Gagner en visibilité grâce aux mécanismes d'observabilité - AWS Conseils prescriptifs
Enregistrement du trafic réseauCentralisation des résultats de sécurité dans AWSIntégration des données AWS de sécurité aux autres données de l'entreprise

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gagner en visibilité grâce aux mécanismes d'observabilité

La possibilité de visualiser les événements de sécurité survenus est tout aussi importante que la mise en place de contrôles de sécurité appropriés. Dans le pilier de sécurité du AWS Well-Architected Framework, les meilleures pratiques de détection incluent la configuration de la journalisation des services et des applications et la capture des journaux, des résultats et des métriques dans des emplacements standardisés. Pour mettre en œuvre ces meilleures pratiques, vous devez enregistrer les informations qui vous aident à identifier les événements, puis les traiter dans un format utilisable par l'homme, idéalement dans un emplacement centralisé.

Ce guide vous recommande d'utiliser Amazon Simple Storage Service (Amazon S3) pour centraliser les données des journaux. Amazon S3 prend en charge le stockage des journaux à la fois pour le pare-feu Amazon Route 53 Resolver DNS AWS Network Firewall et pour le DNS. Vous utilisez AWS Security Hubensuite Amazon Security Lake pour centraliser les résultats d'Amazon et GuardDuty les autres résultats de sécurité en un seul endroit.

Enregistrement du trafic réseau

La section Automatisation des contrôles de sécurité préventifs et de détection de ce guide décrit l'utilisation AWS Network Firewall d'un pare-feu Amazon Route 53 Resolver DNS pour automatiser les réponses aux informations sur les cybermenaces (CTI). Nous vous recommandons de configurer la journalisation pour ces deux services. Vous pouvez créer des contrôles de détection qui surveillent les données du journal et vous alertent si un domaine restreint ou une adresse IP tente de faire passer le trafic via le pare-feu.

Lors de la configuration de ces ressources, tenez compte de vos besoins individuels en matière de journalisation. Par exemple, la journalisation pour Network Firewall n'est disponible que pour le trafic que vous transférez vers le moteur de règles dynamiques. Nous vous recommandons de suivre un modèle de confiance zéro et de transférer tout le trafic vers le moteur de règles dynamiques. Toutefois, si vous souhaitez réduire les coûts, vous pouvez exclure le trafic auquel votre organisation fait confiance.

Network Firewall et DNS Firewall prennent tous deux en charge la connexion à Amazon S3. Pour plus d'informations sur la configuration de la journalisation pour ces services, consultez Journalisation du trafic réseau depuis AWS Network Firewall et Configuration de la journalisation pour le pare-feu DNS. Pour les deux services, vous pouvez configurer la journalisation dans un compartiment Amazon S3 via le AWS Management Console.

Centralisation des résultats de sécurité dans AWS

AWS Security Hubfournit une vue complète de votre état de sécurité AWS et vous aide à évaluer votre AWS environnement par rapport aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub peut générer des résultats associés à vos contrôles de sécurité. Il peut également recevoir les résultats d'autres Services AWS sources, comme Amazon GuardDuty. Vous pouvez utiliser Security Hub pour centraliser les résultats et les données provenant de vos Comptes AWS produits tiers pris en charge et de ceux de tiers pris en charge. Services AWS Pour plus d'informations sur les intégrations, consultez la section Comprendre les intégrations dans Security Hub dans la documentation de Security Hub.

Security Hub inclut également des fonctionnalités d'automatisation qui vous aident à trier et à résoudre les problèmes de sécurité. Par exemple, vous pouvez utiliser des règles d'automatisation pour mettre automatiquement à jour les résultats critiques en cas d'échec d'un contrôle de sécurité. Vous pouvez également utiliser l'intégration avec Amazon EventBridge pour lancer des réponses automatiques à des résultats spécifiques. Pour plus d'informations, consultez la section Modifier automatiquement les résultats du Security Hub et agir en conséquence dans la documentation du Security Hub.

Si vous utilisez Amazon GuardDuty, nous vous recommandons de le configurer GuardDuty pour envoyer ses résultats à Security Hub. Security Hub peut ensuite inclure ces résultats dans son analyse de votre posture de sécurité. Pour plus d'informations, consultez la section Intégration avec AWS Security Hub dans la GuardDuty documentation.

Pour Network Firewall et Route 53 Resolver DNS Firewall, vous pouvez créer des résultats personnalisés à partir du trafic réseau que vous enregistrez. Amazon Athena est un service de requête interactif qui vous permet d'analyser les données directement dans Amazon S3 à l'aide du SQL standard. Vous pouvez créer des requêtes dans Athena qui analysent les journaux dans Amazon S3 et extraient les données pertinentes. Pour obtenir des instructions, consultez Getting Started dans la documentation d'Athena. Vous pouvez ensuite utiliser une AWS Lambda fonction pour convertir les données de journal pertinentes au format ASFF (AWS Security Finding Format) et envoyer les résultats à Security Hub. Voici un exemple de fonction Lambda qui convertit les données du journal de Network Firewall en résultats de Security Hub :

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

Le modèle que vous suivez pour extraire et envoyer des informations à Security Hub dépend des besoins individuels de votre entreprise. Si vous avez besoin que les données soient envoyées selon un calendrier régulier, vous pouvez les utiliser EventBridge pour lancer le processus. Si vous souhaitez recevoir une alerte lorsque les informations sont ajoutées, vous pouvez utiliser Amazon Simple Notification Service (Amazon SNS). Il existe de nombreuses manières d'aborder cette architecture. Il est donc important de bien planifier afin de répondre aux besoins de votre entreprise.

Intégration des données AWS de sécurité aux autres données de l'entreprise

Amazon Security Lake peut automatiser la collecte des données des journaux et des événements liés à la sécurité à partir de services intégrés Services AWS et tiers. Il vous aide également à gérer le cycle de vie des données grâce à des paramètres de rétention et de réplication personnalisables. Security Lake convertit les données ingérées au format Apache Parquet et en un schéma open source standard appelé Open Cybersecurity Schema Framework (OCSF). Grâce au support OCSF, Security Lake normalise et combine les données de sécurité issues d' AWS un large éventail de sources de données de sécurité d'entreprise. Services AWS D'autres services tiers peuvent s'abonner aux données stockées dans Security Lake à des fins de réponse aux incidents et d'analyse des données de sécurité.

Vous pouvez configurer Security Lake pour recevoir les résultats de Security Hub. Pour activer cette intégration, vous devez activer les deux services et ajouter Security Hub comme source dans Security Lake. Une fois ces étapes terminées, Security Hub commence à envoyer tous les résultats à Security Lake. Security Lake normalise automatiquement les résultats du Security Hub et les convertit en OCSF. Dans Security Lake, vous pouvez ajouter un ou plusieurs abonnés pour consulter les résultats du Security Hub. Pour plus d'informations, consultez la section Intégration avec AWS Security Hub dans la documentation de Security Lake.

La vidéo suivante, AWS Re:inForce 2024 - Cyber Threat Intelligence sharing on AWS, explique comment utiliser les intégrations Security Hub et Security Lake pour partager des CTI.