SEC04-BP03 Corréler et enrichir les alertes de sécurité
Une activité inattendue peut générer plusieurs alertes de sécurité provenant de différentes sources, ce qui nécessite une corrélation et un enrichissement supplémentaires pour comprendre le contexte complet. Mettez en œuvre une corrélation et un enrichissement automatisés des alertes de sécurité pour permettre une identification plus précise des incidents et une réponse plus ciblée.
Résultat souhaité : lorsqu’une activité génère différentes alertes au sein de vos charges de travail et de vos environnements, des mécanismes automatisés relient et enrichissent les données avec des informations supplémentaires. Ce prétraitement permet de mieux comprendre l’événement, ce qui aide vos enquêteurs à déterminer sa criticité et s’il s’agit d’un incident qui requiert une réponse officielle. Ce processus réduit la charge de travail de vos équipes de surveillance et d’enquête.
Anti-modèles courants :
-
Différents groupes de personnes étudient les résultats et les alertes générés par différents systèmes, sauf si les exigences relatives à la séparation des tâches en disposent autrement.
-
Votre organisation achemine tous les résultats de sécurité et toutes les données d’alerte vers des emplacements standard, mais demande aux enquêteurs d’effectuer une corrélation et un enrichissement manuels.
-
Vous vous fiez uniquement à l’intelligence des systèmes de détection des menaces pour rendre compte des résultats et établir la criticité.
Avantages de la mise en place de cette bonne pratique : la corrélation et l’enrichissement automatisés des alertes contribuent à réduire la charge cognitive globale et la préparation manuelle des données requises de la part de vos enquêteurs. Cette pratique permet de réduire le temps nécessaire pour déterminer si l’événement représente un incident et lancer une réponse officielle. Un contexte supplémentaire vous permet également d’évaluer avec précision la gravité réelle d’un événement, car celle-ci peut être supérieure ou inférieure à ce que suggère une alerte.
Niveau d’exposition au risque si cette bonne pratique n’est pas établie : faible
Directives d’implémentation
Les alertes de sécurité peuvent provenir de nombreuses sources différentes dans AWS, y compris :
-
Des services tels qu’Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer et Network Access Analyzer -
Des alertes provenant de l’analyse automatique des journaux des services, de l’infrastructure et des applications AWS, par exemple à partir du service Security Analytics pour Amazon OpenSearch Service
-
Des alarmes en réponse à des modifications de votre activité de facturation provenant de sources telles qu’Amazon CloudWatch
, Amazon EventBridge ou AWS Budgets -
Des sources tierces telles que des flux d’informations sur les menaces et des solutions partenaires de sécurité
issues du AWS Partner Network -
Une prise de contact par l’équipe AWS Trust & Safety
ou par d’autres sources, telles que des clients ou des employés internes.
Dans leur forme la plus fondamentale, les alertes contiennent des informations sur qui (le principal ou l’identité) fait quoi (l’action entreprise) pour quoi (les ressources concernées). Pour chacune de ces sources, déterminez s’il existe des moyens de créer des mappages entre les identifiants de ces identités, actions et ressources afin d’effectuer une corrélation. À cet effet, vous pouvez notamment intégrer des sources d’alerte à un outil de gestion des informations et des événements de sécurité (SIEM) afin d’effectuer une corrélation automatique, créer vos propres pipelines et traitements de données, ou mettre en place une combinaison de ces deux solutions.
À titre d’exemple, le service Amazon Detective
Alors que la criticité initiale d’une alerte facilite l’établissement des priorités, le contexte dans lequel l’alerte s’est produite détermine sa véritable criticité. Par exemple, Amazon GuardDuty peut signaler qu’une instance Amazon EC2 de votre charge de travail interroge un nom de domaine inattendu. De son côté, GuardDuty peut attribuer une faible criticité à cette alerte. Cependant, une corrélation automatique avec d’autres activités au moment de l’alerte peut révéler que plusieurs centaines d’instances EC2 ont été déployées sous la même identité, ce qui augmente les coûts d’exploitation globaux. Dans ce cas, GuardDuty peut publier ce contexte d’événement corrélé sous la forme d’une nouvelle alerte de sécurité et attribuer un niveau de criticité élevé, ce qui accélérerait la mise en place d’une réponse.
Étapes d’implémentation
-
Identifiez les sources d’informations relatives aux alertes de sécurité. Comprenez comment les alertes de ces systèmes représentent l’identité, l’action et les ressources afin de déterminer où une corrélation est possible.
-
Mettez en place un mécanisme permettant de capturer les alertes provenant de différentes sources. Envisagez l’utilisation de services tels qu’Security Hub, EventBridge et CloudWatch à cette fin.
-
Identifiez les sources pour la corrélation et l’enrichissement des données. Il peut notamment s’agir des sources suivantes : CloudTrail, les journaux de flux VPC, Amazon Security Lake, ainsi que les journaux d’infrastructure et d’application.
-
Intégrez les alertes à vos sources de corrélation et d’enrichissement des données pour créer des contextes d’événements de sécurité plus détaillés et établir leur criticité.
-
Amazon Detective, les outils SIEM ou d’autres solutions tierces peuvent effectuer automatiquement un certain niveau d’ingestion, de corrélation et d’enrichissement.
-
Vous pouvez également utiliser des services AWS pour créer le vôtre. Par exemple, vous pouvez invoquer une fonction AWS Lambda pour exécuter une requête Amazon Athena par rapport à AWS CloudTrail ou Amazon Security Lake, et publier les résultats dans EventBridge.
-
Ressources
Bonnes pratiques associées :
Documents connexes :
Exemples connexes :
Outils associés :
