le déploiement de la pile de rôles des membres. La chaîne doit être unique pour chaque déploiement de solution, mais il n'est pas nécessaire de la modifier lors des mises à jour de la pile. |
| **EnableCloudTrailForASRActionJournal** | `no` | Indiquez `yes` si vous souhaitez surveiller les événements de gestion menés par la solution sur le CloudWatch tableau de bord. La solution crée une CloudTrail trace dans chaque compte membre que vous sélectionnez`yes`. Vous devez déployer la solution dans une organisation AWS pour activer cette fonctionnalité. **En outre, vous ne pouvez activer cette fonctionnalité que dans une seule région au sein du même compte.** Consultez la section [Coût](cost.md#additional-cost-action-log) pour comprendre les coûts supplémentaires que cela entraîne. |
**Comptes**
![\[comptes\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Lieux de déploiement** : vous pouvez spécifier une liste de numéros de compte ou d'unités organisationnelles.
**Spécifiez les régions** : sélectionnez toutes les régions dans lesquelles vous souhaitez corriger les résultats. Vous pouvez ajuster les options de déploiement en fonction du nombre de comptes et de régions. La simultanéité des régions peut être parallèle.
# Déploiement automatisé - Stacks
**Note**
Pour les clients ayant plusieurs comptes, nous recommandons vivement [le déploiement avec StackSets](deployment-stackset.md).
Avant de lancer la solution, passez en revue l'architecture, les composants de la solution, la sécurité et les considérations de conception abordées dans ce guide. Suivez les step-by-step instructions de cette section pour configurer et déployer la solution dans votre compte.
**Temps de déploiement :** environ 30 minutes
## Conditions préalables
Avant de déployer cette solution, assurez-vous qu'AWS Security Hub se trouve dans la même région AWS que vos comptes principal et secondaire. Si vous avez déjà déployé cette solution, vous devez désinstaller la solution existante. Pour plus d'informations, reportez-vous à la section [Mettre à jour la solution](update-the-solution.md).
## Vue d'ensemble du déploiement
Suivez les étapes ci-dessous pour déployer cette solution sur AWS.
[(Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets](#step-0)
+ Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, déployez d'abord la pile d'intégration de billetterie dans votre compte administrateur Security Hub.
+ Copiez le nom de la fonction Lambda depuis cette pile et fournissez-le comme entrée à la pile d'administration (voir Étape 1).
[Étape 1 : Lancez la pile d'administration](#step-1)
+ Lancez le CloudFormation modèle `automated-security-response-admin.template` AWS sur votre compte d'administrateur AWS Security Hub.
+ Choisissez les normes de sécurité à installer.
+ Choisissez un groupe de journaux Orchestrator existant à utiliser (sélectionnez `Yes` s'il existe `SO0111-ASR-Orchestrator` déjà depuis une installation précédente).
[Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub](#step-2)
+ Lancez le CloudFormation modèle `automated-security-response-member-roles.template` AWS dans une région par compte membre.
+ Entrez l'IG de compte à 12 chiffres pour le compte administrateur AWS Security Hub.
[Étape 3 : Lancez la pile de membres](#step-3)
+ Spécifiez le nom du groupe de CloudWatch journaux à utiliser avec les corrections CIS 3.1-3.14. Il doit s'agir du nom du groupe de CloudWatch journaux qui reçoit CloudTrail les journaux.
+ Choisissez si vous souhaitez installer les rôles de correction. Installez ces rôles une seule fois par compte.
+ Sélectionnez les playbooks à installer.
+ Entrez l'ID de compte du compte administrateur AWS Security Hub.
[Étape 4 : (Facultatif) Ajustez les mesures correctives disponibles](#step-4)
+ Supprimez toutes les corrections pour chaque compte membre. Cette étape est facultative.
## (Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets
1. Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, lancez d'abord la pile d'intégration correspondante.
1. Choisissez les piles d'intégration fournies pour Jira ou ServiceNow utilisez-les comme modèle pour implémenter votre propre intégration personnalisée.
**Pour déployer la pile Jira**, procédez comme suit :
1. Entrez un nom pour votre pile.
1. Fournissez l'URI de votre instance Jira.
1. Fournissez la clé de projet pour le projet Jira auquel vous souhaitez envoyer des tickets.
1. Créez un nouveau secret clé-valeur dans Secrets Manager qui contient votre `Username` Jira et. `Password`
**Note**
Vous pouvez choisir d'utiliser une clé d'API Jira à la place de votre mot de passe en fournissant votre nom d'utilisateur `Username` et votre clé API en tant que. `Password`
1. Ajoutez l'ARN de ce secret comme entrée à la pile.
**« Fournissez un nom de pile, des informations sur le projet Jira et des informations d'identification de l'API Jira.**
![\[stack d'intégration du système de tickets jira\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuration du champ Jira** :
Pour plus d'informations sur la personnalisation des champs de ticket Jira, reportez-vous à la section Configuration des champs Jira à l'[étape 0 du déploiement](deployment-stackset.md#step-0-stackset). StackSet
**Pour déployer la ServiceNow pile** :
1. Entrez un nom pour votre pile.
1. Indiquez l'URI de votre ServiceNow instance.
1. Entrez le nom ServiceNow de votre table.
1. Créez une clé d'API ServiceNow avec l'autorisation de modifier la table dans laquelle vous souhaitez écrire.
1. Créez un secret dans Secrets Manager avec la clé `API_Key` et fournissez l'ARN secret en entrée de la pile.
**Fournissez un nom de pile, des informations sur le ServiceNow projet et des informations d'identification de ServiceNow l'API.**
![\[stack d'intégration du système de tickets servicenow\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Pour créer une pile d'intégration personnalisée** : incluez une fonction Lambda que l'orchestrateur de solutions Step Functions peut appeler pour chaque correction. La fonction Lambda doit prendre les données fournies par Step Functions, construire une charge utile conformément aux exigences de votre système de billetterie et demander à votre système de créer le ticket.
## Étape 1 : Lancez la pile d'administration
**Important**
Cette solution inclut la collecte de données. Nous utilisons ces données pour mieux comprendre la façon dont les clients utilisent cette solution et les services et produits associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête. La collecte de données est soumise à l'[avis de confidentialité d'AWS](https://aws.amazon.com/privacy/).
Ce CloudFormation modèle AWS automatisé déploie la solution Automated Security Response on AWS dans le cloud AWS. Avant de lancer la pile, vous devez activer Security Hub et remplir les [conditions requises](#prerequisites).
**Note**
Vous êtes responsable du coût des services AWS utilisés lors de l'exécution de cette solution. Pour plus de détails, consultez la section [Coût](cost.md) de ce guide et consultez la page Web de tarification de chaque service AWS utilisé dans cette solution.
1. Connectez-vous à l'AWS Management Console depuis le compte sur lequel l'AWS Security Hub est actuellement configuré, puis utilisez le bouton ci-dessous pour lancer le CloudFormation modèle `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) comme point de départ pour votre propre implémentation.
1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
**Note**
Cette solution utilise AWS Systems Manager, qui n'est actuellement disponible que dans certaines régions AWS. La solution fonctionne dans toutes les régions qui prennent en charge ce service. Pour connaître la disponibilité la plus récente par région, consultez la [liste des services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la **zone de texte URL Amazon S3**, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux [limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
1. Sur la page **Paramètres**, choisissez **Next**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
**Note**
Vous devez activer manuellement les corrections automatiques dans le compte administrateur après le déploiement ou la mise à jour des CloudFormation piles de la solution.
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
## Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub
Ils ne `automated-security-response-member-roles.template` StackSet doivent être déployés que dans une seule région par compte membre. Il définit les rôles globaux qui autorisent les appels d'API entre comptes à partir de la fonction d'étape ASR Orchestrator.
1. Connectez-vous à l'AWS Management Console pour chaque compte membre d'AWS Security Hub (y compris le compte administrateur, qui est également membre). Sélectionnez le bouton pour lancer le CloudFormation modèle `automated-security-response-member-roles.template` AWS. Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) comme point de départ pour votre propre implémentation.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la zone de texte URL Amazon S3, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux limites IAM et STS dans le guide de l'utilisateur d'AWS Identity and Access Management.
1. Sur la page **Paramètres**, spécifiez les paramètres suivants et choisissez Next.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans environ 5 minutes. Vous pouvez passer à l'étape suivante pendant le chargement de cette pile.
## Étape 3 : Lancez la pile de membres
**Important**
Cette solution inclut la collecte de données. Nous utilisons ces données pour mieux comprendre la façon dont les clients utilisent cette solution et les services et produits associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête. La collecte de données est soumise à la politique de confidentialité d'AWS.
La `automated-security-response-member` pile doit être installée sur chaque compte membre du Security Hub. Cette pile définit les runbooks pour la correction automatique. L'administrateur de chaque compte membre peut contrôler les mesures correctives disponibles via cette pile.
1. Connectez-vous à l'AWS Management Console pour chaque compte membre d'AWS Security Hub (y compris le compte administrateur, qui est également membre). Sélectionnez le bouton pour lancer le CloudFormation modèle `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) comme point de départ pour votre propre implémentation. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
\$1
**Note**
Cette solution utilise AWS Systems Manager, qui est actuellement disponible dans la majorité des régions AWS. La solution fonctionne dans toutes les régions qui prennent en charge ces services. Pour connaître la disponibilité la plus récente par région, consultez la [liste des services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la **zone de texte URL Amazon S3**, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux [limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
1. Sur la page **Paramètres**, spécifiez les paramètres suivants et choisissez **Next**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
## Étape 4 : (Facultatif) Ajustez les mesures correctives disponibles
Si vous souhaitez supprimer des corrections spécifiques d'un compte membre, vous pouvez le faire en mettant à jour la pile imbriquée pour la norme de sécurité. Pour des raisons de simplicité, les options de pile imbriquée ne sont pas propagées à la pile racine.
1. Connectez-vous à la [ CloudFormation console AWS](https://console.aws.amazon.com/cloudformation/home) et sélectionnez la pile imbriquée.
1. Choisissez **Mettre à jour**.
1. Sélectionnez **Mettre à jour la pile imbriquée**, puis **Mettre à jour la pile**.
**Mettre à jour la pile imbriquée**
![\[pile imbriquée\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Sélectionnez **Utiliser le modèle actuel**, puis **Suivant**.
1. Ajustez les mesures correctives disponibles. Modifiez les valeurs des commandes souhaitées par `Available` et des commandes indésirables par. `Not available`
**Note**
La désactivation d'une correction supprime le manuel de correction des solutions pour la norme et le contrôle de sécurité.
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Choisissez **Mettre à jour la pile**.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
# Déploiement de la Control Tower (CT)
Le guide Customizations for AWS Control Tower (CfCT) s'adresse aux administrateurs, aux DevOps professionnels, aux fournisseurs de logiciels indépendants, aux architectes d'infrastructures informatiques et aux intégrateurs de systèmes qui souhaitent personnaliser et étendre leurs environnements AWS Control Tower pour leur entreprise et leurs clients. Il fournit des informations sur la personnalisation et l'extension de l'environnement AWS Control Tower avec le package de personnalisation CfCT.
**Temps de déploiement :** environ 30 minutes
## Conditions préalables
Avant de déployer cette solution, assurez-vous qu'elle est destinée aux **administrateurs d'AWS Control Tower**.
Lorsque vous êtes prêt à configurer votre zone de landing zone à l'aide de la console AWS Control Tower APIs, ou suivez ces étapes :
Pour commencer à utiliser AWS Control Tower, consultez : [Getting Started with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Pour savoir comment personnaliser votre zone d'atterrissage, reportez-vous à : [Personnalisation de votre zone d'atterrissage](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html)
Pour lancer et déployer votre zone d'atterrissage, voir : [Guide de déploiement de la zone d'atterrissage](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Vue d'ensemble du déploiement
Suivez les étapes ci-dessous pour déployer cette solution sur AWS.
[Étape 1 : créer et déployer un compartiment S3](#step-1-cfn)
**Note**
Configuration du compartiment S3 — pour ADMIN uniquement. Il s'agit d'une étape de configuration unique qui ne doit pas être répétée par les utilisateurs finaux. Les compartiments S3 stockent le package de déploiement, y compris le CloudFormation modèle AWS et le code Lambda requis pour l'exécution d'ASR. Ces ressources sont déployées à l'aide de CfCt ou StackSet.
**1. Configuration du compartiment S3**
Configurez le compartiment S3 qui sera utilisé pour stocker et distribuer vos packages de déploiement.
**2. Configuration de l'environnement**
Préparez les variables d'environnement, les informations d'identification et les outils nécessaires au processus de création et de déploiement.
**3. Configuration des politiques relatives aux compartiments S3**
Définissez et appliquez les politiques de compartiment appropriées pour contrôler l'accès et les autorisations.
**4. Préparez le build**
Compilez, empaquetez ou préparez de toute autre manière votre application ou vos actifs pour le déploiement.
**5. Déployer des packages sur S3**
Téléchargez les artefacts de construction préparés dans le compartiment S3 désigné.
[Étape 2 : déploiement de Stacks sur AWS Control Tower](#step-2-cfn)
**1. Créer un manifeste de compilation pour les composants ASR**
Définissez un manifeste de compilation répertoriant tous les composants ASR, leurs versions, leurs dépendances et leurs instructions de génération.
**2. Mettez à jour le CodePipeline**
Modifiez la CodePipeline configuration AWS pour inclure les nouvelles étapes de construction, les nouveaux artefacts ou les nouvelles étapes nécessaires au déploiement des composants ASR.
## Étape 1 : Création et déploiement dans le compartiment S3
Les solutions AWS utilisent deux compartiments : un compartiment pour l'accès global aux modèles, accessible via HTTPS, et des compartiments régionaux pour accéder aux ressources de la région, comme le code Lambda.
**1. Configuration du compartiment S3**
Choisissez un nom de compartiment unique, par exemple asr-staging. Définissez deux variables d'environnement sur votre terminal, l'une doit être le nom du bucket de base avec -reference comme suffixe, l'autre avec la région de déploiement prévue comme suffixe :
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Configuration de l’environnement**
Dans votre compte AWS, créez deux compartiments portant ces noms, par exemple asr-staging-reference et asr-staging-us-east -1. (Le compartiment de référence contiendra les CloudFormation modèles, le compartiment régional contiendra tous les autres actifs, comme le bundle de code Lambda.) Vos buckets doivent être chiffrés et interdire l'accès public
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**Note**
Lorsque vous créez vos buckets, assurez-vous qu'ils ne sont pas accessibles au public. Utilisez des noms de compartiments aléatoires. Désactivez l'accès public. Utilisez le chiffrement KMS. Et vérifiez la propriété du bucket avant de le télécharger.
**3. Configuration de la politique des buckets S3**
Mettez à jour la politique du compartiment S3 \$1TEMPLATE\$1BUCKET\$1NAME afin d'inclure des autorisations pour l'ID de compte d'exécution PutObject . Attribuez cette autorisation à un rôle IAM au sein du compte d'exécution autorisé à écrire dans le compartiment. Cette configuration vous permet d'éviter de créer le bucket dans le compte de gestion.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Modifiez la politique du compartiment S3 de l'actif pour inclure les autorisations. Attribuez cette autorisation à un rôle IAM au sein du compte d'exécution autorisé à écrire dans le compartiment. Répétez cette configuration pour chaque compartiment d'actifs régional (par exemple, asr-staging-us-east -1, asr-staging-eu-west -1, etc.), en autorisant les déploiements dans plusieurs régions sans avoir à créer les compartiments dans le compte de gestion.
**4. Préparation de la construction**
+ Prérequis :
+ AWS CLI v2
+ Python 3.11\$1 avec pip
+ AWS CDK 2.171.1\$1
+ Node.js 20\$1 avec npm
+ Poetry v2 avec plugin pour exporter
+ Clonage de Git [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Assurez-vous d'abord d'avoir exécuté npm install dans le dossier source.
Ensuite, depuis le dossier de déploiement de votre dépôt cloné, exécutez build-s3-dist.sh en transmettant le nom racine de votre bucket (par exemple mybucket) et la version que vous créez (par exemple v1.0.0). Nous vous recommandons d'utiliser une version semver basée sur la version téléchargée depuis GitHub (ex. GitHub: v1.0.0, votre build : v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Déployer des packages sur S3**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Étape 2 : déploiement de Stacks sur AWS Control Tower
**1. Générer un manifeste pour les composants ASR**
Après avoir déployé des artefacts ASR dans les compartiments S3, mettez à jour le [manifeste du pipeline](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html) Control Tower pour faire référence à la nouvelle version, puis déclenchez l'exécution du pipeline. Reportez-vous à : déploiement de la tour de [contrôle](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**Important**
Pour garantir le déploiement correct de la solution ASR, consultez la documentation officielle d'AWS pour obtenir des informations détaillées sur la présentation des CloudFormation modèles et la description des paramètres. Liens d'information ci-dessous : [Guide de présentation des paramètres](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) des [CloudFormation modèles](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html)
Le manifeste des composants ASR se présente comme suit :
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Mise à jour du pipeline de code**
Ajoutez un fichier manifeste à un fichier custom-control-tower-configuration .zip et exécutez un CodePipeline, voir : présentation [du pipeline de code](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html)