

# SEC04-BP04 針對不合規資源實施補救措施
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 您的偵測控制可能針對不符合您組態需求的資源發出提醒。您可以手動或自動實施以程式設計方式定義的補救措施，以修正這些資源並協助盡可能將影響降到最低。以程式設計方式定義補救措施時，您可以採取快速且一致的行動。

 雖然自動化可以增強安全操作，但您應謹慎實作和管理自動化程序。 設置適當的監督和控制機制，以確認自動化回應是否有效、準確，且合乎組織政策和風險偏好。

 **預期成果：**您會定義資源組態標準，以及在偵測到資源不合規時的修復步驟。在可能的情況下，您已透過程式設計方式定義補救措施，以供人員手動或透過自動化方式啟動。已設置偵測系統，其可識別不合規的資源，並在由安全人員監控的集中式工具中發佈提醒。這些工具支援手動或自動執行程式設計的補救措施。自動化補救措施設有適當的監督和控制機制來控管理其使用。

 **常見的反模式：**
+  您實作自動化，但未徹底測試和驗證補救動作。這可能會導致意外的後果，例如中斷正當的業務營運或導致系統不穩定。
+  您透過自動化改善回應時間和程序，但未設置適當的監控與機制，無法在需要時允許人為介入和判斷。
+  您只仰賴補救措施，而不是將補救措施視為更廣泛的事件回應和復原計畫的一部分。

 **建立此最佳實務的優勢：**自動化補救措施能夠比手動流程更快回應組態錯誤，進而有助於將可能對業務造成的影響降至最低，並且減少意外使用的機會。當您以程式設計方式定義補救措施時，就能一致套用這些措施，進而降低人為錯誤的風險。自動化還可同時處理更大量的提醒，這點對於大規模操作的環境來說尤其重要。  

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 如 [SEC01-BP03 識別和驗證控制目標](sec_securely_operate_control_objectives.md) 中所述，[AWS Config](https://aws.amazon.com/config/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 等服務可協助您監控帳戶中資源的組態，以確保符合您的需求。偵測到不合規的資源時，AWS Security Hub CSPM 這類服務可協助適當路由警示和修復。這些解決方案為您的安全調查人員提供了一個集中的位置，方便監控問題並採取修正動作。

 除了 AWS Security Hub CSPM 之外，AWS 還推出了 [Security Hub Advanced](https://aws.amazon.com/security-hub/)。此服務在 re:Invent 2025 上宣布，轉變組織最關鍵安全問題的優先順序，並大規模回應以保護其雲端環境。增強型 Security Hub 現在使用進階分析技術，在您的雲端環境中自動關聯、增強和排定安全訊號的優先順序。Security Hub 與 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[Amazon Macie](https://aws.amazon.com/macie/) 和 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/) 完全整合。Security Hub 中的相關調查結果可能會導致新的調查結果，稱為暴露調查結果，其中包括根據每個資源中找到的漏洞所假設的攻擊路徑。

 有些不合規資源的情況獨特，需要人為判斷來進行修復，有些情況則有標準回應，您可透過程式設計方式定義這類回應。例如，對於設定錯誤的 VPC 安全群組，其標準回應可能是移除不允許的規則並通知擁有者。您可以在 [AWS Lambda](https://aws.amazon.com/pm/lambda) 函數中、[AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 文件中，或透過您慣用的其他程式碼環境來定義回應。確定環境能夠使用具有採取修正動作所需之最低許可權的 IAM 角色來對 AWS 進行身分驗證。

 定義所需的補救措施後，您就可以決定您偏好的補救措施實施方法。AWS Config 可以為您[實施補救措施](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)。如果您使用 Security Hub CSPM，則可透過[自訂動作](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html)來執行此操作，該動作會將調查結果資訊發佈至 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)。然後，EventBridge 規則就能實施補救措施。您可以透過 Security Hub CSPM 設定自動或手動執行補救措施。  

 對於程式化的補救措施，建議您留存所執行動作的完整日誌和稽核，以及其結果。審核並分析這些日誌，以評估自動化流程的有效性，並識別改進之處。擷取 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 中的日誌，以及 Security Hub CSPM 中作為[調查結果備註](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)的修復結果。

 一開始，請考慮 [AWS 上的自動化安全性回應](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)，其中包含預先建置的補救措施，可用來解決常見的安全錯誤組態。

### 實作步驟
<a name="implementation-steps"></a>

1.  分析提醒並排定優先順序。

   1.  將來自各種不同 AWS 服務的安全提醒合併到 Security Hub CSPM 中，以提供集中查看、排定優先順序和修復的方式。

1.  制定補救措施。

   1.  使用 Systems Manager 和 AWS Lambda 等服務來執行程式化的補救措施。

1.  設定實施補救措施的方式。

   1.  使用 Systems Manager 定義將調查結果發佈到 EventBridge 的自訂動作。設定手動或自動啟動這些動作。

   1.  您也可以使用 [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) 傳送通知和提醒給相關的利害關係人 (例如，安全團隊或事件回應團隊)，以便在必要時進行人為介入或向上呈報。

1.  審核並分析補救措施日誌，以了解有效性和改進之處。

   1.  將日誌輸出傳送至 CloudWatch Logs。擷取 Security Hub CSPM 中作為調查結果備註的結果。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC06-BP03 減少手動管理和互動式存取](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **相關文件：**
+  [AWS 安全事件回應指南 - 偵測](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **相關範例：**
+  [ 上的自動化安全回應AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [使用 AWS Config 監控 EC2 執行個體金鑰對](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [使用 AWS CloudFormation Guard 政策建立 AWS Config 自訂規則](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [自動修復未加密的 Amazon RDS 資料庫執行個體和叢集](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **相關工具：**
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [ 上的自動化安全回應AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)