SEC04-BP03 Automatiser la réponse aux événements

L'utilisation de l'automatisation pour enquêter et corriger les événements réduit les efforts humains et les erreurs. Elle vous permet aussi de mettre à l'échelle les capacités d'investigation. Les vérifications régulières vous aideront à ajuster les outils d'automatisation et à itérer en continu.

Dans AWS, l'analyse des événements d'intérêt et des informations utiles sur des changements potentiellement inattendus dans un flux de travail automatisé peut être réalisée avec Amazon EventBridge. Ce service fournit un moteur de règles évolutif conçu pour négocier les formats d'événements AWS natifs (tels que les événements AWS CloudTrail) ainsi que les événements personnalisés que vous pouvez générer vous-même. Amazon GuardDuty vous permet également d'acheminer les événements vers un système de flux de travail pour ceux qui mettent en place des systèmes de réponse aux incidents (AWS Step Functions), vers un compte de sécurité central ou encore vers un compartiment pour une analyse plus approfondie.

La détection des changements et l'acheminement de ces informations vers le flux de travail approprié peuvent également être réalisés via AWS Config Rules et les packs de conformité. AWS Config détecte les modifications apportées aux services concernés (bien que sa latence soit supérieure à celle d'EventBridge) et génère des événements qui peuvent être analysés avec AWS Config Rules pour la restauration, l'application de la politique de conformité et le transfert d'informations aux systèmes, tels que les plateformes de gestion des modifications et les systèmes de tickets opérationnels. En plus d'écrire vos propres fonctions Lambda pour répondre aux événements AWS Config, vous pouvez tirer parti du kit de développement AWS Config Ruleset d'une bibliothèque de règles open source AWS Config Rules. Les packs de conformité sont une collection d'actions correctives et de règles AWS Config Rules que vous déployez en tant qu'entité unique créée en tant que modèle YAML. A exemple de modèle de pack de conformité est disponible pour le pilier Sécurité Well-Architected.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyenne entreprise

Directives d'implémentation

Implémenter des alertes automatisées avec GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
Automatiser les processus d'investigation : développez des processus automatisés qui enquêtent sur un événement et rapportent les informations à un administrateur pour gagner du temps.
- Atelier : Amazon GuardDuty dans la pratique

Ressources

Documents connexes :

Vidéos connexes :

Exemples connexes :

Atelier : Déploiement automatisé des contrôles de détection

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques

SEC04-BP04 Implémenter des événements de sécurité exploitables