Réponse aux événements liés aux programmes malveillants - Guide de l'utilisateur avancé d'AMS
Phase A : détecterPhase B : AnalysePhase C : Contenir et éradiquerRapport post-incident

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réponse aux événements liés aux programmes malveillants

Les EC2 instances Amazon sont utilisées pour héberger diverses charges de travail, notamment des logiciels tiers et des logiciels développés sur mesure déployés par les équipes d'application au sein des organisations. AMS fournit et vous encourage à déployer vos charges de travail sur des images corrigées et maintenues en permanence par AMS.

Pendant le fonctionnement des instances, AMS surveille les anomalies de comportement ou d'activité par le biais de divers contrôles de détection de sécurité, notamment Amazon, Endpoint Protection GuardDuty, Network Traffic et les flux internes de Threat Intelligence d'Amazon.

Les clients AMS dotés du modèle d'exploitation AMS Advanced installent automatiquement le client de surveillance de la sécurité des terminaux (EPS) sur les ressources provisionnées. Cela garantit que les ressources sont surveillées et prises en charge 24 heures sur 24, 7 jours sur 7, y compris la création d'un incident de sécurité lorsqu'un événement est détecté.

AMS surveille également les découvertes de GuardDuty malwares. Ils sont disponibles sur AMS Advanced et AMS Accelerate, s'ils sont activés. Consultez Malware Protection sur Amazon GuardDuty pour plus d'informations.

Note

Si vous avez opté pour Bring Your Own EPS, le processus de réponse aux incidents est différent de celui décrit sur cette page. Pour plus d'informations, consultez la documentation référencée.

Lorsqu'un logiciel malveillant est détecté, un incident est créé et vous en êtes informé. Cette notification est suivie de toutes les activités de correction effectuées. AMS Operations enquête, collecte, triage et analyse des données, puis réalise des activités de confinement selon vos instructions, suivies d'une analyse post-événement.

Phase A : détecter

AMS surveille les événements sur les instances grâce à une solution GuardDuty de surveillance de la sécurité des terminaux. AMS détermine les activités d'enrichissement et de triage appropriées pour vous aider à prendre des décisions de confinement ou d'acceptation des risques en fonction du type de découverte ou d'alerte.

La collecte de données est effectuée en fonction du type de recherche. La collecte de données implique d'interroger plusieurs sources de données à la fois à l'intérieur et à l'extérieur du compte concerné afin de se faire une idée de l'activité observée ou des configurations préoccupantes.

AMS met en corrélation le résultat avec toute autre alarme ou alerte ou avec la télémétrie provenant des comptes concernés ou des plateformes de renseignement sur les menaces AMS.

Phase B : Analyse

Une fois les données collectées, elles sont analysées pour identifier toute activité ou tout indicateur préoccupant. Au cours de cette phase de l'enquête, AMS s'associe à vous pour intégrer les connaissances commerciales et professionnelles des instances et des charges de travail afin de comprendre ce qui est attendu et ce qui sort de l'ordinaire.

Voici quelques exemples des informations fournies au cours de l'enquête pour étayer les contrôles internes :

  • Informations sur le compte : sur quel compte l'activité du logiciel malveillant a-t-elle été observée ?

  • Détails de l'instance : Quelles sont les instances impliquées dans les événements malveillants ?

  • Horodatage de l'événement : quand l'alerte s'est-elle déclenchée ?

  • Informations sur la charge de travail : Qu'est-ce qui s'exécute sur l'instance ?

  • Informations sur les malwares, le cas échéant : familles de malwares et informations Open Source sur les malwares.

  • Informations sur les utilisateurs ou les rôles : quels utilisateurs ou rôles sont concernés et impliqués dans l'activité ?

  • Enregistrements d'activité : Quelles activités sont enregistrées sur l'instance ? Ils prennent la forme d' CloudWatch événements et d'événements système provenant de l'instance. Comprendre comment lire ces journaux vous aidera dans vos recherches.

  • Activité réseau : quels points de terminaison se connectent à l'instance, à quoi l'instance se connecte et qu'est-ce que l'analyse du trafic ?

Il est recommandé d'être prêt à recevoir des informations d'enquête et d'avoir un plan indiquant comment contacter les points de contact appropriés pour les comptes, les instances et les charges de travail au sein de votre organisation. La compréhension de la topologie de votre réseau et de la connexion attendue peut contribuer à accélérer l'analyse d'impact. La connaissance des tests d'intrusion planifiés dans l'environnement et des récents déploiements effectués par les propriétaires d'applications peut également accélérer l'investigation.

Si vous déterminez que l'activité est planifiée et autorisée, l'incident est mis à jour et l'enquête prend fin. Si la compromission est confirmée, vous déterminez avec AMS le plan de confinement approprié.

Phase C : Contenir et éradiquer

AMS travaille en partenariat avec vous pour déterminer les activités de confinement appropriées en fonction des données collectées et des informations connues. Les options de confinement incluent, sans toutefois s'y limiter :

  • Préservation des données par le biais de snapshots

  • Modification des règles réseau pour limiter le trafic entrant ou sortant des instances

  • Modification des politiques relatives aux utilisateurs et aux rôles SCP, IAM pour limiter l'accès

  • Interruption, suspension ou désactivation d'instances

  • Résiliation de toute connexion persistante

  • Rotation des accréditations/clés appropriés

Si vous choisissez d'exécuter une activité d'éradication sur l'instance, AMS vous aide à y parvenir. Les options incluent, sans toutefois s'y limiter :

  • Suppression de tout logiciel indésirable

  • Reconstruction de l'instance à partir d'une image propre entièrement corrigée et redéploiement des applications et de la configuration

  • Restauration de l'instance à partir d'une sauvegarde précédente

  • Déploiement d'applications et de services sur une autre instance de votre compte susceptible de convenir à l'hébergement des charges de travail.

Il est important de déterminer comment le logiciel malveillant a été diffusé et exécuté sur l'instance avant le rétablissement du service afin de s'assurer que des contrôles supplémentaires sont appliqués pour empêcher la réapparition du logiciel malveillant sur l'instance. AMS fournit des informations ou des informations supplémentaires à vos partenaires ou équipes de criminalistique si nécessaire pour soutenir la criminalistique.

À ce stade, vous travaillez avec AMS Operations pour les activités de restauration. AMS travaille en étroite collaboration avec vous afin de minimiser les perturbations des charges de travail et de sécuriser les instances.

Rapport post-incident

Au besoin, AMS lance le processus d'examen des enquêtes pour identifier les leçons apprises. Dans le cadre de l'élaboration d'un COE, AMS vous communique les résultats pertinents pour vous aider à améliorer votre processus de réponse aux incidents.

AMS documente les derniers détails de l'enquête, collecte les indicateurs appropriés et signale l'incident aux équipes internes d'AMS qui ont besoin d'informations, y compris le CSDM et le CA qui vous ont été assignés.