기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 완전 자동화 문제 해결 활성화
솔루션의 다른 작업 모드는 조사 결과가 Security Hub에 도착하면 자동으로 해결하는 것입니다.
**중요**
완전 자동화된 문제 해결을 활성화하기 전에 자동 변경을 수행하는 솔루션을 준수할 수 있는 계정 및 리전에 솔루션이 구성되어 있는지 확인합니다. 솔루션의 자동 문제 해결 범위를 좁히려면 아래 [완전 자동화된 문제 해결 필터링 섹션을 참조하세요](#filter-remediations).
## 예: Lambda에 대한 완전 자동화 문제 해결을 활성화합니다.1
자동 수정을 활성화하면 활성화한 제어(Lambda.1)와 일치하는 모든 리소스에 대한 수정이 시작됩니다.
**중요**
솔루션 범위 내의 모든 퍼블릭 Lambda 함수에서이 권한을 취소하도록 할지 확인합니다. 완전 자동화 문제 해결은 사용자가 생성한 함수로 범위가 제한되지 않습니다. 솔루션은 설치된 계정 및 리전에서 감지되면이 제어를 해결합니다.
| Account | 용도 | us-east-1의 작업 | us-west-2의 작업 |
| --- | --- | --- | --- |
| `111111111111` | 관리자 | 원하는 퍼블릭 함수 없음 확인 | 원하는 퍼블릭 함수 없음 확인 |
| `222222222222` | Member | 원하는 퍼블릭 함수 없음 확인 | 원하는 퍼블릭 함수 없음 확인 |
## 수정 구성 DynamoDB 테이블 찾기
관리자 계정에서 CloudFormation 콘솔의 관리자 스택에 `Outputs` 대한를 확인합니다. 라는 출력이 표시됩니다`RemediationConfigurationDynamoDBTable`.
솔루션의 자동 수정 구성을 제어하는 수정 구성 DynamoDB 테이블의 이름입니다. 이 출력의 값을 복사하고 DynamoDB 콘솔에서 해당 DynamoDB 테이블을 찾습니다.
| Account | 용도 | us-east-1의 작업 | us-west-2의 작업 |
| --- | --- | --- | --- |
| `111111111111` | 관리자 | 문제 해결 구성 DynamoDB 테이블을 찾습니다. | 없음 |
| `222222222222` | Member | 없음 | 없음 |
## 문제 해결 구성 테이블 수정
수정 구성 테이블을 찾은 DynamoDB 콘솔에서 **테이블 항목 탐색**을 선택합니다.
테이블의 각 항목은 솔루션에서 지원하는 Security Hub 제어에 해당합니다. 각 항목에는 연결된 컨트롤에 대해 완전 자동화된 문제 해결을 활성화하도록 수정할 수 있는 `automatedRemediationEnabled` 속성이 있습니다.
Lambda.1을 활성화하려면 **스캔 또는 쿼리 항목**에서 **쿼리**를 선택합니다. **파티션 키: controlId**에서 `Lambda.1`를 입력하고 **실행**을 클릭합니다. Lambda.1 컨트롤에 해당하는 단일 항목이 반환됩니다.
![\[문제 해결 구성 테이블\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/remediation-configuration-table.png)
이제 `Lambda.1` 항목을 선택한 다음 **작업 > 항목 편집**을 클릭합니다.
![\[문제 해결 구성 항목 편집\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/remediation-config-edit-item.png)
마지막으로 `automatedRemediationEnabled` 속성 값을 **True**로 변경합니다. **저장 및 닫기**를 클릭합니다.
| Account | 용도 | us-east-1의 작업 | us-west-2의 작업 |
| --- | --- | --- | --- |
| `111111111111` | 관리자 | 문제 해결 구성 DynamoDB 테이블을 수정합니다. | 없음 |
| `222222222222` | Member | 없음 | 없음 |
## 리소스 구성
멤버 계정에서 퍼블릭 액세스를 허용하도록 Lambda 함수를 다시 구성합니다.
| Account | 용도 | us-east-1의 작업 | us-west-2의 작업 |
| --- | --- | --- | --- |
| `111111111111` | 관리자 | 없음 | 없음 |
| `222222222222` | Member | 없음 | 퍼블릭 액세스를 허용하도록 Lambda 함수 구성 |
## 문제 해결로 조사 결과가 해결되었는지 확인
Config가 안전하지 않은 구성을 다시 감지하는 데 시간이 걸릴 수 있습니다. 두 개의 SNS 알림을 받게 됩니다. 첫 번째는 문제 해결이 시작되었음을 나타냅니다. 두 번째는 문제 해결이 성공했음을 나타냅니다. 두 번째 알림을 받은 후 멤버 계정의 Lambda 콘솔로 이동하여 퍼블릭 액세스가 취소되었는지 확인합니다.
| Account | 용도 | us-east-1의 작업 | us-west-2의 작업 |
| --- | --- | --- | --- |
| `111111111111` | 관리자 | 없음 | 없음 |
| `222222222222` | Member | 없음 | 문제 해결이 성공했는지 확인 |
## (선택 사항) 완전 자동화 문제 해결을 위한 필터링 구성
솔루션에서 문제 해결을 실행하는 범위를 제한하려면 필터를 적용할 수 있습니다. 이러한 필터는 완전 자동화 문제 해결에만 적용되며 수동으로 호출된 문제 해결에는 영향을 주지 않습니다.
솔루션은 다음 차원에 대한 필터링을 제공합니다.
1. 계정 ID
1. 조직 단위(OU)
1. 리소스 태그
각 차원은 지정된 차원에 해당하는 솔루션에 의해 배포된 Systems Manager 파라미터를 수정하여 구성할 수 있습니다. Parameter Store의 모든 필터링 파라미터는 `/ASR/Filters/` 경로 아래의 관리자 계정에 위치할 수 있습니다.
각 차원에는 구성에 대한 두 개의 파라미터가 있습니다. 하나는 필터 값에 대한 파라미터이고 다른 하나는 필터 모드에 대한 파라미터입니다. 예를 들어 계정 ID 차원에는 `/ASR/Filters/AccountFilters` 및 라는 두 개의 파라미터가 있습니다`/ASR/Filters/AccountFilterMode`. 계정 ID에 대한 필터링을 구성하려면 둘 다 수정해야 합니다.
예를 들어 `111111111111` 및 계정에서만 실행되도록 완전 자동화 문제 해결을 제한하려면의 값을 **"111111111111, 222222222222"**`/ASR/Filters/AccountFilters`로 `222222222222`변경합니다. 그런 다음의 값을 **"포함"**`/ASR/Filters/AccountFilterMode`으로 변경합니다. 그러면 솔루션은 111111111111 또는 222222222222 이외의 계정에 대해 생성된 모든 조사 결과를 무시합니다.
각 필터 파라미터는 필터링할 값의 쉼표로 구분된 목록을 가져오며, 각 "모드" 파라미터를 **포함**, **제외** 또는 **비활성화로** 설정할 수 있습니다.