Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Détecter et analyser
Signaler un événement
Vous pouvez déclencher un événement de sécurité via le Réponse aux incidents de sécurité AWS portail. Il est important de ne pas attendre lors d'un événement de sécurité. Réponse aux incidents de sécurité AWS utilise des techniques automatisées et manuelles pour enquêter sur les événements de sécurité, analyser les journaux et rechercher des modèles anormaux. Votre partenariat et votre compréhension de votre environnement accélèrent cette analyse.
Activation des sources de détection prises en charge
Note
Réponse aux incidents de sécurité AWS les coûts de service n'incluent pas l'utilisation ni les autres coûts et frais associés aux sources de détection prises en charge ou à l'utilisation d'autres AWS services. Veuillez consulter les pages relatives aux fonctionnalités ou aux services individuels pour connaître les détails des coûts.
Amazon GuardDuty
Pour l'activer GuardDuty dans l'ensemble de votre organisation, consultez la Setting up GuardDuty section du guide de GuardDuty l'utilisateur Amazon.
Nous vous recommandons vivement d'activer toutes les GuardDuty options prises en charge Régions AWS. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Pour plus d'informations, consultez Amazon GuardDuty Regions and endpoints
L'activation GuardDuty permet Réponse aux incidents de sécurité AWS d'accéder aux données de détection des menaces critiques, améliorant ainsi leur capacité à identifier les problèmes de sécurité potentiels dans votre AWS environnement et à y répondre.
AWS Security Hub CSPM
Security Hub CSPM peut intégrer les résultats de sécurité provenant de plusieurs AWS services et solutions de sécurité tierces prises en charge. Ces intégrations peuvent aider à Réponse aux incidents de sécurité AWS surveiller et à étudier les résultats provenant d'autres outils de détection.
Pour activer l'intégration de Security Hub CSPM with Organizations, veuillez consulter le guide de l'AWS Security Hub CSPM utilisateur.
Il existe plusieurs manières d'activer les intégrations sur Security Hub CSPM. Pour les intégrations de produits tiers, vous devrez peut-être acheter l'intégration auprès du AWS Marketplace, puis la configurer. Les informations d'intégration fournissent des liens permettant d'effectuer ces tâches. Découvrez comment activer les AWS Security Hub CSPM intégrations.
Réponse aux incidents de sécurité AWS peut surveiller et étudier les résultats des outils suivants lorsqu'ils sont intégrés à AWS Security Hub CSPM :
En activant ces intégrations, vous pouvez améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation.
Détection
Si la « Réponse proactive » est activée https://docs.aws.amazon.com/security-ir/latest/userguide/setup, le monitoring-and-investigation-workflowsfichier .html intègre Réponse aux incidents de sécurité AWS les résultats provenant d'Amazon GuardDuty et via les EventBridge règles AWS Security Hub CSPM Amazon qui sont déployées sur vos comptes lors de l'intégration.
Réponse aux incidents de sécurité AWS archive automatiquement GuardDuty les résultats d'Amazon dont le triage automatique a déterminé qu'ils étaient bénins ou associés à une activité attendue. Vous pouvez consulter les résultats archivés dans la GuardDuty console Amazon en sélectionnant Archivé dans le filtre État des résultats. Pour plus d'informations, consultez la section Affichage des résultats générés dans GuardDuty la console dans le guide de GuardDuty l'utilisateur Amazon.
Réponse aux incidents de sécurité AWS archive automatiquement GuardDuty les résultats d'Amazon dont le triage automatique a déterminé qu'ils étaient bénins ou associés à une activité attendue. Cet archivage a lieu uniquement pour les résultats qui ont été triés et dont le résultat est désigné comme « archive ». Les résultats faisant l'objet d'une enquête active restent visibles dans la GuardDuty console Amazon même après la fin de l'enquête. Vous pouvez consulter les résultats archivés dans la GuardDuty console Amazon en sélectionnant Archivé dans le filtre des résultats. Pour plus d'informations sur l'utilisation des résultats archivés, consultez la section Utilisation des résultats dans le guide de GuardDuty l'utilisateur Amazon.
Lors AWS Security Hub CSPM de l'ingestion des résultats de sécurité, le système met à jour chaque résultat avec une note indiquant que le triage automatique a commencé. L'état du flux de travail passe de NOUVEAU à NOTIFIÉ, ce qui supprime le résultat de la vue des AWS Security Hub CSPM résultats par défaut. Si le triage détermine qu'un résultat est bénin ou associé à une activité attendue, le système ajoute une note au résultat et met à jour l'état du flux de travail sur SUPPRIMÉ.
Analyse : triage automatisé
Réponse aux incidents de sécurité AWS trie automatiquement les résultats de sécurité. Le processus de triage détermine si l'activité détectée représente le comportement attendu, en analysant les données provenant de sources multiples, notamment la charge utile de recherche, les métadonnées des AWS services, les données de AWS journalisation et de surveillance (telles que les journaux de flux AWS CloudTrail VPC), les informations sur les AWS menaces et le contexte que vous êtes invité à fournir sur votre AWS environnement et sur site.
Si le triage automatique détermine que l'activité détectée est attendue, le système ne prend aucune autre mesure d'investigation.
Analyse : enquête de sécurité sur la réponse aux incidents
Réponse aux incidents de sécurité AWS L'ingénierie est une équipe mondiale toujours disponible de professionnels de la sécurité dotés d'une expertise en matière de réponse aux incidents de sécurité AWS et de réponse aux incidents de sécurité. Si le triage automatique ne permet pas de déterminer si l'activité est prévue, Réponse aux incidents de sécurité AWS l'ingénierie est engagée pour effectuer une enquête de sécurité. Si l'événement a été ingéré depuis Security Hub, une note est publiée à la suite de la constatation correspondante indiquant que l'enquête Réponse aux incidents de sécurité AWS d'Engineering est en cours.
Réponse aux incidents de sécurité AWS L'ingénierie mène une enquête de sécurité pratique en analysant des métadonnées de service supplémentaires et des informations sur les menaces, en examinant les informations issues des découvertes et des enquêtes passées dans votre environnement et en appliquant son expertise en matière de réponse aux incidents. En fonction de vos préférences en matière de confinement (voir Contenir), l'ingénierie de réponse aux incidents de AWS sécurité peut faire appel à l'équipe de réponse aux incidents de votre organisation par le biais d'un dossier de réponse aux incidents de sécurité dans la Réponse aux incidents de sécurité AWS console afin de vérifier si l'activité détectée est attendue et autorisée à répondre à un cas AWS généré.
Communiquez
AWS Security Incident Response vous tient informé lors des enquêtes de sécurité en dialoguant avec votre équipe de réponse aux incidents dans le cadre d'un dossier de réponse aux incidents de sécurité. Plusieurs membres de Réponse aux incidents de sécurité AWS l'ingénierie peuvent apporter leur soutien à une enquête. La communication peut inclure : la reconnaissance ou la notification de la création d'une enquête de sécurité ; l'établissement d'une passerelle d'appel ; l'analyse d'artefacts tels que les fichiers journaux ; les demandes de confirmation de l'activité attendue ; et le partage des résultats de l'enquête.
Lorsque vous interagissez de Réponse aux incidents de sécurité AWS manière proactive avec votre équipe de réponse aux incidents, un dossier est créé dans votre compte de Réponse aux incidents de sécurité AWS membre, qui centralise les communications pour tous les comptes de l'organisation en un seul endroit. Ces dossiers contiennent le préfixe « [Affaire proactive] » dans leur titre, qui les identifie comme initiés par Réponse aux incidents de sécurité AWS. En participant activement à ces communications et en fournissant des réponses rapides à ces communications, votre équipe de réponse aux incidents peut vous aider Réponse aux incidents de sécurité AWS à effectuer les tâches suivantes :
Garantissez une réponse rapide aux véritables incidents de sécurité.
Comprenez votre environnement et les comportements attendus.
Réduisez les détections de faux positifs au fil du temps.
L'efficacité de Réponse aux incidents de sécurité AWS s'améliore grâce à votre collaboration et se traduit par un AWS environnement surveillé et sécurisé de manière plus efficace.
Mise à jour des résultats
Réponse aux incidents de sécurité AWS gère les résultats différemment en fonction de leur source et du résultat du triage.
Réglage des services
Lorsque les quotas de service de votre compte le permettent, Réponse aux incidents de sécurité AWS tente de déployer une règle de GuardDuty suppression ou une règle d'AWS Security Hub CSPM automatisation Amazon. Ces règles suppriment les futures découvertes correspondant au type et à la source d'une activité autorisée connue (par exemple, adresse IP source, ASN, principal d'identité ou ressource). AWS Security Hub CSPM les règles sont déployées avec une priorité 10, ce qui vous permet de remplacer ces automatisations par des règles définies par vous-même si nécessaire.
De cette façon, les sources Réponse aux incidents de sécurité AWS de détection sont ajustées en fonction du comportement attendu dans votre AWS environnement. Votre équipe de réponse aux incidents est informée des modifications apportées à ces ensembles de règles, et les modifications sont annulées sur demande.
