Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Détecter et analyser
Réponse aux incidents de sécurité AWS surveille, trie, étudie les résultats de sécurité d'Amazon GuardDuty et les intégrations via. AWS Security Hub CSPM Les mesures supplémentaires susceptibles d'améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation de l'Organisation sont notamment les suivantes :
Activation des sources de détection prises en charge
Note
Réponse aux incidents de sécurité AWS les coûts de service n'incluent pas l'utilisation ni les autres coûts et frais associés aux sources de détection prises en charge ou à l'utilisation d'autres AWS services. Veuillez consulter les pages relatives aux fonctionnalités ou aux services individuels pour connaître les détails des coûts.
Amazon GuardDuty
Pour l'activer GuardDuty dans l'ensemble de votre organisation, consultez la Setting up GuardDuty section du guide de GuardDuty l'utilisateur Amazon.
Nous vous recommandons vivement d'activer toutes les GuardDuty options prises en charge Régions AWS. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Pour plus d'informations, consultez Amazon GuardDuty Regions and endpoints
L'activation GuardDuty permet Réponse aux incidents de sécurité AWS d'accéder aux données de détection des menaces critiques, améliorant ainsi leur capacité à identifier les problèmes de sécurité potentiels dans votre AWS environnement et à y répondre.
AWS Security Hub CSPM
Security Hub CSPM peut intégrer les résultats de sécurité provenant de plusieurs AWS services et solutions de sécurité tierces prises en charge. Ces intégrations peuvent aider à Réponse aux incidents de sécurité AWS surveiller et à étudier les résultats provenant d'autres outils de détection.
Pour activer l'intégration de Security Hub CSPM with Organizations, veuillez consulter le guide de l'AWS Security Hub CSPM utilisateur.
Il existe plusieurs manières d'activer les intégrations sur Security Hub CSPM. Pour les intégrations de produits tiers, vous devrez peut-être acheter l'intégration auprès du AWS Marketplace, puis la configurer. Les informations d'intégration fournissent des liens permettant d'effectuer ces tâches. Découvrez comment activer les AWS Security Hub CSPM intégrations.
Réponse aux incidents de sécurité AWS peut surveiller et étudier les résultats des outils suivants lorsqu'ils sont intégrés à AWS Security Hub CSPM :
En activant ces intégrations, vous pouvez améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation.
Analyser les résultats.
Réponse aux incidents de sécurité AWS l'équipe de service des automatismes et du AWS CIRT analysera tous les résultats des outils pris en charge. Nous commencerons à en apprendre davantage sur votre environnement en communiquant avec vous à l'aide de dossiers de AWS Support. Par exemple, lorsque nous devons comprendre si une constatation est un comportement attendu ou doit être transformée en incident. Au fur et à mesure que nous en apprendrons davantage sur votre environnement, nous personnaliserons le service et réduirons le nombre de communications.
Signaler un événement.
Vous pouvez déclencher un événement de sécurité via le portail Réponse aux incidents de sécurité AWS de service. Il est important de ne pas attendre lors d'un événement de sécurité. Réponse aux incidents de sécurité AWS utilise des techniques automatisées et manuelles pour enquêter sur les événements de sécurité, analyser les journaux et rechercher des modèles anormaux. Votre partenariat et votre compréhension de votre environnement accélèrent cette analyse.
Communiquez.
Réponse aux incidents de sécurité AWS vous tient informé pendant l'enquête en contactant vos contacts de sécurité tout au long du dossier de l'événement. Plusieurs membres de votre équipe peuvent soutenir votre événement, tous utilisant le ticket d'événement pour accéder au contenu et AWS aux mises à jour fournis par le client.
Les communications peuvent inclure des notifications automatisées lorsqu'une alerte de sécurité est générée, des communications lors de l'analyse d'un événement, l'établissement de passerelles d'appels, l'analyse continue d'artefacts tels que les fichiers journaux et la communication des résultats de l'enquête pendant l'événement de sécurité.
Le service créera des Réponse aux incidents de sécurité AWS dossiers pour communiquer avec vos équipes. Nous créerons des poursuites contre votre compte de membre. Cette approche centralise les communications de tous vos comptes en un seul endroit. Le préfixe « [Proactive case] » permet d'identifier les cas initiés par Réponse aux incidents de sécurité AWS.
En participant activement à ces communications et en fournissant des réponses rapides, vous pouvez aider le Réponse aux incidents de sécurité AWS service à :
Comprenez mieux votre environnement et les comportements attendus.
Réduisez les faux positifs au fil du temps.
Améliorez la précision et la pertinence des alertes.
Garantissez une réponse rapide aux véritables incidents de sécurité.
N'oubliez pas que l'efficacité du Réponse aux incidents de sécurité AWS service s'améliore avec votre collaboration, ce qui se traduit par un AWS environnement plus sûr et surveillé de manière plus efficace.
