Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déploiement automatisé - StackSets
**Note**
Nous vous recommandons de déployer avec StackSets. Toutefois, pour les déploiements à compte unique ou à des fins de test ou d'évaluation, envisagez l'option de [déploiement stacks](deployment.md).
Avant de lancer la solution, passez en revue l'architecture, les composants de la solution, la sécurité et les considérations de conception abordées dans ce guide. Suivez les step-by-step instructions de cette section pour configurer et déployer la solution dans vos organisations AWS.
**Temps de déploiement :** environ 30 minutes par compte, selon StackSet les paramètres.
## Conditions préalables
[AWS Organizations](https://aws.amazon.com/organizations/) vous aide à gérer et à gouverner de manière centralisée votre environnement et vos ressources AWS multi-comptes. StackSets fonctionnent de manière optimale avec AWS Organizations.
Si vous avez déjà déployé la version v1.3.x ou une version antérieure de cette solution, vous devez désinstaller la solution existante. Pour plus d'informations, reportez-vous à la section [Mettre à jour la solution](update-the-solution.md).
Avant de déployer cette solution, passez en revue votre déploiement d'AWS Security Hub :
+ Il doit y avoir un compte administrateur Security Hub délégué dans votre organisation AWS.
+ Security Hub doit être configuré pour agréger les résultats entre les régions. Pour plus d'informations, reportez-vous à la section [Agrégation des résultats entre les régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) dans le guide de l'utilisateur d'AWS Security Hub.
+ Vous devez [activer Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) pour votre organisation dans chaque région où vous utilisez AWS.
Cette procédure suppose que vous disposez de plusieurs comptes utilisant AWS Organizations et que vous avez délégué un compte administrateur AWS Organizations et un compte administrateur AWS Security Hub.
**Notez que cette solution fonctionne à la fois avec [AWS Security Hub et AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Vue d'ensemble du déploiement
**Note**
StackSets le déploiement de cette solution utilise une combinaison de gestion des services et d'autogestion. StackSets L'autogéré StackSets doit être utilisé actuellement, car ils utilisent le mode imbriqué StackSets, qui n'est pas encore pris en charge par le service géré. StackSets
StackSets Déployez-le à partir d'un [compte d'administrateur délégué](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) dans vos organisations AWS.
**Planification**
Utilisez le formulaire suivant pour faciliter le StackSets déploiement. Préparez vos données, puis copiez-collez les valeurs pendant le déploiement.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Facultatif) Étape 0 : Déployer la pile d'intégration des tickets](#step-0-stackset)
+ Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, déployez d'abord la pile d'intégration de billetterie dans votre compte administrateur Security Hub.
+ Copiez le nom de la fonction Lambda depuis cette pile et fournissez-le comme entrée à la pile d'administration (voir Étape 1).
[Étape 1 : Lancez la pile d'administration dans le compte administrateur délégué du Security Hub](#step-1-stackset)
+ À l'aide d'un outil autogéré StackSet, lancez le CloudFormation modèle `automated-security-response-admin.template` AWS sur votre compte d'administrateur AWS Security Hub dans la même région que votre administrateur Security Hub. Ce modèle utilise des piles imbriquées.
+ Choisissez les normes de sécurité à installer. Par défaut, seul SC est sélectionné (recommandé).
+ Choisissez un groupe de journaux Orchestrator existant à utiliser. Sélectionnez `Yes` s'il existe `SO0111-ASR- Orchestrator` déjà depuis une installation précédente.
+ Choisissez d'activer ou non l'interface utilisateur Web de la solution. Si vous choisissez d'activer cette fonctionnalité, vous devez également saisir une adresse e-mail pour qu'un rôle d'administrateur soit attribué.
+ Sélectionnez vos préférences en matière de collecte de CloudWatch statistiques relatives à l'état de fonctionnement de la solution.
Pour plus d'informations sur l'autogestion StackSets, reportez-vous à la section [Accorder des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) dans le guide de * CloudFormation l'utilisateur AWS*.
[Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub](#step-2-stackset)
Attendez que l'étape 1 soit terminée, car le modèle de l'étape 2 fait référence aux rôles IAM créés par l'étape 1.
+ À l'aide d'un service géré StackSet, lancez le CloudFormation modèle `automated-security-response-member-roles.template` AWS dans une seule région dans chaque compte de vos organisations AWS.
+ Choisissez d'installer ce modèle automatiquement lorsqu'un nouveau compte rejoint l'organisation.
+ Entrez l'ID de compte de votre compte d'administrateur AWS Security Hub.
+ Entrez une valeur pour le `namespace` qui sera utilisé pour éviter les conflits de noms de ressources avec un déploiement précédent ou simultané dans le même compte. Entrez une chaîne de 9 caractères alphanumériques minuscules maximum.
[Étape 3 : Lancez la pile de membres dans chaque compte membre et région d'AWS Security Hub](#step-3-stackset)
+ À l'aide de l'autogestion StackSets, lancez le CloudFormation modèle `automated-security-response-member.template` AWS dans toutes les régions où vous disposez de ressources AWS dans chaque compte de votre organisation AWS géré par le même administrateur du Security Hub.
**Note**
Jusqu'à ce que le StackSets support géré par les services soit intégré, vous devez effectuer cette étape pour tous les nouveaux comptes qui rejoignent l'organisation.
+ Choisissez les playbooks Security Standard à installer.
+ Indiquez le nom d'un groupe de CloudTrail journaux (utilisé par certaines corrections).
+ Entrez l'ID de compte de votre compte d'administrateur AWS Security Hub.
+ Entrez une valeur pour le `namespace` qui sera utilisé pour éviter les conflits de noms de ressources avec un déploiement précédent ou simultané dans le même compte. Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Cela doit correspondre à la `namespace` valeur que vous avez sélectionnée pour la pile des rôles des membres. De plus, la valeur de l'espace de noms n'a pas besoin d'être unique par compte membre.
## (Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets
1. Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, lancez d'abord la pile d'intégration correspondante.
1. Choisissez les piles d'intégration fournies pour Jira ou ServiceNow utilisez-les comme modèle pour implémenter votre propre intégration personnalisée.
**Pour déployer la pile Jira**, procédez comme suit :
1. Entrez un nom pour votre pile.
1. Fournissez l'URI de votre instance Jira.
1. Fournissez la clé de projet pour le projet Jira auquel vous souhaitez envoyer des tickets.
1. Créez un nouveau secret clé-valeur dans Secrets Manager qui contient votre `Username` Jira et. `Password`
**Note**
Vous pouvez choisir d'utiliser une clé d'API Jira à la place de votre mot de passe en fournissant votre nom d'utilisateur `Username` et votre clé API en tant que. `Password`
1. Ajoutez l'ARN de ce secret comme entrée à la pile.
**Fournissez un nom de pile, des informations sur le projet Jira et des informations d'identification de l'API Jira.**
![\[stack d'intégration du système de tickets jira\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuration du champ Jira** :
Après avoir déployé la pile Jira, vous pouvez personnaliser les champs des tickets Jira en définissant la variable d'`JIRA_FIELDS_MAPPING`environnement sur la fonction Lambda. Cette chaîne JSON remplace les champs de ticket Jira par défaut et doit suivre la structure des champs de l'API Jira.
Valeurs par défaut lorsqu'il `JIRA_FIELDS_MAPPING` est vide ou que les champs ne sont pas spécifiés :
+ **priorité** : `{"id": "3"}` (Priorité moyenne)
+ type de **problème : `{"id": "10006"}` (Tâche**)
+ **AccountID** : Récupéré automatiquement à l'aide du point de terminaison de l'API `GET /rest/api/2/myself`
Exemple de configuration avec des champs personnalisés :
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Champ IDs Jira commun :
+ **Priorité IDs** : 1 (la plus élevée), 2 (haute), 3 (moyenne), 4 (faible), 5 (la plus faible)
+ **ID du type de problème** : varie en fonction du projet Jira (par exemple, 10006 pour Task)
+ **Identifiant du compte** : Format `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Vous pouvez trouver votre champ IDs et votre compte Jira à IDs l'aide de l'API REST de Jira :
+ `GET /rest/api/2/myself`pour l'identifiant du compte
+ `GET /rest/api/2/priority`pour la priorité IDs
+ `GET /rest/api/2/project/{projectKey}`pour le type de problème IDs
Pour plus d'informations, reportez-vous au [format POST Issue POST de l'API Jira REST v2](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Pour déployer la ServiceNow pile** :
1. Entrez un nom pour votre pile.
1. Indiquez l'URI de votre ServiceNow instance.
1. Entrez le nom ServiceNow de votre table.
1. Créez une clé d'API ServiceNow avec l'autorisation de modifier la table dans laquelle vous souhaitez écrire.
1. Créez un secret dans Secrets Manager avec la clé `API_Key` et fournissez l'ARN secret en entrée de la pile.
**Fournissez un nom de pile, des informations sur le ServiceNow projet et des informations d'identification de ServiceNow l'API.**
![\[stack d'intégration du système de tickets servicenow\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Pour créer une pile d'intégration personnalisée** : incluez une fonction Lambda que l'orchestrateur de solutions Step Functions peut appeler pour chaque correction. La fonction Lambda doit prendre les données fournies par Step Functions, construire une charge utile conformément aux exigences de votre système de billetterie et demander à votre système de créer le ticket.
## Étape 1 : Lancez la pile d'administration dans le compte administrateur délégué du Security Hub
1. Lancez la [pile d'`automated-security-response-admin.template`administration](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) avec votre compte d'administrateur Security Hub. Généralement, un par organisation dans une seule région. Comme cette pile utilise des piles imbriquées, vous devez déployer ce modèle en tant que modèle autogéré. StackSet
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Charger SC Admin Stack** | `yes` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles SC. |
| **Charger la pile d'administration AFSBP** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles FSBP. |
| **Charger CIS120 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS120 contrôles. |
| **Charger CIS140 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS140 contrôles. |
| **Charger CIS300 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des CIS300 contrôles. |
| **Charger PC1321 Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des PC1321 contrôles. |
| **Charger le NIST Admin Stack** | `no` | Spécifiez s'il faut installer les composants d'administration pour la correction automatique des contrôles NIST. |
| **Réutiliser le groupe de journaux Orchestrator** | `no` | Choisissez de réutiliser ou non un groupe de `SO0111-ASR-Orchestrator` CloudWatch journaux existant. Cela simplifie la réinstallation et les mises à niveau sans perdre les données du journal d'une version précédente. Réutilisez l'existant, `Orchestrator Log Group` choisissez `yes` s'il existe `Orchestrator Log Group` toujours depuis un déploiement antérieur dans ce compte, sinon`no`. Si vous effectuez une mise à jour de la pile à partir d'une version antérieure à la version 2.3.0, choisissez `no` |
| **ShouldDeployWebUI** | `yes` | Déployez les composants de l'interface utilisateur Web, notamment API Gateway, les fonctions Lambda et CloudFront la distribution. Sélectionnez « Oui » pour activer l'interface utilisateur Web permettant de visualiser les résultats et l'état des mesures correctives. Si vous choisissez de désactiver cette fonctionnalité, vous pouvez toujours configurer des corrections automatisées et exécuter des corrections à la demande à l'aide de l'action personnalisée Security Hub CSPM. |
| **AdminUserEmail** | *(Entrée facultative)* | Adresse e-mail de l'utilisateur administrateur initial. Cet utilisateur aura un accès administratif complet à l'interface utilisateur Web d'ASR. Obligatoire **uniquement** lorsque l'interface utilisateur Web est activée. |
| **Utiliser CloudWatch les métriques** | `yes` | Spécifiez si vous souhaitez activer CloudWatch les métriques pour surveiller la solution. Cela créera un CloudWatch tableau de bord pour consulter les statistiques. |
| **Utiliser les alarmes CloudWatch métriques** | `yes` | Spécifiez si vous souhaitez activer CloudWatch les alarmes métriques pour la solution. Cela créera des alarmes pour certaines métriques collectées par la solution. |
| **RemediationFailureAlarmThreshold** | `5` | Spécifiez le seuil pour le pourcentage d'échecs de correction par ID de contrôle. Par exemple, si vous entrez`5`, vous recevez une alarme si un ID de contrôle échoue dans plus de 5 % des cas de correction au cours d'une journée donnée. Ce paramètre ne fonctionne que si des alarmes sont créées (voir le paramètre **Utiliser CloudWatch les alarmes métriques**). |
| **EnableEnhancedCloudWatchMetrics** | `no` | Si`yes`, crée des CloudWatch métriques supplémentaires pour suivre tous les contrôles IDs individuellement sur le CloudWatch tableau de bord et sous forme d' CloudWatch alarmes. Consultez la section [Coût](cost.md#additional-cost-enhanced-metrics) pour comprendre les coûts supplémentaires que cela entraîne. |
| **TicketGenFunctionName** | *(Entrée facultative)* | Facultatif. Laissez ce champ vide si vous ne souhaitez pas intégrer de système de billetterie. Sinon, fournissez le nom de la fonction Lambda à partir de la sortie de la pile de l'[étape 0](deployment.md#step-0), par exemple :. `SO0111-ASR-ServiceNow-TicketGenerator` |
** StackSet Options de configuration**
![\[configurer les options du stackset\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Pour le paramètre **Account numbers**, entrez l'ID de compte du compte administrateur AWS Security Hub.
1. Pour le **paramètre Specify** regions, sélectionnez uniquement la région dans laquelle l'administrateur Security Hub est activé. Attendez que cette étape soit terminée avant de passer à l'étape 2.
## Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub
Utilisez un service géré StackSets pour déployer le [modèle de rôles des membres](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Cela StackSet doit être déployé dans une région par compte membre. Il définit les rôles globaux qui autorisent les appels d'API entre comptes à partir de la fonction d'étape ASR Orchestrator.
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Namespace** | ** | Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Espace de noms unique à ajouter en tant que suffixe aux noms de rôles IAM de correction. Le même espace de noms doit être utilisé dans les rôles des membres et dans les piles de membres. Cette chaîne doit être unique pour chaque déploiement de solution, mais il n'est pas nécessaire de la modifier lors des mises à jour de la pile. Il n'est **pas** nécessaire que la valeur de l'espace de noms soit unique par compte membre. |
| **Administrateur du compte Sec Hub** | ** | Entrez l'ID de compte à 12 chiffres du compte administrateur AWS Security Hub. Cette valeur accorde des autorisations au rôle de solution du compte administrateur. |
1. Déployez dans l'ensemble de l'organisation (standard) ou dans les unités organisationnelles, conformément aux politiques de votre organisation.
1. Activez le déploiement automatique afin que les nouveaux comptes des organisations AWS reçoivent ces autorisations.
1. Pour le paramètre **Spécifier les régions**, sélectionnez une seule région. Les rôles IAM sont globaux. Vous pouvez passer à l'étape 3 pendant le StackSet déploiement.
**Spécifiez StackSet les détails**
![\[spécifier les détails du stackset\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Étape 3 : Lancez la pile de membres dans chaque compte membre et région d'AWS Security Hub
Comme la [pile de membres](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) utilise des piles imbriquées, vous devez effectuer le déploiement en tant que solution autogérée. StackSet Cela ne prend pas en charge le déploiement automatique vers de nouveaux comptes dans l'organisation AWS.
### Parameters
| Paramètre | Par défaut | Description |
| --- | --- | --- |
| **Indiquez le nom du LogGroup à utiliser pour créer des filtres métriques et des alarmes** | ** | Spécifiez le nom d'un groupe CloudWatch Logs dans lequel sont CloudTrail enregistrés les appels d'API. Ceci est utilisé pour les corrections CIS 3.1-3.14. |
| **Load SC Member Stack** | `yes` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles SC. |
| **Charger la pile de membres de l'AFSBP** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles FSBP. |
| **Charger la pile de CIS120 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS120 contrôles. |
| **Charger la pile de CIS140 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS140 contrôles. |
| **Charger la pile de CIS300 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des CIS300 contrôles. |
| **Charger la pile de PC1321 membres** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des PC1321 contrôles. |
| **Charger la pile de membres du NIST** | `no` | Spécifiez s'il faut installer les composants membres pour la correction automatique des contrôles NIST. |
| **Création d'un compartiment S3 pour la journalisation des audits Redshift** | `no` | Indiquez `yes` si le compartiment S3 doit être créé pour la correction FSBP RedShift .4. Pour plus de détails sur le compartiment S3 et la correction, consultez la correction [Redshift.4 dans le guide de l'utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) d'*AWS* Security Hub. |
| **Compte administrateur Sec Hub** | ** | Entrez l'ID de compte à 12 chiffres du compte administrateur AWS Security Hub. |
| **Namespace** | ** | Entrez une chaîne de 9 caractères alphanumériques minuscules maximum. Cette chaîne fait partie des noms de rôles IAM et du compartiment Action Log S3. Utilisez la même valeur pour le déploiement de la pile de membres et le déploiement de la pile de rôles des membres. La chaîne doit être unique pour chaque déploiement de solution, mais il n'est pas nécessaire de la modifier lors des mises à jour de la pile. |
| **EnableCloudTrailForASRActionJournal** | `no` | Indiquez `yes` si vous souhaitez surveiller les événements de gestion menés par la solution sur le CloudWatch tableau de bord. La solution crée une CloudTrail trace dans chaque compte membre que vous sélectionnez`yes`. Vous devez déployer la solution dans une organisation AWS pour activer cette fonctionnalité. **En outre, vous ne pouvez activer cette fonctionnalité que dans une seule région au sein du même compte.** Consultez la section [Coût](cost.md#additional-cost-action-log) pour comprendre les coûts supplémentaires que cela entraîne. |
**Comptes**
![\[comptes\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Lieux de déploiement** : vous pouvez spécifier une liste de numéros de compte ou d'unités organisationnelles.
**Spécifiez les régions** : sélectionnez toutes les régions dans lesquelles vous souhaitez corriger les résultats. Vous pouvez ajuster les options de déploiement en fonction du nombre de comptes et de régions. La simultanéité des régions peut être parallèle.