Conclusion

Chaque phase des opérations comporte des objectifs, des techniques, des méthodologies et des stratégies uniques. Le tableau 4 résume ces phases ainsi que certaines des techniques et méthodologies abordées dans cette section.

Tableau 4 — Phases des opérations : objectifs, techniques et méthodologies

Phase	Objectif	Techniques et méthodologies
Détection	Identifiez un événement de sécurité potentiel.	Contrôles de sécurité pour la détection Détection basée sur le comportement et les règles Détection basée sur les personnes
Analyse	Déterminez si l'événement de sécurité est un incident et évaluez l'ampleur de l'incident.	Validation et étendue de l'alerte Journaux de requêtes Renseignements sur les menaces Automatisation
Confinement	Minimisez et limitez l'impact de l'événement de sécurité.	Confinement de la source Technique et confinement des accès Confinement des destinations
Éradication	Éliminez les ressources ou artefacts non autorisés liés à l’événement de sécurité.	Rotation ou suppression d'informations d'identification compromises ou non autorisées Suppression de ressources non autorisée Suppression des logiciels malveillants Analyses de sécurité
Récupération	Restaurez les systèmes dans un état dont le bon état a été vérifié et surveillez ces systèmes pour vous assurer que la menace ne se reproduise pas.	Restauration du système à partir de sauvegardes Systèmes reconstruits à partir de zéro Fichiers compromis remplacés par des versions propres

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Récupération

Activité postérieure à l’incident