本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 架構詳細資訊
本節說明構成此解決方案的元件和 AWS 服務,以及這些元件如何一起運作的架構詳細資訊。
# AWS Security Hub 整合
部署`automated-security-response-admin`堆疊會與 [AWS Security Hub CSPM 的](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)自訂動作功能整合。當 AWS Security Hub CSPM 主控台使用者按一下**動作 >** **使用 ASR 修復**時,選取的調查結果會傳送至 EventBridge 並觸發修復工作流程。
跨帳戶許可和 AWS Systems Manager Runbook 必須使用 `automated-security-response-member.template`和 `automated-security-response-member-roles.template` CloudFormation 範本部署到所有 AWS Security Hub 帳戶 (管理員和成員)。如需詳細資訊,請參閱 [手冊](playbooks.md)。此範本允許在目標帳戶中自動修復。
使用者可以使用 Amazon DynamoDB 依控制設定完全自動化的修補。此選項會在問題清單回報給 AWS Security Hub 時,立即啟用問題清單的全自動修復。根據預設,自動啟動會關閉。此選項可在安裝後隨時透過修改[修復組態 DynamoDB 資料表](enable-fully-automated-remediations.md)來變更。
# 跨帳戶修復
AWS 上的自動化安全回應使用跨帳戶角色,以跨帳戶角色跨主要和次要帳戶運作。這些角色會在解決方案安裝期間部署到成員帳戶。每個修補都會指派個別角色。主要帳戶中的修復程序會獲得許可,以在需要修復的帳戶中擔任修復角色。修復是由帳戶內執行且需要修復的 AWS Systems Manager Runbook 執行。
# 手冊
一組修復會分組到稱為*程序手冊*的套件中。使用這個解決方案的 範本安裝、更新和移除手冊。如需每個手冊中支援修復的資訊,請參閱[開發人員指南 → 手冊](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/playbooks-1.html)。此解決方案目前支援下列手冊:
+ Security Control,與 AWS Security Hub 的合併控制調查結果功能一致的手冊,發佈於 2023 年 2 月 23 日。
**重要**
在 Security Hub 中啟用[合併控制問題](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings)清單時,這是唯一應該在解決方案中啟用的手冊。
+ [Center for Internet Security (CIS) Amazon Web Services Foundations 基準測試,1.2.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard),2018 年 5 月 18 日發佈。
+ [Center for Internet Security (CIS) Amazon Web Services Foundations 基準測試,版本 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard),2022 年 11 月 9 日發佈。
+ [Center for Internet Security (CIS) Amazon Web Services Foundations 基準測試,3.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard),2024 年 5 月 13 日發佈。
+ [AWS Foundational Security Best Practices (FSBP) 1.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html),2021 年 3 月發佈。
+ [支付卡產業資料安全標準 (PCI-DSS) 3.2.1 版](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html),2018 年 5 月發佈。
+ [國家標準技術研究所 (NIST) 5.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html),2023 年 11 月發佈。
部署解決方案的 CloudFormation 堆疊後,程序手冊即可立即使用,無需額外的組態即可針對上述安全標準啟用修補。
## 集中式記錄
AWS 日誌上自動安全回應至單一 CloudWatch Logs 群組 SO0111-ASR。這些日誌包含解決方案的詳細記錄,用於疑難排解和管理解決方案。
# 通知
此解決方案使用 Amazon Simple Notification Service (Amazon SNS) 主題來發佈修復結果。您可以使用此主題的訂閱來擴展解決方案的功能。例如,您可以傳送電子郵件通知和更新故障票證。
+ **SO0111-ASR\$1Topic** – 用於傳送與已執行修復相關的一般資訊和錯誤訊息。
+ **SO0111-ASR\$1Alarm\$1Topic** – 用於在觸發其中一個解決方案的警示時發出通知,表示解決方案未如預期般運作。
## 此解決方案中的 AWS 服務
解決方案使用以下 服務。核心服務需要使用 解決方案,而支援服務則會連接核心服務。
| AWS 服務 | Description |
| --- | --- |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **核心**。EventBridge 規則用於接聽和觸發 AWS Security Hub 和 AWS Security Hub CSPM 發出的事件。 |
| [AWS IAM](https://aws.amazon.com/iam/) | **核心**。部署許多角色,以允許對不同資源進行修復。 |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **核心。**部署多個 lambda 函數,由步驟函數協調器用來修復問題。 做為與 API Gateway 整合之解決方案 Web UI 的後端。 |
| [AWS 安全中樞](https://aws.amazon.com/security-hub/) | **核心**。為客戶提供 AWS 安全狀態的完整檢視。 |
| [AWS Step Functions](https://aws.amazon.com/step-functions/) | **核心**。部署協調器,使用 AWS Systems Manager API 呼叫來調用修復文件。 |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **核心**。部署 System Manager 自動化文件,其中包含解決方案要執行的修復邏輯。 使用參數存放區來維護解決方案中繼資料和組態設定。 |
| [AWS DynamoDB](https://aws.amazon.com/dynamodb/) | **核心**。將上次執行的修補儲存在每個帳戶和區域中,以最佳化修補的排程。 存放 AWS Security Hub & AWS Security Hub CSPM 產生的調查結果。 存放修復和解決方案組態中繼資料。 為存取解決方案 Web UI 的使用者儲存資料。 |
| [AWS CloudTrail](https://aws.amazon.com/cloudtrail) | **支援。**記錄解決方案對 AWS 資源所做的變更,並在 CloudWatch 儀表板上顯示這些變更。 |
| [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) | **支援**。部署不同手冊將用於記錄結果的日誌群組。收集要在具有警示的自訂儀表板上顯示的指標。 |
| [Amazon Simple Notification Service](https://aws.amazon.com/sns/) | **支援**。部署修復完成後收到通知的 SNS 主題。 |
| [AWS SQS](https://aws.amazon.com/sqs/) | **支援**。協助排程修復,讓解決方案可以平行執行修復。 使用 Lambda EventSource 映射緩衝 Lambda 執行。 |
| [AWS Key Management Service](https://aws.amazon.com/kms) | **支援**。用來加密資料以進行修復。 |
| [AWS Config](https://aws.amazon.com/config) | **支援**。記錄與 AWS Security Hub 搭配使用的所有資源。 |
| [Amazon S3](https://aws.amazon.com/s3) | **支援**。存放匯出的修復歷史記錄和日誌資料。 將解決方案的 Web UI 託管為單一頁面應用程式 (SPA)。 |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront) | **支援**。提供解決方案的 Web UI |
| [Amazon API Gateway](https://aws.amazon.com/apigateway) | **支援**。建立解決方案的 REST API 以支援 使用者介面。 |
| [AWS WAF](https://aws.amazon.com/waf) | **支援**。保護解決方案的 Web UI。 |
| [Amazon Cognito](https://aws.amazon.com/cognito) | **支援**。用來驗證和授權存取解決方案的 Web UI。 |