Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Recommandations de contrôle de sécurité pour la journalisation et la surveillance
La journalisation et la surveillance sont des aspects importants de la détection des menaces. La détection des menaces est l'une des fonctionnalités du AWS Cloud Adoption Framework (AWS CAF)
Contrôles de cette section :
Configurez au moins un sentier multirégional dans CloudTrail
Configuration de la journalisation au niveau du service et de l'application
Empêchez l'accès non autorisé aux compartiments S3 contenant des fichiers CloudTrail journaux
Configuration des alertes pour les modifications apportées aux groupes de sécurité ou au réseau ACLs
Configurer les alertes pour les CloudWatch alarmes qui passent à l'état ALARM
Configurez au moins un sentier multirégional dans CloudTrail
AWS CloudTrailvous aide à auditer la gouvernance, la conformité et le risque opérationnel de votre Compte AWS Les actions entreprises par un utilisateur, un rôle ou un Service AWS sont enregistrées sous forme d'événements dans CloudTrail. Les événements incluent les mesures prises dans les AWS Management Console, AWS Command Line Interface (AWS CLI) AWS SDKs et APIs. Cet historique des événements vous permet d'analyser votre niveau de sécurité, de suivre l'évolution des ressources et d'auditer la conformité.
Pour un enregistrement continu des événements de votre site Compte AWS, vous devez créer un parcours. Chaque parcours doit être configuré pour enregistrer tous les événements Régions AWS. En enregistrant tous les événements Régions AWS, vous vous assurez que tous les événements qui se produisent dans votre compte Compte AWS sont enregistrés, quel que soit l'endroit où Région AWS ils se sont produits. Un suivi multirégional garantit que les événements de service mondiaux sont enregistrés.
Pour plus d’informations, consultez les ressources suivantes :
-
CloudTrail les meilleures pratiques en matière de sécurité dans la CloudTrail documentation
-
Conversion d'un parcours qui s'applique à une région pour qu'il s'applique à toutes les régions de la CloudTrail documentation
-
Activation et désactivation de la journalisation globale des événements de service dans la documentation CloudTrail
Configuration de la journalisation au niveau du service et de l'application
Le AWS Well-Architected Framework vous recommande de conserver les journaux des événements de sécurité des services et des applications. Il s'agit d'un principe fondamental de sécurité pour les audits, les enquêtes et les cas d'utilisation opérationnelle. La conservation des journaux des services et des applications est une exigence de sécurité courante qui repose sur les normes, politiques et procédures de gouvernance, de risque et de conformité (GRC).
Les équipes chargées des opérations de sécurité s'appuient sur les journaux et les outils de recherche pour découvrir des événements potentiellement intéressants susceptibles d'indiquer une activité non autorisée ou une modification involontaire. Vous pouvez activer la journalisation pour différents services, en fonction du cas d'utilisation. Par exemple, vous pouvez enregistrer l'accès au compartiment Amazon S3, le trafic ACL AWS WAF Web, le trafic Amazon API Gateway au niveau de la couche réseau ou les CloudFront distributions Amazon.
Pour plus d’informations, consultez les ressources suivantes :
-
Diffusez Amazon CloudWatch Logs sur un compte centralisé à des fins d'audit et d'analyse
sur le blog AWS d'architecture -
Configurer la journalisation des services et des applications dans le AWS Well-Architected Framework
Établissez un emplacement centralisé pour analyser les journaux et répondre aux événements de sécurité
L'analyse manuelle des journaux et le traitement des informations ne suffisent pas pour faire face au volume d'informations associé aux architectures complexes. L'analyse et les rapports à eux seuls ne facilitent pas l'affectation des événements à la bonne ressource en temps opportun. Le AWS Well-Architected Framework vous recommande d' AWS intégrer les événements et les résultats de sécurité dans un système de notification et de flux de travail, tel qu'un système de gestion des tickets, des bogues ou des informations et événements de sécurité (SIEM). Ces systèmes vous aident à attribuer, acheminer et gérer les événements de sécurité.
Pour plus d’informations, consultez les ressources suivantes :
-
Analysez les journaux, les résultats et les métriques de manière centralisée dans le AWS Well-Architected Framework
-
Analysez la sécurité, la conformité et l'activité opérationnelle à l'aide d' CloudTrail Amazon Athena
dans le blog sur la AWS sécurité -
AWS Partenaires fournissant des services de détection et de réponse aux menaces
dans le cadre du portefeuille de AWS partenaires
Empêchez l'accès non autorisé aux compartiments S3 contenant des fichiers CloudTrail journaux
Par défaut, les fichiers CloudTrail journaux sont stockés dans des compartiments Amazon S3. Une bonne pratique de sécurité consiste à empêcher tout accès non autorisé à tout compartiment Amazon S3 contenant des fichiers CloudTrail journaux. Cela vous permet de maintenir l'intégrité, l'exhaustivité et la disponibilité de ces journaux, ce qui est essentiel à des fins de criminalistique et d'audit. Si vous souhaitez enregistrer des événements de données pour des compartiments S3 contenant des fichiers CloudTrail journaux, vous pouvez créer un journal CloudTrail à cette fin.
Pour plus d’informations, consultez les ressources suivantes :
-
Configuration des paramètres de blocage de l'accès public pour vos compartiments S3 dans la documentation Amazon S3
-
CloudTrail meilleures pratiques de sécurité préventive dans la documentation CloudTrail
-
Création d'un parcours dans la CloudTrail documentation
Configuration des alertes pour les modifications apportées aux groupes de sécurité ou au réseau ACLs
Un groupe de sécurité dans Amazon Virtual Private Cloud (Amazon VPC) contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Une liste de contrôle d'accès réseau (ACL) autorise ou refuse un trafic entrant ou sortant spécifique au niveau du sous-réseau du VPC. Ces ressources sont essentielles à la gestion des accès dans votre AWS environnement.
Créez et configurez une CloudWatch alarme Amazon qui vous avertit en cas de modification de la configuration d'un groupe de sécurité ou d'une ACL réseau. Configurez cette alarme pour qu'elle vous alerte chaque fois qu'un appel d' AWS API est effectué pour mettre à jour les groupes de sécurité. Vous pouvez également utiliser des services, tels qu'Amazon EventBridge AWS Config, pour répondre automatiquement à ce type d'événements de sécurité.
Pour plus d’informations, consultez les ressources suivantes :
-
Utilisation des CloudWatch alarmes Amazon dans la CloudWatch documentation
-
Implémentez des événements de sécurité exploitables dans le AWS Well-Architected Framework
-
Automatisez la réponse aux événements dans le AWS Well-Architected Framework
Configurer les alertes pour les CloudWatch alarmes qui passent à l'état ALARM
Dans CloudWatch, vous pouvez spécifier les actions qu'une alarme effectue lorsqu'elle change d'état entre les INSUFFICIENT_DATA états OKALARM, et. Le type d'action d'alarme le plus courant consiste à avertir une ou plusieurs personnes en envoyant un message à une rubrique Amazon Simple Notification Service (Amazon SNS). Vous pouvez également configurer des alarmes à créer OpsItemsou des incidents AWS Systems Manager.
Nous vous recommandons d'activer les actions d'alarme pour être automatiquement alertée si une métrique surveillée dépasse le seuil défini. La surveillance des alarmes vous aide à identifier les activités inhabituelles et à répondre rapidement aux problèmes de sécurité et de fonctionnement.
Pour plus d’informations, consultez les ressources suivantes :
-
Implémentez des événements de sécurité exploitables dans le AWS Well-Architected Framework
-
Actions d'alarme dans la CloudWatch documentation
