本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 架构详情
本节介绍构成此解决方案的组件和 AWS 服务,以及这些组件如何协同工作的架构详情。
# AWS Security Hub 集成
部署`automated-security-response-admin`堆栈可以与 [AWS Security Hub CSPM 的](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)自定义操作功能集成。当 AWS Security Hub CSPM 控制台用户单击 “**操作” >** “**使用 ASR 修复” 时,所选结果将发送到 EventBridge 并触发修复**工作流程。
必须使用和模板将跨账户权限和 AWS Systems Manager 运行手册部署到所有 AWS Security Hub 账户(管理员`automated-security-response-member.template`和`automated-security-response-member-roles.template` CloudFormation 成员)。有关更多信息,请参阅[剧本](playbooks.md)。此模板允许对目标账户进行自动修复。
用户可以使用 Amazon DynamoDB 在每个控制的基础上配置全自动补救措施。此选项将在发现结果报告给 AWS Security Hub 后立即激活全自动补救措施。默认情况下,自动启动处于关闭状态。安装后,可以通过修改[修复配置 DynamoDB](enable-fully-automated-remediations.md) 表随时更改此选项。
# 跨账户补救
AWS 上的自动安全响应使用跨账户角色,使用跨账户角色跨主账户和次要账户工作。这些角色将在解决方案安装期间部署到成员帐户。每个补救措施都被分配了一个单独的角色。主账户中的修正过程被授予在需要补救的账户中担任修正角色的权限。补救由在需要补救的账户中运行的 AWS Systems Manager 运行手册执行。
# 剧本
一组补救措施被分组为一个名为 p *layb* ook 的包。使用此解决方案的模板安装、更新和删除 Playbook。有关每本 playbook 中支持的补救措施的信息,请参阅《[开发者指南》→](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html)《攻略手册》。该解决方案目前支持以下攻略手册:
+ 《安全控制》是一本与 AWS Security Hub 的整合控制结果功能一致的手册,于 2023 年 2 月 23 日发布。
**重要**
在 Security Hub 中启用[整合控制结果](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings)后,这是解决方案中唯一应启用的行动手册。
+ [互联网安全中心 (CIS) Amazon Web Services Foundations 基准测试,版本 1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard),于 2018 年 5 月 18 日发布。
+ [互联网安全中心 (CIS) Amazon Web Services Foundations 基准测试,版本 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard),于 2022 年 11 月 9 日发布。
+ [互联网安全中心 (CIS) Amazon Web Services Foundations 基准测试,3.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard),于 2024 年 5 月 13 日发布。
+ [AWS 基础安全最佳实践 (FSBP) 版本 1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html),于 2021 年 3 月发布。
+ [支付卡行业数据安全标准 (PCI-DSS) 3.2.1 版](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html),于 2018 年 5 月发布。
+ [美国国家标准与技术研究院 (NIST) 版本 5.0.0,2023 年 11](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 月发布。
部署解决方案 CloudFormation 堆栈后,行动手册即可立即使用,无需进行其他配置即可针对上面列出的安全标准进行补救。
## 集中式日志记录
AWS 日志上的自动安全响应到单个 CloudWatch 日志组 SO0111-ASR。这些日志包含解决方案中的详细日志记录,用于解决方案的故障排除和管理。
# 通知
此解决方案使用亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题来发布补救结果。您可以使用本主题的订阅来扩展解决方案的功能。例如,您可以发送电子邮件通知和更新故障单。
+ **so0111-asr\$1Topic** — 用于发送与已执行的修正相关的一般信息和错误消息。
+ s@@ **o0111-asr\$1alarm\$1Topic** — 用于在解决方案的其中一个警报被触发时发出通知,表示解决方案未按预期运行。
## 此解决方案中的 AWS 服务
该解决方案使用以下服务。使用该解决方案需要核心服务,而支持服务则连接核心服务。
| AWS 服务 | 说明 |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **核心**。 EventBridge 规则用于监听和触发 AWS Security Hub 和 AWS Security Hub CSPM 发出的事件。 |
| [AWS IAM](https://aws.amazon.com/iam/) | **核心。**部署多个角色以允许对不同的资源进行修复。 |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **核心。**部署多个 lambda 函数,步进函数协调器将使用这些函数来修复问题。 用作与 API Gateway 集成的解决方案 Web 用户界面的后端。 |
| [AWS Security Hub](https://aws.amazon.com/security-hub/) | **核心。**为客户提供其 AWS 安全状态的全面视图。 |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **核心。**部署一个协调器,该协调器将通过 AWS Systems Manager API 调用调用补救文档。 |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **核心。**部署包含解决方案要执行的补救逻辑的系统管理器自动化文档。 使用参数存储来维护解决方案元数据和配置设置。 |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **核心。**在每个账户和区域中存储上次运行的修复,以优化修正计划。 存储 AWS Security Hub 和 AWS Security Hub CSPM 生成的调查结果。 存储补救和解决方案配置元数据。 为访问解决方案的 Web UI 的用户存储数据。 |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **支持。**记录解决方案对您的 AWS 资源所做的更改并将其显示在 CloudWatch 控制面板上。 |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **支持。**部署日志组,不同的攻略手册将使用这些日志组来记录结果。收集指标以显示在带有警报的自定义仪表板上。 |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **支持。**部署修复完成后会收到通知的 SNS 主题。 |
| [AWS SQS](https://aws.amazon.com/sqs/) | **支持。**协助安排修复,以便解决方案可以并行运行修复。 使用 Lambda 映射缓冲执行 Lamb EventSource da。 |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **支持。**用于加密数据以进行修复。 |
| [AWS Config](https://aws.amazon.com/config) | **支持。**记录所有可用于 AWS Security Hub 的资源。 |
| [Amazon S3](https://aws.amazon.com/s3) | **支持。**存储导出的修复历史记录和日志数据。 将解决方案的 Web UI 作为单页应用程序 (SPA) 托管。 |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **支持。**提供解决方案的 Web 用户界面 |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **支持。**创建解决方案的 REST API 以支持用户界面。 |
| [AWS WAF](https://aws.amazon.com/waf) | **支持。**保护解决方案的 Web 用户界面。 |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **支持。**用于对解决方案的 Web UI 进行身份验证和授权。 |