View a markdown version of this page

Agent d'investigation AI - Réponse aux incidents de sécurité AWS Guide de l'utilisateur
Présentation deComment ça marcheConditions préalablesUtilisation de l'agent d'investigation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Agent d'investigation AI

Présentation de

L'agent d'investigation alimenté par l'IA travaille aux côtés des clients et des Réponse aux incidents de sécurité AWS ingénieurs pour accélérer les enquêtes de sécurité. Lorsqu'un client crée un dossier AWS pris en charge, l'agent s'active automatiquement en parallèle avec l'engagement de l'ingénieur chargé de la réponse aux incidents de sécurité, ce qui réduit le délai de résolution de plusieurs jours à quelques heures.

Lors des escalades de clientèle, les dossiers de réponse aux incidents de sécurité peuvent être créés par vous ou de manière proactive par. Réponse aux incidents de sécurité AWS Lorsqu'un nouveau dossier AWS pris en charge est créé, l'agent d'investigation se déclenche automatiquement. Vous pouvez gérer tous les cas via la console, l'API ou les EventBridge intégrations Amazon.

Principaux avantages

  • Investigation parallèle — L'agent travaille simultanément avec les intervenants, fournissant à la fois une automatisation basée sur l'IA et une expertise humaine.

  • Collecte automatisée de preuves : élimine l'analyse manuelle des journaux en AWS CloudTrail interrogeant automatiquement IAM, Amazon EC2 et Cost Explorer.

  • Interface en langage naturel : décrivez les problèmes de sécurité en langage clair sans avoir besoin d'une expertise en matière de formats de AWS journaux.

  • Réponse plus rapide : les résumés des enquêtes sont disponibles en quelques minutes dans l'onglet Investigation.

  • Auditabilité totale : toutes les actions de l'agent sont enregistrées AWS CloudTrail sous le AWSServiceRoleForSupport rôle.

Important

Cette fonctionnalité n'est disponible que pour les cas AWS pris en charge. Les cas autogérés n'incluent pas les capacités d'investigation de l'IA.

Comment ça marche

L'agent d'investigation AI suit un flux de travail structuré lorsqu'il analyse les cas de sécurité AWS pris en charge :

Flux de travail d'investigation

  1. Création d'un dossier : le client crée un dossier AWS pris en charge dans la console Security Incident Response décrivant le problème de sécurité.

  2. Activation parallèle

    • Les ingénieurs de réponse aux incidents de sécurité prennent en charge le dossier.

    • Simultanément, l'agent IA commence son flux de travail d'investigation.

  3. Questions contextuelles (facultatives) — L'agent peut poser des questions de clarification pour recueillir des informations spécifiques :

    • AWS Compte concerné IDs

    • Principaux IAM impliqués (utilisateurs, rôles, clés d'accès)

    • Identifiants de ressources spécifiques (compartiments S3, instances EC2,) ARNs

    • Durée de l'activité suspecte

  4. Collecte de preuves — L'agent interroge automatiquement les sources de AWS données :

    • AWS CloudTrail— Appels d'API et activités associés à l'incident

    • IAM — Autorisations des utilisateurs et des rôles, modifications des politiques et création d'une nouvelle identité

    • Instance Amazon EC2 APIs : informations sur les ressources de calcul, le cas échéant

    • Cost Explorer : indicateurs de coût et d'utilisation pour une consommation inhabituelle de ressources

  5. Analyse et corrélation — L'agent met en corrélation les preuves entre les services, identifie les modèles et établit une chronologie des événements.

  6. Génération d'un résumé : en quelques minutes, l'agent présente un résumé complet de l'enquête dans l'onglet Investigation.

Note

Tous les champs sont facultatifs. Si aucune réponse n'est fournie dans les 10 minutes, l'enquête démarre automatiquement. Dans certains cas, si suffisamment d'informations sont déjà disponibles, l'agent peut ignorer complètement les questions facultatives.

Accès aux résultats des enquêtes

Pour consulter l'analyse de l'IA :

  1. Accédez à votre dossier dans la console Security Incident Response.

  2. Sélectionnez l'onglet Investigation.

  3. Passez en revue le résumé de l'enquête avec les conclusions, le calendrier et le contexte.

Le résumé de l'agent enquêteur basé sur l'IA est automatiquement publié sous forme de commentaire dans la section Communication de l'affaire, ce qui permet de le consulter facilement en même temps que les autres mises à jour du dossier.

Accès aux données et autorisations

L'agent d'investigation AI utilise le rôle AWSServiceRoleForSupport lié au service pour accéder AWS aux ressources. Ce rôle fournit les autorisations en lecture seule nécessaires à la collecte de preuves.

Toutes les actions effectuées par l'agent sont enregistrées AWS CloudTrail, ce qui permet aux clients de vérifier exactement quelles données ont été consultées au cours de l'enquête. Dans AWS CloudTrail les journaux, ces actions sont attribuées àAWSServiceRoleForSupport.

Conditions préalables

Avant d'utiliser les fonctionnalités d'investigation basées sur l'IA, assurez-vous de ce qui suit :

Configuration requise

  • Réponse aux incidents de sécurité AWS activé — Le service doit être activé via le compte AWS Organizations de gestion.

  • AWS type de cas pris en charge : l'investigation par IA n'est disponible que pour les cas AWS pris en charge (pas les cas autogérés).

  • AWSServiceRoleForSupport— Ce rôle lié au service est automatiquement créé et fournit les autorisations nécessaires à l'agent d'investigation.

Autorisations nécessaires

Pour créer des cas AWS pris en charge et accéder aux résultats des enquêtes, le principal IAM a besoin des autorisations suivantes : 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

Utilisation de l'agent d'investigation

L'agent d'investigation basé sur l'IA s'active automatiquement lors de la création d'un dossier AWS pris en charge.

Pour suivre les progrès des enquêtes sur l'IA

  1. Ouvrez votre étui dans la Réponse aux incidents de sécurité AWS console.

  2. Choisissez l'onglet Investigation.

  3. Consultez le statut de l'enquête (En cours ou terminée).

  4. Une fois terminé, passez en revue le résumé complet de l'enquête avec les conclusions, le calendrier et les recommandations.

Divulgation responsable de l'IA

Les résumés des enquêtes sont générés à l'aide des fonctionnalités de l'IA AWS générative. Vous êtes chargé d'évaluer les recommandations générées par l'IA dans votre contexte spécifique, de mettre en œuvre des mécanismes de supervision appropriés, de vérifier les résultats de manière indépendante et de maintenir un contrôle humain de toutes les décisions de sécurité.

Utilisation des données des clients

AI Investigative Agent n'utilise pas les données des clients pour la formation des modèles et ne partage pas les données des clients avec des tiers.