ビュー:
自動修復により、顧客はインフラストラクチャ上で自己修復型のLambda関数を実行し、セキュリティおよびガバナンスの失敗をリアルタイムで修正することができます。サポートされている自動修復Lambda関数のリストについては、GitHubページを参照してください。
大規模ビジネスにおける自動修復の実装やセキュリティギャップを埋めるためのカスタムLambdaの作成に関する詳細は、Cloud Risk Managementプラットフォームを使用したセキュリティとコンプライアンスの自動修復の追加方法をご覧ください。
注意
注意
Example Scenario: ユーザがS3アクセス制御リスト (ACL) を使用してS3 bucketを公開読み取り可能にします。

自動修復はどのように機能しますか 親トピック

手順

  1. Cloud Risk Managementはリスクをルールの失敗として識別します
  2. Cloud Risk Managementは指定されたSNSチャンネルに通知を送信します。
  3. SNSトピックはオーケストレーターLambda Functionをトリガーし、それがS3 bucketの自動修復機能を呼び出します。
  4. AutoRemediateS3-001関数はS3 bucketのACLを更新し、ルールの不備を解決することでセキュリティギャップを埋めます。

次のステップ

auto-remediate-y5t5mt=985a7f48-3a9e-4c13-847a-16665b7e885b.png

自動修復を設定する 親トピック

手順

  1. 公式のServerlessドキュメントに従って、AWS accountをServerless Frameworkにインストールし、アクセスを提供してください。Auto-remediationリポジトリの作業コピーを作成し、以下の指示に従ってください。
  2. Auto-remediationリポジトリの作業コピーを作成する:
    1. Linux/Mac OS X/WindowsにGitをインストールしていない場合はインストールしてください
    2. 次のGitコマンドを実行します: git clone https://github.com/cloudconformity/auto-remediate.git
    step-2-set-up-auto-remediate-gszqhf=8dcfead7-491a-47c6-9ab7-29f80fe14a4c.png
    3. 自動修復フォルダ内のfunctionsディレクトリに移動します: cd auto-remediate/functions
    4. コマンドを使用してアクセスルールを設定します: nano config.js
    step-4-set-up-auto-remediate-sxxhts=4984f86d-5d6d-4459-979c-18f09138ead2.png
    {.zoom}
    5. [config.js]ファイル内のすべてのルールは次のように設定されています
    デフォルトでは誤設定を防ぐために'enabled': falseとなっています。ルールを有効にするには、値を変更して手動で有効にする必要があります
    'enabled': true
    step-5-set-up-auto-remediate-cgtgyl=d1164a6c-e6dc-4f0b-b1f1-68b25bddd478.png
    6. 変更を加えた後:
    • キーボードアクション[Ctrl-O]を実行して変更を保存
    • [入る]を押して変更を確認
    • キーボード操作[Ctrl-X.]を行ってコマンドラインエディタを終了します
    7. 次のコマンドを実行します。
    -  Move one level up to the "auto-remediate" folder using the command:
 `cd ..`
-  Make node:modules folder available to AWS using the command:
`npm install`  

![](img/rules/step-7=25759750-007c-4e3c-9a01-e896e23815a1-set-up-auto-remediate-gcsmxd=3df4e1ab-863d-4cf9-b019-43fb485f8103.png){.zoom}
    8. 次のコマンドを実行して自動修復を展開します。
    serverless deploy --region [your AWS account region]
    serverless deploy --region us-east-2
    注意
    注意
    !!! note "" 自己修復機能のために、AWS accountと同じリージョンに自動修復を展開することをお勧めします。チェックの失敗の検出は、RTMCloud Risk Management Botによって実行されるため、展開リージョンに依存しません。
    step-8-set-up-auto-remediate-y2seyb=cffae1c6-588f-43e4-a758-d01603986b62.png
    9. 配置が成功した場合:
    - An SNS topic named **CloudConformity** is automatically created in your AWS account.
    step-9a-set-up-auto-remediate-vennsp=a5d8e742-1d6c-45f1-85cd-93426f9cf25a.png
    • [CloudConformity]SNSトピックに自動的にサブスクライブされるLambda Function[autoremediate-v1-AutoRemediateOrchestrator]
    step-9b-set-up-auto-remediate-faliqv=2ec7630e-2fad-4187-b16d-4dc0c69b51e1.png
    10. Cloud Risk ManagementプラットフォームでAmazon SNS Communicationチャネルを統合し、有効にしたい通知を選択してください。
    - [Automatic notifications](toggle-automatic-notifications.xml) - failed checks are automatically resolved when a message is published to your SNS channel.
- [Manual notifications](toggle-manual-notifications.xml) - you can view the **Send via SNS** button on Check failures. Click on the button to resolve the failure.

次のステップ

自動修復の展開後にルールを有効化または無効化する 親トピック

手順

  1. AWS Consoleで、[サービス][計算][Lambda][機能] の順に選択します
  2. 検索して選択: [auto-remediate-v1-AutoRemediateOrchestrator]
    step-2-enable-rules-d3pv6x=63a048ba-b6f4-4472-9a89-1075cb8e6090.png
  3. 設定を変更します。
    [設定][機能コード][環境][auto-remediate-v1][functions.]
  4. [config.js]を選択し、自動修復ルールの設定を変更してください。
    step-4-enable-rules-ij5zyy=0eb1ba5f-f4b2-4814-83c7-386d16f0efdb.png

自動修復導入のテスト 親トピック

手順

  1. Amazon SNS チャネルを設定する際に選択した通信トリガーが次のものであることを確認してください:
    すべてのチェックの通知を送信するようにデフォルトに設定するか
    [ルール]の下で[EC2-002]を特定して選択できます
  2. [AutoRemediateEC2-002]ルールが有効になっていることを確認するには、ルールを有効にする手順に従ってください。
    step-2-test-deployment-f4xygj=8d6a2ded-6c72-440c-9ea1-617a2b6d9673.png
  3. AWS Consoleで、[サービス][計算][EC2 Security Groups] の順に選択します
    step-3-test-deployment-bydcts=73d91ddc-c13d-4a28-84e3-7c3c295097ab.png
  4. [Create Security Group]をクリック
    1. 名前、説明を入力し、VPCを選択してください
    2. [Security group rules][Inbound,][ルールを追加] をクリックします。
      • タイプを選択: [SSH]
      • [Anywhere]
      • [作成]をクリックしてください。!!! note ""

手動通知を使用した解決 親トピック

手動通知のみを有効にしている場合は、以下の手順に従って失敗を解決してください。

手順

  1. すべてのチェックレポートに移動し、ルールを次の条件でフィルターします:
    • ルール: EC2-002 (無制限のSSHアクセス)
    • Only show checks created less than: 1日
  2. チェック失敗時に、[SNSで送信]をクリックしてください。

自動修復の解決を確認する 親トピック

手順

  1. AWS Consoleで、[サービス][計算][EC2][Security Groups.]に移動します。手順4で作成したセキュリティグループがもう利用できないことがわかります。
    step-1-verify-resolution-y1iv54=e1e0a43c-ba7b-4eb0-b9f0-2a6b811617d4.png
  2. AWS Consoleで、**Services > Compute > Lambda > Functions > {auto-remediate function}を選択 > Monitoring**に移動します。[auto-remediate-v1-AutoRemediateOrchestrator]とそのサブ関数がトリガーされているかどうかを理解するために、Lambdaのモニタリングチャートを確認することもできます。
    step-2-verify-resolution-ljjg9w=9d6d5c2c-f4fd-467d-8e6c-4e7f3e12fa4e.png

Auto-remediationプロジェクトへの貢献 親トピック

自動修復コードをフォークして変更することはできますが、Cloud Risk Managementはフォークされたコードに対してサポートを提供しません。ただし、自動修復コードにプルリクエストを送信することができ、承認されれば、コードはカスタマーサクセスチームによってサポートされます。