Protection des données dans Accelerate - Guide de l'utilisateur d'AMS Accelerate
Surveillez avec Amazon MacieMoniteur avec GuardDutySurveillez avec le pare-feu DNS Amazon Route 53 ResolverChiffrement des données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Accelerate

AMS Accelerate utilise des outils natifs Services AWS tels qu'Amazon GuardDuty, Amazon Macie (en option) et d'autres outils et processus internes propriétaires pour surveiller en permanence vos comptes gérés. Après le déclenchement d'une alarme, AMS Accelerate assume la responsabilité du triage initial et de la réponse à l'alarme. Les processus de réponse AMS sont basés sur les normes du NIST. AMS Accelerate teste régulièrement les processus de réponse à l'aide de la simulation de réponse aux incidents de sécurité avec vous afin d'aligner votre flux de travail sur les programmes de réponse de sécurité existants des clients.

Lorsqu'AMS Accelerate détecte une violation, ou une menace imminente de violation, de vos politiques de AWS sécurité, Accelerate collecte des informations, y compris les ressources concernées et toute modification liée à la configuration. AMS Accelerate fournit une follow-the-sun assistance 24 heures sur 24, 7 jours sur 7 et 365 jours par an avec des opérateurs dédiés qui examinent et étudient activement les tableaux de bord de surveillance, les files d'attente d'incidents et les demandes de service sur l'ensemble de vos comptes gérés. Accelerate examine les résultats avec des experts en sécurité interne afin d'analyser l'activité et de vous informer par le biais des contacts d'escalade de sécurité répertoriés dans votre compte.

Sur la base des résultats, Accelerate communique avec vous de manière proactive. Si vous constatez que l'activité est non autorisée ou suspecte, AMS travaille avec vous pour enquêter et corriger ou contenir le problème. Certains types de résultats générés par vous GuardDuty obligent à confirmer l'impact avant qu'Accelerate ne prenne des mesures. Par exemple, le type de GuardDuty recherche UnauthorizedAccessIAMUser:/ ConsoleLogin indique que l'un de vos utilisateurs s'est connecté depuis un emplacement inhabituel ; AMS vous avertit et vous demande de revoir le résultat pour confirmer si ce comportement est légitime.

Surveillez avec Amazon Macie

AMS Accelerate prend en charge, et c'est une bonne pratique d'utiliser, Amazon Macie pour détecter une liste importante et complète de données sensibles, telles que des informations de santé personnelles (PHI), des informations personnelles identifiables (PII) et des données financières.

Vous pouvez configurer Macie pour qu'il s'exécute régulièrement sur n'importe quel compartiment Amazon S3. Cela automatise l'évaluation des objets nouveaux ou modifiés dans un bucket au fil du temps. Au fur et à mesure que des résultats de sécurité sont générés, AMS vous en informe et travaille avec vous pour y remédier si nécessaire.

Pour plus d'informations, consultez Analyser les résultats d'Amazon Macie.

Moniteur avec GuardDuty

GuardDuty est un service de surveillance continue de la sécurité qui utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, et l'apprentissage automatique pour identifier les activités inattendues, potentiellement non autorisées et malveillantes au sein de votre AWS environnement. Cela peut inclure des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification exposées ou la communication avec des adresses IP ou des domaines malveillants. GuardDuty surveille le comportement Compte AWS d'accès pour détecter les signes de compromission, tels que les déploiements d'infrastructure non autorisés, les instances déployées dans une AWS région que vous n'avez jamais utilisée. GuardDuty détecte également les appels d'API inhabituels, tels qu'une modification de la politique de mot de passe visant à réduire la solidité du mot de passe. Pour plus d’informations, consultez le Guide de l’utilisateur GuardDuty .

Pour consulter et analyser vos GuardDuty résultats, procédez comme suit :

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Choisissez Conclusions, puis sélectionnez une constatation spécifique pour afficher les détails. Les détails de chaque constatation diffèrent selon le type de découverte, les ressources impliquées et la nature de l'activité.

Pour plus d'informations sur les champs de recherche disponibles, consultez la section Détails de la GuardDuty recherche.

Utiliser les règles de GuardDuty suppression pour filtrer les résultats

Une règle de suppression est un ensemble de critères qui consiste en un attribut de filtre associé à une valeur. Vous pouvez utiliser des règles de suppression pour filtrer les résultats de faible valeur auxquels vous n'avez pas l'intention de donner suite, tels que les résultats faussement positifs ou les activités connues. Le filtrage de vos résultats permet d'identifier plus facilement les menaces de sécurité susceptibles d'avoir le plus d'impact sur votre environnement.

Pour filtrer les résultats, les règles de suppression archivent automatiquement les nouveaux résultats correspondant aux critères que vous avez spécifiés. Les résultats archivés ne sont pas envoyés à AWS Security Hub, Amazon S3 ou CloudTrail Events. Les filtres de suppression réduisent donc les données inexploitables si vous consultez GuardDuty les résultats via Security Hub ou une application d'alerte et de billetterie SIEM tierce.

AMS dispose d'un ensemble défini de critères pour identifier les règles de suppression pour vos comptes gérés. Lorsqu'un compte géré répond à ces critères, AMS applique les filtres et vous adresse une demande de service (SR) détaillant le filtre de suppression déployé.

Vous pouvez communiquer avec AMS via un SR pour modifier ou annuler les filtres de suppression.

Afficher les résultats archivés

GuardDuty continue de générer des résultats même lorsque ceux-ci correspondent à vos règles de suppression. Les résultats supprimés sont marqués comme archivés. GuardDuty conserve les résultats archivés pendant 90 jours. Vous pouvez consulter les résultats archivés dans la GuardDuty console pendant ces 90 jours en sélectionnant Archivé dans le tableau des résultats. Vous pouvez également consulter les résultats archivés via l' GuardDuty API en utilisant l'ListFindingsAPI avec un FindingCriteria de service.archived égal à true.

Cas d'utilisation courants des règles de suppression

Les types de recherche suivants présentent des cas d'utilisation courants pour appliquer des règles de suppression.

  • Recon : EC2 /Portscan : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque vous utilisez un scanner de vulnérabilités autorisé.

  • UnauthorizedAccess:EC2/SSHBruteForce : utilisez une règle de suppression pour archiver automatiquement les résultats lorsqu'ils ciblent des instances de bastion.

  • Recon :EC2/PortProbeUnprotectedPort: Utilisez une règle de suppression pour archiver automatiquement les résultats lorsqu'ils ciblent des instances exposées intentionnellement.

Surveillez avec le pare-feu DNS Amazon Route 53 Resolver

Amazon Route 53 Resolver répond de manière récursive aux requêtes DNS provenant AWS des ressources relatives aux archives publiques, aux noms DNS spécifiques à Amazon VPC et aux zones hébergées privées Amazon Route 53. Il est disponible par défaut dans tous les domaines. VPCs Avec Route 53 Resolver DNS Firewall, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des collections réutilisables de règles de filtrage dans les groupes de règles de pare-feu DNS, associez les groupes de règles à votre VPC, puis contrôlez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS en conséquence. Pour plus d'informations, voir Utilisation du pare-feu DNS pour filtrer le trafic DNS sortant.

Pour afficher et gérer la configuration de votre pare-feu DNS Route 53 Resolver, suivez la procédure suivante :

  1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/vpc/

  2. Sous Pare-feu DNS, sélectionnez Groupes de règles.

  3. Vérifiez, modifiez ou supprimez votre configuration existante, ou créez un nouveau groupe de règles. Pour plus d'informations, consultez Comment fonctionne le pare-feu DNS Route 53 Resolver.

Surveillance et sécurité du pare-feu DNS Amazon Route 53 Resolver

Le pare-feu DNS Amazon Route 53 utilise les concepts d'associations de règles, d'action des règles et de priorité d'évaluation des règles. Une liste de domaines est un ensemble réutilisable de spécifications de domaine que vous utilisez dans une règle de pare-feu DNS, à l'intérieur d'un groupe de règles. Lorsque vous associez un groupe de règles à un VPC, le pare-feu DNS compare vos requêtes DNS aux listes de domaines qui sont utilisées dans les règles. Si le pare-feu DNS trouve une correspondance, il gère la requête DNS conformément à l'action de la règle correspondante. Pour plus d'informations sur les groupes de règles et les règles, consultez la section Groupes de règles et règles du pare-feu DNS.

Les listes de domaines se répartissent en deux catégories principales :

  • Des listes de domaines gérées, AWS créées et mises à jour pour vous.

  • Vos propres listes de domaines, que vous créez et gérez.

Les groupes de règles sont évalués en fonction de leur indice de priorité d'association.

Par défaut, AMS déploie une configuration de base composée des règles et groupes de règles suivants :

  • Un groupe de règles nomméDefaultSecurityMonitoringRule. Le groupe de règles possède la priorité d'association la plus élevée disponible au moment de la création pour chaque VPC existant dans chaque VPC activé. Région AWS

  • Une règle nommée DefaultSecurityMonitoringRule avec la priorité 1 au sein du groupe de DefaultSecurityMonitoringRule règles, utilisant la liste des domaines AWSManagedDomainsAggregateThreatList gérés avec l'action ALERT.

Si vous avez une configuration existante, la configuration de base est déployée avec une priorité inférieure à celle de votre configuration existante. Votre configuration existante est la configuration par défaut. Vous utilisez la configuration de base AMS comme fourre-tout si votre configuration existante ne fournit pas d'instructions prioritaires sur la manière de gérer la résolution des requêtes. Pour modifier ou supprimer la configuration de référence, effectuez l'une des opérations suivantes :

  • Contactez votre responsable de prestation de services cloud (CSDM) ou votre architecte cloud (CA).

  • Créez une demande de service.

Chiffrement des données dans AMS Accelerate

AMS Accelerate en utilise plusieurs Services AWS pour le chiffrement des données.

Amazon Simple Storage Service propose plusieurs options de chiffrement d'objets qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre vos objets avant de les enregistrer sur les disques des centres de données, puis les déchiffre lorsque vous téléchargez les objets. Tant que vous authentifiez votre demande et que vous avez des autorisations d’accès, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Pour plus d'informations, consultez la section Protection des données dans Amazon S3.