Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Annexe A : Définitions des fonctionnalités du cloud
AWS propose plus de 200 services cloud et des milliers de fonctionnalités. Nombre d'entre elles fournissent des fonctionnalités natives de détection, de prévention et de réactivité, tandis que d'autres peuvent être utilisées pour concevoir des solutions de sécurité personnalisées. Cette section inclut un sous-ensemble des services les plus pertinents pour la réponse aux incidents dans le cloud.
**Topics**
+ [Journalisation et événements](logging-and-events.md)
+ [Visibilité et alertes](visibility-and-alerting.md)
+ [ Automatisation](automation-1.md)
+ [Stockage sécurisé](secure-storage.md)
+ [Capacités de sécurité futures et personnalisées](custom.md)
# Journalisation et événements
[https://aws.amazon.com/cloudtrail/](https://aws.amazon.com/cloudtrail/)— AWS CloudTrail service permettant la gouvernance, la conformité, l'audit opérationnel et l'audit des risques des AWS comptes. Vous pouvez ainsi enregistrer CloudTrail, surveiller en permanence et conserver l'activité du compte liée aux actions menées dans l'ensemble AWS des services. CloudTrail fournit un historique des événements relatifs à l'activité de votre AWS compte, y compris les actions effectuées par le AWS Management Console biais des outils de ligne de commande et d'autres AWS services. AWS SDKs Cet historique des événements simplifie l'analyse de sécurité, le suivi des modifications des ressources et le dépannage. CloudTrail enregistre deux types différents d'actions d' AWS API :
+ **CloudTrail les événements de gestion** (également appelés opérations du plan de contrôle) indiquent les opérations de gestion effectuées sur les ressources de votre AWS compte. Cela inclut des actions telles que la création d'un compartiment Amazon S3 et la configuration de la journalisation.
+ ** CloudTrail les événements de données** (également appelés opérations du plan de données) indiquent les opérations de ressources effectuées sur ou au sein d'une ressource de votre AWS compte. Ces opérations sont souvent des activités à volume élevé. Cela inclut des actions telles que l'activité de l'API au niveau de l'objet Amazon S3 (par exemple, `GetObject``DeleteObject`, et les opérations d'`PutObject`API) et l'activité d'invocation de la fonction Lambda.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/)— AWS Config est un service permettant aux clients d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille et enregistre en permanence les configurations de vos AWS ressources et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées. Grâce à AWS Config, les clients peuvent consulter les modifications apportées aux configurations et aux relations entre les AWS ressources, manuellement ou automatiquement, l'historique détaillé de la configuration des ressources et déterminer la conformité globale par rapport aux configurations spécifiées dans les directives du client. Cela permet de simplifier l'audit de conformité, l'analyse de sécurité, la gestion des modifications et le dépannage opérationnel.
[https://aws.amazon.com/eventbridge/](https://aws.amazon.com/eventbridge/) — Amazon EventBridge fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux AWS ressources ou lorsque des appels d'API sont publiés par AWS CloudTrail. À l'aide de règles simples que vous pouvez configurer rapidement, vous pouvez associer des événements et les acheminer vers une ou plusieurs fonctions ou flux cibles. EventBridge prend connaissance des changements opérationnels au fur et à mesure qu'ils se produisent. EventBridge peut répondre à ces changements opérationnels et prendre des mesures correctives si nécessaire, en envoyant des messages pour répondre à l'environnement, en activant des fonctions, en apportant des modifications et en capturant des informations d'état. Certains services de sécurité, tels qu'Amazon GuardDuty, produisent leurs résultats sous forme d' EventBridge événements. De nombreux services de sécurité proposent également la possibilité d'envoyer leurs résultats à Amazon S3.
**Journaux d'accès Amazon S3** : si des informations sensibles sont stockées dans un compartiment Amazon S3, les clients peuvent activer les journaux d'accès Amazon S3 pour enregistrer chaque chargement, téléchargement et modification de ces données. Ce journal est distinct des CloudTrail journaux qui enregistrent les modifications apportées au compartiment lui-même (telles que les modifications des politiques d'accès et des politiques de cycle de vie). Il convient de noter que les enregistrements des journaux d'accès sont fournis dans la mesure du possible. La plupart des demandes pour un compartiment correctement configuré pour l’enregistrement se traduisent par un enregistrement de journal distribué. L’exhaustivité et la disponibilité de la journalisation du serveur ne sont pas garanties.
[https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) : les clients peuvent utiliser Amazon CloudWatch Logs pour surveiller, stocker et accéder aux fichiers journaux provenant de systèmes d'exploitation, d'applications et d'autres sources s'exécutant sur des instances Amazon EC2 avec un agent CloudWatch Logs. CloudWatch Les journaux peuvent être une destination pour les AWS CloudTrail requêtes DNS Route 53, les journaux de flux VPC, les fonctions Lambda, etc. Les clients peuvent ensuite récupérer les données de journal associées dans CloudWatch Logs.
[https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) de flux VPC permettent aux clients de capturer des informations sur le trafic IP à destination et en provenance des interfaces réseau des VPC. Une fois les journaux de flux activés, ils peuvent être diffusés vers Amazon CloudWatch Logs et Amazon S3. Les journaux de flux VPC aident les clients à effectuer un certain nombre de tâches, telles que le dépannage des raisons pour lesquelles un trafic spécifique n'atteint pas une instance, le diagnostic des règles trop restrictives des groupes de sécurité et leur utilisation comme outil de sécurité pour surveiller le trafic vers les instances EC2. Utilisez la version la plus récente de la journalisation des flux VPC pour obtenir les champs les plus robustes.
[https://aws.amazon.com/waf/](https://aws.amazon.com/waf/) : AWS WAF prend en charge la journalisation complète de toutes les requêtes Web inspectées par le service. Les clients peuvent les stocker dans Amazon S3 pour répondre aux exigences de conformité et d'audit, ainsi qu'aux fins de débogage et de criminalistique. Ces journaux aident les clients à déterminer la cause première des règles initiées et des requêtes Web bloquées. Les journaux peuvent être intégrés à des outils SIEM et d'analyse de journaux tiers.
Journaux de [https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) de requêtes Route 53 Resolver vous permettent de consigner toutes les requêtes DNS effectuées par les ressources d'Amazon Virtual Private Cloud (Amazon VPC). Qu'il s'agisse d'une instance, d'une AWS Lambda fonction ou d'un conteneur Amazon EC2, s'il réside dans votre Amazon VPC et envoie une requête DNS, cette fonctionnalité l'enregistre ; vous pouvez alors explorer et mieux comprendre le fonctionnement de vos applications.
**Autres AWS journaux** : publie AWS en permanence des fonctionnalités et des capacités de service pour les clients grâce à de nouvelles fonctionnalités de journalisation et de surveillance. Pour plus d'informations sur les fonctionnalités disponibles pour chaque AWS service, consultez notre documentation publique.
# Visibilité et alertes
[https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/)— Réponse aux incidents de sécurité AWS est un service complet qui aide les entreprises à gérer les événements de sécurité tout au long de leur cycle de vie en combinant des fonctionnalités automatisées avec un support humain expert. Le service utilise des fonctionnalités de surveillance et d'investigation automatisées pour libérer les ressources de l'organisation tout en maintenant une surveillance vigilante de la sécurité. En cas d'événements liés à la sécurité, il facilite la communication et la coordination accélérées entre les parties prenantes pour des temps de réponse rapides. Le service prend en charge de nombreux cas d'utilisation, notamment la préparation et la simulation d'événements de sécurité, la réponse aux incidents actifs, ainsi que la rationalisation des rapports et des analyses après les incidents, afin de garantir que les entreprises sont bien équipées pour relever les défis de sécurité à chaque étape.
[https://aws.amazon.com/security-hub/](https://aws.amazon.com/security-hub/)— AWS Security Hub CSPM fournit aux clients une vue complète des alertes de sécurité prioritaires et de l'état de conformité des comptes. AWS Security Hub CSPM regroupe, organise et hiérarchise les menaces détectées par des services AWS tels qu'Amazon, Amazon GuardDuty Inspector, Amazon Macie et des solutions. AWS Partner Les résultats sont résumés visuellement sur des tableaux de bord intégrés avec des graphiques et des tableaux exploitables. Vous pouvez également surveiller en permanence votre environnement à l'aide de contrôles de conformité automatisés basés sur les AWS meilleures pratiques et les normes du secteur suivies par votre entreprise.
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/) GuardDuty est un service géré de détection des menaces qui surveille en permanence les comportements malveillants ou non autorisés afin d'aider les clients à protéger leurs AWS comptes et leurs charges de travail. Il surveille les activités telles que les appels d'API inhabituels ou les déploiements potentiellement non autorisés indiquant une possible compromission des comptes ou des ressources des instances Amazon EC2, des compartiments Amazon S3 ou des reconnaissances par des acteurs malveillants.
GuardDuty identifie les acteurs présumés malveillants grâce à des flux intégrés de renseignements sur les menaces utilisant l'apprentissage automatique pour détecter les anomalies dans l'activité des comptes et de la charge de travail. Lorsqu'une menace potentielle est détectée, le service envoie une alerte de sécurité détaillée à la GuardDuty console et aux CloudWatch événements. Cela rend les alertes exploitables et simples à intégrer dans les systèmes de gestion des événements et de flux de travail existants.
GuardDuty propose également deux modules complémentaires pour surveiller les menaces avec des services spécifiques : Amazon GuardDuty pour la protection Amazon S3 et Amazon GuardDuty pour la protection Amazon EKS. La protection Amazon S3 permet GuardDuty de surveiller les opérations d'API au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans les compartiments Amazon S3. La protection Kubernetes permet GuardDuty de détecter les activités suspectes et les compromissions potentielles des clusters Kubernetes au sein d'Amazon EKS.
[https://aws.amazon.com/macie/](https://aws.amazon.com/macie/) est un service de sécurité basé sur l'IA qui aide à prévenir les pertes de données en découvrant, en classant et en protégeant automatiquement les données sensibles qui y sont stockées. AWS Macie utilise l'apprentissage automatique (ML) pour reconnaître les données sensibles telles que les informations personnelles identifiables (PII) ou la propriété intellectuelle, attribuer une valeur commerciale et fournir une visibilité sur l'endroit où ces données sont stockées et comment elles sont utilisées dans votre organisation. Amazon Macie surveille en permanence les activités d'accès aux données pour détecter les anomalies et émet des alertes lorsqu'il détecte un risque d'accès non autorisé ou de fuite de données involontaire.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/)— Une AWS Config règle représente les configurations préférées pour une ressource et est évaluée par rapport aux modifications de configuration apportées aux ressources pertinentes, telles qu'enregistrées par AWS Config. Vous pouvez consulter les résultats de l'évaluation d'une règle par rapport à la configuration d'une ressource sur un tableau de bord. À l'aide de AWS Config règles, vous pouvez évaluer votre état global de conformité et de risque du point de vue de la configuration, visualiser les tendances en matière de conformité au fil du temps et déterminer quel changement de configuration a entraîné la non-conformité d'une ressource à une règle.
[https://aws.amazon.com/premiumsupport/technology/trusted-advisor/](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)— AWS Trusted Advisor est une ressource en ligne qui vous aide à réduire les coûts, à augmenter les performances et à améliorer la sécurité en optimisant votre AWS environnement. Trusted Advisor fournit des conseils en temps réel pour vous aider à provisionner vos ressources en suivant les AWS meilleures pratiques. L'ensemble complet des Trusted Advisor contrôles, y compris l'intégration CloudWatch des événements, est disponible pour les clients des plans Business et Enterprise Support.
[https://aws.amazon.com/cloudwatch/](https://aws.amazon.com/cloudwatch/) — Amazon CloudWatch est un service de surveillance des AWS Cloud ressources et des applications que vous utilisez AWS. Vous pouvez l'utiliser CloudWatch pour collecter et suivre les métriques, collecter et surveiller les fichiers journaux, définir des alarmes et réagir automatiquement aux modifications de vos AWS ressources. CloudWatch peut surveiller les AWS ressources, telles que les instances Amazon EC2, les tables Amazon DynamoDB et les instances de base de données Amazon RDS, ainsi que les métriques personnalisées générées par vos applications et services, ainsi que tous les fichiers journaux générés par vos applications. Vous pouvez utiliser Amazon CloudWatch pour obtenir une visibilité à l'échelle du système sur l'utilisation des ressources, les performances des applications et la santé opérationnelle. Vous pouvez utiliser ces informations pour réagir en conséquence et assurer le bon fonctionnement de votre application.
[https://aws.amazon.com/inspector/](https://aws.amazon.com/inspector/) — Amazon Inspector est un service d'évaluation automatique de la sécurité qui permet d'améliorer la sécurité et la conformité des applications déployées sur AWS. Amazon Inspector évalue automatiquement les applications pour détecter les vulnérabilités ou les écarts par rapport aux meilleures pratiques. Après avoir effectué une évaluation, Amazon Inspector produit une liste détaillée des résultats de sécurité classés par niveau de gravité. Ces résultats peuvent être examinés directement ou dans le cadre de rapports d'évaluation détaillés disponibles via la console ou l'API Amazon Inspector.
[https://aws.amazon.com/detective/](https://aws.amazon.com/detective/) — Amazon Detective est un service de sécurité qui collecte automatiquement les données des journaux à partir de vos AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour créer un ensemble de données liées qui vous permet de mener des enquêtes de sécurité plus rapides et plus efficaces. Detective peut analyser des milliards d'événements provenant de plusieurs sources de données, telles que les journaux de flux VPC CloudTrail GuardDuty, et crée automatiquement une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions entre eux au fil du temps. Grâce à cette vue unifiée, vous pouvez visualiser tous les détails et le contexte en un seul endroit afin d'identifier les raisons sous-jacentes des résultats, d'explorer les activités historiques pertinentes et d'en déterminer rapidement la cause première.
# Automatisation
[https://aws.amazon.com/lambda](https://aws.amazon.com/lambda)— AWS Lambda est un service de calcul sans serveur qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul sous-jacentes pour vous. Vous pouvez utiliser Lambda pour étendre d'autres AWS services avec une logique personnalisée ou créer vos propres services principaux qui fonctionnent en termes d' AWS échelle, de performance et de sécurité. Lambda exécute votre code sur une infrastructure informatique à haute disponibilité et gère les ressources de calcul pour vous. Cela inclut la maintenance des serveurs et des systèmes d'exploitation, le provisionnement des capacités et le dimensionnement automatique, le déploiement du code et des correctifs de sécurité, ainsi que la surveillance et la journalisation du code. Tout ce que vous avez à faire est de fournir le code.
[https://aws.amazon.com/step-functions/](https://aws.amazon.com/step-functions/)— AWS Step Functions simplifie la coordination des composants des applications distribuées et des microservices à l'aide de flux de travail visuels. Step Functions fournit une console graphique qui vous permet d'organiser et de visualiser les composants de votre application sous la forme d'une série d'étapes. Cela facilite la création et l'exécution d'applications en plusieurs étapes. Step Functions démarre et suit automatiquement chaque étape, puis réessaie en cas d'erreur, afin que votre application s'exécute dans l'ordre et comme prévu.
Step Functions enregistre l'état de chaque étape. Ainsi, en cas de problème, vous pouvez diagnostiquer et corriger rapidement les problèmes. Vous pouvez modifier et ajouter des étapes sans écrire de code, afin de faire évoluer votre application et d'innover plus rapidement. AWS Step Functions fait partie de AWS Serverless et simplifie l'orchestration des AWS Lambda fonctions pour les applications sans serveur. Vous pouvez également utiliser Step Functions pour l'orchestration de microservices à l'aide de ressources de calcul telles qu'Amazon EC2 et Amazon ECS.
[https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/) : vous AWS Systems Manager donne la visibilité et le contrôle de votre infrastructure sur AWS. Systems Manager fournit une interface utilisateur unifiée qui vous permet de visualiser les données opérationnelles de plusieurs AWS services et d'automatiser les tâches opérationnelles sur l'ensemble de vos AWS ressources. Avec Systems Manager, vous pouvez regrouper les ressources par application, consulter les données opérationnelles à des fins de surveillance et de dépannage, et agir sur vos groupes de ressources. Systems Manager peut maintenir vos instances dans leur état défini, effectuer des modifications à la demande, telles que la mise à jour d'applications ou l'exécution de scripts shell, et effectuer d'autres tâches d'automatisation et de correction.
# Stockage sécurisé
[https://aws.amazon.com/s3/](https://aws.amazon.com/s3/) — Amazon S3 est un système de stockage d'objets conçu pour stocker et récupérer n'importe quel volume de données, où que vous soyez. Il est conçu pour offrir une durabilité de 99,999999999 % et stocke les données de millions d'applications utilisées par les leaders du marché dans tous les secteurs. Amazon S3 fournit une sécurité complète et est conçu pour vous aider à répondre à vos exigences réglementaires. Il offre aux clients une flexibilité dans les méthodes qu'ils utilisent pour gérer les données à des fins d'optimisation des coûts, de contrôle d'accès et de conformité. Amazon S3 fournit des query-in-place fonctionnalités qui vous permettent d'exécuter de puissantes analyses directement sur vos données au repos dans Amazon S3. Amazon S3 est un service de stockage dans le cloud hautement pris en charge, intégrant l'une des plus grandes communautés de solutions tierces, de partenaires intégrateurs de systèmes et d'autres AWS services.
[https://aws.amazon.com/s3/storage-classes/glacier/](https://aws.amazon.com/s3/storage-classes/glacier/) — Amazon Glacier est un service de stockage cloud sécurisé, durable et extrêmement économique pour l'archivage des données et la sauvegarde à long terme. Il est conçu pour offrir une durabilité de 99,999999999 %, fournit une sécurité complète et est conçu pour vous aider à répondre à vos exigences réglementaires. Amazon Glacier fournit des query-in-place fonctionnalités qui vous permettent d'exécuter de puissantes analyses directement sur vos données d'archive au repos. Pour réduire les coûts tout en répondant aux différents besoins de récupération, Amazon Glacier propose trois options d'accès aux archives, allant de quelques minutes à plusieurs heures.
# Capacités de sécurité futures et personnalisées
Les services et fonctionnalités mentionnés ci-dessus ne constituent pas une liste exhaustive. AWS ajoute continuellement de nouvelles fonctionnalités. Pour plus d'informations, nous vous invitons à consulter les pages [Nouveautés chez AWS](https://aws.amazon.com/new/) et [AWS Cloud Security](https://aws.amazon.com/security/). Outre les services de sécurité proposés en tant que AWS services cloud natifs, vous souhaiterez peut-être développer vos propres capacités en plus des AWS services.
Bien que nous vous recommandions d'activer un ensemble de services de sécurité de base au sein de vos comptes AWS CloudTrail, tels qu'Amazon et Amazon Macie, vous souhaiterez peut-être étendre ces fonctionnalités afin de tirer une valeur supplémentaire de vos ressources de journal. GuardDuty Un certain nombre d'outils destinés aux partenaires sont disponibles, tels que ceux répertoriés dans notre programme de compétences en matière de sécurité APN. Vous pouvez également écrire vos propres requêtes pour effectuer des recherches dans vos journaux. Avec le grand nombre de services gérés AWS proposés, cela n'a jamais été aussi simple. Il existe de nombreux AWS services supplémentaires qui peuvent vous aider dans vos recherches et qui sortent du cadre de ce paper, tels qu'Amazon Athena, Amazon OpenSearch Service, Amazon Quick, Amazon Machine Learning et Amazon EMR.