Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Terapkan solusinya
**penting**
Jika fitur [temuan kontrol konsolidasi](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) diaktifkan di Security Hub, hanya aktifkan buku pedoman Kontrol Keamanan (SC) saat menerapkan solusi ini. Jika fitur tidak diaktifkan, **hanya** aktifkan pedoman untuk standar keamanan yang diaktifkan di Security Hub. Temuan kontrol konsolidasi diaktifkan secara default jika Anda mengaktifkan CSPM Security Hub pada atau setelah 23 Februari 2023.
Solusi ini menggunakan [ CloudFormation templat dan tumpukan AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) untuk mengotomatiskan penerapannya. CloudFormation Template menentukan sumber daya AWS yang disertakan dalam solusi ini dan propertinya. CloudFormation Tumpukan menyediakan sumber daya yang dijelaskan dalam template.
Agar solusi berfungsi, tiga templat harus digunakan. Pertama, putuskan di mana harus menggunakan templat, lalu putuskan cara menerapkannya.
Ikhtisar ini akan menjelaskan template dan bagaimana memutuskan di mana dan bagaimana menerapkannya. Bagian selanjutnya akan memiliki instruksi yang lebih rinci untuk menyebarkan setiap tumpukan sebagai Stack atau StackSet.
# Memutuskan di mana untuk menyebarkan setiap tumpukan
Tiga templat akan dirujuk dengan nama-nama berikut dan berisi sumber daya berikut:
+ Tumpukan admin: fungsi langkah orkestrator, aturan acara, dan tindakan kustom Security Hub.
+ Tumpukan anggota: remediasi dokumen Otomasi SSM.
+ Tumpukan peran anggota: peran IAM untuk remediasi.
Tumpukan Admin harus digunakan sekali, dalam satu akun dan satu Wilayah. Ini harus diterapkan ke akun dan Wilayah yang telah Anda konfigurasikan sebagai tujuan agregasi untuk temuan Security Hub untuk organisasi Anda. Jika Anda ingin menggunakan fitur Log Tindakan untuk memantau peristiwa manajemen, Anda harus menerapkan tumpukan Admin di akun manajemen organisasi Anda atau akun administrator yang didelegasikan.
Solusi ini beroperasi pada temuan Security Hub, sehingga tidak akan dapat beroperasi pada temuan dari akun dan Wilayah tertentu jika akun atau Wilayah tersebut belum dikonfigurasi untuk mengumpulkan temuan di akun administrator Security Hub dan Wilayah.
**penting**
Jika Anda menggunakan [AWS Security Hub (non-CSPM)](https://aws.amazon.com/security-hub/) maka Anda bertanggung jawab untuk memastikan akun anggota Anda yang terhubung dengan AWS Security Hub CSPM juga terhubung dengan [AWS Security Hub (non-CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). Wilayah yang digabungkan dalam AWS Security Hub CSPM juga harus cocok dengan wilayah yang dikumpulkan di AWS Security Hub (non-CSPM).
Misalnya, organisasi memiliki akun yang beroperasi di Wilayah `us-east-1` dan`us-west-2`, dengan akun `111111111111` sebagai administrator yang didelegasikan oleh Security Hub di Region`us-east-1`. Akun `222222222222` dan `333333333333` harus merupakan akun anggota Security Hub untuk akun `111111111111` administrator yang didelegasikan. Ketiga akun harus dikonfigurasi untuk mengumpulkan temuan dari `us-west-2` ke`us-east-1`. Tumpukan Admin harus disebarkan ke akun`111111111111`. `us-east-1`
Untuk detail selengkapnya tentang menemukan agregasi, lihat dokumentasi untuk [akun administrator yang didelegasikan](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) Security Hub dan agregasi [lintas](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) wilayah.
Tumpukan Admin harus menyelesaikan penerapan terlebih dahulu sebelum menerapkan tumpukan anggota sehingga hubungan kepercayaan dapat dibuat dari akun anggota ke akun hub.
Tumpukan anggota harus disebarkan ke setiap akun dan Wilayah tempat Anda ingin memulihkan temuan. Ini dapat mencakup akun administrator yang didelegasikan Security Hub tempat Anda sebelumnya menggunakan tumpukan Admin ASR. Dokumen otomatisasi harus dijalankan di akun anggota untuk menggunakan tingkat gratis untuk Otomasi SSM.
Menggunakan contoh sebelumnya, jika Anda ingin memulihkan temuan dari semua akun dan Wilayah, tumpukan anggota harus disebarkan ke ketiga akun (`111111111111`,`222222222222`, dan`333333333333`) dan kedua Wilayah (`us-east-1`dan`us-west-2`).
Tumpukan peran anggota harus disebarkan ke setiap akun, tetapi berisi sumber daya global (peran IAM) yang hanya dapat digunakan sekali per akun. Tidak masalah di Wilayah mana Anda menerapkan tumpukan peran anggota, jadi untuk kesederhanaan, kami sarankan untuk menerapkan ke Wilayah yang sama di mana tumpukan Admin diterapkan.
Menggunakan contoh sebelumnya, kami sarankan untuk menerapkan tumpukan peran anggota ke ketiga akun (`111111111111`,`222222222222`, dan`333333333333`) di`us-east-1`.
## Memutuskan cara menerapkan setiap tumpukan
Opsi untuk menerapkan tumpukan adalah
+ CloudFormation StackSet (izin yang dikelola sendiri)
+ CloudFormation StackSet (izin yang dikelola layanan)
+ CloudFormation Tumpukan
StackSets dengan izin yang dikelola layanan adalah yang paling nyaman karena mereka tidak memerlukan penerapan peran Anda sendiri dan dapat secara otomatis menyebarkan ke akun baru di organisasi. Sayangnya, metode ini tidak mendukung tumpukan bersarang, yang kami gunakan di tumpukan Admin dan tumpukan anggota. Satu-satunya tumpukan yang dapat digunakan dengan cara ini adalah tumpukan peran anggota.
Ketahuilah bahwa saat menyebarkan ke seluruh organisasi, akun manajemen organisasi tidak disertakan, jadi jika Anda ingin memulihkan temuan di akun manajemen organisasi, Anda harus menyebarkan ke akun ini secara terpisah.
Tumpukan anggota harus diterapkan ke setiap akun dan Wilayah tetapi tidak dapat digunakan menggunakan izin yang dikelola layanan karena StackSets berisi tumpukan bersarang. Jadi kami sarankan untuk menerapkan tumpukan ini StackSets dengan izin yang dikelola sendiri.
Tumpukan Admin hanya digunakan sekali, sehingga dapat digunakan sebagai CloudFormation tumpukan biasa atau sebagai StackSet dengan izin yang dikelola sendiri dalam satu akun dan Wilayah.
## Temuan kontrol konsolidasi
Akun di organisasi Anda dapat dikonfigurasi dengan fitur temuan kontrol konsolidasi dari Security Hub diaktifkan atau dinonaktifkan. Lihat [Temuan kontrol konsolidasi](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) di *Panduan Pengguna AWS Security Hub*.
**penting**
Ketika fitur ini diaktifkan, Anda harus menggunakan solusi versi 2.0.0 atau yang lebih baru dan mengaktifkan playbook “SC” (Kontrol Keamanan) di tumpukan Admin dan Anggota. Tumpukan ini menyebarkan dokumen otomatisasi yang diperlukan untuk bekerja dengan kontrol terkonsolidasi. IDs Anda tidak perlu menerapkan tumpukan untuk standar individual (seperti AWS FSBP) saat menggunakan temuan kontrol konsolidasi.
## Penyebaran Tiongkok
Solusi ini mendukung penerapan di wilayah Tiongkok, namun **Anda harus menggunakan tombol Peluncuran berikut untuk penerapan satu klik di wilayah Tiongkok, daripada tombol Peluncuran yang disediakan di bagian lain** dari panduan ini. Menggunakan tombol “Luncurkan Solusi” yang disediakan di bagian mendatang dalam panduan ini tidak akan berfungsi jika Anda menerapkan di wilayah Tiongkok. Anda masih dapat mengunduh template dari tautan bucket S3 mana pun dan menerapkan tumpukan dengan mengunggah file templat.
+ **automated-security-response-admin.template**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.template**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud (AS) Penyebaran
Solusinya mendukung penerapan di wilayah GovCloud (AS), namun **Anda harus menggunakan tombol Luncurkan berikut untuk penerapan satu klik di wilayah GovCloud (AS), bukan tombol Peluncuran yang disediakan di bagian lain dari panduan ini**. Menggunakan tombol “Luncurkan Solusi” yang disediakan di bagian mendatang dalam panduan ini tidak akan berfungsi jika Anda menerapkan di wilayah GovCloud (AS). Anda masih dapat mengunduh template dari tautan bucket S3 mana pun dan menerapkan tumpukan dengan mengunggah file templat.
+ **automated-security-response-admin.template**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-roles.template**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.template**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation Templat AWS
[![\[View Template\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template** - Gunakan template ini untuk meluncurkan solusi Automated Security Response pada AWS. Template menginstal komponen inti solusi, tumpukan bersarang untuk log AWS Step Functions, dan satu tumpukan bersarang untuk setiap standar keamanan yang Anda pilih untuk diaktifkan.
Layanan yang digunakan meliputi Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3, dan AWS Systems Manager.
## Dukungan akun admin
Template berikut dipasang di akun admin AWS Security Hub untuk mengaktifkan standar keamanan yang ingin Anda dukung. Anda dapat memilih mana dari template berikut untuk menginstal saat menginstal`automated-security-response-admin.template`.
**automated-security-response-orchestrator-log.template** - Membuat grup CloudWatch log untuk Fungsi Langkah Orchestrator.
**automated-security-response-webui-nested-stack.template** - Membuat sumber daya untuk mendukung UI Web solusi.
**AFSBPStack.template** - Aturan Praktik Terbaik Keamanan Dasar AWS v1.0.0.
**CIS120Stack.template** - Tolok ukur Yayasan Amazon Web Services CIS, aturan v1.2.0.
**CIS140Stack.template** - Tolok ukur Yayasan Amazon Web Services CIS, aturan v1.4.0.
**CIS300Stack.template** - Tolok ukur Yayasan Amazon Web Services CIS, aturan v3.0.0.
**PCI321Stack.template** - aturan PCI-DSS v3.2.1.
**NISTStack.template** - Institut Nasional Standar dan Teknologi (NIST), aturan v5.0.0.
**SCStack.template** - Kontrol Keamanan aturan v2.0.0.
## Peran anggota
[![\[View Template\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template** - Mendefinisikan peran remediasi yang diperlukan di setiap akun anggota AWS Security Hub.
## Akun anggota
[![\[View Template\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template** - Gunakan template ini setelah Anda menyiapkan solusi inti untuk menginstal runbook dan izin otomatisasi AWS Systems Manager di setiap akun anggota AWS Security Hub Anda (termasuk akun admin). Template ini memungkinkan Anda memilih pedoman standar keamanan mana yang akan dipasang.
`automated-security-response-member.template`Menginstal template berikut berdasarkan pilihan Anda:
**automated-security-response-remediation-runbooks.template** - Kode remediasi umum yang digunakan oleh satu atau lebih standar keamanan.
**AFSBPMemberStack.template -** AWS Foundational Security Best Practices v1.0.0 pengaturan, izin, dan runbook remediasi.
**CIS120MemberStack.template** - Tolok ukur Yayasan Amazon Web Services CIS, pengaturan versi 1.2.0, izin, dan runbook remediasi.
**CIS140MemberStack.template** - Tolok ukur Yayasan Amazon Web Services CIS, pengaturan versi 1.4.0, izin, dan runbook remediasi.
**CIS300MemberStack.template** - Tolok ukur Yayasan Amazon Web Services CIS, pengaturan versi 3.0.0, izin, dan runbook remediasi.
**PCI321MemberStack.template** - Pengaturan PCI-DSS v3.2.1, izin, dan runbook remediasi.
**NISTMemberStack.template** - Institut Nasional Standar dan Teknologi (NIST), pengaturan v5.0.0, izin, dan runbook remediasi.
**SCMemberStack.template** - Pengaturan Kontrol Keamanan, izin, dan runbook remediasi.
**automated-security-response-member-cloudtrail.template** - Digunakan dalam fitur Action Log untuk melacak dan mengaudit dan aktivitas layanan.
## Integrasi sistem tiket
Gunakan salah satu templat berikut untuk berintegrasi dengan sistem tiket Anda.
[![\[View Template\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template** - Terapkan jika Anda menggunakan Jira sebagai sistem tiket Anda.
[![\[View Template\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template** - Menyebarkan jika Anda menggunakan ServiceNow sebagai sistem tiket Anda.
Jika Anda ingin mengintegrasikan sistem tiket eksternal yang berbeda, Anda dapat menggunakan salah satu tumpukan ini sebagai cetak biru untuk memahami cara menerapkan integrasi kustom Anda sendiri.
# Penerapan otomatis - StackSets
**catatan**
Kami merekomendasikan untuk menerapkan dengan StackSets. Namun, untuk penerapan akun tunggal atau untuk tujuan pengujian atau evaluasi, pertimbangkan opsi penyebaran [tumpukan](deployment.md).
Sebelum Anda meluncurkan solusi, tinjau arsitektur, komponen solusi, keamanan, dan pertimbangan desain yang dibahas dalam panduan ini. Ikuti step-by-step petunjuk di bagian ini untuk mengonfigurasi dan menerapkan solusi ke AWS Organizations Anda.
**Waktu untuk menyebarkan:** Sekitar 30 menit per akun, tergantung pada StackSet parameter.
## Prasyarat
[AWS Organizations](https://aws.amazon.com/organizations/) membantu Anda mengelola dan mengatur lingkungan dan sumber daya AWS multi-akun secara terpusat. StackSets bekerja paling baik dengan AWS Organizations.
Jika sebelumnya Anda telah menerapkan v1.3.x atau sebelumnya dari solusi ini, Anda harus menghapus instalan solusi yang ada. Untuk informasi selengkapnya, lihat [Perbarui solusinya](update-the-solution.md).
Sebelum Anda menerapkan solusi ini, tinjau penerapan AWS Security Hub Anda:
+ Harus ada akun admin Security Hub yang didelegasikan di AWS Organization Anda.
+ Security Hub harus dikonfigurasi untuk mengumpulkan temuan di seluruh Wilayah. Untuk informasi selengkapnya, lihat [Mengagregasi temuan di seluruh Wilayah](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) dalam Panduan Pengguna AWS Security Hub.
+ Anda harus [mengaktifkan Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) untuk organisasi Anda di setiap Wilayah tempat Anda menggunakan AWS.
Prosedur ini mengasumsikan bahwa Anda memiliki beberapa akun yang menggunakan AWS Organizations, dan telah mendelegasikan akun admin AWS Organizations dan akun admin AWS Security Hub.
**Harap dicatat bahwa solusi ini berfungsi dengan [AWS Security Hub dan AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Ikhtisar penyebaran
**catatan**
StackSets penyebaran untuk solusi ini menggunakan kombinasi layanan yang dikelola dan dikelola sendiri. StackSets Self-Managed StackSets harus digunakan saat ini karena mereka menggunakan nested StackSets, yang belum didukung dengan service-managed. StackSets
Menerapkan StackSets dari [akun administrator yang didelegasikan di AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) Anda.
**Perencanaan**
Gunakan formulir berikut untuk membantu StackSets penyebaran. Siapkan data Anda, lalu salin dan tempel nilai selama penerapan.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Opsional) Langkah 0: Menyebarkan tumpukan integrasi tiket](#step-0-stackset)
+ Jika Anda ingin menggunakan fitur tiket, gunakan tumpukan integrasi tiket ke akun admin Security Hub Anda terlebih dahulu.
+ Salin nama fungsi Lambda dari tumpukan ini dan berikan sebagai masukan ke tumpukan admin (lihat Langkah 1).
[Langkah 1: Luncurkan tumpukan admin di akun admin Security Hub yang didelegasikan](#step-1-stackset)
+ Menggunakan pengelolaan sendiri StackSet, luncurkan CloudFormation template `automated-security-response-admin.template` AWS ke akun admin AWS Security Hub Anda di Wilayah yang sama dengan admin Security Hub Anda. Template ini menggunakan tumpukan bersarang.
+ Pilih Standar Keamanan mana yang akan dipasang. Secara default, hanya SC yang dipilih (Disarankan).
+ Pilih grup log Orchestrator yang ada untuk digunakan. Pilih `Yes` jika `SO0111-ASR- Orchestrator` sudah ada dari instalasi sebelumnya.
+ Pilih apakah akan mengaktifkan UI Web solusi. Jika Anda memilih untuk mengaktifkan fitur ini, Anda juga harus memasukkan alamat email untuk diberi peran administrator.
+ Pilih preferensi Anda untuk mengumpulkan CloudWatch metrik yang terkait dengan kesehatan operasional solusi.
Untuk informasi selengkapnya tentang pengelolaan sendiri StackSets, lihat [Berikan izin yang dikelola sendiri di Panduan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) Pengguna * CloudFormation AWS*.
[Langkah 2: Instal peran remediasi ke setiap akun anggota AWS Security Hub](#step-2-stackset)
Tunggu Langkah 1 menyelesaikan penerapan, karena template di Langkah 2 mereferensikan peran IAM yang dibuat oleh Langkah 1.
+ Menggunakan layanan yang dikelola StackSet, luncurkan CloudFormation template `automated-security-response-member-roles.template` AWS ke dalam satu Wilayah di setiap akun di AWS Organizations Anda.
+ Pilih untuk menginstal template ini secara otomatis ketika akun baru bergabung dengan organisasi.
+ Masukkan ID akun akun admin AWS Security Hub Anda.
+ Masukkan nilai untuk `namespace` yang akan digunakan untuk mencegah konflik nama sumber daya dengan penyebaran sebelumnya atau bersamaan di akun yang sama. Masukkan string hingga 9 karakter alfanumerik huruf kecil.
[Langkah 3: Luncurkan tumpukan anggota ke setiap akun dan Wilayah anggota AWS Security Hub](#step-3-stackset)
+ Menggunakan pengelolaan sendiri StackSets, luncurkan CloudFormation template `automated-security-response-member.template` AWS ke semua Wilayah tempat Anda memiliki sumber daya AWS di setiap akun di Organisasi AWS yang dikelola oleh admin Security Hub yang sama.
**catatan**
Hingga tumpukan bersarang StackSets dukungan yang dikelola layanan, Anda harus melakukan langkah ini untuk setiap akun baru yang bergabung dengan organisasi.
+ Pilih pedoman Standar Keamanan mana yang akan dipasang.
+ Berikan nama grup CloudTrail log (digunakan oleh beberapa remediasi).
+ Masukkan ID akun akun admin AWS Security Hub Anda.
+ Masukkan nilai untuk `namespace` yang akan digunakan untuk mencegah konflik nama sumber daya dengan penyebaran sebelumnya atau bersamaan di akun yang sama. Masukkan string hingga 9 karakter alfanumerik huruf kecil. Ini harus sesuai dengan `namespace` nilai yang Anda pilih untuk tumpukan Peran Anggota, selain itu, nilai namespace tidak harus unik per akun anggota.
## (Opsional) Langkah 0: Luncurkan tumpukan integrasi sistem tiket
1. Jika Anda bermaksud menggunakan fitur tiket, luncurkan tumpukan integrasi masing-masing terlebih dahulu.
1. Pilih tumpukan integrasi yang disediakan untuk Jira atau ServiceNow, atau gunakan sebagai cetak biru untuk mengimplementasikan integrasi kustom Anda sendiri.
**Untuk menyebarkan tumpukan Jira**:
1. Masukkan nama untuk tumpukan Anda.
1. Berikan URI ke instans Jira Anda.
1. Berikan kunci proyek untuk proyek Jira yang ingin Anda kirimi tiketnya.
1. Buat rahasia nilai kunci baru di Secrets Manager yang menyimpan `Username` Jira dan. `Password`
**catatan**
Anda dapat memilih untuk menggunakan kunci API JIRA sebagai pengganti kata sandi Anda dengan memberikan nama pengguna Anda sebagai `Username` dan kunci API Anda sebagai. `Password`
1. Tambahkan ARN rahasia ini sebagai masukan ke tumpukan.
**Berikan nama tumpukan informasi proyek Jira, dan kredenal API Jira.**
![\[sistem tiket integrasi stack jira\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Konfigurasi Bidang Jira**:
Setelah menerapkan tumpukan Jira, Anda dapat menyesuaikan bidang tiket Jira dengan mengatur variabel `JIRA_FIELDS_MAPPING` lingkungan pada fungsi Lambda. String JSON ini mengganti bidang tiket Jira default dan harus mengikuti struktur bidang API Jira.
Nilai default saat `JIRA_FIELDS_MAPPING` kosong atau bidang tidak ditentukan:
+ **prioritas**: `{"id": "3"}` (Prioritas sedang)
+ **tipe masalah: `{"id": "10006"}` (**Tugas)
+ **accountID**: Diambil secara otomatis menggunakan titik akhir API `GET /rest/api/2/myself`
Contoh konfigurasi dengan bidang kustom:
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
IDsBidang Jira umum:
+ **Prioritas IDs**: 1 (Tertinggi), 2 (Tinggi), 3 (Sedang), 4 (Rendah), 5 (Terendah)
+ **ID Jenis Masalah**: Bervariasi menurut proyek Jira (mis., 10006 untuk Tugas)
+ **ID Akun**: Format `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Anda dapat menemukan bidang IDs dan akun Jira Anda IDs menggunakan JIRA REST API:
+ `GET /rest/api/2/myself`untuk ID akun
+ `GET /rest/api/2/priority`untuk prioritas IDs
+ `GET /rest/api/2/project/{projectKey}`untuk jenis masalah IDs
Untuk informasi selengkapnya, lihat [format Jira REST API v2 Issue POST](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Untuk menyebarkan ServiceNow tumpukan**:
1. Masukkan nama untuk tumpukan Anda.
1. Berikan URI ServiceNow instance Anda.
1. Berikan nama ServiceNow tabel Anda.
1. Buat kunci API ServiceNow dengan izin untuk memodifikasi tabel yang ingin Anda tulis.
1. Buat rahasia di Secrets Manager dengan kunci `API_Key` dan berikan ARN rahasia sebagai masukan ke tumpukan.
**Berikan informasi ServiceNow proyek nama tumpukan, dan kredensi ServiceNow API.**
![\[layanan tumpukan integrasi sistem tiket\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Untuk membuat tumpukan integrasi kustom**: Sertakan fungsi Lambda yang dapat dipanggil oleh Step Functions orkestrator solusi untuk setiap remediasi. Fungsi Lambda harus mengambil input yang disediakan oleh Step Functions, membuat payload sesuai dengan persyaratan sistem tiket Anda, dan membuat permintaan ke sistem Anda untuk membuat tiket.
## Langkah 1: Luncurkan tumpukan admin di akun admin Security Hub yang didelegasikan
1. Luncurkan [tumpukan admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template),`automated-security-response-admin.template`, dengan akun admin Security Hub Anda. Biasanya, satu per organisasi dalam satu Wilayah. Karena tumpukan ini menggunakan tumpukan bersarang, Anda harus menerapkan template ini sebagai pengelola sendiri. StackSet
### Parameter
| Parameter | Default | Deskripsi |
| --- | --- | --- |
| **Muat Tumpukan Admin SC** | `yes` | Tentukan apakah akan menginstal komponen admin untuk remediasi otomatis kontrol SC. |
| **Muat Tumpukan Admin AFSBP** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi otomatis kontrol FSBP. |
| **Muat Tumpukan CIS120 Admin** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi CIS120 kontrol otomatis. |
| **Muat Tumpukan CIS140 Admin** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi CIS140 kontrol otomatis. |
| **Muat Tumpukan CIS300 Admin** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi CIS300 kontrol otomatis. |
| **Muat Tumpukan PC1321 Admin** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi PC1321 kontrol otomatis. |
| **Muat Tumpukan Admin NIST** | `no` | Tentukan apakah akan menginstal komponen admin untuk remediasi otomatis kontrol NIST. |
| **Gunakan Kembali Grup Log Orkestrator** | `no` | Pilih apakah akan menggunakan kembali grup `SO0111-ASR-Orchestrator` CloudWatch Log yang ada atau tidak. Ini menyederhanakan instalasi ulang dan upgrade tanpa kehilangan data log dari versi sebelumnya. Gunakan kembali `Orchestrator Log Group` pilihan yang ada `yes` jika `Orchestrator Log Group` masih ada dari penerapan sebelumnya di akun ini, jika tidak. `no` Jika Anda melakukan pembaruan tumpukan dari versi sebelumnya dari v2.3.0 pilih `no` |
| **ShouldDeployWebUI** | `yes` | Menerapkan komponen UI Web termasuk API Gateway, fungsi Lambda, CloudFront dan distribusi. Pilih “ya” untuk mengaktifkan antarmuka pengguna berbasis web untuk melihat temuan dan status remediasi. Jika Anda memilih untuk menonaktifkan fitur ini, Anda masih dapat mengonfigurasi remediasi otomatis dan menjalankan remediasi sesuai permintaan menggunakan tindakan kustom CSPM Security Hub. |
| **AdminUserEmail** | *(Masukan opsional)* | Alamat email untuk pengguna admin awal. Pengguna ini akan memiliki akses administratif penuh ke ASR Web UI. Diperlukan **hanya** ketika UI Web diaktifkan. |
| **Gunakan CloudWatch Metrik** | `yes` | Tentukan apakah akan mengaktifkan CloudWatch Metrik untuk memantau solusi. Ini akan membuat CloudWatch Dasbor untuk melihat metrik. |
| **Gunakan CloudWatch Alarm Metrik** | `yes` | Tentukan apakah akan mengaktifkan CloudWatch Alarm Metrik untuk solusinya. Ini akan membuat Alarm untuk metrik tertentu yang dikumpulkan oleh solusi. |
| **RemediationFailureAlarmThreshold** | `5` | Tentukan ambang batas untuk persentase kegagalan remediasi per ID kontrol. Misalnya, jika Anda masuk`5`, Anda menerima alarm jika ID kontrol gagal lebih dari 5% perbaikan pada hari tertentu. Parameter ini hanya berfungsi jika alarm dibuat (lihat parameter **Use CloudWatch Metrics Alarms**). |
| **EnableEnhancedCloudWatchMetrics** | `no` | Jika`yes`, buat CloudWatch metrik tambahan untuk melacak semua kontrol IDs satu per satu di CloudWatch dasbor dan sebagai CloudWatch alarm. Lihat bagian [Biaya](cost.md#additional-cost-enhanced-metrics) untuk memahami biaya tambahan yang ditimbulkannya. |
| **TicketGenFunctionName** | *(Masukan opsional)* | Tidak wajib. Biarkan kosong jika Anda tidak ingin mengintegrasikan sistem tiket. Jika tidak, berikan nama fungsi Lambda dari output tumpukan [Langkah 0](deployment.md#step-0), misalnya:. `SO0111-ASR-ServiceNow-TicketGenerator` |
**Konfigurasikan StackSet opsi**
![\[opsi stackset configre\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Untuk parameter **Nomor akun**, masukkan ID akun akun admin AWS Security Hub.
1. Untuk parameter **Tentukan wilayah**, pilih hanya Wilayah tempat admin Security Hub diaktifkan. Tunggu sampai langkah ini selesai sebelum melanjutkan ke Langkah 2.
## Langkah 2: Instal peran remediasi ke setiap akun anggota AWS Security Hub
Gunakan layanan yang dikelola StackSets untuk menerapkan template [peran anggota](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Ini StackSet harus digunakan dalam satu Wilayah per akun anggota. Ini mendefinisikan peran global yang memungkinkan panggilan API lintas akun dari fungsi langkah ASR Orchestrator.
### Parameter
| Parameter | Default | Deskripsi |
| --- | --- | --- |
| **Namespace** | ** | Masukkan string hingga 9 karakter alfanumerik huruf kecil. Namespace unik yang akan ditambahkan sebagai akhiran untuk remediasi nama peran IAM. Namespace yang sama harus digunakan dalam Peran Anggota dan tumpukan Anggota. String ini harus unik untuk setiap penerapan solusi, tetapi tidak perlu diubah selama pembaruan tumpukan. Nilai namespace **tidak** harus unik per akun anggota. |
| **Admin Akun Sec Hub** | ** | Masukkan ID akun 12 digit untuk akun admin AWS Security Hub. Nilai ini memberikan izin ke peran solusi akun admin. |
1. Menyebarkan ke seluruh organisasi (tipikal) atau ke unit organisasi, sesuai kebijakan organisasi Anda.
1. Aktifkan penerapan otomatis sehingga akun baru di AWS Organizations menerima izin ini.
1. Untuk parameter **Tentukan wilayah**, pilih satu Wilayah. Peran IAM bersifat global. Anda dapat melanjutkan ke Langkah 3 saat ini StackSet diterapkan.
**Tentukan StackSet detail**
![\[tentukan detail stackset\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Langkah 3: Luncurkan tumpukan anggota ke setiap akun dan Wilayah anggota AWS Security Hub
Karena [tumpukan anggota menggunakan tumpukan](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) bersarang, Anda harus menerapkan sebagai dikelola sendiri. StackSet Ini tidak mendukung penerapan otomatis ke akun baru di AWS Organization.
### Parameter
| Parameter | Default | Deskripsi |
| --- | --- | --- |
| **Berikan nama yang akan digunakan LogGroup untuk membuat Filter Metrik dan Alarm** | ** | Tentukan nama grup CloudWatch Log tempat CloudTrail log panggilan API. Ini digunakan untuk remediasi CIS 3.1-3.14. |
| **Muat Tumpukan Anggota SC** | `yes` | Tentukan apakah akan menginstal komponen anggota untuk remediasi otomatis kontrol SC. |
| **Muat Tumpukan Anggota AFSBP** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi otomatis kontrol FSBP. |
| **Muat Tumpukan CIS120 Anggota** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi CIS120 kontrol otomatis. |
| **Muat Tumpukan CIS140 Anggota** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi CIS140 kontrol otomatis. |
| **Muat Tumpukan CIS300 Anggota** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi CIS300 kontrol otomatis. |
| **Muat Tumpukan PC1321 Anggota** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi PC1321 kontrol otomatis. |
| **Muat Tumpukan Anggota NIST** | `no` | Tentukan apakah akan menginstal komponen anggota untuk remediasi otomatis kontrol NIST. |
| **Buat Bucket S3 Untuk Pencatatan Audit Redshift** | `no` | Pilih `yes` apakah bucket S3 harus dibuat untuk remediasi FSBP RedShift .4. *Untuk detail bucket S3 dan remediasi, tinjau remediasi [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) di Panduan Pengguna AWS Security Hub.* |
| **Akun Admin Sec Hub** | ** | Masukkan ID akun 12 digit untuk akun admin AWS Security Hub. |
| **Namespace** | ** | Masukkan string hingga 9 karakter alfanumerik huruf kecil. String ini menjadi bagian dari nama peran IAM dan bucket Action Log S3. Gunakan nilai yang sama untuk penerapan tumpukan anggota dan penerapan tumpukan peran anggota. String harus unik untuk setiap penerapan solusi, tetapi tidak perlu diubah selama pembaruan tumpukan. |
| **EnableCloudTrailForASRActionLog** | `no` | Pilih `yes` apakah Anda ingin memantau peristiwa manajemen yang dilakukan oleh solusi di CloudWatch dasbor. Solusinya membuat CloudTrail jejak di setiap akun anggota tempat Anda memilih`yes`. Anda harus menerapkan solusi ke AWS Organization untuk mengaktifkan fitur ini. **Selain itu, Anda hanya dapat mengaktifkan fitur ini di satu wilayah dalam akun yang sama.** Lihat bagian [Biaya](cost.md#additional-cost-action-log) untuk memahami biaya tambahan yang ditimbulkannya. |
**Akun**
![\[rekening\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Lokasi penyebaran**: Anda dapat menentukan daftar nomor akun atau unit organisasi.
**Tentukan wilayah**: Pilih semua Wilayah tempat Anda ingin memulihkan temuan. Anda dapat menyesuaikan opsi Deployment yang sesuai untuk jumlah akun dan Wilayah. Region Concurrency bisa paralel.
# Penerapan otomatis - Tumpukan
**catatan**
Untuk pelanggan multi-akun, kami sangat menyarankan [penerapan](deployment-stackset.md) dengan. StackSets
Sebelum Anda meluncurkan solusi, tinjau arsitektur, komponen solusi, keamanan, dan pertimbangan desain yang dibahas dalam panduan ini. Ikuti step-by-step petunjuk di bagian ini untuk mengonfigurasi dan menyebarkan solusi ke akun Anda.
**Waktu untuk menyebarkan:** Sekitar 30 menit
## Prasyarat
Sebelum Anda menerapkan solusi ini, pastikan AWS Security Hub berada di Wilayah AWS yang sama dengan akun primer dan sekunder Anda. Jika sebelumnya Anda telah menerapkan solusi ini, Anda harus menghapus instalan solusi yang ada. Untuk informasi selengkapnya, lihat [Perbarui solusinya](update-the-solution.md).
## Ikhtisar penyebaran
Gunakan langkah-langkah berikut untuk menerapkan solusi ini di AWS.
[(Opsional) Langkah 0: Luncurkan tumpukan integrasi sistem tiket](#step-0)
+ Jika Anda ingin menggunakan fitur tiket, gunakan tumpukan integrasi tiket ke akun admin Security Hub Anda terlebih dahulu.
+ Salin nama fungsi Lambda dari tumpukan ini dan berikan sebagai masukan ke tumpukan admin (lihat Langkah 1).
[Langkah 1: Luncurkan tumpukan admin](#step-1)
+ Luncurkan CloudFormation template `automated-security-response-admin.template` AWS ke akun admin AWS Security Hub Anda.
+ Pilih standar keamanan mana yang akan dipasang.
+ Pilih grup log Orchestrator yang ada untuk digunakan (pilih `Yes` jika `SO0111-ASR-Orchestrator` sudah ada dari instalasi sebelumnya).
[Langkah 2: Instal peran remediasi ke setiap akun anggota AWS Security Hub](#step-2)
+ Luncurkan CloudFormation template `automated-security-response-member-roles.template` AWS ke dalam satu Wilayah per akun anggota.
+ Masukkan IG akun 12 digit untuk akun admin AWS Security Hub.
[Langkah 3: Luncurkan tumpukan anggota](#step-3)
+ Tentukan nama grup CloudWatch Log yang akan digunakan dengan remediasi CIS 3.1-3.14. Itu harus nama grup CloudWatch log Log yang menerima CloudTrail log.
+ Pilih apakah akan menginstal peran remediasi. Instal peran ini hanya sekali per akun.
+ Pilih pedoman mana yang akan dipasang.
+ Masukkan ID akun akun admin AWS Security Hub.
[Langkah 4: (Opsional) Sesuaikan remediasi yang tersedia](#step-4)
+ Hapus remediasi apa pun berdasarkan akun per anggota. Langkah ini bersifat opsional.
## (Opsional) Langkah 0: Luncurkan tumpukan integrasi sistem tiket
1. Jika Anda bermaksud menggunakan fitur tiket, luncurkan tumpukan integrasi masing-masing terlebih dahulu.
1. Pilih tumpukan integrasi yang disediakan untuk Jira atau ServiceNow, atau gunakan sebagai cetak biru untuk mengimplementasikan integrasi kustom Anda sendiri.
**Untuk menyebarkan tumpukan Jira**:
1. Masukkan nama untuk tumpukan Anda.
1. Berikan URI ke instans Jira Anda.
1. Berikan kunci proyek untuk proyek Jira yang ingin Anda kirimi tiketnya.
1. Buat rahasia nilai kunci baru di Secrets Manager yang menyimpan `Username` Jira dan. `Password`
**catatan**
Anda dapat memilih untuk menggunakan kunci API JIRA sebagai pengganti kata sandi Anda dengan memberikan nama pengguna Anda sebagai `Username` dan kunci API Anda sebagai. `Password`
1. Tambahkan ARN rahasia ini sebagai masukan ke tumpukan.
**“Berikan nama tumpukan informasi proyek Jira, dan kredenal API Jira.**
![\[sistem tiket integrasi stack jira\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
**Konfigurasi Bidang Jira**:
Untuk informasi tentang menyesuaikan bidang tiket Jira, lihat bagian Konfigurasi Bidang Jira di [Langkah 0 penerapan. StackSet ](deployment-stackset.md#step-0-stackset)
**Untuk menyebarkan ServiceNow tumpukan**:
1. Masukkan nama untuk tumpukan Anda.
1. Berikan URI ServiceNow instance Anda.
1. Berikan nama ServiceNow tabel Anda.
1. Buat kunci API ServiceNow dengan izin untuk memodifikasi tabel yang ingin Anda tulis.
1. Buat rahasia di Secrets Manager dengan kunci `API_Key` dan berikan ARN rahasia sebagai masukan ke tumpukan.
**Berikan informasi ServiceNow proyek nama tumpukan, dan kredensi ServiceNow API.**
![\[layanan tumpukan integrasi sistem tiket\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Untuk membuat tumpukan integrasi kustom**: Sertakan fungsi Lambda yang dapat dipanggil oleh Step Functions orkestrator solusi untuk setiap remediasi. Fungsi Lambda harus mengambil input yang disediakan oleh Step Functions, membuat payload sesuai dengan persyaratan sistem tiket Anda, dan membuat permintaan ke sistem Anda untuk membuat tiket.
## Langkah 1: Luncurkan tumpukan admin
**penting**
Solusi ini termasuk pengumpulan data. Kami menggunakan data ini untuk lebih memahami bagaimana pelanggan menggunakan solusi ini dan layanan serta produk terkait. AWS memiliki data yang dikumpulkan melalui survei ini. Pengumpulan data tunduk pada [Pemberitahuan Privasi AWS](https://aws.amazon.com/privacy/).
CloudFormation Template AWS otomatis ini menerapkan Respons Keamanan Otomatis pada solusi AWS di AWS Cloud. Sebelum Anda meluncurkan tumpukan, Anda harus mengaktifkan Security Hub dan menyelesaikan [prasyarat](#prerequisites).
**catatan**
Anda bertanggung jawab atas biaya layanan AWS yang digunakan saat menjalankan solusi ini. Untuk detail selengkapnya, kunjungi bagian [Biaya](cost.md) dalam panduan ini, dan lihat halaman web harga untuk setiap layanan AWS yang digunakan dalam solusi ini.
1. Masuk ke AWS Management Console dari akun tempat AWS Security Hub saat ini dikonfigurasi, dan gunakan tombol di bawah ini untuk meluncurkan CloudFormation template `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Anda juga dapat [mengunduh template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) sebagai titik awal untuk implementasi Anda sendiri.
1. Template diluncurkan di Wilayah AS Timur (Virginia N.) secara default. Untuk meluncurkan solusi ini di Wilayah AWS yang berbeda, gunakan pemilih Wilayah di bilah navigasi AWS Management Console.
**catatan**
Solusi ini menggunakan AWS Systems Manager yang saat ini hanya tersedia di Wilayah AWS tertentu. Solusinya bekerja di semua Wilayah yang mendukung layanan ini. Untuk ketersediaan terbaru menurut Wilayah, lihat [Daftar Layanan Regional AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Pada halaman **Buat tumpukan**, verifikasi bahwa URL templat yang benar ada di kotak teks **URL Amazon S3** lalu pilih Berikutnya.**
1. Pada halaman **Tentukan detail tumpukan**, tetapkan nama ke tumpukan solusi Anda. Untuk informasi tentang batasan penamaan karakter, lihat [batas IAM dan STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) di *Panduan Pengguna AWS Identity and Access Management*.
1. Pada halaman **Parameter**, pilih **Berikutnya**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/deployment.html)
**catatan**
Anda harus mengaktifkan remediasi otomatis secara manual di akun Admin setelah menerapkan atau memperbarui tumpukan solusi. CloudFormation
1. Pada halaman **Konfigurasikan opsi tumpukan**, pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau dan konfirmasikan pengaturan. Centang kotak yang menyatakan bahwa template akan membuat sumber daya AWS Identity and Access Management (IAM).
1. Pilih **Membuat tumpukan** untuk menerapkannya.
Anda dapat melihat status tumpukan di CloudFormation konsol AWS di kolom **Status**. Anda akan menerima status CREATE\$1COMPLETE dalam waktu sekitar 15 menit.
## Langkah 2: Instal peran remediasi ke setiap akun anggota AWS Security Hub
`automated-security-response-member-roles.template` StackSet Harus digunakan hanya di satu Wilayah per akun anggota. Ini mendefinisikan peran global yang memungkinkan panggilan API lintas akun dari fungsi langkah ASR Orchestrator.
1. Masuk ke AWS Management Console untuk setiap akun anggota AWS Security Hub (termasuk akun admin, yang juga merupakan anggota). Pilih tombol untuk meluncurkan CloudFormation template `automated-security-response-member-roles.template` AWS. Anda juga dapat [mengunduh template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) sebagai titik awal untuk implementasi Anda sendiri.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Template diluncurkan di Wilayah AS Timur (Virginia N.) secara default. Untuk meluncurkan solusi ini di Wilayah AWS yang berbeda, gunakan pemilih Wilayah di bilah navigasi AWS Management Console.
1. **Pada halaman **Buat tumpukan**, verifikasi bahwa URL templat yang benar ada di kotak teks URL Amazon S3 lalu pilih Berikutnya.**
1. Pada halaman **Tentukan detail tumpukan**, tetapkan nama ke tumpukan solusi Anda. Untuk informasi tentang batasan penamaan karakter, lihat batas IAM dan STS di Panduan Pengguna AWS Identity and Access Management.
1. Pada halaman **Parameter**, tentukan parameter berikut dan pilih Berikutnya.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Pada halaman **Konfigurasikan opsi tumpukan**, pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau dan konfirmasikan pengaturan. Centang kotak yang menyatakan bahwa template akan membuat sumber daya AWS Identity and Access Management (IAM).
1. Pilih **Membuat tumpukan** untuk menerapkannya.
Anda dapat melihat status tumpukan di CloudFormation konsol AWS di kolom **Status**. Anda akan menerima status CREATE\$1COMPLETE dalam waktu kurang lebih 5 menit. Anda dapat melanjutkan dengan langkah berikutnya saat tumpukan ini dimuat.
## Langkah 3: Luncurkan tumpukan anggota
**penting**
Solusi ini termasuk pengumpulan data. Kami menggunakan data ini untuk lebih memahami bagaimana pelanggan menggunakan solusi ini dan layanan serta produk terkait. AWS memiliki data yang dikumpulkan melalui survei ini. Pengumpulan data tunduk pada Kebijakan Privasi AWS.
`automated-security-response-member`Tumpukan harus diinstal ke setiap akun anggota Security Hub. Tumpukan ini mendefinisikan runbook untuk remediasi otomatis. Admin untuk setiap akun anggota dapat mengontrol remediasi apa yang tersedia melalui tumpukan ini.
1. Masuk ke AWS Management Console untuk setiap akun anggota AWS Security Hub (termasuk akun admin, yang juga merupakan anggota). Pilih tombol untuk meluncurkan CloudFormation template `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Anda juga dapat [mengunduh template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) sebagai titik awal untuk implementasi Anda sendiri. Template diluncurkan di Wilayah AS Timur (Virginia N.) secara default. Untuk meluncurkan solusi ini di Wilayah AWS yang berbeda, gunakan pemilih Wilayah di bilah navigasi AWS Management Console.
\$1
**catatan**
Solusi ini menggunakan AWS Systems Manager, yang saat ini tersedia di sebagian besar Wilayah AWS. Solusinya bekerja di semua Wilayah yang mendukung layanan ini. Untuk ketersediaan terbaru menurut Wilayah, lihat [Daftar Layanan Regional AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Pada halaman **Buat tumpukan**, verifikasi bahwa URL templat yang benar ada di kotak teks **URL Amazon S3** lalu pilih Berikutnya.**
1. Pada halaman **Tentukan detail tumpukan**, tetapkan nama ke tumpukan solusi Anda. Untuk informasi tentang batasan penamaan karakter, lihat [batas IAM dan STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) di *Panduan Pengguna AWS Identity and Access Management*.
1. Pada halaman **Parameter**, tentukan parameter berikut dan pilih **Berikutnya**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Pada halaman **Konfigurasikan opsi tumpukan**, pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau dan konfirmasikan pengaturan. Centang kotak yang menyatakan bahwa template akan membuat sumber daya AWS Identity and Access Management (IAM).
1. Pilih **Membuat tumpukan** untuk menerapkannya.
Anda dapat melihat status tumpukan di CloudFormation konsol AWS di kolom **Status**. Anda akan menerima status CREATE\$1COMPLETE dalam waktu sekitar 15 menit.
## Langkah 4: (Opsional) Sesuaikan remediasi yang tersedia
Jika Anda ingin menghapus remediasi tertentu dari akun anggota, Anda dapat melakukannya dengan memperbarui tumpukan bersarang untuk standar keamanan. Untuk mempermudah, opsi tumpukan bersarang tidak disebarkan ke tumpukan root.
1. Masuk ke [ CloudFormation konsol AWS](https://console.aws.amazon.com/cloudformation/home) dan pilih tumpukan bersarang.
1. Pilih **Perbarui**.
1. Pilih **Perbarui tumpukan bersarang** dan pilih **Perbarui tumpukan**.
**Perbarui tumpukan bersarang**
![\[tumpukan bersarang\]](http://docs.aws.amazon.com/id_id/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. Pilih **Gunakan templat saat ini** dan pilih **Berikutnya**.
1. Sesuaikan remediasi yang tersedia. Ubah nilai untuk kontrol yang diinginkan ke `Available` dan kontrol yang tidak diinginkan ke`Not available`.
**catatan**
Mematikan remediasi menghilangkan runbook remediasi solusi untuk standar keamanan dan kontrol.
1. Pada halaman **Konfigurasikan opsi tumpukan**, pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau dan konfirmasikan pengaturan. Centang kotak yang menyatakan bahwa template akan membuat sumber daya AWS Identity and Access Management (IAM).
1. Pilih **Perbarui tumpukan**.
Anda dapat melihat status tumpukan di CloudFormation konsol AWS di kolom **Status**. Anda akan menerima status CREATE\$1COMPLETE dalam waktu sekitar 15 menit.
# Penyebaran Control Tower (CT)
Panduan Kustomisasi untuk AWS Control Tower (CFCT) adalah untuk administrator, DevOps profesional, vendor perangkat lunak independen, arsitek infrastruktur TI, dan integrator sistem yang ingin menyesuaikan dan memperluas lingkungan AWS Control Tower mereka untuk perusahaan dan pelanggan mereka. Ini memberikan informasi tentang menyesuaikan dan memperluas lingkungan AWS Control Tower dengan paket kustomisasi CFCT.
**Waktu untuk menyebarkan:** Sekitar 30 menit
## Prasyarat
Sebelum menerapkan solusi ini, pastikan bahwa solusi ini ditujukan untuk **administrator AWS Control Tower**.
Saat Anda siap menyiapkan landing zone menggunakan konsol AWS Control Tower atau APIs, ikuti langkah-langkah berikut:
Untuk memulai AWS Control Tower, lihat: [Memulai AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Untuk mempelajari cara menyesuaikan landing zone Anda, lihat: [Menyesuaikan Zona Landing Anda](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html)
Untuk meluncurkan dan menerapkan landing zone Anda, lihat: Panduan [Penyebaran Zona Landing](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Ikhtisar penyebaran
Gunakan langkah-langkah berikut untuk menerapkan solusi ini di AWS.
[Langkah 1: Bangun dan terapkan bucket S3](#step-1-cfn)
**catatan**
Konfigurasi bucket S3 - hanya untuk ADMIN. Ini adalah langkah pengaturan satu kali dan tidak boleh diulang oleh pengguna akhir. Bucket S3 menyimpan paket penerapan, termasuk template AWS CloudFormation dan kode Lambda yang diperlukan agar ASR dapat dijalankan. Sumber daya ini digunakan menggunakan CfCt atau StackSet.
**1. Konfigurasikan Bucket S3**
Siapkan bucket S3 yang akan digunakan untuk menyimpan dan melayani paket penerapan Anda.
**2. Siapkan Lingkungan**
Siapkan variabel lingkungan yang diperlukan, kredensi, dan alat yang diperlukan untuk proses build dan deployment.
**3. Konfigurasikan Kebijakan Bucket S3**
Tentukan dan terapkan kebijakan bucket yang sesuai untuk mengontrol akses dan izin.
**4. Siapkan Build**
Kompilasi, paket, atau persiapkan aplikasi atau aset Anda untuk penerapan.
**5. Menyebarkan Paket ke S3**
Unggah artefak build yang sudah disiapkan ke bucket S3 yang ditentukan.
[Langkah 2: Menumpuk penyebaran ke AWS Control Tower](#step-2-cfn)
**1. Buat Build Manifest untuk Komponen ASR**
Tentukan manifes build yang mencantumkan semua komponen ASR, versinya, dependensi, dan instruksi build.
**2. Perbarui CodePipeline**
Ubah CodePipeline konfigurasi AWS untuk menyertakan langkah, artefak, atau tahapan build baru yang diperlukan untuk menerapkan komponen ASR.
## Langkah 1: Bangun dan terapkan ke bucket S3
AWS Solutions menggunakan dua bucket: bucket untuk akses global ke template, yang diakses melalui HTTPS, dan bucket regional untuk akses ke aset di wilayah tersebut, seperti kode Lambda.
**1. Konfigurasikan Bucket S3**
Pilih nama bucket yang unik, misalnya asr-staging. Tetapkan dua variabel lingkungan di terminal Anda, satu harus menjadi nama bucket dasar dengan -reference sebagai akhiran, yang lain dengan wilayah penerapan yang Anda inginkan sebagai akhiran:
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Pengaturan Lingkungan**
Di akun AWS Anda, buat dua bucket dengan nama-nama ini, misalnya asr-staging-reference dan asr-staging-us-east -1. (Bucket referensi akan menampung CloudFormation template, bucket regional akan menampung semua aset lain seperti bundel kode lambda.) Bucket Anda harus dienkripsi dan melarang akses publik
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**catatan**
Saat membuat ember Anda, pastikan mereka tidak dapat diakses publik. Gunakan nama bucket acak. Nonaktifkan akses publik. Gunakan enkripsi KMS. Dan verifikasi kepemilikan bucket sebelum mengunggah.
**3. Pengaturan kebijakan bucket S3**
Perbarui kebijakan bucket \$1TEMPLATE\$1BUCKET\$1NAME S3 untuk menyertakan izin untuk mengeksekusi ID akun. PutObject Tetapkan izin ini ke peran IAM dalam akun eksekusi yang diizinkan untuk menulis ke bucket. Pengaturan ini memungkinkan Anda menghindari pembuatan bucket di akun Manajemen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Ubah kebijakan bucket aset S3 untuk menyertakan izin. Tetapkan izin ini ke peran IAM dalam akun eksekusi yang diizinkan untuk menulis ke bucket. Ulangi pengaturan ini untuk setiap bucket aset regional (misalnya, asr-staging-us-east asr-staging-eu-west -1, -1, dll.), yang memungkinkan penerapan di beberapa wilayah tanpa perlu membuat bucket di akun Manajemen.
**4. Membangun Persiapan**
+ Prasyarat:
+ AWS CLI v2
+ Python 3.11\$1 dengan pip
+ AWS CDK 2.171.1\$1
+ Node.js 20\$1 dengan npm
+ Puisi v2 dengan plugin untuk diekspor
+ Klon Git [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Pertama pastikan bahwa Anda telah menjalankan npm install di folder sumber.
Selanjutnya dari folder penerapan di repo kloning Anda, jalankan build-s3-dist.sh, berikan nama root bucket Anda (mis. mybucket) dan versi yang Anda buat (mis. v1.0.0). Kami merekomendasikan menggunakan versi semver berdasarkan versi yang diunduh dari GitHub (mis. GitHub: v1.0.0, build Anda: v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Menyebarkan paket ke S3**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Langkah 2: Menumpuk penyebaran ke AWS Control Tower
**1. Membangun manifes untuk komponen ASR**
[Setelah menerapkan artefak ASR ke bucket S3, perbarui [manifes pipeline](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html) Control Tower untuk mereferensikan versi baru, lalu memicu proses pipeline, lihat: deployment controltower](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**penting**
Untuk memastikan penerapan solusi ASR yang benar, lihat dokumentasi AWS resmi untuk informasi terperinci tentang ikhtisar CloudFormation templat dan deskripsi parameter. Tautan info di bawah ini: [Panduan ikhtisar Parameter CloudFormation ](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) [Template](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html)
Manifes untuk komponen ASR terlihat seperti ini:
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Pembaruan pipa kode**
Tambahkan file manifes custom-control-tower-configuration ke.zip dan jalankan CodePipeline, lihat: ikhtisar [pipa kode](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html)