SEC10-BP03 Préparer les fonctionnalités d'analyse poussée

Pour anticiper un incident de sécurité, envisagez de développer des fonctionnalités d'analyse poussée pour faciliter les enquêtes sur les événements de sécurité.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyen

Les concepts issus de l'analyse poussée traditionnelle sur site s'appliquent à AWS. Pour obtenir des informations clés sur la manière de commencer à renforcer les capacités d'analyse poussée dans le AWS Cloud, consultez Stratégies d'environnement d'enquête pour les analyses poussées dans le AWS Cloud (langue française non garantie). »

Une fois que vous avez configuré la structure de votre environnement et de votre compte Compte AWS en vue de l'analyse poussée, définissez les technologies requises pour appliquer efficacement les méthodologies d'analyse poussée en quatre phases :

• Collecte : Collectez des journaux AWS pertinents, tels que AWS CloudTrail, AWS Config, les journaux de flux VPC et les journaux au niveau de l'hôte. Collectez des instantanés, des sauvegardes et des fichiers de vidage de mémoire des ressources AWS concernées, le cas échéant.

• Examen : Examinez les données collectées en extrayant et en évaluant les informations pertinentes.

• Analyse : Analysez les données collectées afin de comprendre l'incident et d'en tirer des conclusions.

• Reporting : Présentez les informations issues de la phase d'analyse.

Étapes d'implémentation

Préparation de votre environnement d'analyse poussée

AWS Organizations vous permet de gérer et de gouverner de manière centralisée un environnement AWS à mesure que vous vous développez et que vous mettez à l'échelle vos ressources AWS. Une organisation AWS consolide vos Comptes AWS pour que vous puissiez les administrer en tant qu'unité unique. Vous pouvez utiliser des unités d'organisation (UO) pour regrouper des comptes afin de les administrer en tant qu'unité unique.

Pour réagir face aux incidents, il est utile de disposer d'une structure de Compte AWS prenant en charge les fonctions de réponse aux incidents, qui comprend une unité d'organisation de sécurité et une unité d'organisation d'analyse poussée.. » Au sein de l'unité d'organisation de sécurité, vous devez disposer de comptes pour :

• Archivage des journaux : Regroupez les journaux dans un Compte AWS d'archivage de journaux avec des autorisations limitées.

• Outils de sécurité : Centralisez les services de sécurité dans un Compte AWS d'outil de sécurité. Ce compte joue le rôle d'administrateur délégué pour les services de sécurité.

Au sein de l'unité d'organisation d'analyse poussée, vous avez la possibilité de mettre en place un ou plusieurs comptes d'analyse poussée pour chaque région dans laquelle vous opérez, selon ce qui convient le mieux à votre entreprise et à votre modèle opérationnel. Si vous créez un compte d'analyse poussée par région, vous pouvez bloquer la création des ressources AWS en dehors de cette région et réduire le risque que les ressources soient copiées vers une région non prévue. Par exemple, si vous opérez uniquement dans US East (N. Virginia) Region (us-east-1) et US West (Oregon) (us-west-2), vous auriez alors deux comptes dans l'unité d'organisation d'analyse poussée : une pour us-east-1 et une pour us-west-2. »

Vous pouvez créer un Compte AWS d'analyse poussée pour plusieurs régions. Soyez prudent lorsque vous copiez des ressources AWS sur ce compte afin de vérifier que vous respectez vos exigences en matière de souveraineté des données. Étant donné que la mise en place de nouveaux comptes prend du temps, il est impératif de créer et d'instrumenter les comptes d'analyse poussée bien avant un incident afin que les intervenants puissent être prêts à les utiliser efficacement pour intervenir.

Le diagramme suivant présente un exemple de structure de compte, y compris une unité d'organisation d'analyse poussée avec des comptes d'analyse poussée par région :

Structure de compte par région pour la réponse aux incidents

Capture de sauvegardes et d'instantanés

La configuration de sauvegardes des systèmes et des bases de données clés s'avère essentielle pour récupérer d'un incident de sécurité et à des fins d'analyse poussée. Une fois les sauvegardes en place, vous pouvez restaurer vos systèmes à leur état stable antérieur. Sur AWS, vous pouvez prendre des instantanés de différentes ressources. Les instantanés fournissent des sauvegardes ponctuelles de ces ressources. De nombreux services AWS peuvent vous aider en matière de sauvegarde et de restauration. Pour plus de détails sur ces services et approches en matière de sauvegarde et de restauration, consultez Conseils normatifs sur la sauvegarde et la restauration et Utilisez des sauvegardes pour restaurer après des incidents de sécurité. »

Il est essentiel que vos sauvegardes soient bien protégées, en particulier dans le cas de rançongiciels. Pour obtenir des conseils sur la sécurisation de vos sauvegardes, consultez Les 10 meilleures pratiques de sécurité pour sécuriser les sauvegardes dans AWS. » Outre la sécurisation de vos sauvegardes, vous devez régulièrement tester vos processus de sauvegarde et de restauration pour vérifier que la technologie et les processus que vous avez mis en place fonctionnent comme prévu.

Automatisation de l'analyse poussée

Lors d'un événement de sécurité, votre équipe de réponse aux incidents doit être en mesure de collecter et d'analyser rapidement les preuves tout en préservant l'exactitude de la période pendant laquelle s'est produit l'événement (par exemple, en capturant les journaux relatifs à un événement ou à une ressource spécifique ou en collectant les fichiers de vidage de mémoire d'une instance Amazon EC2). Il est à la fois difficile et fastidieux pour l'équipe de réponse aux incidents de collecter manuellement les preuves pertinentes, en particulier sur un grand nombre d'instances et de comptes. De plus, la collecte manuelle peut faire l'objet d'erreurs humaines. Pour ces raisons, vous devez développer et mettre en œuvre autant que possible l'automatisation de l'analyse poussée.

AWS propose un certain nombre de ressources d'automatisation pour l'analyse poussée, qui sont répertoriées dans la section Ressources suivante. Ces ressources sont des exemples de modèles d'analyse poussée que nous avons développés et que les clients ont mis en œuvre. Bien qu'elles puissent constituer une architecture de référence utile au départ, envisagez de les modifier ou de créer de nouveaux modèles d'automatisation de l'analyse poussée en fonction de votre environnement, de vos exigences, de vos outils et de vos processus d'analyse poussée.

Ressources

Documents connexes :

• Guide AWS de réponse aux incidents de sécurité - Développement des fonctionnalités d'analyse poussée (langue française non garantie)

• Guide AWS de réponse aux incidents de sécurité - Ressources d'analyse poussée (langue française non garantie)

• Stratégies d'environnement d'enquête pour les analyses poussées dans le AWS Cloud (langue française non garantie)

• Comment automatiser la collecte de disques d'analyse dans AWS

• Recommandations AWS - Automatiser la réponse aux incidents et l'analyse poussée (langue française non garantie)

Vidéos connexes :

• Automatisation de la réponse aux incidents et investigations

Exemples connexes :

• Cadre d'automatisation de la réponse aux incidents et de l'analyse poussée (langue française non garantie)

• Orchestrateur d'analyse poussée automatisée pour Amazon EC2 (langue française non garantie)