Concepts et terminologie

Les termes et concepts suivants sont importants pour comprendre le Réponse aux incidents de sécurité AWS service et son fonctionnement.

Champ d'application : Réponse aux incidents de sécurité AWS s'aligne sur le guide de gestion des incidents de sécurité informatique 800-61 du National Institute of Standards and Technology (NIST), fournissant une approche cohérente de la gestion des événements de sécurité conformément aux meilleures pratiques du secteur.

Analyse : investigation et examen détaillés d'un événement de sécurité afin de comprendre sa portée, son impact et sa cause première.

Réponse aux incidents de sécurité AWS portail de service : portail en libre-service qui vous permet de lancer et de gérer les cas d'événements de sécurité. La communication et les rapports continus sont facilités par le système de billetterie, les notifications automatisées et l'engagement direct avec l'équipe de service.

Communication : dialogue permanent et partage d'informations entre l'équipe de réponse aux incidents de AWS sécurité et le client pendant le processus de réponse aux incidents.

Confinement, éradication et restauration : prévention de toute activité non autorisée supplémentaire (confinement), associée à la suppression des ressources non autorisées et de la vulnérabilité d'origine (éradication), et à la récupération des ressources pour reprendre le cours normal des activités.

Amélioration continue : Réponse aux incidents de sécurité AWS intègre les commentaires et les leçons apprises lors d'engagements antérieurs afin d'améliorer ses capacités de détection, ses processus d'enquête et ses mesures correctives. Réponse aux incidents de sécurité AWS reste également au up-to-date fait des dernières menaces de sécurité et des meilleures pratiques pour faire face à l'évolution des défis de sécurité.

Événement de cybersécurité : action qui utilise un système ou un réseau d'information pour avoir un effet négatif sur le système, le réseau ou les informations qu'il contient.

Incident de cybersécurité : violation ou menace imminente de violation des politiques de sécurité informatique, des politiques d'utilisation acceptable ou des pratiques de sécurité standard.

Équipe de réponse aux incidents : groupe de personnes qui fournissent un soutien lors d'événements de sécurité actifs. Pour les cas AWS pris en charge, il s'agit de l'équipe de réponse aux incidents AWS clients (CIRT).

Flux de travail de réponse aux incidents : séquence définie d'étapes et d'activités impliquées dans la end-to-end gestion d'un événement de sécurité, conformément à la norme NIST 800-61.

Outils d'investigation : Réponse aux incidents de sécurité AWS outils et rôles liés aux services utilisés pour évaluer l'état de fonctionnement de votre compte et de vos ressources.

Leçons apprises : examen et documentation d'une réponse à un événement de sécurité afin d'identifier les domaines à améliorer et d'éclairer la planification de la réponse aux incidents futurs.

Surveillance et investigation : passe Réponse aux incidents de sécurité AWS rapidement en revue les alertes de sécurité d'Amazon GuardDuty, en mettant au premier plan les alertes les plus importantes que votre équipe doit analyser. Il configure les règles de suppression en fonction des spécificités de votre environnement afin d'éviter les alertes inutiles.

Préparation : activités entreprises pour préparer une organisation à réagir efficacement aux événements de sécurité et à les gérer, telles que l'élaboration de plans de réponse aux incidents et de procédures de test.

Rapports et communication : les processus utilisés pour vous tenir informés tout au long du processus de réponse aux incidents, notamment les notifications automatisées, les passerelles d'appels et la livraison d'artefacts d'enquête. Réponse aux incidents de sécurité AWS fournit un tableau de bord unique et centralisé AWS Management Console pour gérer tous vos Réponse aux incidents de sécurité AWS efforts.

Renseignements générés par les intervenants : indicateurs de compromission ; tactiques, techniques et procédures ; et modèles associés observés lors des enquêtes du AWS CIRT.

Expertise en matière d'événements de sécurité : connaissances et compétences spécialisées requises pour répondre et gérer efficacement les événements de sécurité, en particulier dans le contexte du AWS cloud.

Modèle de responsabilité partagée : division des responsabilités en matière de sécurité entre AWS et le client, où AWS est responsable de la sécurité du cloud et le client est responsable de la sécurité dans le cloud.

Renseignements sur les menaces : flux de données internes et externes contenant des informations détaillées sur les activités non autorisées pour aider à identifier les menaces de sécurité en constante évolution et à y répondre.

Système de billetterie : plateforme de gestion des dossiers dédiée qui vous permet d'intégrer et de gérer les cas d'événements de sécurité, d'ajouter des pièces jointes et de suivre le cycle de vie de réponse aux incidents.

Triage : évaluation initiale et hiérarchisation d'un événement de sécurité afin de déterminer la réponse appropriée et les prochaines étapes.

Flux de travail : séquence définie d'étapes et d'activités impliquées dans la end-to-end gestion d'un événement de sécurité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Récapitulatif des fonctions

Démarrage