Automatisation de la réponse aux incidents
Pour automatiser les fonctions d'ingénierie et d'exploitation de la sécurité, vous pouvez utiliser un ensemble complet d'API et d'outils AWS. Vous pouvez entièrement automatiser la gestion des identités, la sécurité du réseau, la protection des données et les fonctionnalités de surveillance. Lorsque vous automatisez la sécurité, vous autorisez votre système à surveiller, examiner et déclencher une réponse, plutôt que d'avoir à demander à des personnes de surveiller votre posture de sécurité et de réagir manuellement aux événements.
Si vos équipes de réponse aux incidents continuent de répondre aux alertes de la même manière, elles risquent de se lasser des alertes. Au fil du temps, l'équipe peut faire moins attention aux alertes et soit faire des erreurs en gérant des situations ordinaires, soit manquer des alertes inhabituelles. L'automatisation permet d'éliminer la lassitude liée aux alertes en utilisant des fonctions qui traitent les alertes répétitives et ordinaires, laissant aux personnes le soin de gérer les incidents sensibles et uniques.
Vous pouvez améliorer les processus manuels en automatisant par programmation les étapes du processus. Une fois que vous avez défini le modèle de correction d'un événement, vous pouvez le décomposer en logique exploitable et écrire le code pour exécuter la logique. Les intervenants peuvent ensuite exécuter ce code pour corriger le problème. Au fil du temps, vous pouvez automatiser un nombre croissant d'étapes et, enfin, gérer automatiquement des catégories entières d'incidents courants.
Cependant, votre objectif devrait être de réduire davantage l'intervalle de temps entre les mécanismes de détection et les mécanismes de réaction. D'après l'historique, cet intervalle de temps peut prendre des heures, des jours, voire des mois. Une enquête sur la réponse aux incidents menée par SANS en 2016
