本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用完全自動化的修補
<a name="enable-fully-automated-remediations"></a>

解決方案的另一種操作模式是在問題清單送達 Security Hub 時自動修復問題清單。

**重要**  
啟用全自動化修復之前，請確定已在帳戶和區域中設定解決方案，而您符合進行自動化變更的解決方案。如果您想要縮小解決方案自動化修復的範圍，請參閱以下有關[篩選完全自動化修復](#filter-remediations)的章節。

## 範例：啟用 Lambda 的全自動化修復。1
<a name="enable-remediations-example"></a>

啟用自動修復會在符合您啟用之控制項 (Lambda.1) 的所有資源上啟動修復。

**重要**  
確認您希望解決方案範圍內的所有公有 Lambda 函數撤銷此許可。完全自動化的修補不會限制在您建立的 函數範圍內。如果在安裝此解決方案的任何帳戶和區域中偵測到此控制項，解決方案將修復此控制項。


| 帳戶 | 用途 | us-east-1 中的動作 | us-west-2 中的動作 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  管理員  |  確認沒有所需的公有函數  |  確認沒有所需的公有函數  | 
|   `222222222222`   |  成員  |  確認沒有所需的公有函數  |  確認沒有所需的公有函數  | 

## 找到修復組態 DynamoDB 資料表
<a name="locate-config-table"></a>

在管理員帳戶中，檢視 CloudFormation 主控台中管理員堆疊`Outputs`的 。您將看到名為 的輸出`RemediationConfigurationDynamoDBTable`。

這是修復組態 DynamoDB 資料表的名稱，可控制解決方案的自動修復組態。複製此輸出的值，並在 DynamoDB 主控台中找到對應的 DynamoDB 資料表。


| 帳戶 | 用途 | us-east-1 中的動作 | us-west-2 中的動作 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  管理員  |  找到修復組態 DynamoDB 資料表。  |  無  | 
|   `222222222222`   |  成員  |  無  |  無  | 

## 修改修復組態表
<a name="edit-table-item"></a>

在您已找到修復組態資料表的 DynamoDB 主控台中，選取**探索資料表項目**。

資料表中的每個項目對應至解決方案支援的 Security Hub 控制項。每個項目都有可修改的`automatedRemediationEnabled`屬性，以啟用相關聯控制項的全自動化修復。

若要啟用 Lambda.1，請在**掃描或查詢項目**下選取**查詢**。在**分割區索引鍵下：controlId** 輸入 `Lambda.1` ，然後按一下**執行**。您將看到傳回的單一項目對應至 Lambda.1 控制項。

![\[修復組態資料表\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/automated-security-response-on-aws/images/remediation-configuration-table.png)


現在，選取`Lambda.1`項目，然後按一下**動作 > 編輯項目**。

![\[修復組態編輯項目\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/automated-security-response-on-aws/images/remediation-config-edit-item.png)


最後，將`automatedRemediationEnabled`屬性值變更為 **True**。按一下**儲存並關閉**。


| 帳戶 | 用途 | us-east-1 中的動作 | us-west-2 中的動作 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  管理員  |  修改修復組態 DynamoDB 資料表。  |  無  | 
|   `222222222222`   |  成員  |  無  |  無  | 

## 設定 資源
<a name="configure-the-resource"></a>

在成員帳戶中，重新設定 Lambda 函數以允許公開存取。


| 帳戶 | 用途 | us-east-1 中的動作 | us-west-2 中的動作 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  管理員  |  無  |  無  | 
|   `222222222222`   |  成員  |  無  |  設定 Lambda 函數以允許公開存取  | 

## 確認修復已解決問題清單
<a name="confirm-the-remediation-resolved-finding2"></a>

Config 可能需要一些時間才能再次偵測不安全的組態。您應該會收到兩個 SNS 通知。第一個 表示已啟動修復。第二個表示修復成功。收到第二個通知後，導覽至成員帳戶中的 Lambda 主控台，並確認公有存取權已撤銷。


| 帳戶 | 用途 | us-east-1 中的動作 | us-west-2 中的動作 | 
| --- | --- | --- | --- | 
|   `111111111111`   |  管理員  |  無  |  無  | 
|   `222222222222`   |  成員  |  無  |  確認修復成功  | 

## （選用） 設定完全自動化修復的篩選
<a name="filter-remediations"></a>

如果您想要限制解決方案執行修復的範圍，您可以套用篩選條件。這些篩選條件僅適用於完全自動化的修補，不會影響手動調用的修補。

解決方案提供下列維度的篩選：

1. 帳戶 ID

1. 組織單位 OUs)

1. 資源標籤

每個維度都可以透過修改由對應於指定維度的解決方案所部署的 Systems Manager 參數來設定。參數存放區中的所有篩選參數都可以位於 `/ASR/Filters/` 路徑下的管理員帳戶中。

每個維度有兩個用於組態的參數，一個用於篩選值，另一個用於篩選模式。例如，帳戶 ID 維度有兩個名為 `/ASR/Filters/AccountFilters`和 的參數`/ASR/Filters/AccountFilterMode`。必須修改兩者，才能設定帳戶 ID 的篩選。

例如，若要限制完全自動化的修補僅在帳戶 `111111111111`和 中執行`222222222222`，請將 的值變更為 `/ASR/Filters/AccountFilters` **"111111111111， 222222222222"**。然後，將 的值`/ASR/Filters/AccountFilterMode`變更為**「包含」**。解決方案接著會忽略針對 111111111111 或 222222222222 以外的帳戶所產生的任何問題清單。

每個篩選參數都會取得以逗號分隔的值清單來篩選，而且每個「模式」參數可以設定為**包含**、**排除**或**停用**。