# アーキテクチャの詳細
<a name="architecture-details"></a>

このセクションでは、このソリューションを構成するコンポーネントと AWS のサービス、およびこれらのコンポーネントがどのように連携するのかについてのアーキテクチャの詳細について説明します。

# AWS Security Hub の統合
<a name="aws-security-hub-integration"></a>

`automated-security-response-admin` スタックをデプロイすると、[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) のカスタムアクション機能との統合が作成されます。AWS Security Hub CSPM コンソールのユーザーが **[アクション] >** **[Remediate with ASR]** をクリックすると、選択した検出結果が EventBridge に送信され、修復ワークフローがトリガーされます。

クロスアカウントのアクセス許可と AWS Systems Manager のランブックは、CloudFormation テンプレート `automated-security-response-member.template` および `automated-security-response-member-roles.template` を使用して、AWS Security Hub のすべてのアカウント (管理者およびメンバー) にデプロイする必要があります。詳細については、「[プレイブック](playbooks.md)」セクションを参照してください。このテンプレートを使用すると、ターゲットアカウントでの自動修復が可能になります。

ユーザーは、Amazon DynamoDB を使用して、コントロールごとに完全に自動化された修復を設定できます。このオプションは、AWS Security Hub に検出結果が報告されると、すぐに完全自動修復をアクティブにします。自動開始はデフォルトでオフに設定されています。このオプションは、インストール後に[修復設定 DynamoDB テーブル](enable-fully-automated-remediations.md)を変更することでいつでも変更できます。

# クロスアカウントの修復
<a name="cross-account-remediation"></a>

AWS での自動化されたセキュリティ対応ソリューションでは、クロスアカウントのロールを使用して、プライマリアカウントとセカンダリアカウント間で動作します。これらのロールは、このソリューションのインストール中にメンバーアカウントにデプロイされます。各修復には個別のロールが割り当てられます。プライマリアカウントの修復プロセスでは、修復が必要なアカウントの修復用のロールを引き受けるアクセス許可が付与されます。修復は、修復が必要なアカウントで実行中の AWS Systems Manager のランブックによって行われます。

# プレイブック
<a name="playbooks"></a>

一連の修復は、*プレイブック*と呼ばれるパッケージにグループ化されます。プレイブックは、このソリューションのテンプレートを使用してインストール、更新、削除されます。各プレイブックでサポートしている修復方法については、[デベロッパーガイドの「プレイブック」](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html)を参照してください。このソリューションでは、現在、次のプレイブックをサポートしています。
+ セキュリティコントロール、AWS Security Hub の統合されたコントロールの検出結果機能と連携するプレイブック (2023 年 2 月 23 日公開)
**重要**  
[統合されたコントロールの検出結果](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings)が Security Hub で有効になっている場合、このソリューションで有効にする必要があるのはこのプレイブックだけです。
+  [Center for Internet Security (CIS) Amazon Web Services Foundations benchmarks, version 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard) (2018 年 5 月 18 日公開)
+  [Center for Internet Security (CIS) Amazon Web Services Foundations benchmarks, version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard) (2022 年 11 月 9 日公開)
+  [Center for Internet Security (CIS) Amazon Web Services Foundations Benchmarks, version 3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) (2024 年 5 月 13 日公開)
+  [AWS Foundational Security Best Practices (FSBP) version 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) (2021 年 3 月公開)
+  [Payment Card Industry Data Security Standards (PCI-DSS) version 3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) (2018 年 5 月公開)
+  [National Institute of Standards and Technology (NIST) version 5.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) (2023 年 11 月公開)

ソリューションの CloudFormation スタックをデプロイすると、プレイブックはすぐに使用できるようになります。上記のセキュリティ標準の修復を有効にするために追加の設定は必要ありません。

## 統合ログ管理
<a name="centralized-logging"></a>

AWS の自動セキュリティ対応では、単一の CloudWatch Logs グループ (SO0111-ASR) にログを記録します。これらのログには、このソリューションのトラブルシューティングと管理のために、詳細なロギングが含まれています。

# 通知
<a name="notifications"></a>

このソリューションでは、Amazon Simple Notification Service (Amazon SNS) トピックを使用して修復結果を発行します。このトピックのサブスクリプションを使用して、このソリューションの機能を拡張できます。例えば、メール通知を送信したり、トラブルチケットを更新したりできます。
+  **SO0111-ASR\$1Topic** – 実行された修復に関する一般的な情報とエラーメッセージを送信するために使用します。
+  **SO0111-ASR\$1Alarm\$1Topic** – ソリューションのアラームのいずれかがトリガーされたときに通知し、ソリューションが正常に機能していないことを示すために使用します。

## このソリューションで使用している AWS のサービス
<a name="aws-services-in-this-solution"></a>

このソリューションでは、次のサービスを使用しています。このソリューションを使用するにはコアサービスが必要であり、サポートサービスはコアサービスを接続します。


| AWS のサービス | 説明 | 
| --- | --- | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/)   |   **コア**。EventBridge ルールは、AWS Security Hub および AWS Security Hub CSPM によって出力されたイベントをリッスンおよびトリガーするために使用されます。  | 
|   [AWS IAM](https://aws.amazon.com/iam/)   |   **コア**。さまざまなロールをデプロイして、さまざまなリソースでの修復を可能にします。  | 
|   [AWS Lambda](https://aws.amazon.com/lambda/)   |   **コア。**オーケストレーターステップ関数が問題の修復に使用する複数の Lambda 関数をデプロイします。 API Gateway と統合されたソリューションのウェブ UI に対するバックエンドとして機能します。  | 
|   [AWS Security Hub](https://aws.amazon.com/security-hub/)   |   **コア**。AWS のセキュリティ状態の包括的なビューをユーザーに提供します。  | 
|   [AWS Step Functions](https://aws.amazon.com/step-functions/)   |   **コア**。AWS Systems Manager の API コールを使用して修復ドキュメントを呼び出すオーケストレーターをデプロイします。  | 
|   [AWS Systems Manager](https://aws.amazon.com/systems-manager/)   |   **コア**。ソリューションによって実行される修復ロジックが含まれる System Manager オートメーションのドキュメントをデプロイします。 パラメータストアを使用して、ソリューションのメタデータと構成設定を維持します。  | 
|   [AWS DynamoDB](https://aws.amazon.com/dynamodb/)   |   **コア**。各アカウントとリージョンに最後に実行された修復を保存して、修復のスケジュールを最適化します。 AWS Security Hub および AWS Security Hub CSPM によって生成された検出結果を保存します。 修復とソリューション設定のメタデータを保存します。 ソリューションのウェブ UI にアクセスするユーザーのデータを保存します。  | 
|   [AWS CloudTrail](https://aws.amazon.com/cloudtrail)   |   **サポート。**ソリューションが AWS リソースに加えた変更を記録し、CloudWatch ダッシュボードに表示します。  | 
|   [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/)   |   **サポート**。さまざまなプレイブックが結果を記録するために使用するロググループをデプロイします。メトリクスを収集して、アラーム付きのカスタムダッシュボードに表示します。  | 
|   [Amazon Simple Notification Service](https://aws.amazon.com/sns/)   |   **サポート**。修復が完了すると通知を受け取る SNS トピックをデプロイします。  | 
|   [AWS SQS](https://aws.amazon.com/sqs/)   |   **サポート**。このソリューションが多数の修復を並行して実行できるように、修復のスケジュール設定を支援します。 Lambda EventSource マッピングを使用して Lambda 実行をバッファします。  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms)   |   **サポート**。修復のためのデータの暗号化に使用します。  | 
|   [AWS Config](https://aws.amazon.com/config)   |   **サポート**。AWS Security Hub で使用するすべてのリソースを記録します。  | 
|   [Amazon S3](https://aws.amazon.com/s3)   |   **サポート**。エクスポートされた修復履歴とログデータを保存します。 ソリューションのウェブ UI をシングルページアプリケーション (SPA) としてホストします。  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront) \$1   |   **サポート**。ソリューションのウェブ UI を配信します  | 
|   [Amazon API Gateway](https://aws.amazon.com/apigateway):   |   **サポート**。ユーザーインターフェイスをサポートするソリューションの REST API を作成します。  | 
|   [AWS WAF](https://aws.amazon.com/waf)   |   **サポート**。ソリューションのウェブ UI を保護します。  | 
|   [Amazon Cognito](https://aws.amazon.com/cognito)   |   **サポート**。ソリューションのウェブ UI へのアクセスを認証および承認するために使用されます。  |