As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Implantação automatizada - StackSets
<a name="deployment-stackset"></a>

**nota**  
Recomendamos implantar com StackSets. No entanto, para implantações em uma única conta ou para fins de teste ou avaliação, considere a opção de [implantação de pilhas](deployment.md).

Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em seu AWS Organizations.

 **Tempo de implantação:** aproximadamente 30 minutos por conta, dependendo StackSet dos parâmetros.

## Pré-requisitos
<a name="prerequisites-stackset"></a>

 [O AWS Organizations](https://aws.amazon.com/organizations/) ajuda você a gerenciar e governar centralmente seu ambiente e seus recursos multicontas da AWS. StackSets funcionam melhor com o AWS Organizations.

Se você já implantou a versão 1.3.x ou anterior dessa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte [Atualizar a solução](update-the-solution.md).

Antes de implantar essa solução, revise sua implantação do AWS Security Hub:
+ Deve haver uma conta de administrador delegada do Security Hub em sua organização da AWS.
+ O Security Hub deve ser configurado para agregar descobertas em todas as regiões. Para obter mais informações, consulte [Agregando descobertas entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) no Guia do usuário do AWS Security Hub.
+ Você deve [ativar o Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) para sua organização em cada região em que você usa a AWS.

Esse procedimento pressupõe que você tenha várias contas usando o AWS Organizations e tenha delegado uma conta de administrador do AWS Organizations e uma conta de administrador do AWS Security Hub.

 **Observe que essa solução funciona com o [AWS Security Hub e o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html).** 

## Visão geral da implantação
<a name="deployment-overview-stackset"></a>

**nota**  
StackSets a implantação dessa solução usa uma combinação de serviços gerenciados e autogerenciados. StackSets O autogerenciado StackSets deve ser usado atualmente, pois eles usam aninhados StackSets, que ainda não são compatíveis com o gerenciamento de serviços. StackSets

Implemente o a StackSets partir de uma [conta de administrador delegado](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) em seu AWS Organizations.

**Planejamento**  
Use o formulário a seguir para ajudar na StackSets implantação. Prepare seus dados e, em seguida, copie e cole os valores durante a implantação.

```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```

 [(Opcional) Etapa 0: implantar a pilha de integração de tíquetes](#step-0-stackset) 
+ Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
+ Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).

 [Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub](#step-1-stackset) 
+ Usando um modelo autogerenciado StackSet, execute o CloudFormation modelo `automated-security-response-admin.template` da AWS em sua conta de administrador do AWS Security Hub na mesma região do administrador do Security Hub. Esse modelo usa pilhas aninhadas.
+ Escolha quais padrões de segurança instalar. Por padrão, somente SC é selecionado (recomendado).
+ Escolha um grupo de registros existente do Orchestrator para usar. Selecione `Yes` se `SO0111-ASR- Orchestrator` já existe em uma instalação anterior.
+ Escolha se deseja ativar a interface de usuário da Web da solução. Se você optar por ativar esse recurso, também deverá inserir um endereço de e-mail para receber uma função de administrador.
+ Selecione suas preferências para coletar CloudWatch métricas relacionadas à integridade operacional da solução.

Para obter mais informações sobre autogerenciamento StackSets, consulte [Conceder permissões autogerenciadas no Guia CloudFormation ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html) *do usuário da AWS*.

 [Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub](#step-2-stackset) 

Aguarde a etapa 1 para concluir a implantação, pois o modelo na etapa 2 faz referência às funções do IAM criadas pela etapa 1.
+ Usando um serviço gerenciado StackSet, execute o CloudFormation modelo da `automated-security-response-member-roles.template` AWS em uma única região em cada conta em seu AWS Organizations.
+ Escolha instalar esse modelo automaticamente quando uma nova conta ingressar na organização.
+ Insira o ID da conta de administrador do AWS Security Hub.
+ Insira um valor para o `namespace` que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos.

 [Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub](#step-3-stackset) 
+ Usando o autogerenciamento StackSets, lance o CloudFormation modelo `automated-security-response-member.template` da AWS em todas as regiões em que você tem recursos da AWS em todas as contas da sua organização da AWS gerenciadas pelo mesmo administrador do Security Hub.
**nota**  
Até que o StackSets suporte gerenciado por serviços esteja aninhado, você deve executar essa etapa para todas as novas contas que ingressarem na organização.
+ Escolha quais playbooks do Security Standard instalar.
+ Forneça o nome de um grupo de CloudTrail registros (usado por algumas correções).
+ Insira o ID da conta de administrador do AWS Security Hub.
+ Insira um valor para o `namespace` que será usado para evitar conflitos de nomes de recursos com uma implantação anterior ou simultânea na mesma conta. Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Isso deve corresponder ao `namespace` valor que você selecionou para a pilha de funções de membro. Além disso, o valor do namespace não precisa ser exclusivo por conta de membro.

## (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes
<a name="step-0-stackset"></a>

1. Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.

1. Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.

    **Para implantar a pilha do Jira:**

   1. Insira um nome para sua pilha.

   1. Forneça o URI para sua instância do Jira.

   1. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.

   1. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. `Username` `Password`
**nota**  
Você pode optar por usar uma chave de API do Jira no lugar de sua senha, fornecendo seu nome de usuário como `Username` e sua chave de API como o. `Password`

   1. Adicione o ARN desse segredo como entrada na pilha.

       **Forneça um nome de pilha, informações do projeto Jira e credenciais da API Jira.**   
![\[pilha de integração do sistema de tickets jira\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)

       **Configuração do Jira Field**:

      Depois de implantar a pilha do Jira, você pode personalizar os campos do ticket do Jira definindo a variável de `JIRA_FIELDS_MAPPING` ambiente na função Lambda. Essa string JSON substitui os campos padrão do ticket do Jira e deve seguir a estrutura dos campos da API do Jira.

      Valores padrão quando `JIRA_FIELDS_MAPPING` está vazio ou os campos não são especificados:
      +  **prioridade**: `{"id": "3"}` (Prioridade média)
      +  **tipo de problema: `{"id": "10006"}` (Tarefa**)
      +  **accountId**: recuperado automaticamente usando o endpoint da API `GET /rest/api/2/myself`

        Exemplo de configuração com campos personalizados:

        ```
        {
          "reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
          "priority": {"id": "1"},
          "issuetype": {"id": "10006"},
          "assignee": {"accountId": "123456:another-user-id"},
          "customfield_10001": "custom value"
        }
        ```

        Campo IDs comum do Jira:
      +  **Prioridade IDs**: 1 (mais alta), 2 (alta), 3 (média), 4 (baixa), 5 (mais baixa)
      +  **ID do tipo de problema**: varia de acordo com o projeto do Jira (por exemplo, 10006 para Task)
      +  **ID da conta**: Formato `123456:494dcbff-1b80-482c-a89d-56ae81c145a4` 

        Você pode encontrar seu campo IDs e sua conta do Jira IDs usando a API REST do Jira:
      +  `GET /rest/api/2/myself`para ID da conta
      +  `GET /rest/api/2/priority`para prioridade IDs
      +  `GET /rest/api/2/project/{projectKey}`para tipo de problema IDs

        Para obter mais informações, consulte o formato [POST do problema da API REST v2 do Jira](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post).

         **Para implantar a ServiceNow pilha**:

   1. Insira um nome para sua pilha.

   1. Forneça o URI da sua ServiceNow instância.

   1. Forneça o nome ServiceNow da sua tabela.

   1. Crie uma chave de API ServiceNow com permissão para modificar a tabela na qual você pretende gravar.

   1. Crie um segredo no Secrets Manager com a chave `API_Key` e forneça o ARN secreto como entrada para a pilha.

       **Forneça um nome da pilha, informações ServiceNow do projeto e credenciais ServiceNow da API.**   
![\[serviço de pilha de integração de sistemas de tickets agora\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)

       **Para criar uma pilha de integração personalizada**: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.

## Etapa 1: iniciar a pilha de administração na conta de administrador delegada do Security Hub
<a name="step-1-stackset"></a>

1. Inicie a [pilha de administração](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template),`automated-security-response-admin.template`, com sua conta de administrador do Security Hub. Normalmente, um por organização em uma única região. Como essa pilha usa pilhas aninhadas, você deve implantar esse modelo como autogerenciado. StackSet

### Parâmetros
<a name="parameters"></a>


| Parâmetro | Padrão | Description | 
| --- | --- | --- | 
|   **Carregar SC Admin Stack**   |   `yes`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles SC.  | 
|   **Carregar pilha de administração do AFSBP**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos controles do FSBP.  | 
|   **Carregar pilha de CIS120 administração**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS120 controles.  | 
|   **Carregar pilha de CIS140 administração**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS140 controles.  | 
|   **Carregar pilha de CIS300 administração**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos CIS300 controles.  | 
|   **Carregar pilha de PC1321 administração**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automatizada dos PC1321 controles.  | 
|   **Carregar o NIST Admin Stack**   |   `no`   |  Especifique se deseja instalar os componentes administrativos para remediação automática dos controles do NIST.  | 
|   **Reutilizar o grupo de registros do Orchestrator**   |   `no`   |  Selecione se deseja ou não reutilizar um grupo de `SO0111-ASR-Orchestrator` CloudWatch registros existente. Isso simplifica a reinstalação e as atualizações sem perder os dados de log de uma versão anterior. Reutilize o existente, `Orchestrator Log Group` escolha `yes` se o `Orchestrator Log Group` ainda existe de uma implantação anterior nessa conta, caso contrário`no`. Se você estiver executando uma atualização de pilha de uma versão anterior à v2.3.0, escolha `no`   | 
|   **ShouldDeployWebUI**   |   `yes`   |  Implante os componentes da interface de usuário da Web, incluindo API Gateway, funções Lambda e CloudFront distribuição. Selecione “sim” para ativar a interface de usuário baseada na web para visualizar as descobertas e o status da remediação. Se você optar por desativar esse recurso, ainda poderá configurar remediações automatizadas e executar remediações sob demanda usando a ação personalizada CSPM do Security Hub.  | 
|   **AdminUserEmail**   |   *(Entrada opcional)*   |  Endereço de e-mail do usuário administrador inicial. Esse usuário terá acesso administrativo total à interface do usuário da Web do ASR. Obrigatório **somente** quando a interface do usuário da Web está ativada.  | 
|   **Use CloudWatch métricas**   |   `yes`   |  Especifique se deseja ativar CloudWatch as métricas para monitorar a solução. Isso criará um CloudWatch painel para visualizar as métricas.  | 
|   **Use CloudWatch alarmes de métricas**   |   `yes`   |  Especifique se deseja ativar os alarmes de CloudWatch métricas para a solução. Isso criará alarmes para determinadas métricas coletadas pela solução.  | 
|   **RemediationFailureAlarmThreshold**   |   `5`   |  Especifique o limite para a porcentagem de falhas de remediação por ID de controle. Por exemplo, se você entrar`5`, receberá um alarme se um ID de controle falhar em mais de 5% das remediações em um determinado dia. Esse parâmetro funciona somente se os alarmes forem criados (consulte o parâmetro **Use CloudWatch Metrics Alarms)**.  | 
|   **EnableEnhancedCloudWatchMetrics**   |   `no`   |  Se`yes`, cria CloudWatch métricas adicionais para rastrear todos os controles IDs individualmente no CloudWatch painel e como CloudWatch alarmes. Consulte a seção [Custo](cost.md#additional-cost-enhanced-metrics) para entender o custo adicional que isso acarreta.  | 
|   **TicketGenFunctionName**   |   *(Entrada opcional)*   |  Opcional. Deixe em branco se você não quiser integrar um sistema de bilhetagem. Caso contrário, forneça o nome da função Lambda da saída da pilha da [Etapa 0](deployment.md#step-0), por exemplo:. `SO0111-ASR-ServiceNow-TicketGenerator`  | 

 **Configurar StackSet opções** 

![\[configurar opções de conjunto de pilhas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)


1. Para o parâmetro **Números da conta**, insira o ID da conta de administrador do AWS Security Hub.

1. Para o parâmetro **Especificar regiões**, selecione somente a região em que o administrador do Security Hub está ativado. Aguarde a conclusão dessa etapa antes de prosseguir para a Etapa 2.

## Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub
<a name="step-2-stackset"></a>

Use um serviço gerenciado StackSets para implantar o [modelo de funções de membro](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template),. `automated-security-response-member-roles.template` Isso StackSet deve ser implantado em uma região por conta de membro. Ele define as funções globais que permitem chamadas de API entre contas a partir da função de etapa do ASR Orchestrator.

### Parâmetros
<a name="parameters-2"></a>


| Parâmetro | Padrão | Description | 
| --- | --- | --- | 
|   **Namespace**   |   *<Requires input>*   |  Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Namespace exclusivo a ser adicionado como sufixo aos nomes das funções do IAM de remediação. O mesmo namespace deve ser usado nas funções e pilhas de membros. Essa sequência de caracteres deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha. O valor do namespace **não** precisa ser exclusivo por conta de membro.  | 
|   **Administrador da conta Sec Hub**   |   *<Requires input>*   |  Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub. Esse valor concede permissões para a função de solução da conta de administrador.  | 

1. Implante em toda a organização (típica) ou em unidades organizacionais, de acordo com as políticas de sua organização.

1. Ative a implantação automática para que novas contas no AWS Organizations recebam essas permissões.

1. Para o parâmetro **Especificar regiões**, selecione uma única região. As funções do IAM são globais. Você pode continuar na Etapa 3 enquanto isso é StackSet implantado.

    **Especifique StackSet detalhes**   
![\[especificar detalhes do conjunto de pilhas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)

## Etapa 3: Inicie a pilha de membros em cada conta de membro e região do AWS Security Hub
<a name="step-3-stackset"></a>

Como a pilha de [membros usa pilhas](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) aninhadas, você deve implantá-la como autogerenciada. StackSet Isso não oferece suporte à implantação automática em novas contas na organização da AWS.

### Parâmetros
<a name="parameters"></a>


| Parâmetro | Padrão | Description | 
| --- | --- | --- | 
|   **Forneça o nome do LogGroup a ser usado para criar filtros métricos e alarmes**   |   *<Requires input>*   |  Especifique o nome de um grupo de CloudWatch registros em que CloudTrail registra chamadas de API. Isso é usado para remediações do CIS 3.1-3.14.  | 
|   **Carregar pilha de membros SC**   |   `yes`   |  Especifique se deseja instalar os componentes do membro para remediação automatizada dos controles SC.  | 
|   **Carregar pilha de membros do AFSBP**   |   `no`   |  Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do FSBP.  | 
|   **Carregar pilha de CIS120 membros**   |   `no`   |  Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS120 controles.  | 
|   **Carregar pilha de CIS140 membros**   |   `no`   |  Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS140 controles.  | 
|   **Carregar pilha de CIS300 membros**   |   `no`   |  Especifique se deseja instalar os componentes do membro para remediação automatizada dos CIS300 controles.  | 
|   **Carregar pilha de PC1321 membros**   |   `no`   |  Especifique se deseja instalar os componentes do membro para remediação automatizada dos PC1321 controles.  | 
|   **Carregar pilha de membros do NIST**   |   `no`   |  Especifique se deseja instalar os componentes membros para remediação automatizada dos controles do NIST.  | 
|   **Crie um bucket do S3 para o registro de auditoria do Redshift**   |   `no`   |  Selecione `yes` se o bucket do S3 deve ser criado para a remediação do FSBP 4.4. RedShift *Para obter detalhes sobre o bucket S3 e a remediação, consulte a remediação do [Redshift.4 no Guia do usuário do](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) AWS Security Hub.*  | 
|   **Conta de administrador do Sec Hub**   |   *<Requires input>*   |  Insira o ID da conta de 12 dígitos para a conta de administrador do AWS Security Hub.  | 
|   **Namespace**   |   *<Requires input>*   |  Insira uma sequência de até 9 caracteres alfanuméricos minúsculos. Essa string se torna parte dos nomes das funções do IAM e do bucket do Action Log S3. Use o mesmo valor para implantação de pilha de membros e implantação de pilha de funções de membros. A string deve ser exclusiva para cada implantação da solução, mas não precisa ser alterada durante as atualizações da pilha.  | 
|   **EnableCloudTrailForASRActionLog** (Log)   |   `no`   |  Selecione `yes` se você deseja monitorar os eventos de gerenciamento conduzidos pela solução no CloudWatch painel. A solução cria uma CloudTrail trilha em cada conta de membro selecionada`yes`. Você deve implantar a solução em uma organização da AWS para habilitar esse recurso. **Além disso, você só pode ativar esse recurso em uma única região dentro da mesma conta.** Consulte a seção [Custo](cost.md#additional-cost-action-log) para entender o custo adicional que isso acarreta.  | 

 **Contas** 

![\[contas\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/accounts.png)


 **Locais de implantação**: você pode especificar uma lista de números de contas ou unidades organizacionais.

 **Especifique regiões**: selecione todas as regiões nas quais você deseja corrigir as descobertas. Você pode ajustar as opções de implantação conforme apropriado para o número de contas e regiões. A simultaneidade de regiões pode ser paralela.