Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déploiement automatisé - Stacks
**Note**
Pour les clients ayant plusieurs comptes, nous recommandons vivement [le déploiement avec StackSets](deployment-stackset.md).
Avant de lancer la solution, passez en revue l'architecture, les composants de la solution, la sécurité et les considérations de conception abordées dans ce guide. Suivez les step-by-step instructions de cette section pour configurer et déployer la solution dans votre compte.
**Temps de déploiement :** environ 30 minutes
## Conditions préalables
Avant de déployer cette solution, assurez-vous qu'AWS Security Hub se trouve dans la même région AWS que vos comptes principal et secondaire. Si vous avez déjà déployé cette solution, vous devez désinstaller la solution existante. Pour plus d'informations, reportez-vous à la section [Mettre à jour la solution](update-the-solution.md).
## Vue d'ensemble du déploiement
Suivez les étapes ci-dessous pour déployer cette solution sur AWS.
[(Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets](#step-0)
+ Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, déployez d'abord la pile d'intégration de billetterie dans votre compte administrateur Security Hub.
+ Copiez le nom de la fonction Lambda depuis cette pile et fournissez-le comme entrée à la pile d'administration (voir Étape 1).
[Étape 1 : Lancez la pile d'administration](#step-1)
+ Lancez le CloudFormation modèle `automated-security-response-admin.template` AWS sur votre compte d'administrateur AWS Security Hub.
+ Choisissez les normes de sécurité à installer.
+ Choisissez un groupe de journaux Orchestrator existant à utiliser (sélectionnez `Yes` s'il existe `SO0111-ASR-Orchestrator` déjà depuis une installation précédente).
[Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub](#step-2)
+ Lancez le CloudFormation modèle `automated-security-response-member-roles.template` AWS dans une région par compte membre.
+ Entrez l'IG de compte à 12 chiffres pour le compte administrateur AWS Security Hub.
[Étape 3 : Lancez la pile de membres](#step-3)
+ Spécifiez le nom du groupe de CloudWatch journaux à utiliser avec les corrections CIS 3.1-3.14. Il doit s'agir du nom du groupe de CloudWatch journaux qui reçoit CloudTrail les journaux.
+ Choisissez si vous souhaitez installer les rôles de correction. Installez ces rôles une seule fois par compte.
+ Sélectionnez les playbooks à installer.
+ Entrez l'ID de compte du compte administrateur AWS Security Hub.
[Étape 4 : (Facultatif) Ajustez les mesures correctives disponibles](#step-4)
+ Supprimez toutes les corrections pour chaque compte membre. Cette étape est facultative.
## (Facultatif) Étape 0 : Lancer une pile d'intégration d'un système de tickets
1. Si vous avez l'intention d'utiliser la fonctionnalité de billetterie, lancez d'abord la pile d'intégration correspondante.
1. Choisissez les piles d'intégration fournies pour Jira ou ServiceNow utilisez-les comme modèle pour implémenter votre propre intégration personnalisée.
**Pour déployer la pile Jira**, procédez comme suit :
1. Entrez un nom pour votre pile.
1. Fournissez l'URI de votre instance Jira.
1. Fournissez la clé de projet pour le projet Jira auquel vous souhaitez envoyer des tickets.
1. Créez un nouveau secret clé-valeur dans Secrets Manager qui contient votre `Username` Jira et. `Password`
**Note**
Vous pouvez choisir d'utiliser une clé d'API Jira à la place de votre mot de passe en fournissant votre nom d'utilisateur `Username` et votre clé API en tant que. `Password`
1. Ajoutez l'ARN de ce secret comme entrée à la pile.
**« Fournissez un nom de pile, des informations sur le projet Jira et des informations d'identification de l'API Jira.**
![\[stack d'intégration du système de tickets jira\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Configuration du champ Jira** :
Pour plus d'informations sur la personnalisation des champs de ticket Jira, reportez-vous à la section Configuration des champs Jira à l'[étape 0 du déploiement](deployment-stackset.md#step-0-stackset). StackSet
**Pour déployer la ServiceNow pile** :
1. Entrez un nom pour votre pile.
1. Indiquez l'URI de votre ServiceNow instance.
1. Entrez le nom ServiceNow de votre table.
1. Créez une clé d'API ServiceNow avec l'autorisation de modifier la table dans laquelle vous souhaitez écrire.
1. Créez un secret dans Secrets Manager avec la clé `API_Key` et fournissez l'ARN secret en entrée de la pile.
**Fournissez un nom de pile, des informations sur le ServiceNow projet et des informations d'identification de ServiceNow l'API.**
![\[stack d'intégration du système de tickets servicenow\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Pour créer une pile d'intégration personnalisée** : incluez une fonction Lambda que l'orchestrateur de solutions Step Functions peut appeler pour chaque correction. La fonction Lambda doit prendre les données fournies par Step Functions, construire une charge utile conformément aux exigences de votre système de billetterie et demander à votre système de créer le ticket.
## Étape 1 : Lancez la pile d'administration
**Important**
Cette solution inclut la collecte de données. Nous utilisons ces données pour mieux comprendre la façon dont les clients utilisent cette solution et les services et produits associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête. La collecte de données est soumise à l'[avis de confidentialité d'AWS](https://aws.amazon.com/privacy/).
Ce CloudFormation modèle AWS automatisé déploie la solution Automated Security Response on AWS dans le cloud AWS. Avant de lancer la pile, vous devez activer Security Hub et remplir les [conditions requises](#prerequisites).
**Note**
Vous êtes responsable du coût des services AWS utilisés lors de l'exécution de cette solution. Pour plus de détails, consultez la section [Coût](cost.md) de ce guide et consultez la page Web de tarification de chaque service AWS utilisé dans cette solution.
1. Connectez-vous à l'AWS Management Console depuis le compte sur lequel l'AWS Security Hub est actuellement configuré, puis utilisez le bouton ci-dessous pour lancer le CloudFormation modèle `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) comme point de départ pour votre propre implémentation.
1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
**Note**
Cette solution utilise AWS Systems Manager, qui n'est actuellement disponible que dans certaines régions AWS. La solution fonctionne dans toutes les régions qui prennent en charge ce service. Pour connaître la disponibilité la plus récente par région, consultez la [liste des services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la **zone de texte URL Amazon S3**, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux [limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
1. Sur la page **Paramètres**, choisissez **Next**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
**Note**
Vous devez activer manuellement les corrections automatiques dans le compte administrateur après le déploiement ou la mise à jour des CloudFormation piles de la solution.
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
## Étape 2 : installer les rôles de correction dans chaque compte membre d'AWS Security Hub
Ils ne `automated-security-response-member-roles.template` StackSet doivent être déployés que dans une seule région par compte membre. Il définit les rôles globaux qui autorisent les appels d'API entre comptes à partir de la fonction d'étape ASR Orchestrator.
1. Connectez-vous à l'AWS Management Console pour chaque compte membre d'AWS Security Hub (y compris le compte administrateur, qui est également membre). Sélectionnez le bouton pour lancer le CloudFormation modèle `automated-security-response-member-roles.template` AWS. Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) comme point de départ pour votre propre implémentation.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la zone de texte URL Amazon S3, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux limites IAM et STS dans le guide de l'utilisateur d'AWS Identity and Access Management.
1. Sur la page **Paramètres**, spécifiez les paramètres suivants et choisissez Next.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans environ 5 minutes. Vous pouvez passer à l'étape suivante pendant le chargement de cette pile.
## Étape 3 : Lancez la pile de membres
**Important**
Cette solution inclut la collecte de données. Nous utilisons ces données pour mieux comprendre la façon dont les clients utilisent cette solution et les services et produits associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête. La collecte de données est soumise à la politique de confidentialité d'AWS.
La `automated-security-response-member` pile doit être installée sur chaque compte membre du Security Hub. Cette pile définit les runbooks pour la correction automatique. L'administrateur de chaque compte membre peut contrôler les mesures correctives disponibles via cette pile.
1. Connectez-vous à l'AWS Management Console pour chaque compte membre d'AWS Security Hub (y compris le compte administrateur, qui est également membre). Sélectionnez le bouton pour lancer le CloudFormation modèle `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Vous pouvez également [télécharger le modèle](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) comme point de départ pour votre propre implémentation. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de l'AWS Management Console.
\$1
**Note**
Cette solution utilise AWS Systems Manager, qui est actuellement disponible dans la majorité des régions AWS. La solution fonctionne dans toutes les régions qui prennent en charge ces services. Pour connaître la disponibilité la plus récente par région, consultez la [liste des services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. Sur la page **Create stack**, vérifiez que l'URL du modèle est correcte dans la **zone de texte URL Amazon S3**, puis choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre pile de solutions. Pour plus d'informations sur les limites relatives aux caractères de dénomination, reportez-vous aux [limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
1. Sur la page **Paramètres**, spécifiez les paramètres suivants et choisissez **Next**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
## Étape 4 : (Facultatif) Ajustez les mesures correctives disponibles
Si vous souhaitez supprimer des corrections spécifiques d'un compte membre, vous pouvez le faire en mettant à jour la pile imbriquée pour la norme de sécurité. Pour des raisons de simplicité, les options de pile imbriquée ne sont pas propagées à la pile racine.
1. Connectez-vous à la [ CloudFormation console AWS](https://console.aws.amazon.com/cloudformation/home) et sélectionnez la pile imbriquée.
1. Choisissez **Mettre à jour**.
1. Sélectionnez **Mettre à jour la pile imbriquée**, puis **Mettre à jour la pile**.
**Mettre à jour la pile imbriquée**
![\[pile imbriquée\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Sélectionnez **Utiliser le modèle actuel**, puis **Suivant**.
1. Ajustez les mesures correctives disponibles. Modifiez les valeurs des commandes souhaitées par `Available` et des commandes indésirables par. `Not available`
**Note**
La désactivation d'une correction supprime le manuel de correction des solutions pour la norme et le contrôle de sécurité.
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez et confirmez les paramètres. Cochez la case indiquant que le modèle créera des ressources AWS Identity and Access Management (IAM).
1. Choisissez **Mettre à jour la pile**.
Vous pouvez consulter l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.