SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés

Les équipes de sécurité s’appuient sur les journaux et les résultats pour analyser les événements susceptibles d’indiquer une activité non autorisée ou des modifications involontaires. Afin de simplifier cette analyse, capturez les journaux de sécurité et les résultats dans des emplacements standardisés.  Vous pourrez ainsi rendre disponibles les points de données intéressants pour la corrélation et simplifier les intégrations d’outils.

Résultat souhaité : vous disposez d’une approche standardisée pour collecter, analyser et visualiser les données de journal, les résultats et les métriques. Les équipes de sécurité peuvent corréler, analyser et visualiser efficacement les données de sécurité provenant de systèmes disparates afin de découvrir les événements de sécurité potentiels et d’identifier les anomalies. Des systèmes de gestion des informations et des événements de sécurité (SIEM) ou d’autres mécanismes sont intégrés pour interroger et analyser les données des journaux afin de répondre rapidement, de suivre et de faire remonter les événements de sécurité.

Anti-modèles courants :

• Les équipes possèdent et gèrent indépendamment la journalisation et la collecte de métriques qui ne sont pas conformes à la stratégie de journalisation de l’organisation.

• Les équipes ne disposent pas de contrôles d’accès adéquats pour restreindre la visibilité et la modification des données collectées.

• Les équipes ne gèrent pas leurs journaux de sécurité, leurs résultats et leurs métriques dans le cadre de leur politique de classification des données.

• Les équipes négligent les exigences de souveraineté et de localisation des données lors de la configuration des collections de données.

Avantages de la mise en place de cette bonne pratique : une solution de journalisation standardisée permettant de collecter et d’interroger les données et les événements des journaux améliore les perspectives dérivées des informations qu’ils contiennent. La configuration d’un cycle de vie automatisé pour les données de journal collectées peut permettre de réduire les coûts liés au stockage des journaux. Vous pouvez créer un contrôle d’accès précis pour les informations de journal collectées en fonction de la sensibilité des données et des modèles d’accès nécessaires à vos équipes. Vous pouvez intégrer des outils pour corréler, visualiser et déduire des informations à partir des données.

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : moyen

Directives d’implémentation

La croissance de l’utilisation d’AWS au sein d’une organisation entraîne une augmentation du nombre de charges de travail et d’environnements distribués. Dans la mesure où chaque charge de travail et environnement génère des données sur l’activité qui s’y déroule, la capture et le stockage de ces données localement constituent un défi pour les opérations de sécurité. Les équipes de sécurité utilisent des outils tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour collecter des données à partir de sources distribuées et effectuer des flux de travail de corrélation, d’analyse et de réponse. Ces opérations requièrent la gestion d’un ensemble complexe d’autorisations pour accéder aux différentes sources de données et impliquent des frais supplémentaires liés à l’exploitation des processus d’extraction, de transformation et de chargement (ETL).

Pour surmonter ces difficultés, envisagez de regrouper toutes les sources pertinentes de données de journaux de sécurité dans un compte d’archivage des journaux, comme décrit dans Organizing Your AWS Environment Using Multiple Accounts. Cela inclut toutes les données relatives à la sécurité provenant de votre charge de travail et les journaux générés par les services AWS, comme AWS CloudTrail, AWS WAF, Elastic Load Balancing et Amazon Route 53. La saisie de ces données dans des emplacements standardisés dans un Compte AWS avec des autorisations intercomptes appropriées présente plusieurs avantages. Cette pratique permet d’empêcher l’altération des journaux dans les charges de travail et les environnements compromis, fournit un point d’intégration unique pour des outils supplémentaires et propose un modèle plus simplifié pour configurer la conservation et le cycle de vie des données.  Évaluez les impacts de la souveraineté des données, des périmètres de conformité et d’autres réglementations afin de déterminer si plusieurs emplacements de stockage des données de sécurité et périodes de conservation sont nécessaires.

Afin de faciliter la saisie et la standardisation des journaux et des résultats, évaluez Amazon Security Lake dans votre compte d’archivage des journaux. Vous pouvez configurer Security Lake de façon à ce qu’il ingère automatiquement des données provenant de sources courantes telles que CloudTrail, Route 53, Amazon EKS et les journaux de flux VPC. Vous pouvez également configurer AWS Security Hub en tant que source de données dans Security Lake, ce qui vous permet de corréler les résultats d’autres services AWS, comme Amazon GuardDuty et Amazon Inspector, avec les données de votre journal.  Vous pouvez également utiliser des intégrations de sources de données tierces ou configurer des sources de données personnalisées. Toutes les intégrations standardisent vos données au format Open Cybersecurity Schema Framework (OCSF) et sont stockées dans des compartiments Amazon S3 sous forme de fichiers Parquet, ce qui élimine la nécessité de mettre en place un traitement ETL.

Le stockage des données de sécurité dans des emplacements standardisés fournit des fonctionnalités d’analyse avancées. AWS vous recommande de déployer des outils d’analyse de sécurité qui fonctionnent dans un environnement AWS sur un compte d’outils de sécurité distinct de votre compte d’archivage des journaux.  Cette approche vous permet de mettre en œuvre des contrôles approfondis afin de protéger l’intégrité et la disponibilité des journaux et du processus de gestion des journaux, indépendamment des outils qui y accèdent.  Envisagez d’utiliser des services tels qu’Amazon Athena pour exécuter des requêtes à la demande qui mettent en corrélation plusieurs sources de données. Vous pouvez également intégrer des outils de visualisation, tels qu'Amazon QuickSight. Les solutions optimisées par l’IA sont de plus en plus disponibles et peuvent exécuter des fonctions telles que la conversion des résultats en résumés lisibles par l’homme et l’interaction en langage naturel.  L’intégration de ces solutions est généralement plus simple si vous disposez d’un emplacement de stockage de données standardisé pour les requêtes.

Étapes d’implémentation

1. Créez les comptes d’archivage des journaux et d’outils de sécurité

   1. À l’aide d’AWS Organizations, créez les comptes d’archivage des journaux et d’outils de sécurité dans une unité organisationnelle de sécurité. Si vous utilisez AWS Control Tower pour gérer votre organisation, les comptes d’archivage des journaux et d’outils de sécurité sont créés automatiquement pour vous. Configurez les rôles et les autorisations pour accéder à ces comptes et les administrer selon les besoins.

2. Configurez vos emplacements de données de sécurité standardisés

   1. Déterminez votre stratégie pour créer des emplacements de données de sécurité standardisés.  Vous pouvez y parvenir grâce à des options telles que des approches d’architecture de lac de données courantes, des produits de données tiers ou Amazon Security Lake. AWS vous recommande de capturer les données de sécurité à partir des Régions AWS qui sont activées pour vos comptes, même lorsque vous ne les utilisez pas activement.

3. Configurez la publication des sources de données en fonction de vos emplacements standardisés

   1. Identifiez les sources de vos données de sécurité et configurez-les afin de les publier dans vos emplacements standardisés. Évaluez les options permettant d’exporter automatiquement les données dans le format souhaité, par opposition à celles qui requièrent le développement de processus ETL. Avec Amazon Security Lake, vous pouvez collecter des données à partir de sources AWS prises en charge et de systèmes tiers intégrés.

4. Configurez les outils pour accéder à vos emplacements standardisés

   1. Configurez des outils tels qu’Amazon Athena, Amazon QuickSight ou des solutions tierces pour disposer de l’accès requis à vos emplacements standardisés.  Configurez ces outils de façon à ce qu’ils fonctionnent à partir du compte d’outils de sécurité avec un accès en lecture intercompte au compte d’archivage des journaux, le cas échéant. Créez des abonnés dans Amazon Security Lake pour permettre à ces outils d’accéder à vos données.

Ressources

Bonnes pratiques associées :

• SEC01-BP01 Séparer les charges de travail à l’aide de comptes

• SEC07-BP04 Définir la gestion évolutive du cycle de vie des données

• SEC08-BP04 Appliquer le contrôle d’accès

• OPS08-BP02 Analyse des journaux de charge de travail

Documents connexes :

• AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts

• AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)

• AWS Prescriptive Guidance: Logging and monitoring guide for application owners

Exemples connexes :

• Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Amazon QuickSight

• How to visualize Amazon Security Lake findings with Amazon QuickSight

• Generate AI powered insights for Amazon Security Lake using Amazon SageMaker Studio and Amazon Bedrock

• Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker

• Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service

• How to use AWS Security Hub and Amazon OpenSearch Service for SIEM

Outils associés :

• Amazon Security Lake

• Amazon Security Lake Partner Integrations

• Open Cybersecurity Schema Framework (OCSF)

• Amazon Athena

• Amazon QuickSight

• Amazon Bedrock