SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques - AWS Well-Architected Framework

SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques

les équipes responsables des opérations de sécurité s'appuient sur la collecte de journaux et l'utilisation d'outils de recherche pour découvrir les événements d'intérêt potentiels, susceptibles d'indiquer une activité non autorisée ou une modification non intentionnelle. Cependant, la simple analyse des données collectées et le traitement manuel des informations ne suffisent pas pour faire face au volume d'informations provenant d'architectures complexes. L'analyse et les rapports ne facilitent pas l'affectation des ressources appropriées pour traiter un événement dans les délais impartis.

Une bonne pratique pour constituer une équipe d'opérations de sécurité mature consiste à intégrer profondément le flux d'événements et de résultats de sécurité dans un système de notification et de flux de travail, tel qu'un système de tickets, un système de gestion des bogues et problèmes ou un autre système de gestion des informations et des événements de sécurité (SIEM). Ainsi, le flux de travail n'est plus intégré aux rapports par e-mail et statiques, ce qui permet d'acheminer, de transférer et de gérer les événements ou les résultats. De nombreuses organisations intègrent également des alertes de sécurité dans leurs plateformes de discussion instantanée et collaborative et de productivité des développeurs. Pour les organisations qui se lancent dans l'automatisation, un système de tickets à faible latence axé sur les API, offre une flexibilité considérable pour planifier ce qu'il faut automatiser en premier.

Cette bonne pratique s'applique non seulement aux événements de sécurité générés par les messages du journal décrivant l'activité des utilisateurs ou les événements du réseau, mais aussi aux changements détectés dans l'infrastructure elle-même. La capacité à détecter les changements, à déterminer si un changement était approprié, puis à acheminer ces informations vers le processus de correction approprié est essentielle pour gérer et valider une architecture sécurisée, dans le contexte de changements dont la nature indésirable est suffisamment subtile pour que leur exécution ne puisse être actuellement empêchée par une combinaison de configuration AWS Identity and Access Management(IAM) et AWS Organizations.

Amazon GuardDuty et AWS Security Hub fournissent des mécanismes d'agrégation, de déduplication et d'analyse pour les enregistrements de journaux qui sont également mis à votre disposition via d'autres services AWS. GuardDuty ingère, agrège et analyse les informations provenant de sources telles que les événements de gestion et de données AWS CloudTrail, les journaux DNS VPC et les journaux de flux VPC. Security Hub peut ingérer, agréger et analyser les résultats provenant de GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager et d'un nombre important de produits de sécurité tiers disponibles dans AWS Marketplace et, s'il a été conçu en conséquence, votre propre code. GuardDuty et Security Hub ont tous les deux un modèle Administrateur/Maître qui peut agréger les résultats et les informations sur plusieurs comptes. Security Hub est souvent utilisé par les clients qui ont un système de gestion des informations et des événements de sécurité (SIEM) sur site comme préprocesseur et agrégateur de journaux et d'alertes côté AWS à partir duquel ils peuvent ensuite ingérer Amazon EventBridge via un processeur et un redirecteur basé sur AWS Lambda.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Débit

Directives d'implémentation

Ressources

Documents connexes :

Vidéos connexes :