Définition des préférences en matière d'actions de confinement - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition des préférences en matière d'actions de confinement

Les actions de confinement permettent à Security Incident Response d'exécuter des mesures de réponse rapide lors d'un incident de sécurité actif, telles que l'isolation des hôtes compromis ou la rotation des informations d'identification. Ces actions permettent d'atténuer rapidement l'impact des incidents de sécurité dans votre environnement.

Important

La réponse aux incidents de sécurité n'active pas les fonctionnalités de confinement par défaut. Vous devez autoriser explicitement les actions de confinement par le biais de vos préférences de confinement.

Pour autoriser les ingénieurs de réponse aux incidents de sécurité à effectuer des actions de confinement en votre nom, vous devez définir les préférences de confinement au niveau de votre organisation ou de votre compte. Les préférences au niveau du compte remplacent les préférences au niveau de l'organisation.

Conditions préalables : Vous devez disposer des autorisations nécessaires pour créer des AWS Support dossiers.

Options de confinement :

  • Approbation requise (par défaut) : n'effectuez aucun confinement proactif d'une ressource sans autorisation explicite case-by-case.

  • Contenir les données confirmées : effectuez un confinement proactif d'une ressource dont la compromission a été confirmée.

  • Contenir les ressources suspectes : effectuez un confinement proactif d'une ressource présentant une forte probabilité d'avoir été compromise, sur la base d'une analyse réalisée par l' Réponse aux incidents de sécurité AWS ingénierie.

Pour définir les préférences de confinement :

  1. Créez un AWS Support dossier demandant de configurer les préférences d'action de confinement pour la réponse aux incidents de sécurité.

  2. Dans votre dossier d'assistance, spécifiez :

    • Votre AWS Organizations identifiant ou compte spécifique sur IDs lequel les actions de confinement doivent être autorisées

    • Votre option de confinement préférée (pas de confinement, confinement avec approbation ou confinement automatique)

    • Les types d'actions de confinement que vous souhaitez autoriser (telles que l'isolation d'instances EC2, la rotation des informations d'identification ou les modifications de groupes de sécurité)

  3. AWS Support travaille avec vous pour configurer vos préférences de confinement. Vous devez déployer le nécessaire pour créer AWS CloudFormation StackSet les rôles IAM requis. AWS Support peut fournir une assistance, si nécessaire.

Une fois configuré, Security Incident Response exécute les actions de confinement autorisées lors d'incidents de sécurité actifs afin de protéger votre environnement.

Étapes suivantes : Une fois les préférences de confinement configurées, vous pouvez surveiller les mesures de confinement prises lors d'incidents dans la console Security Incident Response.