Réponse basée sur les événements

Avec un système de réponse basée sur les événements, un mécanisme de détection déclenche un mécanisme de réaction pour répondre automatiquement à l'événement. Vous pouvez utiliser des fonctionnalités de réaction basées sur les événements pour réduire le délai entre les mécanismes de détection et les mécanismes de réaction. Pour créer cette architecture basée sur les événements, vous pouvez utiliser AWS Lambda, un service de calcul sans serveur qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul sous-jacentes.

Supposons que disposez d'un compte AWS avec le service AWS CloudTrail activé. Si AWS CloudTrail est désactivé (via l'API cloudtrail:StopLogging), la procédure de réponse consiste à réactiver le service et à rechercher l'utilisateur qui a désactivé la journalisation AWS CloudTrail. Au lieu d'effectuer ces étapes manuellement dans AWS Management Console, vous pouvez réactiver la journalisation par programme (via l'API cloudtrail:StartLogging). Si vous implémentez cela avec du code, l'objectif de votre réponse est d'effectuer cette tâche le plus rapidement possible et d'informer les intervenants que la réponse a été effectuée.

Vous pouvez décomposer la logique en code simple à exécuter dans une fonction AWS Lambda pour effectuer ces tâches. Vous pouvez ensuite utiliser Amazon CloudWatch Events pour surveiller l'événement cloudtrail:StopLogging spécifique et appeler la fonction s'il se produit. Lorsque cette fonction de répondeur AWS Lambda est appelée par Amazon CloudWatch Events, vous pouvez lui transmettre les détails de l'événement spécifique avec les informations sur le principal qui a désactivé AWS CloudTrail, la date de la désactivation, la ressource spécifique qui a été affectée et d'autres informations pertinentes. Vous pouvez utiliser ces informations pour enrichir les résultats des journaux, puis générer une notification ou une alerte avec uniquement les valeurs spécifiques dont un une personne chargée de l'analyse de la réponse aurait besoin.

Idéalement, la réponse basée sur les événements a pour objectif de faire exécuter la fonction répondeur par Lambda, puis informe le répondeur que l'anomalie a été résolue avec succès à l'aide de toute information contextuelle pertinente. Il appartient ensuite à l'intervenant humain chargé de la réponse de décider comment déterminer pourquoi cela s'est produit et comment éviter que cela se reproduise. Cette boucle de rétroaction permet d'améliorer encore la sécurité de vos environnements cloud. Pour atteindre cet objectif, votre culture doit permettre à votre équipe de sécurité de travailler plus étroitement avec vos équipes de développement et d'exploitation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comparaison des coûts dans les méthodes d'analyse

Exemples de réponse aux incidents