As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Detalhes de arquitetura
Esta seção descreve os componentes e os serviços da AWS que compõem essa solução e os detalhes da arquitetura sobre como esses componentes funcionam juntos.
# Integração com o AWS Security Hub
A implantação da `automated-security-response-admin` pilha cria integração com o recurso de ação personalizada do [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Quando os usuários do console CSPM do AWS Security Hub clicam em **Ações >** **Remediar com ASR**, as descobertas selecionadas são enviadas EventBridge e acionam o fluxo de trabalho de remediação.
As permissões entre contas e os runbooks do AWS Systems Manager devem ser implantados em todas as contas do AWS Security Hub (administrador e membro) usando os modelos e. `automated-security-response-member.template` `automated-security-response-member-roles.template` CloudFormation Para obter mais informações, consulte [Playbooks](playbooks.md). Esse modelo permite a remediação automática na conta de destino.
Os usuários podem configurar remediações totalmente automatizadas por controle usando o Amazon DynamoDB. Essa opção ativa a remediação totalmente automática das descobertas assim que elas são reportadas ao AWS Security Hub. Por padrão, as iniciações automáticas são desativadas. Essa opção pode ser alterada a qualquer momento após a instalação, modificando a tabela do [DynamoDB de configuração de remediação](enable-fully-automated-remediations.md).
# Remediação entre contas
O Automated Security Response na AWS usa funções entre contas para trabalhar em contas primárias e secundárias usando funções entre contas. Essas funções são implantadas nas contas dos membros durante a instalação da solução. Cada remediação é atribuída a uma função individual. O processo de remediação na conta principal recebe permissão para assumir a função de remediação na conta que requer remediação. A remediação é realizada pelos runbooks do AWS Systems Manager executados na conta que requer remediação.
# Manuais
*Um conjunto de remediações é agrupado em um pacote chamado manual.* Os playbooks são instalados, atualizados e removidos usando os modelos dessa solução. Para obter informações sobre as correções suportadas em cada manual, consulte [Guia do desenvolvedor →](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html) Manuais. Atualmente, essa solução oferece suporte aos seguintes manuais:
+ Security Control, um manual alinhado ao recurso de descobertas de controle consolidadas do AWS Security Hub, publicado em 23 de fevereiro de 2023.
**Importante**
Quando [as descobertas de controle consolidadas](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) estão habilitadas no Security Hub, esse é o único manual que deve ser ativado na solução.
+ Os [benchmarks do Center for Internet Security (CIS) Amazon Web Services Foundations, versão 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), publicada em 18 de maio de 2018.
+ Os [benchmarks do Center for Internet Security (CIS) Amazon Web Services Foundations, versão 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard), publicada em 9 de novembro de 2022.
+ Os [benchmarks do Center for Internet Security (CIS) Amazon Web Services Foundations, versão 3.0.0,](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) publicados em 13 de maio de 2024.
+ [AWS Foundational Security Best Practices (FSBP) versão 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), publicada em março de 2021.
+ [Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) versão 3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html), publicada em maio de 2018.
+ [Instituto Nacional de Padrões e Tecnologia (NIST) versão 5.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html), publicada em novembro de 2023.
Depois de implantar as CloudFormation pilhas da solução, os playbooks estão prontos para uso imediato — nenhuma configuração adicional é necessária para permitir correções para os padrões de segurança listados acima.
## Registro em log centralizado
O Automated Security Response na AWS registra em um único grupo de CloudWatch registros, SO0111-ASR. Esses registros contêm registros detalhados da solução para solução de problemas e gerenciamento da solução.
# Notificações
Essa solução usa um tópico do Amazon Simple Notification Service (Amazon SNS) para publicar os resultados da remediação. Você pode usar assinaturas deste tópico para ampliar os recursos da solução. Por exemplo, você pode enviar notificações por e-mail e atualizar os tickets de problemas.
+ **SO0111-ASR\$1Topic** — Usado para enviar informações gerais e mensagens de erro relacionadas às correções executadas.
+ **SO0111-ASR\$1Alarm\$1Topic — Usado para notificar quando um dos alarmes** da solução é acionado, indicando que a solução não está funcionando conforme o esperado.
## Serviços da AWS nesta solução
A solução usa os seguintes serviços. Os serviços principais são necessários para usar a solução, e os serviços de suporte conectam os serviços principais.
| Serviço da AWS | Description |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Núcleo**. EventBridge as regras são usadas para ouvir e acionar eventos emitidos pelo AWS Security Hub e pelo AWS Security Hub CSPM. |
| [AWS IAM](https://aws.amazon.com/iam/) | **Principal.** Implanta várias funções para permitir correções em diferentes recursos. |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Principal.** Implanta várias funções lambda que serão usadas pelo orquestrador de funções step para corrigir problemas. Serve como back-end para a interface de usuário da Web da solução integrada ao API Gateway. |
| [AWS Security Hub](https://aws.amazon.com/security-hub/) | **Principal.** Oferece aos clientes uma visão abrangente do estado de segurança da AWS. |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **Principal.** Implanta um orquestrador que invocará os documentos de remediação com as chamadas de API do AWS Systems Manager. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Principal.** Implanta documentos de automação do System Manager que contêm a lógica de remediação a ser executada pela solução. Usa o Parameter Store para manter os metadados da solução e as definições de configuração. |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **Principal.** Armazena a última correção executada em cada conta e região para otimizar o agendamento das remediações. Armazena descobertas geradas pelo AWS Security Hub e pelo AWS Security Hub CSPM. Armazena metadados de remediação e configuração da solução. Armazena dados para usuários que acessam a interface de usuário da Web da solução. |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **Suporte.** Registra as alterações que a solução faz em seus recursos da AWS e as exibe em um CloudWatch painel. |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **Suporte.** Implanta grupos de registros que os diferentes playbooks usarão para registrar os resultados. Coleta métricas para exibir em um painel personalizado com alarmes. |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **Suporte.** Implanta tópicos do SNS que recebem uma notificação após a conclusão da remediação. |
| [AWS SQS](https://aws.amazon.com/sqs/) | **Suporte.** Auxilia no agendamento de remediações para que a solução possa executar remediações em paralelo. Armazena em buffer as execuções do Lambda usando EventSource mapeamentos Lambda. |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **Suporte.** Usado para criptografar dados para remediações. |
| [AWS Config](https://aws.amazon.com/config) | **Suporte.** Registra todos os recursos para uso com o AWS Security Hub. |
| [Amazon S3](https://aws.amazon.com/s3) | **Suporte.** Armazena o histórico de remediação exportado e os dados de registro. Hospeda a interface de usuário da Web da solução como um aplicativo de página única (SPA). |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **Suporte.** Fornece a interface de usuário da Web da solução |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **Suporte.** Cria a API REST da solução para oferecer suporte à interface do usuário. |
| [AWS WAF](https://aws.amazon.com/waf) | **Suporte.** Protege a interface de usuário da Web da solução. |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **Suporte.** Usado para autenticar e autorizar o acesso à interface de usuário da Web da solução. |