Résumé des éléments de préparation - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résumé des éléments de préparation

Pour une réponse rapide et efficace aux incidents de sécurité, une préparation minutieuse est essentielle. La préparation de la réponse aux incidents implique des personnes, des processus et des technologies. Ces trois domaines jouent un rôle tout aussi important pour la préparation. Vous devez préparer et faire évoluer votre programme de réponse aux incidents dans les trois domaines.

Le tableau 2 résume les éléments de préparation détaillés dans cette section.

Tableau 2 — Éléments de préparation à la réponse aux incidents

Domaine Article de préparation Éléments d’action
Gens Définissez les rôles et les responsabilités.

  • Identifiez les parties prenantes concernées par la réponse aux incidents.

  • Élaborez un tableau des incidents responsables, responsables, informés et consultés (RACI).

Gens Formez le personnel d'intervention en cas d'incident sur AWS.

  • Formez les parties prenantes de la réponse aux incidents sur AWS les bases.

  • Formez les parties prenantes de la réponse aux incidents sur les services de AWS sécurité et de surveillance.

  • Formez les parties prenantes de la réponse aux incidents à votre AWS environnement et à son architecture.

Gens Comprenez AWS les options de support.

  • Comprenez les différences entre le AWS support, l'équipe de réponse aux incidents clients (CIRT), l'équipe de réponse DDo S (DRT) et l'AMS.

  • Comprenez le chemin de triage et d'escalade pour atteindre le CIRT lors d'un événement de sécurité actif, si nécessaire.

Procédé Développez un plan de réponse aux incidents.

  • Créez un document de haut niveau qui définit votre programme et votre stratégie de réponse aux incidents.

  • Incluez un RACI, un plan de communication, des définitions des incidents et les phases de réponse aux incidents dans le plan de réponse aux incidents.

Procédé Documentez et centralisez les diagrammes d'architecture.

  • Documentez les détails de la configuration de votre AWS environnement en termes de structure de compte, d'utilisation des services, de modèles IAM et d'autres fonctionnalités essentielles de votre AWS configuration.

  • Développez des diagrammes d'architecture de vos architectures cloud.

Procédé Développez des manuels de réponse aux incidents.

  • Créez un modèle pour la structure de vos playbooks.

  • Créez des playbooks pour les événements de sécurité attendus.

  • Créez des playbooks pour les alertes de sécurité connues, telles que GuardDuty les résultats.

Procédé Effectuez régulièrement des simulations.

  • Développez une cadence régulière pour exécuter des simulations d'incidents.

  • Utilisez les résultats et les leçons apprises pour peaufiner votre programme de réponse aux incidents.

Technologie Développez une structure de AWS compte.

  • Planifiez une structure de compte pour la façon dont les charges de travail sont séparées par AWS des comptes.

  • Créez une unité d'organisation de sécurité avec un outil de sécurité et un compte d'archivage des journaux.

  • Créez une unité d'organisation d'analyse poussée avec des comptes d'analyse poussée pour chaque région dans laquelle vous exercez vos activités.

Technologie Élaborez et mettez en œuvre une stratégie de marquage qui aide les intervenants à identifier la propriété et le contexte des résultats.

  • Planifiez une stratégie de balisage et définissez les balises que vous souhaitez associer à vos AWS ressources.

  • Mettez en œuvre et appliquez la stratégie de balisage.

Technologie Mettez à jour les informations de contact du AWS compte.

  • Vérifiez que les informations de contact des AWS comptes sont répertoriées.

  • Créez des listes de distribution d'e-mails contenant les informations de contact afin de supprimer les points de défaillance uniques.

  • Protégez les comptes de messagerie associés aux informations du AWS compte.

Technologie Préparez l'accès aux AWS comptes.

  • Définissez les accès dont les intervenants auront besoin pour répondre à un incident.

  • Implémentez, testez et surveillez l'accès.

Technologie Comprenez le paysage des menaces.

  • Développez des modèles de menace pour votre environnement et vos applications.

  • Intégrez et utilisez les renseignements sur les cybermenaces.

Technologie Sélection et configuration de journaux.

  • Identifiez et activez les journaux pour les enquêtes.

  • Stockage des journaux.

  • Identifiez et implémentez la conservation des journaux.

  • Développez un mécanisme pour récupérer et interroger les journaux et les artefacts.

  • Utilisez les journaux pour les alertes.

Technologie Développez des capacités de criminalistique.

  • Identifiez les artefacts nécessaires à la collecte de données médico-légales.

  • Capturez et sécurisez les sauvegardes des principaux systèmes.

  • Définissez les mécanismes d'analyse des journaux et artefacts identifiés.

  • Mettez en œuvre l'automatisation pour l'analyse médico-légale.

Une approche itérative est recommandée pour la préparation de la réponse aux incidents. Tous ces éléments de préparation ne peuvent pas être effectués du jour au lendemain ; vous devez créer un plan pour commencer modestement et améliorer continuellement vos capacités de réponse aux incidents au fil du temps.