Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Détecter et analyser
Réponse aux incidents de sécurité AWS surveille, trie, étudie les résultats de sécurité d'Amazon GuardDuty et les intégrations via. AWS Security Hub Les mesures supplémentaires susceptibles d'améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation de l'Organisation sont notamment les suivantes :
Activation des sources de détection prises en charge
Note
Réponse aux incidents de sécurité AWS les coûts de service n'incluent pas l'utilisation ni les autres coûts et frais associés aux sources de détection prises en charge ou à l'utilisation d'autres AWS services. Veuillez consulter les pages relatives aux fonctionnalités ou aux services individuels pour connaître les détails des coûts.
Amazon GuardDuty
GuardDuty est un service de détection des menaces qui surveille, analyse et traite en permanence les sources de données et les journaux de votre AWS environnement. GuardDuty Il n'est pas nécessaire de l'activer pour l'utiliser Réponse aux incidents de sécurité AWS ; toutefois, pour utiliser la fonctionnalité de réponse proactive et de triage des alertes, Amazon GuardDuty doit être activée.
Pour l'activer GuardDuty dans l'ensemble de votre organisation, consultez la Setting up GuardDuty section du guide de GuardDuty l'utilisateur Amazon.
Nous vous recommandons vivement d'activer toutes les GuardDuty options prises en charge Régions AWS. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Pour plus d'informations, consultez Amazon GuardDuty Regions and endpoints
L'activation GuardDuty permet Réponse aux incidents de sécurité AWS d'accéder aux données de détection des menaces critiques, améliorant ainsi leur capacité à identifier les problèmes de sécurité potentiels dans votre AWS environnement et à y répondre.
AWS Security Hub
Security Hub peut ingérer les résultats de sécurité provenant de plusieurs AWS services et solutions de sécurité tierces prises en charge. Ces intégrations peuvent aider à Réponse aux incidents de sécurité AWS surveiller et à étudier les résultats provenant d'autres outils de détection.
Pour activer l'intégration de Security Hub with Organizations, veuillez consulter le guide de AWS Security Hub l'utilisateur.
Il existe plusieurs manières d'activer les intégrations sur Security Hub. Pour les intégrations de produits tiers, vous devrez peut-être acheter l'intégration auprès du AWS Marketplace, puis la configurer. Les informations d'intégration fournissent des liens permettant d'effectuer ces tâches. Découvrez comment activer les AWS Security Hub intégrations.
Réponse aux incidents de sécurité AWS peut surveiller et étudier les résultats des outils suivants lorsqu'ils sont intégrés à AWS Security Hub :
En activant ces intégrations, vous pouvez améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation.
Analyser les résultats.
Réponse aux incidents de sécurité AWS l'équipe de service des automatismes et du AWS CIRT analysera tous les résultats des outils pris en charge. Nous commencerons à en apprendre davantage sur votre environnement en communiquant avec vous à l'aide de dossiers de AWS Support. Par exemple, lorsque nous devons comprendre si une constatation est un comportement attendu ou si elle doit être transformée en incident. Au fur et à mesure que nous en apprendrons davantage sur votre environnement, nous personnaliserons le service et réduirons le nombre de communications.
Signaler un événement.
Vous pouvez déclencher un événement de sécurité via le portail Réponse aux incidents de sécurité AWS de service. Il est important de ne pas attendre lors d'un événement de sécurité. Réponse aux incidents de sécurité AWS utilise des techniques automatisées et manuelles pour enquêter sur les événements de sécurité, analyser les journaux et rechercher des modèles anormaux. Votre partenariat et votre compréhension de votre environnement accélèrent cette analyse.
Communiquez.
Réponse aux incidents de sécurité AWS vous tient informé tout au long de l'enquête en contactant vos contacts de sécurité tout au long du dossier de l'événement. Plusieurs membres de votre équipe peuvent soutenir votre événement, tous utilisant le ticket d'événement pour accéder au contenu et AWS aux mises à jour fournis par le client.
Les communications peuvent inclure des notifications automatisées lorsqu'une alerte de sécurité est générée, des communications pendant l'analyse d'un événement, l'établissement de passerelles d'appels, l'analyse continue d'artefacts tels que les fichiers journaux et la communication des résultats de l'enquête pendant l'événement de sécurité.
Le service créera des Réponse aux incidents de sécurité AWS dossiers pour communiquer avec vos équipes. Nous créerons des poursuites contre votre compte de membre. Cette approche centralise les communications de tous vos comptes en un seul endroit. Le préfixe « [Proactive case] » permet d'identifier les cas initiés par Réponse aux incidents de sécurité AWS.
En participant activement à ces communications et en fournissant des réponses rapides, vous pouvez aider le Réponse aux incidents de sécurité AWS service à :
Comprenez mieux votre environnement et les comportements attendus.
Réduisez les faux positifs au fil du temps.
Améliorez la précision et la pertinence des alertes.
Garantissez une réponse rapide aux véritables incidents de sécurité.
N'oubliez pas que l'efficacité du Réponse aux incidents de sécurité AWS service s'améliore avec votre collaboration, ce qui se traduit par un AWS environnement plus sécurisé et surveillé de manière plus efficace.
