Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérez automatiquement les menaces de sécurité grâce à des actions de réponse et de correction prédéfinies dans AWS Security Hub
Ce guide de mise en œuvre fournit une vue d'ensemble de la solution Automated Security Response on AWS, de son architecture de référence et de ses composants, des considérations relatives à la planification du déploiement, ainsi que des étapes de configuration pour le déploiement de la solution Automated Security Response on AWS sur le cloud Amazon Web Services (AWS).
Utilisez ce tableau de navigation pour trouver rapidement les réponses aux questions suivantes :
| Si tu veux... | Lisez. |
| --- | --- |
| Connaître le coût de fonctionnement de cette solution | [Coût](cost.md) |
| Comprendre les considérations de sécurité liées à cette solution | [Sécurité](security.md) |
| Savoir comment planifier les quotas pour cette solution | [Quotas](quotas.md) |
| Découvrez quelles régions AWS sont prises en charge pour cette solution | [Régions AWS prises en charge](plan-your-deployment.md#supported-aws-regions) |
| Consultez ou téléchargez le CloudFormation modèle AWS inclus dans cette solution pour déployer automatiquement les ressources d'infrastructure (la « pile ») de cette solution | [ CloudFormation Modèles AWS](aws-cloudformation-template.md) |
| Accédez au code source et utilisez éventuellement l'AWS Cloud Development Kit (AWS CDK) pour déployer la solution. | [GitHub référentiel](https://github.com/aws-solutions/automated-security-response-on-aws) |
L'évolution continue de la sécurité nécessite des mesures proactives pour sécuriser les données, ce qui peut rendre la réaction des équipes de sécurité difficile, coûteuse et chronophage. La solution Automated Security Response on AWS vous aide à réagir rapidement pour résoudre les problèmes de sécurité en fournissant des réponses prédéfinies et des actions correctives basées sur les normes de conformité du secteur et les meilleures pratiques.
[Automated Security Response on AWS est une solution AWS qui fonctionne avec [AWS Security Hub](https://aws.amazon.com/security-hub/) pour améliorer votre sécurité et vous aider à aligner vos charges de travail sur les meilleures pratiques du pilier de sécurité Well-Architected (0). SEC1](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html) Cette solution permet aux clients d'AWS Security Hub de résoudre plus facilement les problèmes de sécurité courants et d'améliorer leur niveau de sécurité dans AWS.
Vous pouvez sélectionner des playbooks spécifiques à déployer sur votre compte principal Security Hub. Chaque playbook contient les actions personnalisées, les rôles [Identity and Access Management](https://aws.amazon.com/iam/) (IAM), les [ EventBridge règles Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), les documents d'automatisation d'[AWS Systems Manager](https://aws.amazon.com/systems-manager/), les fonctions [AWS Lambda et les fonctions AWS](https://aws.amazon.com/lambda/) [Step](https://aws.amazon.com/step-functions/) Functions nécessaires pour démarrer un flux de travail de correction au sein d'un seul compte AWS ou sur plusieurs comptes. Les correctifs fonctionnent à partir du menu Actions d'AWS Security Hub et permettent aux utilisateurs autorisés de corriger une découverte concernant l'ensemble de leurs comptes gérés par AWS Security Hub en une seule action. Par exemple, vous pouvez appliquer les recommandations de l'AWS Foundations Benchmark du Center for Internet Security (CIS), une norme de conformité visant à sécuriser les ressources AWS, afin de garantir que les mots de passe expirent dans les 90 jours et d'appliquer le chiffrement des journaux d'événements stockés dans AWS.
**Note**
Les mesures correctives sont destinées aux situations d'urgence qui nécessitent une action immédiate. Cette solution apporte des modifications pour corriger les résultats uniquement lorsque vous l'avez initiée via la console de gestion AWS Security Hub, ou lorsque la correction automatique a été activée à l'aide de la table DynamoDB de configuration de correction. Pour annuler ces modifications, vous devez remettre manuellement les ressources dans leur état d'origine.
Lorsque vous corrigez des ressources AWS déployées dans le cadre de la CloudFormation pile, sachez que cela peut provoquer une dérive. Dans la mesure du possible, corrigez les ressources de la pile en modifiant le code qui définit les ressources de la pile et en mettant à jour la pile. Pour plus d'informations, reportez-vous à [Qu'est-ce que la dérive ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift) dans le *guide de CloudFormation l'utilisateur AWS*.
Automated Security Response on AWS inclut les correctifs relatifs aux normes de sécurité définies dans le cadre des directives suivantes :
+ [Centre pour la sécurité Internet (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)
+ [Test de référence CIS AWS Foundations v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)
+ [Test de référence CIS AWS Foundations v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)
+ [Bonnes pratiques de sécurité de base d'AWS (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)
+ [Norme de sécurité des données du secteur des cartes de paiement (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)
+ [Institut national des normes et de la technologie (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)
La solution inclut également un manuel de contrôle de sécurité (SC) pour la [fonctionnalité de consolidation des résultats de contrôle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) d'AWS Security Hub. Pour plus d'informations, reportez-vous à [Playbooks](playbooks.md). Nous vous recommandons d'utiliser le playbook SC ainsi que les résultats de contrôle consolidés dans Security Hub.
Ce guide de mise en œuvre aborde les considérations architecturales et les étapes de configuration pour le déploiement de la solution Automated Security Response on AWS dans le cloud AWS. Il inclut des liens vers des CloudFormation modèles [AWS](https://aws.amazon.com/cloudformation/) qui lancent, configurent et exécutent les services de calcul, de réseau, de stockage et autres services AWS nécessaires au déploiement de cette solution sur AWS, en utilisant les meilleures pratiques d'AWS en matière de sécurité et de disponibilité.
Le guide est destiné aux architectes d'infrastructure informatique, aux administrateurs et aux DevOps professionnels ayant une expérience pratique de l'architecture dans le cloud AWS.
# Fonctionnalités et avantages
La réponse de sécurité automatisée sur AWS fournit les fonctionnalités suivantes :
**Corriger automatiquement les résultats pour des contrôles spécifiques**
Configurez la solution pour corriger automatiquement les résultats relatifs à des contrôles spécifiques en modifiant la table DynamoDB de configuration de correction déployée sur le compte administrateur.
**Gérez les mesures correctives sur plusieurs comptes et régions à partir d'un seul emplacement**
À partir d'un compte administrateur AWS Security Hub configuré comme destination d'agrégation pour les comptes et les régions de votre organisation, lancez une correction en cas de découverte dans tous les comptes et régions dans lesquels la solution est déployée.
**Soyez informé des mesures correctives et des résultats**
Abonnez-vous à la rubrique Amazon SNS déployée par la solution pour être averti lorsque des mesures correctives sont initiées et si elles ont réussi ou non.
**Utiliser l'interface utilisateur Web pour démarrer, afficher et gérer les mesures correctives**
Vous aurez la possibilité d'activer l'interface utilisateur Web de la solution lors du déploiement de la pile d'administration, qui fournira une vue complète et conviviale pour exécuter les corrections et visualiser toutes les corrections effectuées par la solution par le passé.
**Intégrez des systèmes de tickets tels que Jira ou ServiceNow**
Pour aider votre organisation à réagir aux mesures correctives (par exemple, en mettant à jour le code de votre infrastructure), cette solution peut envoyer des tickets vers votre système de billetterie externe.
**Utiliser AWSConfig les mesures correctives dans les partitions GovCloud et Chine**
Certaines des corrections incluses dans la solution sont des repackages de documents de AWSConfig correction appartenant à AWS qui sont disponibles sur la partition commerciale, mais pas en Chine ou en Chine. GovCloud Déployez cette solution pour utiliser ces documents dans ces partitions.
**Étendez la solution grâce à des correctifs personnalisés et à des implémentations de Playbook**
La solution est conçue pour être extensible et personnalisable. Pour spécifier une implémentation alternative de correction, déployez des documents d'automatisation AWS Systems Manager personnalisés et des rôles AWS IAM. Pour prendre en charge un tout nouvel ensemble de contrôles qui n'est pas implémenté par la solution, déployez un Playbook personnalisé.
# Cas d’utilisation
**Appliquez la conformité à une norme dans tous les comptes et régions de votre organisation**
Déployez le Playbook pour une norme (par exemple, les meilleures pratiques de sécurité de base d'AWS) afin de pouvoir utiliser les correctifs fournis. Lancez automatiquement ou manuellement des mesures correctives pour les ressources de tous les comptes et régions dans lesquels la solution est déployée afin de corriger les ressources non conformes.
**Déployez des correctifs personnalisés ou des Playbooks pour répondre aux besoins de conformité de votre entreprise**
Utilisez les composants d'Orchestrator fournis comme framework. Créez des solutions personnalisées pour gérer les out-of-compliance ressources en fonction des besoins spécifiques de votre organisation.
# Concepts et définitions
Cette section décrit les concepts clés et définit la terminologie spécifique à cette solution :
**remédiation, manuel de remédiation**
Implémentation d'un ensemble d'étapes permettant de résoudre une constatation. Par exemple, une correction pour le contrôle Security Control (SC) Lambda.1 « Les politiques relatives aux fonctions Lambda doivent interdire l'accès public » modifierait la politique de la fonction AWS Lambda correspondante afin de supprimer les instructions autorisant l'accès public.
**runbook de contrôle**
L'un des documents d'automatisation d'AWS Systems Manager (SSM) que l'orchestrateur utilise pour acheminer une correction initiée pour un contrôle spécifique vers le manuel de correction approprié. Par exemple, les correctifs pour SC Lambda.1 et AWS Foundational Security Best Practices (FSBP) Lambda.1 sont mis en œuvre avec le même manuel de correction. L'orchestrateur appelle le runbook de contrôle pour chaque contrôle, nommés respectivement ASR-AFSBP\$1Lambda.1 et ASR-SC\$12.0.0\$1Lambda.1. Chaque runbook de contrôle invoque le même runbook de correction, qui dans ce cas serait ASR-. RemoveLambdaPublicAccess
**orchestrateur**
Les Step Functions déployées par la solution qui prend en entrée un objet de recherche provenant d'AWS Security Hub et invoque le manuel de contrôle approprié dans le compte et la région cibles. L'orchestrateur informe également la rubrique SNS de la solution lorsque la correction est lancée et lorsque la correction réussit ou échoue.
**norme**
Groupe de contrôles défini par une organisation dans le cadre d'un cadre de conformité. Par exemple, l'une des normes prises en charge par AWS Security Hub et cette solution est AWS FSBP.
**contrôle**
Description des propriétés qu'une ressource doit ou ne doit pas posséder pour être conforme. Par exemple, le contrôle AWS FSBP Lambda.1 indique qu'AWS Lambda Functions doit interdire l'accès public. Une fonction autorisant l'accès public échouerait à ce contrôle.
**résultats de contrôle consolidés, contrôle de sécurité, vue des contrôles de sécurité**
Fonctionnalité d'AWS Security Hub qui, lorsqu'elle est activée, affiche les résultats avec leur contrôle consolidé IDs plutôt IDs que ceux correspondant à une norme particulière. Par exemple, les contrôles AWS FSBP S3.2, CIS v1.2.0 2.3, CIS v1.4.0 2.1.5.2 et PCI-DSS v3.2.1 S3.1 correspondent tous au contrôle consolidé (SC) S3.2 « Les compartiments S3 devraient interdire l'accès public en lecture ». Lorsque cette fonctionnalité est activée, les runbooks SC sont utilisés.
**[Solution Web UI] administrateur délégué**
Dans le contexte de l'interface utilisateur Web de la solution, un administrateur délégué est un utilisateur qui a été invité par l'administrateur et qui dispose d'un accès complet pour exécuter les corrections et consulter l'historique des corrections. Cet utilisateur peut également consulter et gérer les autres utilisateurs de l'opérateur de compte.
**Opérateur de compte [Solution Web UI]**
Dans le contexte de l'interface utilisateur Web de la solution, un opérateur de compte est un utilisateur invité par un administrateur ou un administrateur délégué à accéder à l'interface utilisateur Web de la solution. Cet utilisateur est associé à une liste d'identifiants de compte AWS fournis dans son invitation ; il peut uniquement exécuter des corrections et consulter l'historique des corrections en ce qui concerne les ressources de ces comptes.
Pour une référence générale des termes AWS, reportez-vous au [glossaire AWS](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html).