Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Détection dans le cadre de l'ingénierie des contrôles de sécurité
Les mécanismes de détection font partie intégrante du développement des contrôles de sécurité. Au fur et à mesure que les contrôles directifs et préventifs sont définis, des contrôles détectifs et réactifs connexes doivent être mis en place. Par exemple, une organisation établit un contrôle directif relatif à l'utilisateur root d'un AWS compte, qui ne doit être utilisé que pour des activités spécifiques et très bien définies. Ils l'associent à un contrôle préventif mis en œuvre en utilisant la politique de contrôle des services (SCP) d'une AWS organisation. Si l'activité de l'utilisateur root dépasse le niveau de référence attendu, un contrôle de détection implémenté avec une EventBridge règle et un sujet SNS alertera le centre des opérations de sécurité (SOC). Le contrôle réactif implique que le SOC sélectionne le playbook approprié, effectue une analyse et travaille jusqu'à ce que l'incident soit résolu.
La meilleure façon de définir les contrôles de sécurité est de modéliser les menaces associées aux charges de travail. AWS La criticité des contrôles de détection sera définie en examinant l'analyse d'impact sur l'entreprise (BIA) pour la charge de travail particulière. Les alertes générées par les contrôles de détection ne sont pas traitées au fur et à mesure qu'elles arrivent, mais plutôt en fonction de leur criticité initiale, à ajuster lors de l'analyse. L'ensemble de criticité initial est une aide à la priorisation ; le contexte dans lequel l'alerte s'est produite déterminera sa véritable criticité. Par exemple, une organisation utilise Amazon GuardDuty comme composant du contrôle de détection utilisé pour les EC2 instances faisant partie d'une charge de travail. Le résultat Impact:EC2/SuspiciousDomainRequest.Reputation est généré, vous informant que l' EC2 instance Amazon répertoriée dans votre charge de travail interroge un nom de domaine soupçonné d'être malveillant. Cette alerte est définie par défaut comme étant de faible gravité et, au fur et à mesure que la phase d'analyse progresse, il a été déterminé que plusieurs centaines d' EC2 instances de ce type p4d.24xlarge avaient été déployées par un acteur non autorisé, ce qui augmentait considérablement les coûts d'exploitation de l'organisation. À ce stade, l'équipe de réponse aux incidents prend la décision d'ajuster le niveau de criticité de cette alerte à un niveau élevé, ce qui accroît le sentiment d'urgence et accélère les mesures à prendre. Notez que la gravité du GuardDuty résultat ne peut pas être modifiée.
