View a markdown version of this page

Étape 1 : activer Réponse aux incidents de sécurité AWS - Réponse aux incidents de sécurité AWS Guide de l’utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : activer Réponse aux incidents de sécurité AWS

Le processus d'intégration prend environ 10 à 15 minutes par AWS organisation. Pour une présentation détaillée, consultez la vidéo de mise en route dans la documentation du service.

Note

Les instructions de cette section expliquent comment activer la réponse aux incidents de sécurité et configurer votre équipe à l'aide de la Réponse aux incidents de sécurité AWS console (étapes 1 et 2). Vous pouvez également effectuer ces étapes à l'aide du API/CLI. Pour obtenir des instructions sur l'utilisation du API/CLI, voirActivez la réponse aux incidents de sécurité et configurez votre équipe de réponse aux incidents à l'aide du API/CLI.

Enable Réponse aux incidents de sécurité AWS en utilisant le Réponse aux incidents de sécurité AWS console

  1. Connectez-vous à la console de AWS gestion à l'aide de votre compte de gestion.

  2. Ouvrez la Réponse aux incidents de sécurité AWS console et choisissez S'inscrire.

    Réponse aux incidents de sécurité AWS page d'inscription avec le bouton d'inscription.

  3. Configurez votre compte de membre central. Pour obtenir des conseils, voir Architecture de référence de sécurité dans les directives AWS prescriptives et Considérations et recommandations sur le fonctionnement d'un compte administrateur délégué pour la réponse aux incidents de sécurité.

    Configurez la page centrale du compte de membre pour sélectionner un compte d'administrateur délégué.

  4. Connectez-vous au compte d'administrateur délégué.

  5. Entrez les détails de votre adhésion et associez les comptes concernés.

  6. Dans le champ d'application du compte, choisissez de l'activer Réponse aux incidents de sécurité AWS pour AWS l'ensemble de votre organisation ou pour des unités d'organisation spécifiques. Vous pouvez sélectionner la couverture au niveau de l'unité organisationnelle, mais pas au niveau du compte individuel.

  7. La réponse proactive est activée par défaut et crée un rôle lié au service qui permet à l'ingénierie de réponse aux incidents de sécurité d'assimiler les GuardDuty résultats et d'ouvrir des enquêtes proactives lorsque des menaces sont détectées. Pour plus d'informations, consultez la section Réponse proactive.

    Réponse aux incidents de sécurité AWS crée automatiquement le rôle AWSServiceRoleForSecurityIncidentResponse_Triage lié au service dans votre compte AWS Organizations de gestion et dans tous les comptes concernés.

  8. (Facultatif) Choisissez d'autoriser au préalable l'ingénierie de réponse aux incidents de sécurité à effectuer des actions de confinement en votre nom lors d'incidents actifs. Les actions de confinement prises en charge incluent les runbooks pour les compartiments S3 compromis, les instances EC2 et les principes IAM. Si vous ignorez cette étape, l'ingénierie de réponse aux incidents de sécurité fournira des conseils manuels lors des enquêtes. Pour plus d'informations, consultez la section Actions de confinement.

  9. Vérifiez les autorisations de service et la configuration d'intégration, puis choisissez S'inscrire.

    Passez en revue l'écran des autorisations de service indiquant Réponse aux incidents de sécurité AWS les autorisations nécessaires pour surveiller les résultats.
    Écran de confirmation d'inscription pour activer le suivi proactif des réponses.