Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Contoh triaging dan remediasi temuan keamanan
Bagian ini memberikan contoh proses triase untuk tim keamanan, cloud, dan aplikasi. Ini membahas jenis temuan yang biasanya ditangani oleh setiap tim dan memberikan contoh bagaimana merespons. Panduan remediasi tingkat tinggi juga disertakan.
**Topics**
+ [Contoh tim keamanan: Membuat aturan otomatisasi CSPM Security Hub](security-team-example.md)
+ [Contoh tim cloud: Mengubah konfigurasi VPC](cloud-team-example.md)
+ [Contoh tim aplikasi: Membuat AWS Config aturan](application-team-example.md)
# Contoh tim keamanan: Membuat aturan otomatisasi CSPM Security Hub
Tim keamanan menerima temuan terkait deteksi ancaman, termasuk GuardDuty temuan Amazon. Untuk daftar lengkap jenis GuardDuty pencarian yang dikategorikan berdasarkan jenis AWS sumber daya, lihat [Menemukan jenis](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) dalam GuardDuty dokumentasi. Tim keamanan harus terbiasa dengan semua jenis temuan ini.
Untuk contoh ini, tim keamanan menerima tingkat risiko terkait untuk temuan keamanan Akun AWS yang digunakan secara ketat untuk tujuan pembelajaran dan tidak menyertakan data penting atau sensitif. Nama akun ini adalah`sandbox`, dan ID akun adalah`123456789012`. Tim keamanan dapat membuat aturan AWS Security Hub CSPM otomatisasi yang menekan semua GuardDuty temuan dari akun ini. Mereka dapat membuat aturan dari template, yang mencakup banyak kasus penggunaan umum, atau mereka dapat membuat aturan khusus. Di Security Hub CSPM, kami merekomendasikan untuk melihat pratinjau hasil kriteria untuk mengonfirmasi bahwa aturan mengembalikan temuan yang dimaksud.
**catatan**
Contoh ini menyoroti fungsionalitas aturan otomatisasi. Kami tidak menyarankan untuk menekan semua GuardDuty temuan untuk sebuah akun. Konteks penting, dan setiap organisasi harus memilih temuan mana yang akan ditekan berdasarkan tipe data, klasifikasi, dan kontrol mitigasi.
Berikut ini adalah parameter yang digunakan untuk membuat aturan otomatisasi ini:
+ **Aturan:**
+ **Nama aturan** adalah `Suppress findings from Sandbox account`
+ **Deskripsi aturan** adalah `Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account`
+ **Kriteria:**
+ `AwsAccountId` = `123456789012`
+ `ProductName` = `GuardDuty`
+ `WorkflowStatus` = `NEW`
+ `RecordState` = `ACTIVE`
+ **Tindakan otomatis:**
+ `Workflow.status`adalah `SUPPRESSED`
Untuk informasi selengkapnya, lihat [Aturan otomatisasi](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html) di dokumentasi CSPM Security Hub. Tim keamanan memiliki banyak pilihan untuk menyelidiki dan memulihkan temuan untuk ancaman yang terdeteksi. Untuk panduan ekstensif, lihat [Panduan Respons Insiden AWS Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html). Kami merekomendasikan untuk meninjau panduan ini untuk mengonfirmasi bahwa Anda telah menetapkan proses respons insiden yang kuat.
# Contoh tim cloud: Mengubah konfigurasi VPC
Tim cloud bertanggung jawab untuk memuji dan memulihkan temuan keamanan yang memiliki tren umum, seperti perubahan pada pengaturan AWS default yang mungkin tidak sesuai dengan kasus penggunaan Anda. Temuan ini cenderung mempengaruhi banyak Akun AWS atau sumber daya, seperti konfigurasi VPC, atau mereka termasuk pembatasan yang harus ditempatkan di seluruh lingkungan. Sebagian besar, tim cloud membuat perubahan manual satu kali, seperti menambahkan atau memperbarui kebijakan.
Setelah organisasi Anda menggunakan AWS lingkungan untuk beberapa waktu, Anda mungkin menemukan serangkaian anti-pola yang berkembang. *Anti-pola* adalah solusi yang sering digunakan untuk masalah berulang di mana solusinya kontra-produktif, tidak efektif, atau kurang efektif daripada alternatif. Sebagai alternatif dari anti-pola ini, organisasi Anda dapat menggunakan pembatasan lingkungan yang lebih efektif, seperti kebijakan kontrol AWS Organizations layanan (SCPs) atau kumpulan izin Pusat Identitas IAM. SCPs dan set izin dapat memberikan batasan tambahan untuk jenis sumber daya, seperti mencegah pengguna mengonfigurasi bucket Amazon Simple Storage Service (Amazon S3) publik. Meskipun mungkin tergoda untuk membatasi setiap konfigurasi keamanan yang mungkin, ada batasan ukuran kebijakan untuk SCPs dan set izin. Kami merekomendasikan pendekatan yang seimbang untuk kontrol preventif dan detektif.
Berikut ini adalah beberapa kontrol dari standar AWS Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) yang mungkin menjadi tanggung jawab tim cloud:
+ [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2)
+ [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6)
+ [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23)
+ [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1)
+ [[Config.1] AWS Config harus diaktifkan](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)
Untuk contoh ini, tim cloud menangani temuan untuk kontrol FSBP EC2.2. [Dokumentasi](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) untuk kontrol ini merekomendasikan untuk tidak menggunakan grup keamanan default karena memungkinkan akses luas melalui aturan masuk dan keluar default. Karena grup keamanan default tidak dapat dihapus, rekomendasinya adalah mengubah pengaturan aturan untuk membatasi lalu lintas masuk dan keluar. Untuk mengatasi masalah ini secara efisien, tim cloud harus menggunakan mekanisme yang telah ditetapkan untuk memodifikasi aturan grup keamanan untuk semua VPCs karena setiap VPC memiliki grup keamanan default ini. Dalam kebanyakan kasus, tim cloud mengelola konfigurasi VPC dengan menggunakan [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)kustomisasi atau alat infrastruktur sebagai kode (IAc), seperti atau. [https://www.terraform.io/](https://www.terraform.io/)
# Contoh tim aplikasi: Membuat AWS Config aturan
Berikut ini adalah beberapa kontrol dari standar keamanan Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) Security Hub yang mungkin bertanggung jawab atas aplikasi atau tim pengembangan:
+ [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1)
+ [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19)
+ [[CodeBuild.1] CodeBuild GitHub atau repositori sumber Bitbucket harus digunakan URLs OAuth](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1)
+ [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4)
+ [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1)
Untuk contoh ini, tim aplikasi menangani temuan untuk kontrol FSBP EC2.19. Kontrol ini memeriksa apakah lalu lintas masuk yang tidak terbatas untuk grup keamanan dapat diakses ke port tertentu yang memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari `0.0.0.0/0` atau `::/0` untuk port tersebut. [Dokumentasi](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) untuk kontrol ini merekomendasikan untuk menghapus aturan yang memungkinkan lalu lintas ini.
Selain menangani aturan kelompok keamanan individu, ini adalah contoh bagus dari temuan yang seharusnya menghasilkan AWS Config [aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) baru. Dengan menggunakan [mode evaluasi proaktif](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes), Anda dapat membantu mencegah penerapan aturan grup keamanan berisiko di masa depan. Mode proaktif mengevaluasi sumber daya sebelum digunakan sehingga Anda dapat mencegah sumber daya yang salah konfigurasi dan temuan keamanan terkait. Saat menerapkan layanan baru atau fungsionalitas baru, tim aplikasi dapat menjalankan aturan dalam mode proaktif sebagai bagian dari pipeline continuous integration and continuous delivery (CI/CD) untuk mengidentifikasi sumber daya yang tidak sesuai. Gambar berikut menunjukkan bagaimana Anda dapat menggunakan AWS Config aturan proaktif untuk mengonfirmasi bahwa infrastruktur yang ditentukan dalam AWS CloudFormation template sesuai.
![\[AWS Config Aturan proaktif memeriksa AWS CloudFormation templat untuk kepatuhan\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png)
Efisiensi penting lainnya dapat diperoleh dalam contoh ini. Ketika tim aplikasi membuat AWS Config aturan proaktif, mereka dapat membagikannya dalam repositori kode umum sehingga tim aplikasi lain dapat menggunakannya.
Setiap temuan yang terkait dengan kontrol CSPM Security Hub berisi rincian tentang temuan dan tautan ke instruksi untuk memulihkan masalah. Meskipun tim cloud mungkin menemukan temuan yang memerlukan remediasi manual satu kali, bila perlu, kami merekomendasikan untuk membuat pemeriksaan proaktif yang mengidentifikasi masalah sedini mungkin dalam proses pengembangan.