Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
SEC10-BP04 Automatiser la fonctionnalité de confinement - AWS Well-Architected Framework
Directives d'implémentationRessources

SEC10-BP04 Automatiser la fonctionnalité de confinement

PDFRSS

Automatisez le confinement d'un incident et la reprise pour réduire les temps de réponse et l'impact sur votre organisation.

Une fois que vous avez créé et mis en pratique les processus et les outils de vos playbooks, vous pouvez déconstruire la logique en une solution basée sur le code, qui peut être utilisée comme outil par de nombreux intervenants pour automatiser la réponse et supprimer les écarts ou les conjectures de vos intervenants. Cela peut accélérer le cycle de vie d'une réponse. L'objectif suivant est de permettre à ce code d'être entièrement automatisé en étant appelé par les alertes ou les événements eux-mêmes, plutôt que par un intervenant humain, pour créer une réponse déclenchée par l'événement. Ces processus doivent également ajouter automatiquement des données pertinentes à vos systèmes de sécurité. Par exemple, un incident impliquant du trafic provenant d'une adresse IP indésirable peut renseigner automatiquement une liste de blocage AWS WAF ou un groupe de règles de pare-feu réseau pour empêcher toute activité similaire ultérieure.

AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.

Figure 3 : AWS WAF automatise le blocage des adresses IP malveillantes connues

Avec un système de réponse déclenché par l'événement, un mécanisme de détection déclenche un mécanisme réactif pour répondre automatiquement à l'événement. Vous pouvez utiliser des fonctionnalités de réaction déclenchées par des événements pour réduire le délai entre les mécanismes de détection et les mécanismes de réaction. Pour créer cette architecture événementielle, vous pouvez utiliser AWS Lambda, un service de calcul sans serveur qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul sous-jacentes. Supposons que disposez d'un compte AWS avec le service AWS CloudTrail activé. Si AWS CloudTrail est désactivé (via l'appel d'API cloudtrail:StopLogging ), vous pouvez utiliser Amazon EventBridge pour surveiller l'événement cloudtrail:StopLogging et appeler une fonction AWS Lambda pour appeler cloudtrail:StartLogging afin de redémarrer la journalisation.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyenne entreprise

Directives d'implémentation

Automatisez la fonctionnalité de confinement.

Ressources

Documents connexes :

Vidéos connexes :

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.