# SEC04-BP04 启动对不合规资源的修复
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 您的检测性控制措施可能会对不符合配置要求的资源发出警报。您可以手动或自动启动以编程方式定义的修复措施，用于修复这些资源并尽可能减少潜在影响。通过以编程方式定义的修复措施，您可以迅速采取一致的行动。

 虽然利用自动化功能可以增强安全修复操作，但您应谨慎地实施和管理自动化功能。 您需要建立适当的监督和控制机制，确保自动化响应有效、准确且符合组织的策略和风险偏好。

 **期望结果：**您定义了资源配置标准，以及在检测到资源不合规情况时应采取的修复措施。您尽可能以编程方式定义修复措施，以便手动或者自动启动这些措施。实施了检测系统，用于识别不合规的资源，并将警报发布到由您的安全人员监控的集中式工具。这些工具支持手动或自动运行您的程序化修复措施。采取了相应的监督和控制机制来管控自动修复措施的使用。

 **常见反模式：**
+  您实施了自动化功能，但没有全面测试和验证修复措施。这可能会导致意外的后果，例如中断合法的业务运营或导致系统不稳定。
+  您利用自动化功能来改善响应时间和流程，但没有采取适当的监控和机制，以便在需要时进行人工干预和判断。
+  您完全依赖修复措施，而不是将修复措施作为一部分，融入到更全面的事件响应和恢复计划中。

 **建立此最佳实践的好处：**面对错误配置，自动修复的响应速度比手动流程更快，这让您可以尽量减少潜在的业务影响，并减少出现意外使用情况的机会。以编程方式定义修复措施后，可以始终如一地应用这些措施，从而降低人为错误的风险。自动化功能还可以同时处理更大量的警报，这在大规模运行的环境中尤其重要。  

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 如 [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)中所述，[AWS Config](https://aws.amazon.com/config/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 等服务有助于您监控账户中资源的配置，以便符合您的要求。当检测到不合规的资源时，诸如 AWS Security Hub CSPM 之类的服务有助于相应地发送警报并进行补救。这些解决方案为安全调查人员提供了一个中心位置，可用来监控问题和采取纠正措施。

 除 AWS Security Hub CSPM 之外，AWS 还引入了 [Security Hub Advanced](https://aws.amazon.com/security-hub/)。这项服务在 re:Invent 2025 上发布，它转变了组织优先考虑其最关键的安全问题并大规模响应以保护其云环境的方式。增强的 Security Hub 现在使用高级分析来自动关联、丰富云环境中的安全信号并确定这些信号的优先级。Security Hub 与 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[Amazon Macie](https://aws.amazon.com/macie/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/) 无缝集成。Security Hub 中的相关调查发现可能导致全新的调查发现，称为暴露调查发现，其中包括基于每种资源中发现的漏洞的假设攻击路径。

 一些不合规资源的情况会非常独特，需要人工判断才能修复，不过其它情况可以采取以编程方式定义的标准响应。例如，对于 VPC 安全组的配置错误，标准响应可以是删除不允许的规则并通知负责人。可以在 [AWS Lambda](https://aws.amazon.com/pm/lambda) 函数、[AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 文档中或者通过其它您常用的代码编写环境来定义响应措施。确保环境能够使用 IAM 角色在 AWS 上进行身份验证，并具有执行纠正措施所需的最低权限。

 在定义了所需的修复措施之后，您就可以确定启动修复措施的首选方式。AWS Config 可以为您[启动修复](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。如果您使用 Security Hub CSPM，则可以通过[自定义操作](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html)来执行这个过程，自定义操作会将调查发现信息发布到 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)。然后，EventBridge 规则启动修复措施。您可以通过 Security Hub CSPM 配置补救措施，使其自动或手动运行。  

 对于程序化的修复措施，我们建议您全面记录所采取的行动及其结果，并进行审计。查看和分析这些日志，以评测自动化流程的有效性，并确定需要改进的地方。将 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 中的日志和修复结果作为[调查发现备注](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)收集到 Security Hub CSPM 中。

 首先，您可以考虑 [AWS 上的自动化安全响应](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)，其中预先构建了修复措施，用于解决常见的安全配置错误。

### 实施步骤
<a name="implementation-steps"></a>

1.  分析警报并确定其优先级。

   1.  将来自各种 AWS 服务的安全警报整合到 Security Hub CSPM 中，以便在集中位置进行查看、划分优先级和执行修复措施。

1.  制定修复措施。

   1.  使用 Systems Manager 和 AWS Lambda 等服务来运行程序化的修复措施。

1.  配置启动修复的方式。

   1.  使用 Systems Manager，定义将调查发现发布到 EventBridge 的自定义操作。将这些操作配置为手动或自动启动。

   1.  如果需要，您还可以使用 [Amazon Simple Notification Service（SNS）](https://aws.amazon.com/sns/)向相应的利益相关者（例如安全团队或事件响应团队）发送通知和警报，以便进行手动干预或上报。

1.  查看和分析修复日志，了解有效性并发现改进的机会。

   1.  将日志输出发送到 CloudWatch Logs。在 Security Hub CSPM 中将结果捕获为调查发现备注。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC06-BP03 减少人工管理工作和交互式访问](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **相关文档：**
+  [AWS《Security Incident Response Guide》- Detection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **相关示例：**
+  [ 上的自动化安全响应AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Monitor EC2 instance key pairs using AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Create AWS Config custom rules by using AWS CloudFormation Guard policies](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Automatically remediate unencrypted Amazon RDS DB instances and clusters](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **相关工具：**
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [ 上的自动化安全响应AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)