本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 多账户架构的安全事件响应
当你过渡到多人时 AWS 账户,重要的是要保持对组织内可能发生的安全事件的可见性。在 [身份管理和访问控制](identity-management.md) 中,您使用了 AWS Control Tower 来设置登录区。在该设置过程中, AWS 账户 为了安全起见, AWS Control Tower 指定为。您应将安全服务的管理委托给该**security-tooling-prod**帐户,并使用此帐户集中管理这些服务。
本指南回顾了如何使用以下内容 AWS 服务 来帮助保护您 AWS 账户 和组织:
+ [Amazon GuardDuty](#amazon-guardduty)
+ [Amazon Macie](#amazon-macie)
+ [AWS Security Hub CSPM](#amazon-security-hub)
## Amazon GuardDuty
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 是一项持续的安全监控服务,用于分析数据源,例如 AWS CloudTrail 事件日志。有关支持的数据源的完整列表,请参阅 [Amazon 如何 GuardDuty 使用其数据源](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc)(GuardDuty 文档)。它使用威胁情报源(例如,恶意 IP 地址和域的列表)和机器学习来标识您 AWS 环境中意外和未经授权的恶意活动。
GuardDuty 与一起使用时 AWS Organizations,组织中的管理账户可以将组织中的任何账户指定为 GuardDuty *委派管理员*。委派的 GuardDuty 管理员将成为该地区的管理员帐户。 GuardDuty 在:中自动启用AWS 区域,并且委派的管理员账户有权 GuardDuty 为该区域内组织中的所有账户启用和管理。有关更多信息,请参阅[使用管理 GuardDuty 账户 AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)(GuardDuty 文档)。
GuardDuty 是一项区域服务。这意味着您必须在要监控 GuardDuty 的每个区域中启用。
### 最佳实践
+ GuardDuty 在所有支持中启用 AWS 区域。 GuardDuty 可以生成有关未经授权或异常活动的调查结果,即使在您未积极使用的区域也是如此。的 GuardDuty 定价基于所分析事件的数量。即使在您不操作工作负载的地区,启用 GuardDuty 也是一种有效且具有成本效益的检测工具,可以提醒您注意潜在的恶意活动。有关可用区域的更多信息,请参阅 [Amazon GuardDuty 服务终端节点](https://docs.aws.amazon.com/general/latest/gr/guardduty.html#guardduty_region) (AWS 一般参考)。 GuardDuty
+ 在每个区域内,委托您的组织管理**security-tooling-prod** GuardDuty 账户。有关更多信息,请参阅[指定 GuardDuty 委派管理员](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate)(GuardDuty 文档)。
+ 配置 GuardDuty 为在将新 AWS 账户 成员添加到组织时自动注册。有关更多信息,请参阅 AWS Organizations(GuardDuty 文档)[管理账户中的步骤 3-自动添加新的组织账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate)*作为成员*。
## Amazon Macie
[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 是一个完全托管式数据安全和数据隐私服务,它使用机器学习和模式匹配来帮助您发现、监控并帮助您保护 Amazon Simple Storage Service(Amazon S3)中的敏感数据。您可以从 Amazon Relational Database Service(Amazon RDS)和 Amazon DynamoDB 的 S3 存储桶导出数据,然后使用 Macie 扫描数据。
当您将 Macie 与一起使用时 AWS Organizations,组织中的管理帐户可以将组织中的任何帐户指定为 Macie *管理员*帐户。管理员账户可以为组织中的成员账户启用和管理 Macie,可以访问 Amazon S3 清单数据,还可以为账户运行敏感数据发现任务。有关更多信息,请参阅[使用 AWS Organizations管理账户](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao.html)(Macie 文档)。
Macie 是一项区域性服务。这意味着您必须在需要监控的每个区域中启用 Macie,并且 Macie 管理员账户只能管理同一区域内的成员账户。
### 最佳实践
+ 遵循[将 Macie 与 AWS Organizations搭配使用时的注意事项和建议](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-notes.html)(Macie 文档)。
+ 在每个区域内,委托该**security-tooling-prod**账户为您的组织管理 Macie。要集中管理多个 Macie 账户 AWS 区域,管理账户必须登录到组织当前使用或将要使用 Macie 的每个区域,然后在每个区域中指定 Macie 管理员账户。然后,Macie 管理员账户可以在每个区域中配置组织。有关更多信息,请参阅[整合和配置组织](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html)(Macie 文档)。
+ Macie 提供[每月免费套餐](https://docs.aws.amazon.com/macie/latest/user/account-mgmt-costs-calculations.html),可供执行敏感数据发现任务。如果您在 Amazon S3 中存储了敏感数据,请使用 Macie 来分析您的 S3 存储桶,这是每月免费套餐的一部分。如果超过免费套餐,您的账户就会开始产生敏感数据发现费用。
## AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)为您提供中安全状态的全面视图 AWS。您可以使用它根据安全行业标准和最佳实践检查您的环境。Security Hub CSPM 从您的 AWS 账户所有服务(包括 GuardDuty 和 Macie)以及支持的第三方合作伙伴产品中收集安全数据。Security Hub CSPM 可帮助您分析安全趋势并确定优先级最高的安全问题。Security Hub CSPM 提供了各种安全标准,您可以启用这些标准来对每个标准进行合规性检查。 AWS 账户
*当你将 Security Hub CSPM 与一起使用时 AWS Organizations,组织中的管理账户可以将组织中的任何账户指定为 Security Hub CSPM 管理员帐户。*然后,Security Hub CSPM 管理员帐户可以启用和管理组织中的其他成员帐户。有关更多信息,请参阅[使用管理账户(S AWS Organizations ec](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-orgs.html) urity Hub CSPM 文档)。
Security Hub CSPM 是一项区域性服务。这意味着您必须在要分析的每个区域中启用 Security Hub CSPM,并且必须为每个区域定义委派的管理员。 AWS Organizations
### 最佳实践
+ 遵守[先决条件和建议](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-setup-prereqs.html)(Security Hub CSPM 文档)。
+ 在每个区域内,委托该**security-tooling-prod**账户为您的组织管理 Security Hub CSPM。有关更多信息,请参阅[指定 Security Hub CSPM 管理员帐户](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)(Security Hub CSPM 文档)。
+ 将 Security Hub CSPM 配置为在新 AWS 账户 成员加入组织时自动注册他们。
+ 启用[AWS 基础安全最佳实践标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)(Security Hub CSPM 文档),以检测资源何时偏离安全最佳实践。
+ 启用[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)(Security Hub CSPM 文档),以便您可以查看和管理来自单个区域的所有 Security Hub CSPM 发现。