As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Implantação automatizada - Stacks
<a name="deployment"></a>

**nota**  
Para clientes com várias contas, é altamente recomendável [implantar com StackSets](deployment-stackset.md).

Antes de iniciar a solução, analise a arquitetura, os componentes da solução, a segurança e as considerações de design discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em sua conta.

 **Tempo de implantação:** Aproximadamente 30 minutos

## Pré-requisitos
<a name="prerequisites"></a>

Antes de implantar essa solução, certifique-se de que o AWS Security Hub esteja na mesma região da AWS que suas contas primária e secundária. Se você já implantou essa solução, deverá desinstalar a solução existente. Para obter mais informações, consulte [Atualizar a solução](update-the-solution.md).

## Visão geral da implantação
<a name="deployment-overview"></a>

Use as etapas a seguir para implantar essa solução na AWS.

 [(Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes](#step-0) 
+ Se você pretende usar o recurso de emissão de tíquetes, primeiro implante a pilha de integração de tíquetes em sua conta de administrador do Security Hub.
+ Copie o nome da função Lambda dessa pilha e forneça-o como entrada para a pilha de administração (consulte a Etapa 1).

 [Etapa 1: iniciar a pilha de administração](#step-1) 
+ Inicie o CloudFormation modelo `automated-security-response-admin.template` da AWS em sua conta de administrador do AWS Security Hub.
+ Escolha quais padrões de segurança instalar.
+ Escolha um grupo de registros existente do Orchestrator para usar (selecione `Yes` se `SO0111-ASR-Orchestrator` já existe em uma instalação anterior).

 [Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub](#step-2) 
+ Lance o CloudFormation modelo `automated-security-response-member-roles.template` da AWS em uma região por conta de membro.
+ Insira o IG da conta de 12 dígitos para a conta de administrador do AWS Security Hub.

 [Etapa 3: iniciar a pilha de membros](#step-3) 
+ Especifique o nome do grupo de CloudWatch registros a ser usado com as remediações do CIS 3.1-3.14. Ele deve ser o nome de um grupo de CloudWatch registros de registros que recebe CloudTrail registros.
+ Escolha se deseja instalar as funções de remediação. Instale essas funções somente uma vez por conta.
+ Selecione quais playbooks instalar.
+ Insira o ID da conta de administrador do AWS Security Hub.

 [Etapa 4: (Opcional) Ajustar as remediações disponíveis](#step-4) 
+ Remova todas as correções por conta de membro. Esta etapa é opcional.

## (Opcional) Etapa 0: iniciar uma pilha de integração do sistema de tíquetes
<a name="step-0"></a>

1. Se você pretende usar o recurso de emissão de tíquetes, inicie primeiro a respectiva pilha de integração.

1. Escolha as pilhas de integração fornecidas para o Jira ou ServiceNow use-as como um modelo para implementar sua própria integração personalizada.

    **Para implantar a pilha do Jira:**

   1. Insira um nome para sua pilha.

   1. Forneça o URI para sua instância do Jira.

   1. Forneça a chave do projeto do Jira para o qual você deseja enviar tickets.

   1. Crie um novo segredo de valor-chave no Secrets Manager que contenha seu Jira e. `Username` `Password`
**nota**  
Você pode optar por usar uma chave de API do Jira no lugar de sua senha, fornecendo seu nome de usuário como `Username` e sua chave de API como o. `Password`

   1. Adicione o ARN desse segredo como entrada na pilha.

       **“Forneça um nome de pilha, informações do projeto Jira e credenciais da API do Jira.**   
![\[pilha de integração do sistema de tickets jira\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)

       **Configuração do Jira Field**:

      Para obter informações sobre como personalizar os campos de ticket do Jira, consulte a seção Configuração de campo do Jira na [Etapa 0 da implantação](deployment-stackset.md#step-0-stackset). StackSet 

       **Para implantar a ServiceNow pilha**:

   1. Insira um nome para sua pilha.

   1. Forneça o URI da sua ServiceNow instância.

   1. Forneça o nome ServiceNow da sua tabela.

   1. Crie uma chave de API ServiceNow com permissão para modificar a tabela na qual você pretende gravar.

   1. Crie um segredo no Secrets Manager com a chave `API_Key` e forneça o ARN secreto como entrada para a pilha.

       **Forneça um nome da pilha, informações ServiceNow do projeto e credenciais ServiceNow da API.**   
![\[serviço de pilha de integração de sistemas de tickets agora\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)

       **Para criar uma pilha de integração personalizada**: inclua uma função Lambda que o orquestrador de soluções Step Functions possa chamar para cada correção. A função Lambda deve receber a entrada fornecida pelo Step Functions, construir uma carga útil de acordo com os requisitos do seu sistema de emissão de tíquetes e fazer uma solicitação ao sistema para criar o ticket.

## Etapa 1: iniciar a pilha de administração
<a name="step-1"></a>

**Importante**  
Essa solução inclui coleta de dados. Usamos esses dados para entender melhor como os clientes usam essa solução e os serviços e produtos relacionados. A AWS possui os dados coletados por meio dessa pesquisa. A coleta de dados está sujeita ao [Aviso de Privacidade da AWS](https://aws.amazon.com/privacy/).

Esse CloudFormation modelo automatizado da AWS implanta a solução Automated Security Response on AWS na nuvem da AWS. Antes de iniciar a pilha, você deve habilitar o Security Hub e preencher os [pré-requisitos](#prerequisites).

**nota**  
Você é responsável pelo custo dos serviços da AWS usados ao executar essa solução. Para obter mais detalhes, visite a seção [Custo](cost.md) neste guia e consulte a página de preços de cada serviço da AWS usado nesta solução.

1. Faça login no AWS Management Console a partir da conta em que o AWS Security Hub está atualmente configurado e use o botão abaixo para iniciar o CloudFormation modelo `automated-security-response-admin.template` da AWS.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 

   Também é possível [fazer download do modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) para usá-lo como ponto de partida para a sua própria implantação.

1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.
**nota**  
Essa solução usa o AWS Systems Manager, que atualmente está disponível somente em regiões específicas da AWS. A solução funciona em todas as regiões que oferecem suporte a esse serviço. Para obter a disponibilidade mais atual por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do **Amazon S3** e escolha Avançar.**

1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte [os limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do AWS Identity and Access Management*.

1. Na página **Parâmetros**, escolha **Avançar**.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)

**nota**  
Você deve ativar manualmente as correções automáticas na conta do administrador após implantar ou atualizar as pilhas da CloudFormation solução.

1. Na página **Configurar opções de pilha**, selecione **Avançar**.

1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).

1. Selecione **Create stack** (Criar pilha) para implantar a pilha.

Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.

## Etapa 2: instalar as funções de remediação em cada conta membro do AWS Security Hub
<a name="step-2"></a>

O `automated-security-response-member-roles.template` StackSet deve ser implantado em apenas uma região por conta de membro. Ele define as funções globais que permitem chamadas de API entre contas a partir da função de etapa do ASR Orchestrator.

1. Faça login no Console de Gerenciamento da AWS para cada conta de membro do AWS Security Hub (incluindo a conta de administrador, que também é membro). Selecione o botão para iniciar o CloudFormation modelo `automated-security-response-member-roles.template` da AWS. Também é possível [fazer download do modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) para usá-lo como ponto de partida para a sua própria implantação.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 

1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.

1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do Amazon S3 e escolha Avançar.**

1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte os limites do IAM e do STS no Guia do usuário do AWS Identity and Access Management.

1. Na página **Parâmetros**, especifique os parâmetros a seguir e escolha Avançar.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)

1. Na página **Configurar opções de pilha**, selecione **Avançar**.

1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).

1. Selecione **Create stack** (Criar pilha) para implantar a pilha.

   Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em cerca de 5 minutos. Você pode continuar com a próxima etapa enquanto essa pilha é carregada.

## Etapa 3: iniciar a pilha de membros
<a name="step-3"></a>

**Importante**  
Essa solução inclui coleta de dados. Usamos esses dados para entender melhor como os clientes usam essa solução e os serviços e produtos relacionados. A AWS possui os dados coletados por meio dessa pesquisa. A coleta de dados está sujeita à Política de Privacidade da AWS.

A `automated-security-response-member` pilha deve ser instalada em cada conta de membro do Security Hub. Essa pilha define os runbooks para remediação automatizada. O administrador da conta de cada membro pode controlar quais remediações estão disponíveis por meio dessa pilha.

1. Faça login no Console de Gerenciamento da AWS para cada conta de membro do AWS Security Hub (incluindo a conta de administrador, que também é membro). Selecione o botão para iniciar o CloudFormation modelo `automated-security-response-member.template` da AWS.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

Você também pode [baixar o modelo](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) como ponto de partida para sua própria implementação. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do AWS Management Console.

\$1

**nota**  
Essa solução usa o AWS Systems Manager, que atualmente está disponível na maioria das regiões da AWS. A solução funciona em todas as regiões que oferecem suporte a esses serviços. Para obter a disponibilidade mais atual por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

1. **Na página **Criar pilha**, verifique se o URL do modelo correto está na caixa de texto URL do **Amazon S3** e escolha Avançar.**

1. Na página **Especificar detalhes da pilha**, atribua um nome para a sua pilha de soluções. Para obter informações sobre limitações de nomes de caracteres, consulte [os limites do IAM e do STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) no *Guia do usuário do AWS Identity and Access Management*.

1. Na página **Parâmetros**, especifique os parâmetros a seguir e escolha **Avançar**.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/deployment.html)

1. Na página **Configurar opções de pilha**, selecione **Avançar**.

1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).

1. Selecione **Create stack** (Criar pilha) para implantar a pilha.

Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.

## Etapa 4: (Opcional) Ajustar as remediações disponíveis
<a name="step-4"></a>

Se quiser remover correções específicas da conta de um membro, você pode fazer isso atualizando a pilha aninhada de acordo com o padrão de segurança. Para simplificar, as opções de pilha aninhada não são propagadas para a pilha raiz.

1. Faça login no [ CloudFormation console da AWS](https://console.aws.amazon.com/cloudformation/home) e selecione a pilha aninhada.

1. Selecione **Atualizar**.

1. Selecione **Atualizar pilha aninhada e escolha **Atualizar** pilha**.

    **Atualizar pilha aninhada**   
![\[pilha aninhada\]](http://docs.aws.amazon.com/pt_br/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)

1. Selecione **Usar modelo atual** e escolha **Avançar**.

1. Ajuste as remediações disponíveis. Altere os valores dos controles desejados para `Available` e dos controles indesejados para`Not available`.
**nota**  
Desativar uma remediação remove o runbook de remediação de soluções para o padrão e controle de segurança.

1. Na página **Configurar opções de pilha**, selecione **Avançar**.

1. Na página **Revisar**, verifique e confirme as configurações. Marque a caixa de seleção confirmando que o modelo criará recursos do AWS Identity and Access Management (IAM).

1. Escolha **Atualizar pilha**.

Você pode ver o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.