Création d'un dossier AWS pris en charge - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un dossier AWS pris en charge

Vous pouvez créer un dossier AWS pris en charge Réponse aux incidents de sécurité AWS par le biais de la console, de l'API ou du AWS Command Line Interface. AWS les cas pris en charge vous permettent de bénéficier de l'assistance des ingénieurs de réponse aux incidents de sécurité.

Important

Les dossiers de démonstration ou de simulation seront clôturés après une période de 90 jours.

Note

AWS Les ingénieurs de réponse aux incidents de sécurité répondront à votre cas dans les 15 minutes. Le temps de réponse correspond à la première réponse des ingénieurs de réponse aux incidents de AWS sécurité. Nous ferons tous les efforts raisonnables pour répondre à votre demande initiale dans ce délai. Ce délai de réponse ne s'applique pas aux réponses suivantes.

Note

Vous pouvez créer des dossiers AWS pris en charge non seulement pour les incidents de sécurité en cours et les enquêtes, mais également pour les demandes concernant les capacités de réponse aux incidents de AWS sécurité. Cela inclut des questions sur les règles de GuardDuty suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et des conseils généraux sur le niveau de sécurité. Sélectionnez le type de dossier Enquêtes et demandes de renseignements à ces fins.

L'exemple suivant décrit l'utilisation de la console.

  1. Connectez-vous Réponse aux incidents de sécurité AWS via le AWS Management Console.

  2. Choisissez Create Case

  3. Choisissez Résoudre le dossier avec AWS

  4. Sélectionnez le type de demande

    1. Incident de sécurité actif : ce type est destiné à l'assistance et aux services de réponse aux incidents urgents.

    2. Enquêtes et demandes de renseignements : utilisez ce type pour les incidents de sécurité présumés où les ingénieurs AWS de réponse aux incidents de sécurité peuvent vous aider à analyser les journaux et à confirmer ensuite l'enquête sur la réponse aux incidents. Vous pouvez également utiliser ce type pour les demandes concernant les GuardDuty résultats, les règles de suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et les questions générales de sécurité liées aux capacités de réponse aux incidents de AWS sécurité.

  5. Définissez la date de début estimée à la date du premier indicateur de l'incident. Par exemple, lorsque vous avez connu un comportement anormal pour la première fois ou lorsque vous avez reçu la première alerte de sécurité correspondante.

  6. Définissez un titre pour le dossier

  7. Fournissez une description détaillée du cas.  Tenez compte des aspects suivants qui peuvent aider les intervenants à résoudre les incidents :

    1. Que s’est-il passé ?

    2. Qui a découvert et signalé l'incident ?

    3. Qui est concerné par cette affaire ?

    4. Quel est l'impact connu ?

    5. Quelle est l'urgence de cette affaire ?

    6. Ajoutez un ou plusieurs Compte AWS IDs éléments inclus dans le champ du dossier.

  8. Ajoutez des informations facultatives sur le dossier :

    1. Sélectionnez les principaux services concernés dans la liste déroulante.

    2. Sélectionnez les principales régions touchées dans la liste déroulante.

    3. Ajoutez une ou plusieurs adresses IP d'acteurs menaçants que vous avez identifiées dans le cadre de ce dossier. 

  9. Ajoutez des intervenants supplémentaires facultatifs au dossier qui recevra des notifications. Pour ajouter une personne, procédez comme suit :

    1. Ajoutez une adresse e-mail.

    2. Ajoutez un prénom et un nom de famille facultatifs.

    3. Choisissez Ajouter pour ajouter une autre personne.

    4. Pour supprimer un individu, choisissez l'option Supprimer pour un individu.

    5. Choisissez Ajouter pour ajouter toutes les personnes répertoriées au dossier.

      1. Vous pouvez sélectionner plusieurs personnes et choisir Supprimer pour les supprimer de la liste.

  10. Ajoutez des étiquettes facultatives au boîtier.

    1. Pour ajouter une balise, procédez comme suit :

    2. Sélectionnez Ajouter une nouvelle balise.

    3. Pour Clé, entrez le nom de la balise.

    4. Pour Valeur, saisissez la valeur de l‘identification.

    5. Pour supprimer une balise, choisissez l‘option de Suppression pour cette balise.

Une fois qu'un dossier AWS pris en charge a été créé, les ingénieurs de réponse aux incidents de AWS sécurité et votre équipe de réponse aux incidents sont immédiatement avertis.

Pour créer un dossier AWSétayé par une investigation basée sur l'IA

  1. Ouvrez la Réponse aux incidents de sécurité AWS console à l'adresse console.aws.amazon.com/.

  2. Choisissez Cases dans le volet de navigation.

  3. Choisissez Create case (Créer une demande).

  4. Pour Type de dossier, sélectionnez Boîtier AWS pris en charge.

  5. Fournissez les détails du dossier, notamment le titre, la date de début de l'incident et l'identifiant AWS du compte concerné.

  6. Dans la section Décrire l'événement de sécurité, fournissez une description complète de l'incident.

  7. Fournissez des informations supplémentaires sur les AWS services concernés, les régions et d'autres informations pertinentes.

  8. Choisissez Create case (Créer une demande).

Une fois le dossier créé, les ingénieurs de réponse aux incidents de sécurité et l'agent d'intelligence artificielle commencent à travailler simultanément.

Pour répondre aux questions de clarification de l'IA (facultatif)

  1. Accédez à l'onglet Investigation correspondant à votre cas.

  2. Passez en revue toutes les questions de clarification présentées par l'agent d'IA.

  3. Répondez aux questions ou choisissez Ignorer si vous préférez ne pas répondre.

  4. Choisissez Soumettre pour continuer. Tous les champs sont facultatifs.

Divulgation responsable de l'IA

Les résumés des enquêtes sont générés à l'aide des fonctionnalités de l'IA AWS générative. Vous êtes chargé d'évaluer les recommandations générées par l'IA dans votre contexte spécifique, de mettre en œuvre des mécanismes de supervision appropriés, de vérifier les résultats de manière indépendante et de maintenir un contrôle humain de toutes les décisions de sécurité.