本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用全自动补救
<a name="enable-fully-automated-remediations"></a>

该解决方案的另一种操作模式是在发现结果送达 Security Hub 时自动对其进行修复。

**重要**  
在启用全自动修复之前，请确保在您符合解决方案进行自动更改的账户和区域配置解决方案。如果您想缩小解决方案自动修复的范围，请参阅以下有关[筛选全自动](#filter-remediations)修复的部分。

## 示例：为 Lambda.1 启用全自动补救措施
<a name="enable-remediations-example"></a>

启用自动修复将启动对与您启用的控件相匹配的所有资源的补救措施 (Lambda.1)。

**重要**  
确认您希望撤销解决方案范围内的所有公共 Lambda 函数的此权限。全自动修复的范围将不限于您创建的函数。如果在安装该控制的任何账户和区域中检测到此控件，则该解决方案将对其进行修复。


| Account | 用途 | us-east-1 中的行动 | us-west-2 中的行动 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  Admin  |  确认没有需要的公共函数  |  确认没有需要的公共函数  | 
|   `222222222222`   |  成员  |  确认没有需要的公共函数  |  确认没有需要的公共函数  | 

## 找到修复配置 DynamoDB 表
<a name="locate-config-table"></a>

在管理员帐户中，在`Outputs` CloudFormation 控制台中查看管理员堆栈的。您将看到标题为的输出`RemediationConfigurationDynamoDBTable`。

这是修复配置 DynamoDB 表的名称，该表控制解决方案的自动修复配置。复制此输出的值，然后在 DynamoDB 控制台中找到相应的 DynamoDB 表。


| Account | 用途 | us-east-1 中的行动 | us-west-2 中的行动 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  Admin  |  找到 “修复配置 DynamoDB” 表。  |  无  | 
|   `222222222222`   |  成员  |  无  |  无  | 

## 修改修正配置表
<a name="edit-table-item"></a>

在您找到 “修复配置” 表的 DynamoDB 控制台中，**选择 “浏览表项目”**。

表中的每一项都对应于解决方案支持的 Security Hub 控件。每个项目都有一个`automatedRemediationEnabled`属性，可以对其进行修改以启用对关联控件的全自动修正。

**要启用 Lambda.1，请在**扫描或查询项目**下选择查询。**在 “**分区键：controlID**” 下输入`Lambda.1`并单击 “**运行**”。您将看到返回的与 Lambda.1 控件相对应的单个项目。

![\[补救配置表\]](http://docs.aws.amazon.com/zh_cn/solutions/latest/automated-security-response-on-aws/images/remediation-configuration-table.png)


现在，选择该`Lambda.1`项目，然后单击 “**操作” > “编辑项目”**。

![\[修正配置编辑项目\]](http://docs.aws.amazon.com/zh_cn/solutions/latest/automated-security-response-on-aws/images/remediation-config-edit-item.png)


最后，将`automatedRemediationEnabled`属性值更改为 **True**。单击 “**保存并关闭**”。


| Account | 用途 | us-east-1 中的行动 | us-west-2 中的行动 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  Admin  |  修改修复配置 DynamoDB 表。  |  无  | 
|   `222222222222`   |  成员  |  无  |  无  | 

## 配置资源
<a name="configure-the-resource"></a>

在成员账户中，重新配置 Lambda 函数以允许公开访问。


| Account | 用途 | us-east-1 中的行动 | us-west-2 中的行动 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  Admin  |  无  |  无  | 
|   `222222222222`   |  成员  |  无  |  将 Lambda 函数配置为允许公开访问  | 

## 确认补救措施解决了调查结果
<a name="confirm-the-remediation-resolved-finding2"></a>

Config 可能需要一些时间才能再次检测到不安全的配置。您应该会收到两个 SNS 通知。第一个将表示补救措施已启动。第二个将表示修复成功。收到第二条通知后，导航到成员账户中的 Lambda 控制台并确认已撤销公开访问权限。


| Account | 用途 | us-east-1 中的行动 | us-west-2 中的行动 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  Admin  |  无  |  无  | 
|   `222222222222`   |  成员  |  无  |  确认修复成功  | 

## （可选）为全自动修复配置筛选
<a name="filter-remediations"></a>

如果您想限制解决方案运行修正的范围，则可以应用筛选器。这些筛选器仅适用于全自动修复，不会影响手动调用的修正。

该解决方案提供以下维度的筛选：

1. 账户编号

1. 组织单位 (OUs)

1. 资源标签

每个维度都可以通过修改解决方案部署的与给定维度相对应的 Systems Manager 参数来配置。Parameter Store 中的所有筛选参数都可以在`/ASR/Filters/`路径下的管理员帐户中找到。

每个维度都有两个配置参数，一个用于筛选值，另一个用于过滤器模式。例如，“账户 ID” 维度有两个名为`/ASR/Filters/AccountFilters`和的参数`/ASR/Filters/AccountFilterMode`。必须对两者进行修改才能配置对账户 ID 的筛选。

例如，要将全自动修正限制为仅在账户`111111111111`和中运行`222222222222`，可以将的值更改为 **“111111111111**、2222 `/ASR/Filters/AccountFilters` 22222222”。然后，将的值更改`/ASR/Filters/AccountFilterMode`为 **“包含”**。然后，该解决方案将忽略为除111111111111或2222222222之外的账户生成的任何调查结果。

**每个过滤器参数都采用以逗号分隔的值列表进行筛选，并且每个 “模式” 参数可以设置为 “**包含**”、“**排除**” 或 “禁用”。**