# 自動デプロイ - スタック
<a name="deployment"></a>

**注記**  
マルチアカウントのユーザーには、[StackSets を使用したデプロイ](deployment-stackset.md)を強くお勧めします。

ソリューションを開始する前に、このガイドに記載されているアーキテクチャ、ソリューションコンポーネント、セキュリティ、設計に関する考慮事項を確認してください。このセクションのステップバイステップの手順に従って、ソリューションを設定してアカウントにデプロイします。

 **デプロイ時間**: 約 30 分

## 前提条件
<a name="prerequisites"></a>

このソリューションをデプロイする前に、AWS Security Hub がプライマリアカウントおよびセカンダリアカウントと同じ AWS リージョンにあることを確認してください。以前にこのソリューションをデプロイしたことがある場合は、既存のソリューションをアンインストールする必要があります。詳細については、「[ソリューションを更新する](update-the-solution.md)」を参照してください。

## デプロイの概要
<a name="deployment-overview"></a>

次の手順を使用して、このソリューションを AWS にデプロイします。

 [(オプション) ステップ 0: チケットシステム統合スタックを起動する](#step-0) 
+ チケット作成機能を使用する場合は、まずチケット作成統合スタックを Security Hub 管理者アカウントにデプロイします。
+ このスタックから Lambda 関数名をコピーし、管理者スタックへの入力として指定します (ステップ 1 を参照)。

 [ステップ 1: 管理者スタックを起動する](#step-1) 
+ AWS Security Hub の管理者アカウントで `automated-security-response-admin.template` AWS CloudFormation テンプレートを起動します。
+ インストールするセキュリティ標準を選択します。
+ 使用する既存のオーケストレーターロググループを選択します (以前のインストールで `SO0111-ASR-Orchestrator` が既に存在する場合は `Yes` を選択してください)。

 [ステップ 2: AWS Security Hub のメンバーアカウントごとに修復ロールをインストールする](#step-2) 
+ メンバーアカウントごとに 1 つのリージョンで `automated-security-response-member-roles.template` AWS CloudFormation テンプレートを起動します。
+ AWS Security Hub の管理者アカウントの 12 桁のアカウント ID を入力します。

 [ステップ 3: メンバースタックを起動する](#step-3) 
+ CIS 3.1～3.14 修復で使用する CloudWatch Logs グループの名前を指定します。これは、CloudTrail ログを受信する CloudWatch Logs ロググループの名前である必要があります。
+ 修復ロールをインストールするかどうかを選択します。これらのロールは、アカウントごとに 1 回のみインストールします。
+ インストールするプレイブックを選択します。
+ AWS Security Hub の管理者アカウントのアカウント ID を入力します。

 [ステップ 4: (オプション) 使用可能な修復を調整する](#step-4) 
+ メンバーアカウントごとに修復を削除します。この手順はオプションです。

## (オプション) ステップ 0: チケットシステム統合スタックを起動する
<a name="step-0"></a>

1. チケット機能を使用する場合は、まずそれぞれの統合スタックを起動します。

1. Jira または ServiceNow 用に提供されている統合スタックを選択するか、独自のカスタム統合を実装するためのブループリントとして使用します。

    **Jira スタックをデプロイするには**:

   1. スタック名を入力します。

   1. Jira インスタンスに URI を指定します。

   1. チケットを送信する Jira プロジェクトのプロジェクトキーを指定します。

   1. Jira `Username` と `Password` を保持する新しいキーと値のシークレットを Secrets Manager に作成します。
**注記**  
ユーザー名を `Username` として、API キーを `Password` として指定することで、パスワードの代わりに Jira API キーを使用することを選択できます。

   1. このシークレットの ARN をスタックへの入力として追加します。

       **スタック名、Jira プロジェクト情報、Jira API 認証情報を指定します。**  
![\[チケットシステム統合スタック jira\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)

       **Jira フィールド設定**:

      Jira チケットフィールドのカスタマイズについては、「[StackSet デプロイのステップ 0](deployment-stackset.md#step-0-stackset)」の「Jira フィールド設定セクション」を参照してください。

       **ServiceNow スタックをデプロイするには**:

   1. スタック名を入力します。

   1. ServiceNow インスタンスの URI を指定します。

   1. ServiceNow テーブル名を指定します。

   1. 書き込み先のテーブルを変更するアクセス許可を持つ API キーを ServiceNow に作成します。

   1. キー `API_Key` を使用して Secrets Manager でシークレットを作成し、そのシークレットの ARN をスタックへの入力として提供します。

       **スタック名、ServiceNow プロジェクト情報、ServiceNow API 認証情報を指定します。**  
![\[チケットシステム統合スタック servicenow\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)

       **カスタム統合スタックを作成するには**: ソリューションオーケストレーター Step Functions が修復ごとに呼び出すことができる Lambda 関数を含めます。Lambda 関数は、Step Functions から提供された入力を受け取り、チケット発行システムの要件に従ってペイロードを構築し、システムにチケットの作成をリクエストする必要があります。

## ステップ 1: 管理者スタックを起動する
<a name="step-1"></a>

**重要**  
このソリューションにはデータ収集が含まれています。AWS ではこのデータを使用して、ユーザーがこのソリューション、関連サービスおよび製品をどのように使用しているかをよりよく理解し、提供するサービスや製品の改善に役立てます。AWS は、このアンケートを通じて収集されたデータを所有します。データ収集には、[AWS プライバシー通知](https://aws.amazon.com/privacy/)が適用されます。

この自動化された AWS CloudFormation テンプレートは、AWS での自動化されたセキュリティ対応ソリューションを AWS クラウドにデプロイします。スタックを起動する前に Security Hub を有効にして、[前提条件](#prerequisites)を確認する必要があります。

**注記**  
このソリューションの実行中に使用した AWS サービスのコストは、お客様の負担となります。詳細については、このガイドの「[コスト](cost.md)」セクションで、このソリューションで使用されている各 AWS サービスの料金表ウェブページを参照してください。

1. AWS Security Hub が現在設定されているアカウントから AWS マネジメントコンソールにサインインし、下のボタンを使用して `automated-security-response-admin.template` AWS CloudFormation テンプレートを起動します。

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 

   実装の開始点として[テンプレートをダウンロード](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)することもできます。

1. テンプレートはデフォルトで米国東部 (バージニア北部) リージョンで起動します。別の AWS リージョンでソリューションを起動するには、AWS マネジメントコンソールナビゲーションバーのリージョンセレクターを使用します。
**注記**  
このソリューションで使用している AWS Systems Manager は、現在、特定の AWS リージョンでのみ利用可能です。このソリューションは、このサービスをサポートするすべてのリージョンで機能します。リージョンごとの最新の利用状況については、「[AWS サービス (リージョン別)](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。

1. **[スタックの作成]** ページで、正しいテンプレート URL が **[Amazon S3 URL]** テキストボックスに表示されていることを確認し、**[次へ]** を選択します。

1. **[スタックの詳細を指定]** ページで、このソリューションのスタックに名前を割り当てます。名前に使用する文字の制限については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM と AWS STS クォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)」を参照してください。

1. **[パラメータ]** ページで **[次へ]** を選択します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/deployment.html)

**注記**  
ソリューションの CloudFormation スタックをデプロイまたは更新した後で、管理者アカウントで自動修復を手動で有効にする必要があります。

1. **[スタックオプションの設定]** ページで、**[次へ]** を選択します。

1. **[レビュー]** ページで、設定を確認して確定します。テンプレートが AWS Identity and Access Management (IAM) リソースを作成することを承認するボックスを必ずオンにします。

1. **[スタックの作成]** を選択してスタックをデプロイします。

AWS CloudFormation コンソールの **[ステータス]** 列でスタックのステータスを確認できます。約 15 分で CREATE\$1COMPLETE ステータスが表示されます。

## ステップ 2: AWS Security Hub のメンバーアカウントごとに修復ロールをインストールする
<a name="step-2"></a>

`automated-security-response-member-roles.template` StackSet は、メンバーアカウントごとに 1 つのリージョンにのみデプロイする必要があります。ASR オーケストレーターステップ関数からのクロスアカウント API コールを許可するグローバルロールを定義します。

1. AWS Security Hub のメンバーアカウント (管理者アカウントもメンバーとして含む) ごとに AWS マネジメントコンソールにサインインします。ボタンを選択して、`automated-security-response-member-roles.template` AWS CloudFormation テンプレートを起動します。実装の開始点として[テンプレートをダウンロード](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)することもできます。

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 

1. テンプレートはデフォルトで米国東部 (バージニア北部) リージョンで起動します。別の AWS リージョンでソリューションを起動するには、AWS マネジメントコンソールナビゲーションバーのリージョンセレクターを使用します。

1. **[スタックの作成]** ページで、正しいテンプレート URL が Amazon S3 URL テキストボックスに表示されていることを確認し、**[次へ]** を選択します。

1. **[スタックの詳細を指定]** ページで、このソリューションのスタックに名前を割り当てます。名前に使用する文字の制限に関する詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM および AWS STS クォータ」を参照してください。

1. **[パラメータ]** ページで、以下を入力し、[次へ] を選択します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/deployment.html)

1. **[スタックオプションの設定]** ページで、**[次へ]** を選択します。

1. **[レビュー]** ページで、設定を確認して確定します。テンプレートが AWS Identity and Access Management (IAM) リソースを作成することを承認するボックスを必ずオンにします。

1. **[スタックの作成]** を選択してスタックをデプロイします。

   AWS CloudFormation コンソールの **[ステータス]** 列でスタックのステータスを確認できます。約 5 分で CREATE\$1COMPLETE のステータスが表示されます。このスタックのロード中に、次のステップに進むことができます。

## ステップ 3: メンバースタックを起動する
<a name="step-3"></a>

**重要**  
このソリューションにはデータ収集が含まれています。AWS ではこのデータを使用して、ユーザーがこのソリューション、関連サービスおよび製品をどのように使用しているかをよりよく理解し、提供するサービスや製品の改善に役立てます。このアンケートで収集されたデータは AWS が所有します。データ収集には、AWS プライバシーポリシーが適用されます。

`automated-security-response-member` スタックは、各 Security Hub のメンバーアカウントにインストールする必要があります。このスタックは、自動修復用のランブックを定義します。各メンバーアカウントの管理者は、このスタックを介して利用可能な修復を制御できます。

1. AWS Security Hub のメンバーアカウント (管理者アカウントもメンバーとして含む) ごとに AWS マネジメントコンソールにサインインします。ボタンを選択して `automated-security-response-member.template` AWS CloudFormation テンプレートを起動します。

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

独自の実装の開始点として[テンプレートをダウンロード](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)することもできます。テンプレートはデフォルトで米国東部 (バージニア北部) リージョンで起動します。別の AWS リージョンでソリューションを起動するには、AWS マネジメントコンソールナビゲーションバーのリージョンセレクターを使用します。

\$1

**注記**  
このソリューションで使用している AWS Systems Manager は、現在、ほとんどの AWS リージョンで利用可能です。このソリューションは、これらのサービスをサポートするすべてのリージョンで機能します。リージョンごとの最新の利用状況については、「[AWS サービス (リージョン別)](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。

1. **[スタックの作成]** ページで、正しいテンプレート URL が **[Amazon S3 URL]** テキストボックスに表示されていることを確認し、**[次へ]** を選択します。

1. **[スタックの詳細を指定]** ページで、このソリューションのスタックに名前を割り当てます。名前に使用する文字の制限については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM と AWS STS クォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)」を参照してください。

1. **[パラメータ]** ページで、以下を入力し、**[次へ]** を選択します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/deployment.html)

1. **[スタックオプションの設定]** ページで、**[次へ]** を選択します。

1. **[レビュー]** ページで、設定を確認して確定します。テンプレートが AWS Identity and Access Management (IAM) リソースを作成することを承認するボックスを必ずオンにします。

1. **[スタックの作成]** を選択してスタックをデプロイします。

AWS CloudFormation コンソールの **[ステータス]** 列でスタックのステータスを確認できます。約 15 分で CREATE\$1COMPLETE ステータスが表示されます。

## ステップ 4: (オプション) 使用可能な修復を調整する
<a name="step-4"></a>

メンバーアカウントから特定の修復を削除する場合は、セキュリティ標準のネストされたスタックを更新することで削除できます。わかりやすくするために、ネストされたスタックオプションはルートスタックに伝達されません。

1. [AWS CloudFormation コンソール](https://console.aws.amazon.com/cloudformation/home)にサインインし、ネストされたスタックを選択します。

1. **[更新]** を選択します。

1. **[ネストされたスタックを更新する]** を選択し、**[スタックの更新]** を選択します。

    **ネストされたスタックを更新する**   
![\[ネストされたスタック\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)

1. **[現在のテンプレートの使用]** を選択し、**[次へ]** を選択します。

1. 利用可能な修復を調整します。目的のコントロールの値を `Available` に変更し、不要なコントロールを `Not available` に変更します。
**注記**  
修復を無効にすると、セキュリティ標準とコントロールのソリューション修復ランブックが削除されます。

1. **[スタックオプションの設定]** ページで、**[次へ]** を選択します。

1. **[レビュー]** ページで、設定を確認して確定します。テンプレートが AWS Identity and Access Management (IAM) リソースを作成することを承認するボックスを必ずオンにします。

1. **[スタックを更新]**を選択します。

AWS CloudFormation コンソールの **[ステータス]** 列でスタックのステータスを確認できます。約 15 分で CREATE\$1COMPLETE ステータスが表示されます。