As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Aborde automaticamente as ameaças à segurança com ações predefinidas de resposta e remediação no AWS Security Hub
<a name="solution-overview"></a>

Este guia de implementação fornece uma visão geral da solução Automated Security Response on AWS, sua arquitetura e componentes de referência, considerações para planejar a implantação e etapas de configuração para implantar a solução Automated Security Response on AWS na nuvem da Amazon Web Services (AWS).

Use esta tabela de navegação para encontrar rapidamente respostas para estas perguntas:


| Se você deseja... | Leia… | 
| --- | --- | 
|  Conheça o custo da execução dessa solução  |   [Custos](cost.md)   | 
|  Entenda as considerações de segurança dessa solução  |   [Segurança](security.md)   | 
|  Saiba como planejar cotas para essa solução  |   [Cotas](quotas.md)   | 
|  Saiba quais regiões da AWS são compatíveis com essa solução  |   [Regiões da AWS com suporte](plan-your-deployment.md#supported-aws-regions)   | 
|  Visualize ou baixe o CloudFormation modelo da AWS incluído nesta solução para implantar automaticamente os recursos de infraestrutura (a “pilha”) dessa solução  |   [ CloudFormation Modelos da AWS](aws-cloudformation-template.md)   | 
|  Acessar o código-fonte e, opcionalmente, usar o AWS Cloud Development Kit (AWS CDK) para implantar a solução.  |   [GitHub repositório](https://github.com/aws-solutions/automated-security-response-on-aws)   | 

A evolução contínua da segurança exige etapas proativas para proteger os dados, o que pode tornar a reação das equipes de segurança difícil, cara e demorada. A solução Automated Security Response on AWS ajuda você a reagir rapidamente para resolver problemas de segurança fornecendo respostas predefinidas e ações de remediação com base nos padrões de conformidade e nas melhores práticas do setor.

[O Automated Security Response na AWS é uma solução da AWS que funciona com o [AWS Security Hub](https://aws.amazon.com/security-hub/) para melhorar sua segurança e ajudar a alinhar suas cargas de trabalho às melhores práticas do pilar Well-Architected Security (0). SEC1](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html) Essa solução torna mais fácil para os clientes do AWS Security Hub resolver descobertas de segurança comuns e melhorar sua postura de segurança na AWS.

Você pode selecionar playbooks específicos para implantar na sua conta principal do Security Hub. Cada manual contém as ações personalizadas necessárias, as funções do [Identity and Access Management](https://aws.amazon.com/iam/) (IAM), [ EventBridge as regras da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), os documentos de automação do [AWS Systems Manager](https://aws.amazon.com/systems-manager/), as funções do [AWS](https://aws.amazon.com/lambda/) Lambda [e as AWS Step](https://aws.amazon.com/step-functions/) Functions necessárias para iniciar um fluxo de trabalho de remediação em uma única conta da AWS ou em várias contas. As remediações funcionam no menu Ações no AWS Security Hub e permitem que usuários autorizados corrijam uma descoberta em todas as suas contas gerenciadas pelo AWS Security Hub com uma única ação. Por exemplo, você pode aplicar recomendações do Center for Internet Security (CIS) AWS Foundations Benchmark, um padrão de conformidade para proteger os recursos da AWS, para garantir que as senhas expirem em 90 dias e aplicar a criptografia dos registros de eventos armazenados na AWS.

**nota**  
A remediação é destinada a situações emergentes que exigem ação imediata. Essa solução faz alterações para remediar descobertas somente quando iniciada por você por meio do console de gerenciamento do AWS Security Hub ou quando a remediação automatizada é habilitada usando a tabela do DynamoDB de configuração de remediação. Para reverter essas alterações, você deve colocar manualmente os recursos de volta em seu estado original.  
Ao remediar os recursos da AWS implantados como parte da CloudFormation pilha, esteja ciente de que isso pode causar um desvio. Quando possível, corrija os recursos da pilha modificando o código que define os recursos da pilha e atualizando a pilha. Para obter mais informações, consulte [O que é deriva](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)? no *Guia do CloudFormation usuário da AWS*.

O Automated Security Response na AWS inclui o manual de remediações para os padrões de segurança definidos como parte do seguinte:
+  [Centro de segurança na Internet (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard) 
+  [Referência do CIS AWS Foundations v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard) 
+  [Referência do CIS AWS Foundations v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) 
+  [Melhores práticas de segurança da AWS Foundational (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 
+  [Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) 
+  [Instituto Nacional de Padrões e Tecnologia (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 

A solução também inclui um manual do Security Controls (SC) para o [recurso consolidado de descobertas de controle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) do AWS Security Hub. Para obter mais informações, consulte [Playbooks](playbooks.md). Recomendamos usar o manual do SC junto com as descobertas de controle consolidadas no Security Hub.

Este guia de implementação discute considerações arquitetônicas e etapas de configuração para implantar a solução Automated Security Response on AWS na nuvem da AWS. Inclui links para CloudFormation modelos [da AWS](https://aws.amazon.com/cloudformation/) que iniciam, configuram e executam a computação, a rede, o armazenamento e outros serviços da AWS necessários para implantar essa solução na AWS, usando as melhores práticas de segurança e disponibilidade da AWS.

O guia é destinado a arquitetos, administradores e DevOps profissionais de infraestrutura de TI com experiência prática em arquitetura na nuvem da AWS.

# Recursos e benefícios
<a name="features"></a>

O Automated Security Response na AWS fornece os seguintes recursos:

 **Corrija automaticamente as descobertas para controles específicos** 

Configure a solução para corrigir automaticamente as descobertas de controles específicos modificando a tabela do DynamoDB de configuração de remediação implantada na conta do administrador.

 **Gerencie remediações em várias contas e regiões a partir de um único local** 

A partir de uma conta de administrador do AWS Security Hub que está configurada como o destino de agregação das contas e regiões da sua organização, inicie uma remediação para uma descoberta em qualquer conta e região em que a solução esteja implantada.

 **Seja notificado sobre ações e resultados de remediação** 

Inscreva-se no tópico do Amazon SNS implantado pela solução para ser notificado quando as remediações forem iniciadas e se a correção foi bem-sucedida ou não.

 **Use a interface de usuário da Web para iniciar, visualizar e gerenciar remediações** 

Você terá a opção de ativar a interface de usuário da Web da solução ao implantar a pilha de administração, que fornecerá uma visão abrangente e fácil de usar para executar correções e visualizar todas as remediações anteriores realizadas pela solução.

 **Integre com sistemas de tickets como Jira ou ServiceNow** 

Para ajudar sua organização a reagir às correções (por exemplo, atualizar seu código de infraestrutura), essa solução pode enviar tickets para seu sistema externo de tíquetes.

 **Use AWSConfig correções nas partições da China GovCloud e da China** 

Algumas das correções incluídas na solução são repacotes de documentos de AWSConfig remediação de propriedade da AWS que estão disponíveis na partição comercial, mas não na China. GovCloud Implante essa solução para usar esses documentos nessas partições.

 **Estenda a solução com correções personalizadas e implementações do Playbook** 

A solução foi projetada para ser extensível e personalizável. Para especificar uma implementação alternativa de remediação, implante documentos de automação personalizados do AWS Systems Manager e funções do AWS IAM. Para oferecer suporte a um conjunto totalmente novo de controles que não é implementado pela solução, implante um Playbook personalizado.

# Casos de uso
<a name="use-cases"></a>

 **Imponha a conformidade com um padrão em todas as contas e regiões da sua organização** 

Implante o Playbook de acordo com um padrão (por exemplo, as melhores práticas de segurança da AWS Foundational) para poder usar as correções fornecidas. Inicie as correções de recursos de forma automática ou manual em qualquer conta e região em que a solução seja implantada para corrigir recursos que estão fora de conformidade.

 **Implemente correções ou playbooks personalizados para atender às necessidades de conformidade da sua organização** 

Use os componentes do Orchestrator fornecidos como uma estrutura. Crie correções personalizadas para lidar com out-of-compliance os recursos de acordo com as necessidades específicas da sua organização.

# Conceitos e definições
<a name="concepts-and-definitions"></a>

Esta seção descreve os conceitos básicos e define a terminologia específica desta solução:

 **remediação, caderno de execução de remediação** 

Uma implementação de um conjunto de etapas que resolve uma descoberta. Por exemplo, uma correção para o controle Security Control (SC) Lambda.1 “As políticas da função Lambda devem proibir o acesso público” modificaria a política da função relevante do AWS Lambda para remover declarações que permitem acesso público.

 **caderno de controle** 

Um de um conjunto de documentos de automação do AWS Systems Manager (SSM) que o orquestrador usa para rotear uma remediação iniciada de um controle específico para o runbook de remediação correto. Por exemplo, as remediações para o SC Lambda.1 e o AWS Foundational Security Best Practices (FSBP) Lambda.1 são implementadas com o mesmo runbook de remediação. O orquestrador invoca o runbook de controle para cada controle, denominado ASR-AFSBP\$1Lambda.1 e ASR-SC\$12.0.0\$1Lambda.1, respectivamente. Cada runbook de controle invoca o mesmo runbook de remediação, que nesse caso seria ASR-. RemoveLambdaPublicAccess

 **orquestrador** 

O Step Functions implantado pela solução que usa como entrada um objeto de busca do AWS Security Hub e invoca o runbook de controle correto na conta e região de destino. O orquestrador também notifica o tópico SNS da solução quando a remediação é iniciada e quando a correção é bem-sucedida ou falha.

 **padrão** 

Um grupo de controles definido por uma organização como parte de uma estrutura de conformidade. Por exemplo, um dos padrões suportados pelo AWS Security Hub e por essa solução é o AWS FSBP.

 **controle** 

Uma descrição das propriedades que um recurso deve ou não ter para estar em conformidade. Por exemplo, o controle AWS FSBP Lambda.1 afirma que as funções do AWS Lambda devem proibir o acesso público. Uma função que permite acesso público falharia nesse controle.

 **descobertas de controle consolidadas, controle de segurança, visualização de controles de segurança** 

Um recurso do AWS Security Hub que, quando ativado, exibe descobertas com seu controle consolidado, IDs em vez de IDs corresponder a um padrão específico. Por exemplo, os controles AWS FSBP S3.2, CIS v1.2.0 2.3, CIS v1.4.0 2.1.5.2 e PCI-DSS v3.2.1 S3.1 são todos mapeados para o controle consolidado (SC) S3.2 “Os buckets do S3 devem proibir o acesso público de leitura”. Quando esse recurso está ativado, os runbooks SC são usados.

 **Administrador delegado do [Solution Web UI]** 

No contexto da interface de usuário da Web da solução, um administrador delegado é um usuário que foi convidado pelo administrador e tem acesso total para executar correções e visualizar o histórico de remediações. Esse usuário também pode visualizar e gerenciar outros usuários do Operador de Conta.

 **Operador de conta [Solution Web UI]** 

No contexto da interface de usuário da Web da solução, um operador de conta é um usuário convidado por um administrador ou administrador delegado para acessar a interface do usuário da Web da solução. Esse usuário está associado a uma lista de IDs de contas da AWS fornecidas em seu convite; ele só pode executar correções e visualizar o histórico de remediações no que diz respeito aos recursos dessas contas.

Para obter uma referência geral dos termos da AWS, consulte o [glossário da AWS](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html).