Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Implementazione della soluzione
**Importante**
Se la funzionalità dei [risultati del controllo consolidato](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) è attivata in Security Hub, abilita il playbook Security Control (SC) solo durante l'implementazione di questa soluzione. Se la funzione non è attivata, abilita **solo** i playbook per gli standard di sicurezza abilitati in Security Hub. I risultati del controllo consolidato sono abilitati per impostazione predefinita se abiliti Security Hub CSPM il 23 febbraio 2023 o dopo tale data.
Questa soluzione utilizza [ CloudFormation modelli e stack AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) per automatizzarne l'implementazione. I CloudFormation modelli specificano le risorse AWS incluse in questa soluzione e le relative proprietà. Lo CloudFormation stack fornisce le risorse descritte nei modelli.
Affinché la soluzione funzioni, è necessario implementare tre modelli. Innanzitutto, decidi dove distribuire i modelli, quindi decidi come distribuirli.
Questa panoramica descriverà i modelli e come decidere dove e come distribuirli. Le sezioni successive conterranno istruzioni più dettagliate per distribuire ogni stack come stack o. StackSet
# Decidere dove distribuire ogni stack
I tre modelli verranno denominati con i seguenti nomi e conterranno le seguenti risorse:
+ Admin stack: funzione Orchestrator Step, regole degli eventi e azione personalizzata del Security Hub.
+ Member stack: documenti di correzione SSM Automation.
+ Stack di ruoli dei membri: ruoli IAM per le riparazioni.
Lo stack di amministrazione deve essere distribuito una sola volta, in un unico account e in un'unica regione. Deve essere distribuito nell'account e nella regione che hai configurato come destinazione di aggregazione per i risultati del Security Hub per la tua organizzazione. Se desideri utilizzare la funzionalità Action Log per monitorare gli eventi di gestione, devi distribuire lo stack di amministrazione nell'account di gestione dell'organizzazione o in un account amministratore delegato.
La soluzione funziona sui risultati di Security Hub, quindi non sarà in grado di operare sui risultati di un account e di una regione particolari se tale account o regione non è stato configurato per aggregare i risultati nell'account amministratore e nella regione di Security Hub.
**Importante**
Se utilizzi [AWS Security Hub (non CSPM)](https://aws.amazon.com/security-hub/), hai la responsabilità di garantire che gli account dei membri registrati con AWS Security Hub CSPM lo siano anche con [AWS Security Hub (non CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). Le regioni aggregate in AWS Security Hub CSPM devono corrispondere anche alle regioni aggregate in AWS Security Hub (non CSPM).
Ad esempio, un'organizzazione ha account che operano nelle regioni `us-east-1` e`us-west-2`, con account `111111111111` come amministratore delegato del Security Hub, nella regione`us-east-1`. Account `222222222222` e `333333333333` devono essere account membri del Security Hub per l'account `111111111111` amministratore delegato. Tutti e tre gli account devono essere configurati per aggregare i risultati dal `us-west-2` al. `us-east-1` Lo stack di amministrazione deve essere distribuito sull'account in. `111111111111` `us-east-1`
Per maggiori dettagli sulla ricerca dell'aggregazione, consulta la documentazione per gli [account amministratore delegato di Security Hub e l'aggregazione](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) [tra](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) regioni.
Lo stack di amministrazione deve completare la distribuzione prima di distribuire gli stack dei membri in modo da poter creare una relazione di fiducia tra gli account dei membri e l'account hub.
Lo stack di membri deve essere distribuito in ogni account e regione in cui desideri correggere i risultati. Questo può includere l'account amministratore delegato di Security Hub in cui è stato precedentemente distribuito lo stack di amministrazione ASR. I documenti di automazione devono essere eseguiti negli account dei membri per poter utilizzare il livello gratuito per l'automazione SSM.
Utilizzando l'esempio precedente, se si desidera correggere i risultati di tutti gli account e le regioni, lo stack di membri deve essere distribuito su tutti e tre gli account (`111111111111`, `222222222222` e) e su entrambe le regioni (e). `333333333333` `us-east-1` `us-west-2`
Lo stack di ruoli dei membri deve essere distribuito su ogni account, ma contiene risorse globali (ruoli IAM) che possono essere distribuite solo una volta per account. Non importa in quale regione distribuisci lo stack di ruoli dei membri, quindi per semplicità ti consigliamo di distribuirlo nella stessa regione in cui viene distribuito lo stack di amministrazione.
Utilizzando l'esempio precedente, suggeriamo di distribuire lo stack di ruoli dei membri su tutti e tre gli account (, e) in. `111111111111` `222222222222` `333333333333` `us-east-1`
## Decidere come distribuire ogni stack
Le opzioni per la distribuzione di uno stack sono
+ CloudFormation StackSet (autorizzazioni autogestite)
+ CloudFormation StackSet (autorizzazioni gestite dal servizio)
+ CloudFormation Pila
StackSets con autorizzazioni gestite dal servizio sono le più comode perché non richiedono l'implementazione di ruoli propri e possono essere implementate automaticamente su nuovi account dell'organizzazione. Sfortunatamente, questo metodo non supporta gli stack annidati, che utilizziamo sia nello stack di amministrazione che nello stack dei membri. L'unico stack che può essere distribuito in questo modo è lo stack dei ruoli dei membri.
Tieni presente che durante la distribuzione all'intera organizzazione, l'account di gestione dell'organizzazione non è incluso, quindi se desideri correggere i risultati nell'account di gestione dell'organizzazione, devi distribuirlo su questo account separatamente.
Lo stack di membri deve essere distribuito su ogni account e regione, ma non può essere distribuito utilizzando autorizzazioni gestite dal servizio perché contiene stack StackSets annidati. Pertanto, suggeriamo di distribuire questo stack con autorizzazioni gestite automaticamente. StackSets
Lo stack di amministrazione viene distribuito una sola volta, quindi può essere distribuito come CloudFormation stack semplice o come uno StackSet con autorizzazioni autogestite in un unico account e regione.
## Risultati di controllo consolidati
Gli account dell'organizzazione possono essere configurati con la funzionalità dei risultati del controllo consolidato di Security Hub attivata o disattivata. Consulta i [risultati del controllo consolidato](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) nella *Guida per l'utente di AWS Security Hub*.
**Importante**
Quando questa funzionalità è abilitata, è necessario utilizzare la versione 2.0.0 o successiva della soluzione e abilitare il playbook «SC» (Security Control) sia nello stack Admin che Member. Questi stack distribuiscono i documenti di automazione necessari per utilizzare il controllo consolidato. IDs Non è necessario distribuire stack per singoli standard (come AWS FSBP) quando si utilizzano risultati di controllo consolidati.
## Implementazione in Cina
La soluzione supporta la distribuzione nelle regioni della Cina, tuttavia **è necessario utilizzare i seguenti pulsanti di avvio per la distribuzione con un clic nelle regioni della Cina, anziché i pulsanti di avvio forniti in altre sezioni di questa guida**. L'utilizzo dei pulsanti «Launch Solution» forniti nelle prossime sezioni di questa guida non funzionerà se si esegue la distribuzione nelle regioni della Cina. Puoi comunque scaricare i modelli da qualsiasi link del bucket S3 e distribuire gli stack caricando il file modello.
+ **automated-security-response-admin.modello:**
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-ruoli.template**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modello**:
[https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
## GovCloud Implementazione (negli Stati Uniti)
La soluzione supporta la distribuzione nelle regioni GovCloud (Stati Uniti), tuttavia **è necessario utilizzare i seguenti pulsanti di avvio per la distribuzione con un clic nelle regioni GovCloud (Stati Uniti), anziché i pulsanti di avvio forniti in altre sezioni di questa guida**. L'utilizzo dei pulsanti «Launch Solution» forniti nelle prossime sezioni di questa guida non funzionerà se si esegue la distribuzione nelle regioni GovCloud (Stati Uniti). Puoi comunque scaricare i modelli da qualsiasi link del bucket S3 e distribuire gli stack caricando il file modello.
+ **automated-security-response-admin.modello:**
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
+ **automated-security-response-member-ruoli.template**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
+ **automated-security-response-member.modello**:
[https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
# CloudFormation Modelli AWS
[![\[View Template\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-admin](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)**.template**: utilizza questo modello per avviare la soluzione Automated Security Response on AWS. Il modello installa i componenti principali della soluzione, uno stack annidato per i log di AWS Step Functions e uno stack nidificato per ogni standard di sicurezza che scegli di attivare.
I servizi utilizzati includono Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 e AWS Systems Manager.
## Supporto per account amministrativi
I seguenti modelli vengono installati nell'account amministratore di AWS Security Hub per attivare gli standard di sicurezza che desideri supportare. Puoi scegliere quale dei seguenti modelli installare durante l'installazione di`automated-security-response-admin.template`.
**automated-security-response-orchestrator-log.template** - Crea un gruppo di CloudWatch log per la funzione Orchestrator Step.
**automated-security-response-webui-nested-stack.template - Crea le risorse per supportare l'interfaccia utente Web della soluzione.**
**AFSBPStack.template - Regole** AWS Foundational Security Best Practices v1.0.0.
**CIS120Stack.template** - Benchmark CIS Amazon Web Services Foundations, regole v1.2.0.
**CIS140Stack.template** - Benchmark CIS Amazon Web Services Foundations, regole v1.4.0.
**CIS300Stack.template** - Benchmark CIS Amazon Web Services Foundations, regole v3.0.0.
**PCI321Stack.template** - Regole PCI-DSS v3.2.1.
**NISTStack.template** - Regole del National Institute of Standards and Technology (NIST), v5.0.0.
**SCStack.template - Regole Security Controls v2.0.0**.
## Ruoli dei membri
[![\[View Template\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)**-roles.template**: definisce i ruoli di riparazione necessari in ogni account membro di AWS Security Hub.
## Account membri
[![\[View Template\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/view-template.png)automated-security-response-member](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)**.template**: utilizza questo modello dopo aver configurato la soluzione principale per installare i runbook di automazione e le autorizzazioni di AWS Systems Manager in ciascuno degli account membro di AWS Security Hub (incluso l'account amministratore). Questo modello ti consente di scegliere quali playbook standard di sicurezza installare.
`automated-security-response-member.template`Installa i seguenti modelli in base alle tue selezioni:
**automated-security-response-remediation-runbooks.template** - Codice di correzione comune utilizzato da uno o più standard di sicurezza.
**AFSBPMemberStack.template -** Impostazioni, autorizzazioni e runbook di correzione di AWS Foundational Security Best Practices v1.0.0.
**CIS120MemberStack.template** - Benchmark CIS di Amazon Web Services Foundations, impostazioni, autorizzazioni e runbook di correzione della versione 1.2.0.
**CIS140MemberStack.template** - Benchmark CIS di Amazon Web Services Foundations, impostazioni, autorizzazioni e runbook di correzione della versione 1.4.0.
**CIS300MemberStack.template** - Benchmark CIS di Amazon Web Services Foundations, impostazioni, autorizzazioni e runbook di correzione della versione 3.0.0.
**PCI321MemberStack.template** - Impostazioni, autorizzazioni e runbook di correzione PCI-DSS v3.2.1.
**NISTMemberStack.template** - Impostazioni, autorizzazioni e runbook di correzione del National Institute of Standards and Technology (NIST), v5.0.0.
**SCMemberStack.template - Impostazioni, autorizzazioni** e runbook di correzione del controllo di sicurezza.
**automated-security-response-member-cloudtrail.template**: utilizzato nella funzione Action Log per tracciare e controllare l'attività di assistenza.
## Integrazione del sistema di ticket
Utilizza uno dei seguenti modelli per l'integrazione con il tuo sistema di biglietteria.
[![\[View Template\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/view-template.png)JiraBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template)**.template**: esegui l'implementazione se usi Jira come sistema di ticketing.
[![\[View Template\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/view-template.png)ServiceNowBlueprintStack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template)**.template**: implementalo se lo utilizzi come sistema di ticketing. ServiceNow
Se desideri integrare un sistema di ticketing esterno diverso, puoi utilizzare uno di questi stack come modello per capire come implementare la tua integrazione personalizzata.
# Implementazione automatizzata - StackSets
**Nota**
Ti consigliamo di eseguire la distribuzione con. StackSets Tuttavia, per le implementazioni con account singolo o per scopi di test o valutazione, prendi in considerazione l'opzione di distribuzione in [stack](deployment.md).
Prima di avviare la soluzione, esaminate l'architettura, i componenti della soluzione, la sicurezza e le considerazioni sulla progettazione discusse in questa guida. Segui le step-by-step istruzioni in questa sezione per configurare e distribuire la soluzione nelle tue AWS Organizations.
**Tempo di implementazione:** circa 30 minuti per account, a seconda StackSet dei parametri.
## Prerequisiti
[AWS Organizations](https://aws.amazon.com/organizations/) ti aiuta a gestire e governare centralmente l'ambiente e le risorse AWS multi-account. StackSets funzionano al meglio con AWS Organizations.
Se hai già distribuito la versione 1.3.x o una versione precedente di questa soluzione, devi disinstallare la soluzione esistente. [Per ulteriori informazioni, consulta Aggiornare la soluzione.](update-the-solution.md)
Prima di distribuire questa soluzione, esamina la distribuzione di AWS Security Hub:
+ Nella tua AWS Organization deve essere presente un account amministratore delegato di Security Hub.
+ Security Hub deve essere configurato per aggregare i risultati tra le regioni. Per ulteriori informazioni, consulta la sezione [Aggregazione dei risultati tra le regioni](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) nella AWS Security Hub User Guide.
+ Devi [attivare Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) per la tua organizzazione in ogni regione in cui utilizzi AWS.
Questa procedura presuppone che tu disponga di più account che utilizzano AWS Organizations e che tu abbia delegato un account amministratore AWS Organizations e un account amministratore AWS Security Hub.
**Tieni presente che questa soluzione funziona sia con [AWS Security Hub che con AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).**
## Panoramica della distribuzione
**Nota**
StackSets l'implementazione di questa soluzione utilizza una combinazione di gestione dei servizi e gestione automatica. StackSets La modalità Self-Managed StackSets deve essere utilizzata attualmente in quanto utilizza sistemi annidati StackSets, che non sono ancora supportati con Service-Managed. StackSets
Distribuiscili StackSets da un [account amministratore delegato](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) nel tuo AWS Organizations.
**Pianificazione**
Utilizza il seguente modulo per aiutarti con StackSets la distribuzione. Prepara i dati, quindi copia e incolla i valori durante la distribuzione.
```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```
[(Facoltativo) Fase 0: Implementazione dello stack di integrazione dei ticket](#step-0-stackset)
+ Se intendi utilizzare la funzione di ticketing, implementa prima lo stack di integrazione dei ticket nel tuo account amministratore di Security Hub.
+ Copia il nome della funzione Lambda da questo stack e forniscilo come input allo stack di amministrazione (vedi Passaggio 1).
[Passaggio 1: avviare lo stack di amministrazione nell'account amministratore delegato di Security Hub](#step-1-stackset)
+ Utilizzando un modello autogestito StackSet, avvia il CloudFormation modello `automated-security-response-admin.template` AWS nel tuo account amministratore AWS Security Hub nella stessa regione dell'amministratore di Security Hub. Questo modello utilizza pile annidate.
+ Scegli quali standard di sicurezza installare. Per impostazione predefinita, è selezionato solo SC (consigliato).
+ Scegliete un gruppo di log di Orchestrator esistente da utilizzare. Seleziona `Yes` se esiste `SO0111-ASR- Orchestrator` già da un'installazione precedente.
+ Scegli se abilitare l'interfaccia utente Web della soluzione. Se scegli di abilitare questa funzionalità, devi anche inserire un indirizzo e-mail a cui assegnare un ruolo di amministratore.
+ Seleziona le tue preferenze per raccogliere le CloudWatch metriche relative allo stato operativo della soluzione.
Per ulteriori informazioni sulla gestione automatica StackSets, consulta [Grant self-managed permissions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) nella * CloudFormation AWS* User Guide.
[Fase 2: installa i ruoli di riparazione in ogni account membro di AWS Security Hub](#step-2-stackset)
Attendi il passaggio 1 per completare la distribuzione, poiché il modello nella fase 2 fa riferimento ai ruoli IAM creati dalla fase 1.
+ Utilizzando un servizio gestito StackSet, avvia il CloudFormation modello `automated-security-response-member-roles.template` AWS in una singola regione in ogni account delle tue AWS Organizations.
+ Scegli di installare questo modello automaticamente quando un nuovo account si unisce all'organizzazione.
+ Inserisci l'ID dell'account amministratore di AWS Security Hub.
+ Inserisci un valore per il `namespace` quale verrà utilizzato per evitare conflitti tra i nomi delle risorse e una distribuzione precedente o simultanea nello stesso account. Inserisci una stringa composta da un massimo di 9 caratteri alfanumerici minuscoli.
[Fase 3: Avvia lo stack di membri in ogni account membro e regione di AWS Security Hub](#step-3-stackset)
+ Utilizzando la gestione automatica StackSets, avvia il CloudFormation modello `automated-security-response-member.template` AWS in tutte le regioni in cui hai risorse AWS in ogni account della tua AWS Organization gestite dallo stesso amministratore di Security Hub.
**Nota**
Fino a quando il StackSets supporto gestito dal servizio non sarà annidato, devi eseguire questo passaggio per tutti i nuovi account che entrano a far parte dell'organizzazione.
+ Scegliete quali playbook Security Standard installare.
+ Fornisci il nome di un gruppo di CloudTrail log (utilizzato per alcune soluzioni correttive).
+ Inserisci l'ID dell'account amministratore di AWS Security Hub.
+ Inserisci un valore per il `namespace` quale verrà utilizzato per evitare conflitti tra i nomi delle risorse e una distribuzione precedente o simultanea nello stesso account. Inserisci una stringa composta da un massimo di 9 caratteri alfanumerici minuscoli. Deve corrispondere al `namespace` valore selezionato per lo stack dei ruoli dei membri. Inoltre, non è necessario che il valore dello spazio dei nomi sia univoco per account membro.
## (Facoltativo) Fase 0: Avvia uno stack di integrazione del sistema di ticket
1. Se intendi utilizzare la funzione di ticketing, avvia prima il rispettivo stack di integrazione.
1. Scegli gli stack di integrazione forniti per Jira oppure ServiceNow usali come modello per implementare la tua integrazione personalizzata.
**Per distribuire lo stack** Jira:
1. Inserisci un nome per lo stack.
1. Fornisci l'URI alla tua istanza Jira.
1. Fornisci la chiave del progetto Jira a cui desideri inviare i ticket.
1. Crea un nuovo segreto chiave-valore in Secrets Manager che contenga `Username` Jira e. `Password`
**Nota**
Puoi scegliere di utilizzare una chiave API Jira al posto della password fornendo il tuo nome utente come `Username` e la tua chiave API come. `Password`
1. Aggiungi l'ARN di questo segreto come input allo stack.
**Fornisci il nome dello stack, le informazioni sul progetto Jira e le credenziali dell'API Jira.**
![\[stack di integrazione del sistema di ticket jira\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Configurazione del **campo Jira:**
Dopo aver distribuito lo stack Jira, puoi personalizzare i campi dei ticket Jira impostando la variabile di `JIRA_FIELDS_MAPPING` ambiente sulla funzione Lambda. Questa stringa JSON sostituisce i campi dei ticket Jira predefiniti e deve seguire la struttura dei campi dell'API Jira.
Valori predefiniti quando `JIRA_FIELDS_MAPPING` è vuoto o i campi non sono specificati:
+ **priorità**: `{"id": "3"}` (priorità media)
+ **tipo di problema**: `{"id": "10006"}` (Attività)
+ **AccountID**: recuperato automaticamente utilizzando l'endpoint API `GET /rest/api/2/myself`
Esempio di configurazione con campi personalizzati:
```
{
"reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
"priority": {"id": "1"},
"issuetype": {"id": "10006"},
"assignee": {"accountId": "123456:another-user-id"},
"customfield_10001": "custom value"
}
```
Campo IDs Jira comune:
+ **Priorità IDs**: 1 (massima), 2 (alta), 3 (media), 4 (bassa), 5 (minima)
+ **ID del tipo di problema**: varia in base al progetto Jira (ad esempio, 10006 per Task)
+ **ID account: formato** `123456:494dcbff-1b80-482c-a89d-56ae81c145a4`
Puoi trovare il tuo campo IDs e il tuo account Jira IDs utilizzando l'API REST di Jira:
+ `GET /rest/api/2/myself`per l'ID dell'account
+ `GET /rest/api/2/priority`per priorità IDs
+ `GET /rest/api/2/project/{projectKey}`per tipo di problema IDs
Per ulteriori informazioni, consulta il formato [Jira REST API v2 Issue POST](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).
**Per distribuire lo stack**: ServiceNow
1. Inserisci un nome per lo stack.
1. Fornisci l'URI della tua ServiceNow istanza.
1. Fornisci il nome della ServiceNow tabella.
1. Crea una chiave API ServiceNow con l'autorizzazione a modificare la tabella su cui intendi scrivere.
1. Crea un segreto in Secrets Manager con la chiave `API_Key` e fornisci l'ARN segreto come input per lo stack.
**Fornisci un nome di stack, informazioni sul ServiceNow progetto e ServiceNow credenziali API.**
![\[Ticket System Integration Stack Servicenow\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Per creare uno stack di integrazione personalizzato**: includi una funzione Lambda che l'orchestratore di soluzioni Step Functions può chiamare per ogni correzione. La funzione Lambda dovrebbe prendere l'input fornito da Step Functions, costruire un payload in base ai requisiti del sistema di ticketing ed effettuare una richiesta al sistema per creare il ticket.
## Passaggio 1: avviare lo stack di amministrazione nell'account amministratore delegato di Security Hub
1. Avvia lo [stack di amministrazione](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) con `automated-security-response-admin.template` il tuo account amministratore di Security Hub. In genere, uno per organizzazione in una singola regione. Poiché questo stack utilizza stack annidati, è necessario distribuire questo modello come sistema autogestito. StackSet
### Parameters
| Parametro | Predefinita | Description |
| --- | --- | --- |
| **Carica SC Admin Stack** | `yes` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei controlli SC. |
| **Carica AFSBP Admin Stack** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei controlli FSBP. |
| **Carica Admin Stack CIS120 ** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei CIS120 controlli. |
| **Carica lo stack CIS140 di amministrazione** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei CIS140 controlli. |
| **Carica lo stack CIS300 di amministrazione** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei CIS300 controlli. |
| **Carica lo stack PC1321 di amministrazione** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei PC1321 controlli. |
| **Carica NIST Admin Stack** | `no` | Specificate se installare i componenti di amministrazione per la riparazione automatica dei controlli NIST. |
| **Riutilizza il gruppo di log di Orchestrator** | `no` | Seleziona se riutilizzare o meno un gruppo di log esistente. `SO0111-ASR-Orchestrator` CloudWatch Ciò semplifica la reinstallazione e gli aggiornamenti senza perdere i dati di registro di una versione precedente. Riutilizza `Orchestrator Log Group` quello esistente scegli `yes` se esiste `Orchestrator Log Group` ancora da una distribuzione precedente in questo account, altrimenti. `no` Se stai eseguendo un aggiornamento dello stack da una versione precedente alla v2.3.0, scegli `no` |
| **ShouldDeployWebUI** | `yes` | Implementa i componenti dell'interfaccia utente Web, tra cui API Gateway, CloudFront funzioni Lambda e distribuzione. Seleziona «sì» per abilitare l'interfaccia utente basata sul Web per la visualizzazione dei risultati e dello stato delle riparazioni. Se scegli di disabilitare questa funzionalità, puoi comunque configurare le riparazioni automatiche ed eseguire le riparazioni su richiesta utilizzando l'azione personalizzata CSPM di Security Hub. |
| **AdminUserEmail** | *(Input opzionale)* | Indirizzo e-mail dell'utente amministratore iniziale. Questo utente avrà accesso amministrativo completo all'interfaccia utente Web ASR. Richiesto **solo quando l'**interfaccia utente Web è abilitata. |
| **Usa le CloudWatch metriche** | `yes` | Specificate se abilitare le CloudWatch metriche per il monitoraggio della soluzione. Questo creerà una CloudWatch dashboard per la visualizzazione delle metriche. |
| **Usa CloudWatch Metrics & Alarms** | `yes` | Specificare se abilitare CloudWatch Metrics Alarms per la soluzione. Questo creerà allarmi per determinate metriche raccolte dalla soluzione. |
| **RemediationFailureAlarmThreshold** | `5` | Specificate la soglia per la percentuale di errori di riparazione per ID di controllo. Ad esempio, se si inserisce`5`, si riceve un allarme se un ID di controllo fallisce per più del 5% delle riparazioni in un determinato giorno. Questo parametro funziona solo se vengono creati allarmi (vedi il parametro **Use CloudWatch Metrics Alarms**). |
| **EnableEnhancedCloudWatchMetrics** | `no` | If`yes`, crea CloudWatch metriche aggiuntive per tenere traccia di tutti i controlli IDs singolarmente sulla CloudWatch dashboard e come allarmi. CloudWatch Consulta la sezione [Costo](cost.md#additional-cost-enhanced-metrics) per comprendere i costi aggiuntivi che ciò comporta. |
| **TicketGenFunctionName** | *(Inserimento opzionale)* | Opzionale. Lascia vuoto se non desideri integrare un sistema di biglietteria. Altrimenti, fornisci il nome della funzione Lambda dall'output dello stack dello [Step 0](deployment.md#step-0), ad esempio:. `SO0111-ASR-ServiceNow-TicketGenerator` |
**Configura le opzioni StackSet **
![\[configura le opzioni dello stackset\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)
1. Per il parametro **Account numbers**, inserisci l'ID account dell'account amministratore di AWS Security Hub.
1. Per il parametro **Specificare le regioni**, selezionare solo la regione in cui è attivato l'amministratore di Security Hub. Attendi il completamento di questo passaggio prima di passare al Passaggio 2.
## Fase 2: installa i ruoli di riparazione in ogni account membro di AWS Security Hub
Utilizza un servizio gestito StackSets per distribuire il modello dei ruoli dei [membri](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Questo StackSet deve essere distribuito in una regione per account membro. Definisce i ruoli globali che consentono le chiamate API tra account dalla funzione step di ASR Orchestrator.
### Parameters
| Parametro | Predefinita | Description |
| --- | --- | --- |
| **Spazio dei nomi** | ** | Inserisci una stringa composta da un massimo di 9 caratteri alfanumerici minuscoli. Namespace univoco da aggiungere come suffisso ai nomi dei ruoli IAM di riparazione. Lo stesso spazio dei nomi deve essere utilizzato negli stack Member Roles e Member. Questa stringa deve essere unica per ogni implementazione della soluzione, ma non deve essere modificata durante gli aggiornamenti dello stack. **Non** è necessario che il valore dello spazio dei nomi sia univoco per account membro. |
| **Amministratore dell'account Sec Hub** | ** | Inserisci l'ID dell'account a 12 cifre per l'account amministratore di AWS Security Hub. Questo valore concede le autorizzazioni per il ruolo di soluzione dell'account amministratore. |
1. Implementalo all'intera organizzazione (tipico) o alle unità organizzative, in base alle politiche dell'organizzazione.
1. Attiva la distribuzione automatica in modo che i nuovi account in AWS Organizations ricevano queste autorizzazioni.
1. Per il parametro **Specificare le regioni**, seleziona una singola regione. I ruoli IAM sono globali. Puoi continuare con la Fase 3 durante la StackSet distribuzione.
**Specificare i dettagli StackSet **
![\[specificare i dettagli dello stackset\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)
## Fase 3: Avvia lo stack di membri in ogni account membro e regione di AWS Security Hub
Poiché lo stack di [membri utilizza stack](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) annidati, devi distribuirlo come sistema autogestito. StackSet Ciò non supporta la distribuzione automatica su nuovi account nell'AWS Organization.
### Parameters
| Parametro | Predefinita | Description |
| --- | --- | --- |
| **Fornisci il nome LogGroup da utilizzare per creare filtri e allarmi metrici** | ** | Specificare il nome di un gruppo CloudWatch Logs in cui CloudTrail registra le chiamate API. Viene utilizzato per le riparazioni CIS 3.1-3.14. |
| **Carica SC Member Stack** | `yes` | Specificare se installare i componenti dei membri per la riparazione automatica dei controlli SC. |
| **Carica lo stack di membri AFSBP** | `no` | Specificare se installare i componenti dei membri per la riparazione automatica dei controlli FSBP. |
| **Carica lo stack dei membri CIS120 ** | `no` | Specificare se installare i componenti membri per la riparazione automatica dei CIS120 controlli. |
| **Carica lo stack CIS140 dei membri** | `no` | Specificare se installare i componenti membri per la riparazione automatica dei CIS140 controlli. |
| **Carica lo stack CIS300 dei membri** | `no` | Specificare se installare i componenti membri per la riparazione automatica dei CIS300 controlli. |
| **Carica lo stack PC1321 dei membri** | `no` | Specificare se installare i componenti membri per la riparazione automatica dei PC1321 controlli. |
| **Carica lo stack dei membri NIST** | `no` | Specificare se installare i componenti membri per la riparazione automatica dei controlli NIST. |
| **Crea un bucket S3 per la registrazione di audit di Redshift** | `no` | Seleziona `yes` se il bucket S3 deve essere creato per la riparazione di FSBP 1.4. RedShift *Per i dettagli sul bucket S3 e sulla correzione, consulta la correzione [Redshift.4 nella AWS Security Hub User](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) Guide.* |
| **Account amministratore di Sec Hub** | ** | Inserisci l'ID dell'account a 12 cifre per l'account amministratore di AWS Security Hub. |
| **Spazio dei nomi** | ** | Inserisci una stringa composta da un massimo di 9 caratteri alfanumerici minuscoli. Questa stringa diventa parte dei nomi dei ruoli IAM e del bucket Action Log S3. Usa lo stesso valore per la distribuzione dello stack dei membri e la distribuzione dello stack dei ruoli dei membri. La stringa deve essere unica per ogni implementazione della soluzione, ma non deve essere modificata durante gli aggiornamenti dello stack. |
| **EnableCloudTrailForASRActionLog** | `no` | Seleziona `yes` se desideri monitorare gli eventi di gestione condotti dalla soluzione sulla CloudWatch dashboard. La soluzione crea una CloudTrail traccia in ogni account membro selezionato`yes`. È necessario distribuire la soluzione in un'organizzazione AWS per abilitare questa funzionalità. **Inoltre, puoi abilitare questa funzionalità solo in una singola regione all'interno dello stesso account.** Consulta la sezione [Costo](cost.md#additional-cost-action-log) per comprendere i costi aggiuntivi che ciò comporta. |
**Account**
![\[account\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/accounts.png)
**Sedi di distribuzione**: è possibile specificare un elenco di numeri di account o unità organizzative.
**Specificare le regioni**: seleziona tutte le regioni in cui desideri correggere i risultati. È possibile modificare le opzioni di distribuzione in base al numero di account e regioni. La concorrenza regionale può essere parallela.
# Distribuzione automatizzata - Stacks
**Nota**
Per i clienti con più account, consigliamo vivamente di [implementare](deployment-stackset.md) con. StackSets
Prima di lanciare la soluzione, esamina l'architettura, i componenti della soluzione, la sicurezza e le considerazioni sulla progettazione discusse in questa guida. Segui le step-by-step istruzioni in questa sezione per configurare e distribuire la soluzione nel tuo account.
**Tempo di implementazione: circa 30** minuti
## Prerequisiti
Prima di distribuire questa soluzione, assicurati che AWS Security Hub si trovi nella stessa regione AWS degli account primari e secondari. Se hai già distribuito questa soluzione, devi disinstallare la soluzione esistente. Per ulteriori informazioni, consulta [Aggiornare la soluzione](update-the-solution.md).
## Panoramica della distribuzione
Utilizza i seguenti passaggi per distribuire questa soluzione su AWS.
[(Facoltativo) Fase 0: Avvio di uno stack di integrazione del sistema di ticket](#step-0)
+ Se intendi utilizzare la funzione di ticketing, implementa prima lo stack di integrazione dei ticket nel tuo account amministratore di Security Hub.
+ Copia il nome della funzione Lambda da questo stack e forniscilo come input allo stack di amministrazione (vedi Passaggio 1).
[Passaggio 1: avvia lo stack di amministrazione](#step-1)
+ Avvia il CloudFormation modello `automated-security-response-admin.template` AWS nel tuo account amministratore di AWS Security Hub.
+ Scegli quali standard di sicurezza installare.
+ Scegli un gruppo di log di Orchestrator esistente da utilizzare (seleziona `Yes` se esiste `SO0111-ASR-Orchestrator` già da un'installazione precedente).
[Fase 2: installa i ruoli di riparazione in ogni account membro di AWS Security Hub](#step-2)
+ Avvia il CloudFormation modello `automated-security-response-member-roles.template` AWS in una regione per account membro.
+ Inserisci l'account IG a 12 cifre per l'account amministratore di AWS Security Hub.
[Fase 3: Avvia lo stack di membri](#step-3)
+ Specificate il nome del gruppo CloudWatch Logs da utilizzare con le riparazioni CIS 3.1-3.14. Deve essere il nome di un gruppo di log Logs che riceve CloudWatch i log. CloudTrail
+ Scegli se installare i ruoli di riparazione. Installa questi ruoli solo una volta per account.
+ Seleziona i playbook da installare.
+ Inserisci l'ID dell'account amministratore di AWS Security Hub.
[Fase 4: (Facoltativo) Modifica le correzioni disponibili](#step-4)
+ Rimuovi eventuali rimedi in base all'account di ciascun membro. Questa fase è facoltativa.
## (Facoltativo) Fase 0: Avvio di uno stack di integrazione del sistema di ticket
1. Se intendi utilizzare la funzione di ticketing, avvia prima il rispettivo stack di integrazione.
1. Scegli gli stack di integrazione forniti per Jira oppure ServiceNow usali come modello per implementare la tua integrazione personalizzata.
**Per distribuire lo stack** Jira:
1. Inserisci un nome per lo stack.
1. Fornisci l'URI alla tua istanza Jira.
1. Fornisci la chiave del progetto Jira a cui desideri inviare i ticket.
1. Crea un nuovo segreto chiave-valore in Secrets Manager che contenga `Username` Jira e. `Password`
**Nota**
Puoi scegliere di utilizzare una chiave API Jira al posto della password fornendo il tuo nome utente come `Username` e la tua chiave API come. `Password`
1. Aggiungi l'ARN di questo segreto come input allo stack.
**«Fornisci un nome di stack, informazioni sul progetto Jira e credenziali dell'API Jira.**
![\[stack di integrazione del sistema di ticket jira\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)
Configurazione del **campo Jira:**
Per informazioni sulla personalizzazione dei campi dei ticket di Jira, consulta la sezione Jira Field Configuration nella [fase 0](deployment-stackset.md#step-0-stackset) della distribuzione. StackSet
**Per distribuire lo stack**: ServiceNow
1. Inserisci un nome per lo stack.
1. Fornisci l'URI della tua ServiceNow istanza.
1. Fornisci il nome della ServiceNow tabella.
1. Crea una chiave API ServiceNow con l'autorizzazione a modificare la tabella su cui intendi scrivere.
1. Crea un segreto in Secrets Manager con la chiave `API_Key` e fornisci l'ARN segreto come input per lo stack.
**Fornisci un nome di stack, informazioni sul ServiceNow progetto e ServiceNow credenziali API.**
![\[Ticket System Integration Stack Servicenow\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)
**Per creare uno stack di integrazione personalizzato**: includi una funzione Lambda che l'orchestratore di soluzioni Step Functions può chiamare per ogni correzione. La funzione Lambda dovrebbe prendere l'input fornito da Step Functions, costruire un payload in base ai requisiti del sistema di ticketing ed effettuare una richiesta al sistema per creare il ticket.
## Fase 1: Avvia lo stack di amministrazione
**Importante**
Questa soluzione include la raccolta dei dati. Utilizziamo questi dati per comprendere meglio come i clienti utilizzano questa soluzione e i servizi e i prodotti correlati. AWS è proprietaria dei dati raccolti tramite questo sondaggio. La raccolta dei dati è soggetta all'[Informativa sulla privacy di AWS](https://aws.amazon.com/privacy/).
Questo CloudFormation modello AWS automatizzato distribuisce la soluzione Automated Security Response on AWS nel cloud AWS. Prima di avviare lo stack, è necessario abilitare Security Hub e completare i [prerequisiti](#prerequisites).
**Nota**
Sei responsabile del costo dei servizi AWS utilizzati durante l'esecuzione di questa soluzione. Per maggiori dettagli, visita la sezione [Costi](cost.md) di questa guida e consulta la pagina web dei prezzi per ogni servizio AWS utilizzato in questa soluzione.
1. Accedi alla Console di gestione AWS dall'account in cui è attualmente configurato AWS Security Hub e utilizza il pulsante in basso per avviare il CloudFormation modello `automated-security-response-admin.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide)
Puoi anche [scaricare il modello](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) come punto di partenza per un'implementazione personalizzata.
1. Per impostazione predefinita, il modello viene lanciato nella regione Stati Uniti orientali (Virginia settentrionale). Per avviare questa soluzione in un'altra regione AWS, utilizza il selettore di regione nella barra di navigazione della Console di gestione AWS.
**Nota**
Questa soluzione utilizza AWS Systems Manager, attualmente disponibile solo in regioni AWS specifiche. La soluzione funziona in tutte le regioni che supportano questo servizio. Per la disponibilità più aggiornata per regione, consulta l'[AWS Regional Services List](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Nella pagina **Create stack**, verifica che l'URL del modello corretto sia nella casella di testo URL **Amazon S3**, quindi scegli Avanti.**
1. Nella pagina **Specificare i dettagli dello stack**, assegna un nome allo stack di soluzioni. Per informazioni sulle limitazioni dei caratteri di denominazione, consulta i [limiti di IAM e STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) *nella AWS Identity and Access Management User Guide*.
1. Nella pagina **Parametri**, scegli **Avanti**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/deployment.html)
**Nota**
È necessario abilitare manualmente le riparazioni automatiche nell'account Admin dopo aver distribuito o aggiornato gli stack della soluzione. CloudFormation
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Rivedi**, verifica e conferma le impostazioni. Seleziona la casella per confermare che il modello creerà risorse AWS Identity and Access Management (IAM).
1. Seleziona **Create** (Crea) per implementare lo stack.
Puoi visualizzare lo stato dello stack nella CloudFormation console AWS nella colonna **Status**. Dovresti ricevere lo status CREATE\$1COMPLETE in circa 15 minuti.
## Fase 2: installa i ruoli di riparazione in ogni account membro di AWS Security Hub
`automated-security-response-member-roles.template` StackSet Devono essere distribuiti in una sola regione per account membro. Definisce i ruoli globali che consentono le chiamate API tra account dalla funzione step di ASR Orchestrator.
1. Accedi alla Console di gestione AWS per ogni account membro di AWS Security Hub (incluso l'account amministratore, che è anche membro). Seleziona il pulsante per avviare il CloudFormation modello `automated-security-response-member-roles.template` AWS. Puoi anche [scaricare il modello](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) come punto di partenza per un'implementazione personalizzata.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide)
1. Per impostazione predefinita, il modello viene avviato nella regione Stati Uniti orientali (Virginia settentrionale). Per avviare questa soluzione in un'altra regione AWS, utilizza il selettore di regione nella barra di navigazione della Console di gestione AWS.
1. **Nella pagina **Create stack**, verifica che l'URL del modello corretto sia nella casella di testo URL Amazon S3, quindi scegli Avanti.**
1. Nella pagina **Specificare i dettagli dello stack**, assegna un nome allo stack di soluzioni. Per informazioni sulle limitazioni dei caratteri di denominazione, consulta i limiti di IAM e STS nella AWS Identity and Access Management User Guide.
1. Nella pagina **Parametri**, specifica i seguenti parametri e scegli Avanti.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Rivedi**, verifica e conferma le impostazioni. Seleziona la casella per confermare che il modello creerà risorse AWS Identity and Access Management (IAM).
1. Seleziona **Create** (Crea) per implementare lo stack.
Puoi visualizzare lo stato dello stack nella CloudFormation console AWS nella colonna **Status**. Dovresti ricevere lo status CREATE\$1COMPLETE in circa 5 minuti. Puoi continuare con il passaggio successivo durante il caricamento di questo stack.
## Passaggio 3: Avvia lo stack dei membri
**Importante**
Questa soluzione include la raccolta dei dati. Utilizziamo questi dati per comprendere meglio come i clienti utilizzano questa soluzione e i servizi e i prodotti correlati. AWS è proprietaria dei dati raccolti tramite questo sondaggio. La raccolta dei dati è soggetta alla politica sulla privacy di AWS.
Lo `automated-security-response-member` stack deve essere installato in ogni account membro del Security Hub. Questo stack definisce i runbook per la riparazione automatica. L'amministratore di ogni account membro può controllare quali rimedi sono disponibili tramite questo stack.
1. Accedi alla Console di gestione AWS per ogni account membro di AWS Security Hub (incluso l'account amministratore, che è anche membro). Seleziona il pulsante per avviare il CloudFormation modello `automated-security-response-member.template` AWS.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)
Puoi anche [scaricare il modello](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) come punto di partenza per la tua implementazione. Per impostazione predefinita, il modello viene avviato nella regione Stati Uniti orientali (Virginia settentrionale). Per avviare questa soluzione in un'altra regione AWS, utilizza il selettore di regione nella barra di navigazione della Console di gestione AWS.
\$1
**Nota**
Questa soluzione utilizza AWS Systems Manager, attualmente disponibile nella maggior parte delle regioni AWS. La soluzione funziona in tutte le regioni che supportano questi servizi. Per la disponibilità più aggiornata per regione, consulta l'[AWS Regional Services List](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
1. **Nella pagina **Create stack**, verifica che l'URL del modello corretto sia nella casella di testo URL **Amazon S3**, quindi scegli Avanti.**
1. Nella pagina **Specificare i dettagli dello stack**, assegna un nome allo stack di soluzioni. Per informazioni sulle limitazioni dei caratteri di denominazione, consulta i [limiti di IAM e STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) *nella AWS Identity and Access Management User Guide*.
1. Nella pagina **Parametri**, specifica i seguenti parametri e scegli **Avanti**.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/deployment.html)
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Rivedi**, verifica e conferma le impostazioni. Seleziona la casella per confermare che il modello creerà risorse AWS Identity and Access Management (IAM).
1. Seleziona **Create** (Crea) per implementare lo stack.
Puoi visualizzare lo stato dello stack nella CloudFormation console AWS nella colonna **Status**. Dovresti ricevere lo status CREATE\$1COMPLETE in circa 15 minuti.
## Fase 4: (Facoltativo) Modifica le correzioni disponibili
Se desideri rimuovere rimedi specifici da un account membro, puoi farlo aggiornando lo stack annidato per lo standard di sicurezza. Per semplicità, le opzioni dello stack annidato non vengono propagate allo stack principale.
1. Accedi alla [ CloudFormation console AWS](https://console.aws.amazon.com/cloudformation/home) e seleziona lo stack annidato.
1. Scegliere **Aggiorna**.
1. **Seleziona **Update nested stack e scegli Update stack**.**
**Aggiorna lo stack annidato**
![\[pila annidata\]](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)
1. **Seleziona **Usa il modello corrente** e scegli Avanti.**
1. Modifica le soluzioni correttive disponibili. Cambia i valori per i controlli desiderati `Available` e i controlli indesiderati in. `Not available`
**Nota**
La disattivazione di una correzione rimuove il runbook di correzione delle soluzioni per lo standard e il controllo di sicurezza.
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Rivedi**, verifica e conferma le impostazioni. Seleziona la casella per confermare che il modello creerà risorse AWS Identity and Access Management (IAM).
1. Scegli **Aggiorna stack**.
Puoi visualizzare lo stato dello stack nella CloudFormation console AWS nella colonna **Status**. Dovresti ricevere lo status CREATE\$1COMPLETE in circa 15 minuti.
# Implementazione di Control Tower (CT)
La guida Customizations for AWS Control Tower (cFCT) è rivolta ad amministratori, DevOps professionisti, fornitori di software indipendenti, architetti di infrastrutture IT e integratori di sistemi che desiderano personalizzare ed estendere i propri ambienti AWS Control Tower per la propria azienda e i propri clienti. Fornisce informazioni sulla personalizzazione e l'estensione dell'ambiente AWS Control Tower con il pacchetto di personalizzazione cFCT.
**Tempo di implementazione: circa** 30 minuti
## Prerequisiti
Prima di distribuire questa soluzione, assicurati che sia destinata agli **amministratori di AWS Control Tower**.
Quando sei pronto per configurare la tua landing zone utilizzando la console AWS Control Tower APIs, oppure segui questi passaggi:
Per iniziare a usare AWS Control Tower, consulta: [Getting Started with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
Per informazioni su come personalizzare la tua landing zone, consulta: [Personalizzazione della tua landing](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html) zone
Per lanciare e dispiegare la tua landing zone, consulta: [Landing Zone Deployment Guide](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
## Panoramica sulla distribuzione
Utilizza i seguenti passaggi per distribuire questa soluzione su AWS.
[Fase 1: Crea e distribuisci un bucket S3](#step-1-cfn)
**Nota**
Configurazione del bucket S3: solo per amministratori. Si tratta di un passaggio di configurazione che si effettua una sola volta e non deve essere ripetuto dagli utenti finali. I bucket S3 memorizzano il pacchetto di distribuzione, incluso il CloudFormation modello AWS e il codice Lambda necessari per l'esecuzione di ASR. Queste risorse vengono distribuite utilizzando o. CfCt StackSet
**1. Configura il bucket S3**
Configura il bucket S3 che verrà utilizzato per archiviare e servire i pacchetti di distribuzione.
**2. Configurazione dell'ambiente**
Prepara le variabili di ambiente, le credenziali e gli strumenti necessari per il processo di creazione e distribuzione.
**3. Configura le politiche dei bucket S3**
Definisci e applica le policy bucket appropriate per controllare l'accesso e le autorizzazioni.
**4. Prepara la build**
Compila, impacchetta o prepara in altro modo l'applicazione o le risorse per la distribuzione.
**5. Distribuisci pacchetti su S3**
Carica gli artefatti di build preparati nel bucket S3 designato.
[Fase 2: distribuzione di Stacks su AWS Control Tower](#step-2-cfn)
**1. Crea Build Manifest per i componenti ASR**
Definisci un manifesto di compilazione che elenchi tutti i componenti ASR, le relative versioni, dipendenze e istruzioni di compilazione.
**2. Aggiorna il CodePipeline**
Modifica la CodePipeline configurazione AWS per includere i nuovi passaggi di build, artefatti o fasi necessari per la distribuzione dei componenti ASR.
## Fase 1: Crea e distribuisci nel bucket S3
Le soluzioni AWS utilizzano due bucket: un bucket per l'accesso globale ai modelli, a cui si accede tramite HTTPS, e un bucket regionale per l'accesso agli asset all'interno della regione, come il codice Lambda.
**1. Configura il bucket S3**
Scegli un nome univoco per il bucket, ad esempio asr-staging. Imposta due variabili di ambiente sul tuo terminale, una dovrebbe essere il nome del bucket di base con -reference come suffisso, l'altra con la regione di distribuzione desiderata come suffisso:
```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```
**2. Configurazione dell'ambiente**
Nel tuo account AWS, crea due bucket con questi nomi, ad esempio asr-staging-reference e asr-staging-us-east -1. (Il bucket di riferimento conterrà i CloudFormation modelli, il bucket regionale conterrà tutte le altre risorse come il bundle di codice lambda.) I bucket devono essere crittografati e impedire l'accesso pubblico
```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```
**Nota**
Quando crei i bucket, assicurati che non siano accessibili al pubblico. Usa nomi casuali per i bucket. Disabilita l'accesso pubblico. Usa la crittografia KMS. E verifica la proprietà del bucket prima di caricarlo.
**3. Configurazione della politica dei bucket S3**
Aggiorna la policy del bucket S3 di \$1TEMPLATE\$1BUCKET\$1NAME per includere le autorizzazioni per l'ID dell'account di esecuzione. PutObject Assegna questa autorizzazione a un ruolo IAM all'interno dell'account di esecuzione che è autorizzato a scrivere nel bucket. Questa configurazione consente di evitare di creare il bucket nell'account di gestione.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::template-bucket-name/*",
"arn:aws:s3:::template-bucket-name"
],
"Condition": {
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
}
}
}
]
}
```
Modifica la policy del bucket S3 dell'asset per includere le autorizzazioni. Assegna questa autorizzazione a un ruolo IAM all'interno dell'account di esecuzione che è autorizzato a scrivere nel bucket. Ripeti questa configurazione per ogni bucket di asset regionale (ad esempio, asr-staging-us-east -1, asr-staging-eu-west -1, ecc.), consentendo le distribuzioni in più regioni senza la necessità di creare i bucket nell'account di gestione.
**4. Preparazione alla costruzione**
+ Prerequisiti:
+ CLI di AWS v2
+ Python 3.11\$1 con pip
+ CDK AWS 2.171,1 E VERSIONI SUCCESSIVE
+ Node.js 20\$1 con npm
+ Poetry v2 con plugin per l'esportazione
+ Clone Git [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git)
Per prima cosa assicurati di aver eseguito npm install nella cartella dei sorgenti.
Successivamente, dalla cartella di distribuzione nel repository clonato, esegui build-s3-dist.sh, passando il nome root del bucket (es. mybucket) e la versione che stai creando (es. v1.0.0). Ti consigliamo di utilizzare una versione semver basata sulla versione scaricata da (es. GitHub GitHub: v1.0.0, la tua build: v1.0.0.mybuild)
```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```
**5. Distribuisci pacchetti su S3**
```
cd deployment
aws s3 cp global-s3-assets/ s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/ s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```
## Fase 2: distribuzione di Stacks su AWS Control Tower
**1. Crea un manifesto per i componenti ASR**
[Dopo aver distribuito gli artefatti ASR nei bucket S3, aggiorna il [manifesto della pipeline](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html) Control Tower in modo che faccia riferimento alla nuova versione, quindi attiva l'esecuzione della pipeline, consulta: distribuzione controltower](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)
**Importante**
Per garantire la corretta implementazione della soluzione ASR, consulta la documentazione ufficiale di AWS per informazioni dettagliate sulla panoramica dei CloudFormation modelli e sulla descrizione dei parametri. Link informativi di seguito: [Panoramica dei [CloudFormation modelli](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html), Guida ai parametri](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html)
Il manifesto per i componenti ASR ha il seguente aspetto:
```
region: us-east-1 #
version: 2021-03-15
# Control Tower Custom CloudFormation Resources
resources:
- name:
resource_file: s3://
parameters:
- parameter_key: UseCloudWatchMetricsAlarms
parameter_value: "yes"
- parameter_key: TicketGenFunctionName
parameter_value: ""
- parameter_key: ShouldDeployWebUI
parameter_value: "yes"
- parameter_key: AdminUserEmail
parameter_value: ""
- parameter_key: LoadSCAdminStack
parameter_value: "yes"
- parameter_key: LoadCIS120AdminStack
parameter_value: "no"
- parameter_key: LoadCIS300AdminStack
parameter_value: "no"
- parameter_key: UseCloudWatchMetrics
parameter_value: "yes"
- parameter_key: LoadNIST80053AdminStack
parameter_value: "no"
- parameter_key: LoadCIS140AdminStack
parameter_value: "no"
- parameter_key: ReuseOrchestratorLogGroup
parameter_value: "yes"
- parameter_key: LoadPCI321AdminStack
parameter_value: "no"
- parameter_key: RemediationFailureAlarmThreshold
parameter_value: "5"
- parameter_key: LoadAFSBPAdminStack
parameter_value: "no"
- parameter_key: EnableEnhancedCloudWatchMetrics
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
regions:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: Namespace
parameter_value:
deploy_method: stack_set
deployment_targets:
organizational_units:
-
- name:
resource_file: s3://
parameters:
- parameter_key: SecHubAdminAccount
parameter_value:
- parameter_key: LoadCIS120MemberStack
parameter_value: "no"
- parameter_key: LoadNIST80053MemberStack
parameter_value: "no"
- parameter_key: Namespace
parameter_value:
- parameter_key: CreateS3BucketForRedshiftAuditLogging
parameter_value: "no"
- parameter_key: LoadAFSBPMemberStack
parameter_value: "no"
- parameter_key: LoadSCMemberStack
parameter_value: "yes"
- parameter_key: LoadPCI321MemberStack
parameter_value: "no"
- parameter_key: LoadCIS140MemberStack
parameter_value: "no"
- parameter_key: EnableCloudTrailForASRActionLog
parameter_value: "no"
- parameter_key: LogGroupName
parameter_value:
- parameter_key: LoadCIS300MemberStack
parameter_value: "no"
deploy_method: stack_set
deployment_targets:
accounts: # :type: list
- # and/or
-
organizational_units:
-
regions: # :type: list
-
```
**2. Aggiornamento della pipeline del codice**
Aggiungi un file manifest a un custom-control-tower-configuration file.zip ed esegui un file CodePipeline, consulta: [code](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html) pipeline overview