Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tâches des utilisateurs
**Topics**
+ [Tableau de bord](dashboard.md)
+ [Gérer mon équipe de réponse aux incidents](managing-my-incident-response-team.md)
# Tableau de bord
Sur la Réponse aux incidents de sécurité AWS console, le tableau de bord vous donne une vue d'ensemble de votre équipe de réponse aux incidents, de l'état de votre réponse proactive et d'un décompte continu des cas sur quatre semaines.
Sélectionnez **Afficher l'équipe de réponse aux incidents** pour accéder aux détails de vos collègues chargés de la réponse aux incidents.
La section *Mes dossiers* du tableau de bord indique le nombre de dossiers AWS pris en charge ouverts et clôturés, ainsi que les dossiers autogérés qui vous ont été attribués au cours d'une période définie. Il indique également le temps moyen nécessaire pour résoudre les affaires clôturées en heures.
# Gérer mon équipe de réponse aux incidents
Vos équipes de réponse aux incidents comprennent les parties prenantes du processus de réponse aux incidents. Vous pouvez configurer jusqu'à dix parties prenantes dans le cadre de votre adhésion.
Parmi les parties prenantes internes, citons par exemple les membres de votre équipe de réponse aux incidents, les analystes de sécurité, les propriétaires d'applications et votre équipe de direction de la sécurité.
Parmi les parties prenantes externes, citons par exemple des personnes travaillant pour des fournisseurs de logiciels indépendants (ISV) et des fournisseurs de services gérés (MSP) que vous souhaitez inclure dans un processus de réponse aux incidents.
**Note**
La configuration de votre équipe de réponse aux incidents ne permet pas automatiquement aux membres de votre équipe d'accéder aux ressources du service, telles que les adhésions et les dossiers. Vous pouvez utiliser des politiques AWS gérées pour Réponse aux incidents de sécurité AWS accorder un accès en lecture et en écriture aux ressources. [ Cliquez ici pour en savoir plus.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
Vos collègues de réponse aux incidents spécifiés selon le niveau d'adhésion seront automatiquement ajoutés à tous les dossiers. Vous pouvez ajouter ou supprimer des coéquipiers individuels à tout moment après la création d'un dossier.
L'équipe de réponse aux incidents recevra une notification par e-mail concernant les événements répertoriés dans les [préférences de communication](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences).
# Préférences de communication
Configurez vos préférences de communication pour contrôler la manière dont vous recevez les notifications et interagissez avec le système de réponse aux incidents lors d'incidents de sécurité.
Vous pouvez configurer les préférences de communication des membres de votre équipe de réponse aux incidents à partir de la page du tableau de bord.
Pour gérer les paramètres de communication des membres de l'équipe, procédez comme suit :
1. Accédez à la page de l'équipe de réponse aux incidents depuis votre tableau de bord
1. Effectuez l’une des actions suivantes :
+ **Pour mettre à jour un membre de l'équipe existant : sélectionnez le coéquipier dont vous souhaitez modifier les préférences de communication, puis choisissez Modifier**
+ Pour ajouter un nouveau membre à l'équipe : Choisissez **Ajouter**
1. Au bas du formulaire, vous verrez les communications
1. Cochez les cases correspondant aux communications que vous souhaitez recevoir
1. Décochez les cases pour les communications que vous ne souhaitez pas recevoir
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/CommPref.png)
1. Enregistrez vos modifications
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
Par défaut, toutes les communications seront activées pour les membres de l'équipe de réponse aux incidents. Vous pouvez modifier ces paramètres à tout moment en suivant les étapes ci-dessus.
Vos préférences de communication contrôlent la manière dont vous interagissez avec le système de réponse aux incidents et la manière dont les notifications vous sont envoyées lors d'incidents de sécurité.
**Note**
Ces préférences s'appliquent à toutes les communications futures au sein du système de réponse aux incidents de sécurité. Vous pouvez modifier ces paramètres à tout moment en répétant les étapes ci-dessus.
# Association du compte à AWS Organizations
Lorsque vous l'activez Réponse aux incidents de sécurité AWS, vous aurez la possibilité de sélectionner l'ensemble de votre organisation ou des unités organisationnelles spécifiques (OUs). Si des OUs informations spécifiques sont sélectionnées, votre adhésion ne couvrira que les comptes correspondant à ceux sélectionnés OUs. Si l'ensemble de l'organisation est sélectionné, votre adhésion couvrira tous les comptes de votre organisation.
Pour plus de détails, consultez [la section Gestion Réponse aux incidents de sécurité AWS des comptes avec AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html).
# Gérer la couverture de votre adhésion
Vous pouvez modifier votre option de couverture d'adhésion à tout moment, notamment en passant d'une couverture à l'échelle de l'organisation à une couverture spécifique. OUs
# Mise à jour des associations UO
Pour gérer la couverture de votre adhésion :
1. Accédez à la page des paramètres d'association de comptes
1. Sélectionnez **Ajouter OUs** pour sélectionner celui que OUs vous souhaitez associer à votre adhésion
1. Sélectionnez celui OUs que vous souhaitez associer à votre adhésion
1. Cliquez sur **Mettre à jour l'association** pour enregistrer l'association UO dans votre abonnement
Après avoir mis à jour vos associations, vous pouvez revenir sur la même page et supprimer celles OUs que vous souhaitez dissocier de votre adhésion. Cette flexibilité s'applique même si vous avez initialement sélectionné l'ensemble de votre organisation. Vous pouvez ensuite mettre à jour votre adhésion pour ne couvrir que certains points spécifiques OUs sans annuler ni réactiver le service.
Pour plus d'informations, consultez [Gestion des membres avec les unités organisationnelles (OUs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).
# Importantes considérations
**Comptes situés directement sous la racine** : lorsque vous sélectionnez OUs des comptes spécifiques à votre adhésion, les comptes situés directement sous la racine de l'organisation (ne faisant partie d'aucune UO) ne seront associés à votre adhésion. Pour inclure ces comptes dans votre couverture d'adhésion, vous devez d'abord les ajouter à une unité d'organisation, puis associer cette unité d'organisation à votre adhésion.
**Note**
Nous améliorons continuellement l'expérience utilisateur de l'association UO afin de rendre le processus plus intuitif et plus explicite.
# Surveillance et enquête
AWS Security Incident Response examine et trie les alertes de sécurité d'Amazon AWS Security Hub CSPM, GuardDuty puis configure les règles de suppression en fonction de votre environnement afin d'éviter les alertes inutiles. L'équipe Réponse aux incidents de sécurité AWS d'ingénierie (SIRE) étudie les résultats, passe rapidement à l'échelon supérieur et guide votre équipe afin de contenir rapidement les problèmes potentiels. Si vous le souhaitez, vous pouvez Réponse aux incidents de sécurité AWS autoriser la mise en œuvre d'actions de confinement en votre nom.
Réponse aux incidents de sécurité AWS s'aligne sur le [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final). En s'alignant sur cette norme industrielle, il Réponse aux incidents de sécurité AWS fournit une approche cohérente de la gestion des événements de sécurité et adhère aux meilleures pratiques en matière de sécurisation et de réponse aux événements de sécurité dans votre AWS environnement.
Lorsque vous Réponse aux incidents de sécurité AWS identifiez une alerte de sécurité ou que vous demandez une assistance en matière de sécurité, le AWS SIRE enquête. L'équipe collecte les événements du journal et les données de service telles que les GuardDuty alertes, trie et analyse ces données, effectue des activités de remédiation et de confinement et fournit des rapports après l'incident.
**Topics**
+ [Préparation](prepare.md)
+ [Détecter et analyser](detect-and-analyze.md)
+ [Agent d'investigation AI](ai-investigative-agent.md)
+ [Contenir](contain.md)
+ [Éradiquer](eradicate.md)
+ [Récupération](recover.md)
+ [Rapport post-incident](post-incident-report.md)
# Préparation
L' Réponse aux incidents de sécurité AWS équipe enquête et collabore avec vous tout au long du cycle de vie de réponse aux événements de sécurité. Il est recommandé de configurer cette équipe et d'attribuer les autorisations nécessaires avant qu'un événement de sécurité ne se produise.
# Détecter et analyser
**Signaler un événement**
Vous pouvez déclencher un événement de sécurité via le Réponse aux incidents de sécurité AWS portail. Il est important de ne pas attendre lors d'un événement de sécurité. Réponse aux incidents de sécurité AWS utilise des techniques automatisées et manuelles pour enquêter sur les événements de sécurité, analyser les journaux et rechercher des modèles anormaux. Votre partenariat et votre compréhension de votre environnement accélèrent cette analyse.
**Activation des sources de détection prises en charge**
**Note**
Réponse aux incidents de sécurité AWS les coûts de service n'incluent pas l'utilisation ni les autres coûts et frais associés aux sources de détection prises en charge ou à l'utilisation d'autres AWS services. Veuillez consulter les pages relatives aux fonctionnalités ou aux services individuels pour connaître les détails des coûts.
*Amazon GuardDuty*
Pour l'activer GuardDuty dans l'ensemble de votre organisation, consultez la `Setting up GuardDuty` section du [guide de GuardDuty l'utilisateur Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd).
Nous vous recommandons vivement d'activer toutes les GuardDuty options prises en charge Régions AWS. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Pour plus d'informations, reportez-vous aux [ GuardDuty régions et points de terminaison Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)
L'activation GuardDuty permet Réponse aux incidents de sécurité AWS d'accéder aux données de détection des menaces critiques, améliorant ainsi leur capacité à identifier les problèmes de sécurité potentiels dans votre AWS environnement et à y répondre.
*AWS Security Hub CSPM*
Security Hub CSPM peut intégrer les résultats de sécurité provenant de plusieurs AWS services et solutions de sécurité tierces prises en charge. Ces intégrations peuvent aider à Réponse aux incidents de sécurité AWS surveiller et à étudier les résultats provenant d'autres outils de détection.
Pour activer l'intégration de Security Hub CSPM with Organizations, veuillez consulter le guide de l'[AWS Security Hub CSPM utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews).
Il existe plusieurs manières d'activer les intégrations sur Security Hub CSPM. Pour les intégrations de produits tiers, vous devrez peut-être acheter l'intégration auprès du AWS Marketplace, puis la configurer. Les informations d'intégration fournissent des liens permettant d'effectuer ces tâches. Découvrez [comment activer les AWS Security Hub CSPM intégrations.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html)
Réponse aux incidents de sécurité AWS peut surveiller et étudier les résultats des outils suivants lorsqu'ils sont intégrés à AWS Security Hub CSPM :
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
En activant ces intégrations, vous pouvez améliorer de manière significative la portée et l'efficacité des capacités Réponse aux incidents de sécurité AWS de surveillance et d'investigation.
**Détection**
Si la « Réponse proactive » est activée https://docs.aws.amazon.com/security-ir/latest/userguide/setup, le [monitoring-and-investigation-workflowsfichier .html intègre](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) Réponse aux incidents de sécurité AWS les résultats provenant d'Amazon GuardDuty et via les EventBridge règles AWS Security Hub CSPM Amazon qui sont déployées sur vos comptes lors de l'intégration.
Réponse aux incidents de sécurité AWS archive automatiquement GuardDuty les résultats d'Amazon dont le triage automatique a déterminé qu'ils étaient bénins ou associés à une activité attendue. Vous pouvez consulter les résultats archivés dans la GuardDuty console Amazon en sélectionnant Archivé dans le filtre État des résultats. Pour plus d'informations, consultez la section [Affichage des résultats générés dans GuardDuty la console](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
Réponse aux incidents de sécurité AWS archive automatiquement GuardDuty les résultats d'Amazon dont le triage automatique a déterminé qu'ils étaient bénins ou associés à une activité attendue. Cet archivage a lieu uniquement pour les résultats qui ont été triés et dont le résultat est désigné comme « archive ». Les résultats faisant l'objet d'une enquête active restent visibles dans la GuardDuty console Amazon même après la fin de l'enquête. Vous pouvez consulter les résultats archivés dans la GuardDuty console Amazon en sélectionnant **Archivé** dans le filtre des résultats. Pour plus d'informations sur l'utilisation des résultats archivés, consultez la section [Utilisation des résultats](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
Lors AWS Security Hub CSPM de l'ingestion des résultats de sécurité, le système met à jour chaque résultat avec une note indiquant que le triage automatique a commencé. L'état du flux de travail passe de NOUVEAU à NOTIFIÉ, ce qui supprime le résultat de la vue des AWS Security Hub CSPM résultats par défaut. Si le triage détermine qu'un résultat est bénin ou associé à une activité attendue, le système ajoute une note au résultat et met à jour l'état du flux de travail sur SUPPRIMÉ.
**Analyse : triage automatisé**
Réponse aux incidents de sécurité AWS trie automatiquement les résultats de sécurité. Le processus de triage détermine si l'activité détectée représente le comportement attendu, en analysant les données provenant de sources multiples, notamment la charge utile de recherche, les métadonnées des AWS services, les données de AWS journalisation et de surveillance (telles que les journaux de flux AWS CloudTrail VPC), les informations sur les AWS menaces et le contexte que vous êtes invité à fournir sur votre AWS environnement et sur site.
Si le triage automatique détermine que l'activité détectée est attendue, le système ne prend aucune autre mesure d'investigation.
**Analyse : enquête de sécurité sur la réponse aux incidents**
Réponse aux incidents de sécurité AWS L'ingénierie est une équipe mondiale toujours disponible de professionnels de la sécurité dotés d'une expertise en matière de réponse aux incidents de sécurité AWS et de réponse aux incidents de sécurité. Si le triage automatique ne permet pas de déterminer si l'activité est prévue, Réponse aux incidents de sécurité AWS l'ingénierie est engagée pour effectuer une enquête de sécurité. Si l'événement a été ingéré depuis Security Hub, une note est publiée à la suite de la constatation correspondante indiquant que l'enquête Réponse aux incidents de sécurité AWS d'Engineering est en cours.
Réponse aux incidents de sécurité AWS L'ingénierie mène une enquête de sécurité pratique en analysant des métadonnées de service supplémentaires et des informations sur les menaces, en examinant les informations issues des découvertes et des enquêtes passées dans votre environnement et en appliquant son expertise en matière de réponse aux incidents. En fonction de vos préférences en matière de confinement (voir Contenir), l'ingénierie de réponse aux incidents de AWS sécurité peut faire appel à l'équipe de réponse aux incidents de votre organisation par le biais d'un dossier de réponse aux incidents de sécurité dans la Réponse aux incidents de sécurité AWS console afin de vérifier si l'activité détectée est attendue et autorisée [à répondre à un cas AWS généré](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html).
**Communiquez**
AWS Security Incident Response vous tient informé pendant les enquêtes de sécurité en dialoguant avec votre équipe de réponse aux incidents dans le cadre d'un dossier de réponse aux incidents de sécurité. Plusieurs membres de Réponse aux incidents de sécurité AWS l'ingénierie peuvent apporter leur soutien à une enquête. La communication peut inclure : la reconnaissance ou la notification de la création d'une enquête de sécurité ; l'établissement d'une passerelle d'appel ; l'analyse d'artefacts tels que les fichiers journaux ; les demandes de confirmation de l'activité attendue ; et le partage des résultats de l'enquête.
Lorsque vous interagissez de Réponse aux incidents de sécurité AWS manière proactive avec votre équipe de réponse aux incidents, un dossier est créé dans votre compte de Réponse aux incidents de sécurité AWS membre, qui centralise les communications pour tous les comptes de l'organisation en un seul endroit. Ces dossiers contiennent le préfixe « [Affaire proactive] » dans leur titre, qui les identifie comme initiés par Réponse aux incidents de sécurité AWS. En participant activement à ces communications et en fournissant des réponses rapides à ces communications, votre équipe de réponse aux incidents peut vous aider Réponse aux incidents de sécurité AWS à effectuer les tâches suivantes :
+ Garantissez une réponse rapide aux véritables incidents de sécurité.
+ Comprenez votre environnement et les comportements attendus.
+ Réduisez les détections de faux positifs au fil du temps.
L'efficacité de Réponse aux incidents de sécurité AWS s'améliore grâce à votre collaboration et se traduit par un AWS environnement surveillé et sécurisé de manière plus efficace.
**Mise à jour des résultats**
Réponse aux incidents de sécurité AWS gère les résultats différemment en fonction de leur source et du résultat du triage.
**Réglage des services**
Lorsque les quotas de service de votre compte le permettent, Réponse aux incidents de sécurité AWS tente de déployer une [règle de GuardDuty suppression ou une [règle d'AWS Security Hub CSPM automatisation](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html) Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html). Ces règles suppriment les futures découvertes correspondant au type et à la source d'une activité autorisée connue (par exemple, adresse IP source, ASN, principal d'identité ou ressource). AWS Security Hub CSPM les règles sont déployées avec une priorité 10, ce qui vous permet de remplacer ces automatisations par des règles définies par vous-même si nécessaire.
De cette façon, les sources Réponse aux incidents de sécurité AWS de détection sont ajustées en fonction du comportement attendu dans votre AWS environnement. Votre équipe de réponse aux incidents est informée des modifications apportées à ces ensembles de règles, et les modifications sont annulées sur demande.
# Agent d'investigation AI
## Présentation de
L'agent d'investigation alimenté par l'IA travaille aux côtés des clients et des Réponse aux incidents de sécurité AWS ingénieurs pour accélérer les enquêtes de sécurité. Lorsqu'un client crée un dossier AWS pris en charge, l'agent s'active automatiquement en parallèle avec l'engagement de l'ingénieur chargé de la réponse aux incidents de sécurité, ce qui réduit le délai de résolution de plusieurs jours à quelques heures.
Lors des escalades de clientèle, les dossiers de réponse aux incidents de sécurité peuvent être créés par vous ou de manière proactive par. Réponse aux incidents de sécurité AWS Lorsqu'un nouveau dossier AWS pris en charge est créé, l'agent d'investigation se déclenche automatiquement. Vous pouvez gérer tous les cas via la console, l'API ou les EventBridge intégrations Amazon.
**Principaux avantages**
+ **Investigation parallèle** — L'agent travaille simultanément avec les intervenants, fournissant à la fois une automatisation basée sur l'IA et une expertise humaine.
+ **Collecte automatisée de preuves** : élimine l'analyse manuelle des journaux en AWS CloudTrail interrogeant automatiquement IAM, Amazon EC2 et Cost Explorer.
+ **Interface en langage naturel** : décrivez les problèmes de sécurité en langage clair sans avoir besoin d'une expertise en matière de formats de AWS journaux.
+ **Réponse plus rapide** : les résumés des enquêtes sont disponibles en quelques minutes dans l'onglet Investigation.
+ **Auditabilité totale** : toutes les actions de l'agent sont enregistrées AWS CloudTrail sous le `AWSServiceRoleForSupport` rôle.
**Important**
Cette fonctionnalité n'est disponible que pour les cas AWS pris en charge. Les cas autogérés n'incluent pas les capacités d'investigation de l'IA.
## Comment ça marche
L'agent d'investigation AI suit un flux de travail structuré lorsqu'il analyse les cas de sécurité AWS pris en charge :
**Flux de travail d'investigation**
1. **Création d'un dossier** : le client crée un dossier AWS pris en charge dans la console Security Incident Response décrivant le problème de sécurité.
1. **Activation parallèle**
+ Les ingénieurs de réponse aux incidents de sécurité prennent en charge le dossier.
+ Simultanément, l'agent d'intelligence artificielle commence son flux de travail d'investigation.
1. **Questions contextuelles (facultatives)** — L'agent peut poser des questions de clarification pour recueillir des informations spécifiques :
+ AWS Compte concerné IDs
+ Principaux IAM impliqués (utilisateurs, rôles, clés d'accès)
+ Identifiants de ressources spécifiques (compartiments S3, instances EC2,) ARNs
+ Durée de l'activité suspecte
1. **Collecte de preuves** — L'agent interroge automatiquement les sources de AWS données :
+ *AWS CloudTrail*— Appels d'API et activités associés à l'incident
+ *IAM* — Autorisations des utilisateurs et des rôles, modifications des politiques et création d'une nouvelle identité
+ *Instance Amazon EC2 APIs* : informations sur les ressources de calcul, le cas échéant
+ *Cost Explorer* : indicateurs de coût et d'utilisation pour une consommation inhabituelle de ressources
1. **Analyse et corrélation** — L'agent met en corrélation les preuves entre les services, identifie les modèles et établit une chronologie des événements.
1. **Génération d'un résumé** : en quelques minutes, l'agent présente un résumé complet de l'enquête dans l'onglet Investigation.
**Note**
Tous les champs sont facultatifs. Si aucune réponse n'est fournie dans les 10 minutes, l'enquête démarre automatiquement. Dans certains cas, si suffisamment d'informations sont déjà disponibles, l'agent peut ignorer complètement les questions facultatives.
**Accès aux résultats des enquêtes**
Pour consulter l'analyse de l'IA :
1. Accédez à votre dossier dans la console Security Incident Response.
1. Sélectionnez l'onglet **Investigation**.
1. Passez en revue le résumé de l'enquête avec les conclusions, le calendrier et le contexte.
Le résumé de l'agent enquêteur basé sur l'IA est automatiquement publié sous forme de commentaire dans la section **Communication** de l'affaire, ce qui permet de le consulter facilement en même temps que les autres mises à jour du dossier.
**Accès aux données et autorisations**
L'agent d'investigation AI utilise le rôle `AWSServiceRoleForSupport` lié au service pour accéder AWS aux ressources. Ce rôle fournit les autorisations en lecture seule nécessaires à la collecte de preuves.
Toutes les actions effectuées par l'agent sont enregistrées AWS CloudTrail, ce qui permet aux clients de vérifier exactement quelles données ont été consultées au cours de l'enquête. Dans AWS CloudTrail les journaux, ces actions sont attribuées à`AWSServiceRoleForSupport`.
## Conditions préalables
Avant d'utiliser les fonctionnalités d'investigation basées sur l'IA, assurez-vous de ce qui suit :
**Configuration requise**
+ **Réponse aux incidents de sécurité AWS activé** — Le service doit être activé via le compte AWS Organizations de gestion.
+ **AWS type de cas pris en charge** : l'investigation par IA n'est disponible que pour les cas AWS pris en charge (pas les cas autogérés).
+ **AWSServiceRoleForSupport**— Ce rôle lié au service est automatiquement créé et fournit les autorisations nécessaires à l'agent d'investigation.
Autorisations ** nécessaires **
Pour créer des cas AWS pris en charge et accéder aux résultats des enquêtes, le principal IAM a besoin des autorisations suivantes :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## Utilisation de l'agent d'investigation
L'agent d'investigation basé sur l'IA s'active automatiquement lors de la création d'un dossier AWS pris en charge.
**Pour suivre les progrès des enquêtes sur l'IA**
1. Ouvrez votre étui dans la Réponse aux incidents de sécurité AWS console.
1. Choisissez l'onglet **Investigation**.
1. Consultez le statut de l'enquête (*En cours* ou *terminée*).
1. Une fois terminé, passez en revue le résumé complet de l'enquête avec les conclusions, le calendrier et les recommandations.
**Divulgation responsable de l'IA**
Les résumés des enquêtes sont générés à l'aide des fonctionnalités de l'IA AWS générative. Vous êtes chargé d'évaluer les recommandations générées par l'IA dans votre contexte spécifique, de mettre en œuvre des mécanismes de supervision appropriés, de vérifier les résultats de manière indépendante et de maintenir un contrôle humain de toutes les décisions de sécurité.
**Utilisation des données clients**
AI Investigative Agent n'utilise pas les données des clients pour la formation des modèles et ne partage pas les données des clients avec des tiers.
# Contenir
AWS Security Incident Response travaille en partenariat avec vous pour contenir les événements. Vous pouvez configurer le service pour prendre des mesures de confinement proactives dans votre compte en réponse aux résultats de sécurité. Vous pouvez également effectuer le confinement vous-même ou en partenariat avec vos relations avec des tiers en utilisant les [documents SSM](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) décrits dans Actions de [confinement prises en charge](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html).
**Important**
AWS Security Incident Response n'active pas les fonctionnalités de confinement par défaut.
Deux étapes sont nécessaires pour activer les capacités de confinement proactives :
**Accordez les autorisations nécessaires** au service à l'aide des rôles IAM. Vous pouvez créer ces rôles individuellement par compte ou dans l'ensemble de votre organisation en utilisant des AWS CloudFormation stacksets, qui créent les rôles requis.
**Définissez vos préférences de confinement** par compte ou au sein de votre organisation pour autoriser des actions de confinement proactives. Les préférences au niveau du compte remplacent les préférences au niveau de l'organisation. Cela peut être fait en créant un dossier de AWS support (technique : service de réponse aux incidents de sécurité/autre). Les préférences de confinement disponibles sont les suivantes :
**Approbation requise (par défaut) :** n'effectuez aucun confinement proactif d'une ressource sans autorisation explicite case-by-case.
**Contenir les données confirmées :** effectuez un confinement proactif d'une ressource dont la compromission a été confirmée.
**Contenir les personnes suspectes :** effectuez un confinement proactif d'une ressource présentant une forte probabilité d'avoir été compromise, sur la base d'une analyse réalisée par l'ingénierie de réponse aux incidents AWS de sécurité.
# Prise de décision en matière de confinement
Un élément essentiel du confinement est la prise de décision, par exemple s'il faut arrêter un système, isoler une ressource du réseau, désactiver l'accès ou mettre fin à des sessions. Ces décisions sont facilitées lorsqu'il existe des stratégies et des procédures prédéterminées pour contenir l'événement. AWS Security Incident Response fournit la stratégie de confinement, vous informe de l'impact potentiel et vous guide dans la mise en œuvre de la solution uniquement après avoir pris en compte et accepté les risques encourus.
# Actions de confinement prises en charge
Réponse aux incidents de sécurité AWS exécute les actions de confinement prises en charge en votre nom afin d'accélérer la réponse et de réduire le temps dont dispose un acteur menaçant pour potentiellement endommager votre environnement. Cette fonctionnalité permet d'atténuer plus rapidement les menaces identifiées, de minimiser l'impact potentiel et d'améliorer votre posture de sécurité globale. Il existe différentes options de confinement en fonction des ressources analysées. Les actions de confinement prises en charge sont décrites dans les sous-sections ci-dessous.
# Confinement EC2
L'automatisation du `AWSSupport-ContainEC2Instance` confinement effectue un confinement réseau réversible d'une instance EC2, en laissant l'instance intacte et en cours d'exécution, mais en l'isolant de toute nouvelle activité réseau et en l'empêchant de communiquer avec des ressources au sein et en dehors de votre VPC.
**Important**
Il est important de noter que les connexions suivies existantes ne seront pas interrompues suite à un changement de groupe de sécurité. Seul le trafic futur sera effectivement bloqué par le nouveau groupe de sécurité et ce document SSM. De plus amples informations sont disponibles dans la section sur le [confinement des sources](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html) du guide technique du service.
# Confinement IAM
L'automatisation du `AWSSupport-ContainIAMPrincipal` confinement effectue un confinement réseau réversible d'un utilisateur ou d'un rôle IAM, laissant l'utilisateur ou le rôle dans IAM, tout en l'empêchant de communiquer avec les ressources de votre compte.
# Confinement S3
L'automatisation du `AWSSupport-ContainS3Resource` confinement effectue un confinement réversible d'un compartiment S3, en laissant les objets dans le compartiment et en isolant le compartiment ou l'objet Amazon S3 en modifiant ses politiques d'accès.
# Élaboration de stratégies de confinement
Réponse aux incidents de sécurité AWS vous encourage à envisager des stratégies d'endiguement pour chaque type d'événement majeur qui correspondent à votre propension au risque. Documentez des critères clairs pour faciliter la prise de décision lors d'un événement. Les critères à prendre en compte incluent :
+ Dommages potentiels aux ressources
+ Préservation des preuves et exigences réglementaires
+ Indisponibilité du service (par exemple, connectivité réseau, services fournis à des tiers externes)
+ Temps et ressources nécessaires à la mise en œuvre de la stratégie
+ Efficacité de la stratégie (par exemple, confinement partiel ou total)
+ Permanence de la solution (par exemple, réversible ou irréversible)
+ Durée de la solution (par exemple, solution d'urgence, solution temporaire, solution permanente)
Appliquez des contrôles de sécurité qui peuvent réduire les risques et laisser le temps de définir et de mettre en œuvre une stratégie de confinement plus efficace.
# Approche de confinement par étapes
Réponse aux incidents de sécurité AWS conseille une approche par étapes pour parvenir à un confinement efficient et efficace, impliquant des stratégies à court et à long terme basées sur le type de ressource.
# Stratégie de confinement
**Est-il possible Réponse aux incidents de sécurité AWS d'identifier l'étendue de l'événement de sécurité ?**
+ Dans l'affirmative, identifiez toutes les ressources (utilisateurs, systèmes, ressources).
+ Si ce n'est pas le cas, étudiez en parallèle avec l'exécution de l'étape suivante sur les ressources identifiées.
**La ressource peut-elle être isolée ?**
+ Si c'est le cas, isolez les ressources affectées.
+ Si ce n'est pas le cas, travaillez avec les propriétaires et les gestionnaires du système pour déterminer les mesures supplémentaires nécessaires pour contenir le problème.
**Toutes les ressources affectées sont-elles isolées des ressources non touchées ?**
+ Si c'est le cas, passez à l'étape suivante.
+ Si ce n'est pas le cas, continuez à isoler les ressources affectées afin de les endiguer à court terme et d'empêcher que l'événement ne s'aggrave davantage.
# Sauvegarde du système
**Des copies de sauvegarde des systèmes concernés ont-elles été créées pour une analyse plus approfondie ?**
**Les copies médico-légales sont-elles cryptées et stockées dans un endroit sûr ?**
+ Si c'est le cas, passez à l'étape suivante.
+ Si ce n'est pas le cas, chiffrez les images médico-légales, puis stockez-les dans un endroit sûr pour éviter toute utilisation accidentelle, tout dommage ou toute altération.
# Soumettre les préférences de confinement
Pour configurer les préférences de confinement pour votre compte ou votre organisation, créez un [AWS Support dossier](https://repost.aws/knowledge-center/get-aws-technical-support).
Dans votre dossier d'assistance, spécifiez les informations suivantes :
+ Votre AWS Organizations identifiant ou compte spécifique sur IDs lequel les actions de confinement doivent être autorisées.
+ Votre option de confinement préférée.
Une fois configuré, Réponse aux incidents de sécurité AWS exécute les actions de confinement autorisées lors d'incidents de sécurité actifs afin de protéger votre environnement.
**Note**
Réponse aux incidents de sécurité AWS exécute les actions de confinement uniquement lorsqu'elles sont configurées avec les préférences appropriées et une fois que le nécessaire AWS CloudFormation StackSet a été déployé pour accorder les autorisations nécessaires.
# Éradiquer
Au cours de la phase d'éradication, il est important d'identifier et de traiter tous les comptes, ressources et instances concernés, par exemple en supprimant les logiciels malveillants, en supprimant les comptes utilisateurs compromis et en atténuant les vulnérabilités découvertes, afin d'appliquer des mesures correctives uniformes dans l'ensemble de l'environnement.
Une bonne pratique consiste à adopter une approche progressive de l'éradication et du rétablissement et à hiérarchiser les étapes de remédiation. L'objectif des premières phases est d'augmenter rapidement la sécurité globale (de quelques jours à plusieurs semaines) grâce à des modifications importantes visant à prévenir de futurs événements. Les phases ultérieures peuvent se concentrer sur les changements à long terme (par exemple, les changements d'infrastructure) et sur le travail continu visant à assurer la sécurité de l'entreprise autant que possible. Chaque cas est unique et les ingénieurs de réponse aux incidents de AWS sécurité travailleront avec vous pour évaluer les mesures nécessaires.
Éléments à prendre en compte :
+ Pouvez-vous redéfinir l'image du système et le renforcer à l'aide de correctifs ou d'autres contre-mesures pour prévenir ou réduire le risque d'attaques ?
+ Pouvez-vous remplacer le système infecté par une nouvelle instance ou ressource, afin de garantir une base de référence propre tout en mettant fin à l'élément infecté ?
+ Avez-vous supprimé tous les malwares et autres artefacts laissés par l'utilisation non autorisée, et avez-vous renforcé les systèmes concernés contre de nouvelles attaques ?
+ Est-il nécessaire de procéder à des analyses médico-légales sur les ressources touchées ?
# Récupération
Réponse aux incidents de sécurité AWS vous fournit des conseils pour vous aider à rétablir le fonctionnement normal des systèmes, à confirmer qu'ils fonctionnent correctement et à corriger les vulnérabilités afin d'éviter que des événements similaires ne se reproduisent à l'avenir. Réponse aux incidents de sécurité AWS ne contribue pas directement à la restauration des systèmes. Les principales considérations sont les suivantes :
+ Les systèmes concernés ont-ils été corrigés et renforcés face à la récente attaque ?
+ Quel est le calendrier faisable pour remettre les systèmes en production ?
+ Quels outils utiliserez-vous pour tester, surveiller et vérifier les systèmes restaurés ?
# Rapport post-incident
Réponse aux incidents de sécurité AWS fournit un résumé de l'événement après la fin des activités de sécurité entre votre équipe et la nôtre.
À la fin de chaque mois, le Réponse aux incidents de sécurité AWS service enverra des rapports mensuels au point de contact principal de chaque client par e-mail. Les rapports seront fournis au format PDF en utilisant les indicateurs décrits ci-dessous. Les clients recevront un rapport par AWS Organizations.
# Indicateurs relatifs aux cas
+ Cas créés
+ Nom de la dimension : Type
+ Valeurs de dimension : AWS prises en charge, autonomes
+ Unité : nombre
+ Description : nombre de dossiers créés.
+ Affaires clôturées
+ Nom de la dimension : Type
+ Valeurs de dimension : AWS prises en charge, autogérées
+ Unité : nombre
+ Description : Mesure du nombre total de dossiers clôturés.
+ Boîtes ouvertes
+ Nom de la dimension : Type
+ Valeurs de dimension : AWS prises en charge, autonomes
+ Unité : nombre
+ Description : nombre de dossiers ouverts.
# Métriques de triage
+ Constatations reçues
+ Unité : nombre
+ Description : nombre de résultats envoyés au triage.
+ Résultats archivés
+ Unité : nombre
+ Description : nombre de résultats archivés après avoir été traités sans investigation manuelle.
+ Résultats étudiés manuellement
+ Unité : nombre
+ Description : nombre de constatations ayant fait l'objet d'une investigation manuelle.
+ Enquêtes archivées
+ Unité : nombre
+ Description : Le nombre d'enquêtes manuelles aboutissant à des faux positifs et envoyées pour archivage
+ Les enquêtes se sont intensifiées
+ Unité : nombre
+ Description : Le nombre d'enquêtes manuelles ayant donné lieu à un incident de sécurité
# Cas
Réponse aux incidents de sécurité AWS vous permet de créer deux types de dossiers : les dossiers AWS pris en charge ou les cas autogérés.
# Création d'un dossier AWS pris en charge
Vous pouvez créer un dossier AWS pris en charge Réponse aux incidents de sécurité AWS via la console, l'API ou le AWS Command Line Interface. AWS les cas pris en charge vous permettent de bénéficier de l'assistance des ingénieurs de réponse aux incidents de sécurité.
**Important**
Les dossiers de démonstration ou de simulation seront clôturés après une période de 90 jours.
**Note**
AWS Les ingénieurs de réponse aux incidents de sécurité répondront à votre cas dans les 15 minutes. Le temps de réponse correspond à la première réponse des ingénieurs de réponse aux incidents de AWS sécurité. Nous ferons tous les efforts raisonnables pour répondre à votre demande initiale dans ce délai. Ce délai de réponse ne s'applique pas aux réponses suivantes.
**Note**
Vous pouvez créer des dossiers AWS pris en charge non seulement pour les incidents de sécurité en cours et les enquêtes, mais également pour les demandes concernant les capacités de réponse aux incidents de AWS sécurité. Cela inclut des questions sur les règles de GuardDuty suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et des conseils généraux sur le niveau de sécurité. Sélectionnez le type de dossier **Enquêtes et demandes** de renseignements à ces fins.
# Quand contacter Réponse aux incidents de sécurité AWS
Vous pouvez contacter AWS Security Incident Response à différentes fins en fonction de vos besoins. Le tableau suivant décrit les différents scénarios et la méthode de contact appropriée pour chacun.
| Scénario | Utilisation | Temps de réponse | Type de boîtier |
| --- | --- | --- | --- |
| **Incident de sécurité actif** | Vous êtes confronté à un incident de sécurité urgent nécessitant une réponse immédiate aux incidents, un soutien et des services. | 15 minutes (première réponse) | [Incident de sécurité actif](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Enquête** | Vous avez l'impression d'un incident de sécurité et avez besoin d'aide pour l'analyse des journaux et la confirmation secondaire de l'enquête sur la réponse à l'incident | 15 minutes (première réponse) | [Enquêtes et demandes](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Demandes de renseignements et conseils** | Vous avez des questions sur GuardDuty les résultats d'Amazon, les règles de suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs ou le niveau de sécurité général lié aux fonctionnalités Réponse aux incidents de sécurité AWS | 15 minutes (première réponse) | [Enquêtes et demandes](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problèmes d'intégration** | Vous rencontrez des problèmes techniques lors du processus d'intégration à AWS Security Incident Response | Varie en fonction du plan de support | [AWS Support cas](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Pour tous les cas AWS pris en charge (incident de sécurité actif et enquêtes et demandes de renseignements), les ingénieurs de réponse aux incidents de AWS sécurité répondront dans les 15 minutes pour obtenir la première réponse. Ce délai de réponse s'applique uniquement au contact initial et ne s'applique pas aux réponses suivantes.
L'exemple suivant décrit l'utilisation de la console.
1. Connectez-vous Réponse aux incidents de sécurité AWS via le AWS Management Console.
1. Choisissez **Create Case**
1. Choisissez **Résoudre le dossier avec AWS**
1. Sélectionnez le type de demande
1. **Incident de sécurité actif** : ce type est destiné à l'assistance et aux services de réponse aux incidents urgents.
1. **Enquêtes et demandes de renseignements** : utilisez ce type pour les incidents de sécurité présumés où les ingénieurs AWS de réponse aux incidents de sécurité peuvent vous aider à analyser les journaux et à confirmer ensuite l'enquête sur la réponse aux incidents. Vous pouvez également utiliser ce type pour les demandes concernant les GuardDuty résultats, les règles de suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et les questions générales de sécurité liées aux capacités de réponse aux incidents de AWS sécurité.
1. Définissez l'estimation de la date de début à la date du premier indicateur de l'incident. Par exemple, lorsque vous avez connu un comportement anormal pour la première fois ou lorsque vous avez reçu la première alerte de sécurité correspondante.
1. Définissez un titre pour le dossier
1. Fournissez une description détaillée du cas. Tenez compte des aspects suivants qui peuvent aider les intervenants à résoudre les incidents :
1. Que s’est-il passé ?
1. Qui a découvert et signalé l'incident ?
1. Qui est concerné par cette affaire ?
1. Quel est l'impact connu ?
1. Quelle est l'urgence de cette affaire ?
1. Ajoutez un ou plusieurs Compte AWS IDs éléments inclus dans le champ du dossier.
1. Ajoutez des informations facultatives sur le dossier :
1. Sélectionnez les principaux services concernés dans la liste déroulante.
1. Sélectionnez les principales régions touchées dans la liste déroulante.
1. Ajoutez une ou plusieurs adresses IP d'acteurs menaçants que vous avez identifiées dans le cadre de ce dossier.
1. Ajoutez des intervenants supplémentaires facultatifs au dossier qui recevra des notifications. Pour ajouter une personne, procédez comme suit :
1. Ajoutez une adresse e-mail.
1. Ajoutez un prénom et un nom de famille facultatifs.
1. Choisissez **Ajouter** pour ajouter une autre personne.
1. Pour supprimer un individu, choisissez l'option **Supprimer** pour un individu.
1. Choisissez **Ajouter** pour ajouter toutes les personnes répertoriées au dossier.
1. Vous pouvez sélectionner plusieurs personnes et choisir **Supprimer** pour les supprimer de la liste.
1. Ajoutez des étiquettes facultatives au boîtier.
1. Pour ajouter une balise, procédez comme suit :
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez le nom de la balise.
1. Pour **Valeur**, saisissez la valeur de l‘identification.
1. Pour supprimer une balise, choisissez l‘option de **Suppression** pour cette balise.
Une fois qu'un dossier AWS pris en charge a été créé, les ingénieurs de réponse aux incidents de AWS sécurité et votre équipe de réponse aux incidents sont immédiatement avertis.
**Pour créer un dossier AWSétayé par une investigation basée sur l'IA**
1. Ouvrez la Réponse aux incidents de sécurité AWS console à l'adresse [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Choisissez **Cases dans** le volet de navigation.
1. Choisissez **Create case** (Créer une demande).
1. Pour **Type de dossier**, sélectionnez **Boîtier AWS pris en charge**.
1. Fournissez les détails du dossier, notamment le titre, la date de début de l'incident et l'identifiant AWS du compte concerné.
1. Dans la section **Décrire l'événement de sécurité**, fournissez une description complète de l'incident.
1. Fournissez des informations supplémentaires sur les AWS services concernés, les régions et d'autres informations pertinentes.
1. Choisissez **Create case** (Créer une demande).
Une fois le dossier créé, les ingénieurs de réponse aux incidents de sécurité et l'agent d'intelligence artificielle commencent à travailler simultanément.
**Pour répondre aux questions de clarification de l'IA (facultatif)**
1. Accédez à l'onglet **Investigation** correspondant à votre cas.
1. Passez en revue toutes les questions de clarification présentées par l'agent d'IA.
1. Répondez aux questions ou choisissez **Ignorer** si vous préférez ne pas y répondre.
1. Choisissez **Soumettre** pour continuer. Tous les champs sont facultatifs.
**Divulgation responsable de l'IA**
Les résumés des enquêtes sont générés à l'aide des fonctionnalités de l'IA AWS générative. Vous êtes chargé d'évaluer les recommandations générées par l'IA dans votre contexte spécifique, de mettre en œuvre des mécanismes de supervision appropriés, de vérifier les résultats de manière indépendante et de maintenir un contrôle humain de toutes les décisions de sécurité.
# Création d'un dossier autogéré
Vous pouvez créer un formulaire autogéré Réponse aux incidents de sécurité AWS via la console, l'API ou AWS Command Line Interface. Ce type de cas *N'ENGAGE PAS* les ingénieurs de réponse aux incidents de AWS sécurité. L'exemple suivant décrit l'utilisation de la console.
1. Connectez-vous Réponse aux incidents de sécurité AWS via l' AWS Management Console adresse [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Choisissez **Create Case (Créer une demande)**.
1. Choisissez **Résoudre le dossier avec ma propre équipe de réponse aux incidents.**
1. Définissez l'estimation de la date de début à la date du premier indicateur de l'incident. Par exemple, lorsque vous avez connu un comportement anormal pour la première fois ou lorsque vous avez reçu la première alerte de sécurité correspondante.
1. Définissez un titre pour le dossier. Il est recommandé d'inclure les données dans le titre du dossier, comme suggéré lors de la sélection de l'option **Générer le titre**.
1. Entrez Compte AWS IDs ceux qui font partie du dossier. Pour ajouter un identifiant de compte, procédez comme suit :
1. Entrez l'identifiant de compte à 12 chiffres et choisissez **Ajouter un compte**.
1. Pour supprimer un compte, choisissez **Supprimer** à côté du compte que vous souhaitez supprimer du dossier.
1. Fournissez une description détaillée du cas.
1. Tenez compte des aspects suivants qui peuvent aider les intervenants à résoudre les incidents :
1. Que s’est-il passé ?
1. Qui a découvert et signalé l'incident ?
1. Qui est concerné par cette affaire ?
1. Quel est l'impact connu ?
1. Quelle est l'urgence de cette affaire ?
1. Ajoutez des informations facultatives sur le dossier :
1. Sélectionnez les principaux services concernés dans la liste déroulante.
1. Sélectionnez les principales régions touchées dans la liste déroulante.
1. Ajoutez une ou plusieurs adresses IP d'acteurs menaçants que vous avez identifiées dans le cadre de ce dossier.
1. Ajoutez des intervenants supplémentaires facultatifs au dossier qui recevra des notifications. Pour ajouter une personne, procédez comme suit :
1. Ajoutez une adresse e-mail.
1. Ajoutez un prénom et un nom de famille facultatifs.
1. Choisissez **Ajouter** pour ajouter une autre personne.
1. Pour supprimer un individu, choisissez l'option **Supprimer** pour un individu.
1. Choisissez **Ajouter** pour ajouter toutes les personnes répertoriées au dossier. Vous pouvez sélectionner plusieurs personnes et choisir **Supprimer** pour les supprimer de la liste.
1. Ajoutez des étiquettes facultatives au boîtier. Pour ajouter une balise, procédez comme suit :
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez le nom de la balise.
1. Pour **Valeur**, saisissez la valeur de l‘identification.
1. Pour supprimer une balise, choisissez l‘option de **Suppression** pour cette balise.
L'équipe de réponse aux incidents sera informée par e-mail une fois le dossier créé.
# Collaboration avec les ingénieurs de réponse aux incidents de AWS sécurité
Une fois que vous avez ouvert un dossier d'incident de AWS sécurité, les ingénieurs de réponse aux incidents de sécurité commencent à travailler sur votre incident. Cette section explique à quoi s'attendre pendant l'enquête et comment collaborer efficacement avec notre équipe.
# À quoi s'attendre de la part des ingénieurs de réponse aux incidents de AWS sécurité
Lorsque vous ouvrez un dossier AWS pris en charge, un ingénieur de réponse aux incidents de sécurité est affecté à votre incident. Le répondeur qui vous a été assigné devra :
+ Passez en revue les informations initiales que vous avez fournies dans le dossier
+ Analyser les journaux AWS de service pertinents et les résultats de sécurité
+ Identifier la portée et l'impact de l'incident de sécurité
+ Élaborez un plan d'enquête et d'intervention adapté à votre situation
**Délai de réponse** : L'objectif de niveau de service (SLO) pour la reconnaissance des nouveaux cas par les Réponse aux incidents de sécurité AWS ingénieurs est de 15 minutes. Le calendrier de l'évaluation initiale peut varier en fonction de la gravité et de la complexité du cas. Si Réponse aux incidents de sécurité AWS les ingénieurs ne reçoivent pas de réponse ou d'informations critiques de votre part dans les 5 jours ouvrables, le dossier est clos.
# Flux de travail d'investigation
AWS Les ingénieurs de réponse aux incidents de sécurité suivent un processus structuré de réponse aux incidents aligné sur le framework NIST 800-61r2. Au cours de votre enquête, vous pouvez vous attendre aux phases suivantes :
1. **Triage initial** : les ingénieurs de réponse aux incidents de sécurité examinent les détails de votre dossier et confirment l'étendue de l'incident
1. **Enquête** : les ingénieurs de réponse aux incidents de sécurité analysent les journaux, identifient les indicateurs de compromission et en déterminent la cause première
1. **Confinement** : les ingénieurs de réponse aux incidents de sécurité recommandent des mesures pour limiter l'impact de l'incident
1. **Éradication et restauration** : les ingénieurs de réponse aux incidents de sécurité vous aident à éliminer les menaces et à rétablir le fonctionnement normal
1. **Examen post-incident** : les ingénieurs de réponse aux incidents de sécurité fournissent des conclusions et des recommandations pour prévenir de futurs incidents
Tout au long de ces phases, votre ingénieur de réponse aux incidents de sécurité vous tient informé par le biais de mises à jour des dossiers et peut vous demander des informations ou des actions supplémentaires.
# Les ingénieurs de réponse aux incidents liés à la sécurité de l'information peuvent demander
Pour enquêter efficacement sur votre incident, les ingénieurs de réponse aux incidents de AWS sécurité peuvent vous demander de fournir :
+ **Détails de la chronologie** : date à laquelle vous avez détecté l'incident pour la première fois et tout événement pertinent qui l'a précédé
+ **Ressources concernées** - AWS Compte IDs, services, régions et ressources spécifiques ARNs concernés
+ **Informations d'accès : informations** sur les personnes ayant accès aux ressources concernées et sur les modifications d'accès récentes
+ **Contexte commercial** - Comment les ressources concernées sont utilisées et impact commercial potentiel
+ **Journaux et preuves** : journaux, captures d'écran ou artefacts supplémentaires susceptibles de faciliter l'enquête
+ **Autorisation** - Approbation pour effectuer des actions de confinement ou de correction spécifiques en votre nom
Votre ingénieur de réponse aux incidents de sécurité expliquera pourquoi chaque information est nécessaire et en quoi elle contribue à l'enquête.
# Bonnes pratiques en matière de communication
Une communication efficace accélère la résolution des incidents. Suivez les pratiques suivantes lorsque vous travaillez avec des ingénieurs de réponse aux incidents de AWS sécurité :
+ **Répondez rapidement aux** demandes d'informations de votre ingénieur de réponse aux incidents de sécurité
+ **Fournissez des informations complètes** même si vous n'êtes pas certain de leur pertinence
+ **Posez des questions** si vous ne comprenez pas une recommandation ou si vous avez besoin de précisions
+ **Mettez à jour le dossier** en fonction de tout nouveau développement ou de toute modification apportée à l'incident
+ **Désignez un contact principal** au sein de votre équipe pour assurer la coordination avec les ingénieurs de réponse aux incidents de sécurité
**Important**
Si Réponse aux incidents de sécurité AWS les ingénieurs ne reçoivent pas de réponse aux demandes d'informations critiques dans les 5 jours ouvrables, nous nous efforçons de clore le dossier. Vous pouvez rouvrir un dossier si de nouvelles informations sont disponibles.
# Votre rôle au cours de l'enquête
Pendant que Réponse aux incidents de sécurité AWS les ingénieurs mènent l'enquête, votre participation est essentielle. Vous êtes responsable des actions suivantes :
+ Fournir des réponses rapides aux demandes d'information
+ Mise en œuvre des mesures de confinement et de correction recommandées dans votre environnement AWS
+ Autoriser les ingénieurs de réponse aux incidents de sécurité à prendre des mesures en votre nom (si vous avez activé la réponse proactive)
+ Coordination avec vos équipes internes (sécurité, juridique, conformité) selon les besoins
+ Prendre des décisions commerciales concernant les priorités et les compromis en matière de réponse aux incidents
Réponse aux incidents de sécurité AWS les ingénieurs fournissent leur expertise et leurs recommandations, mais vous gardez le contrôle de vos AWS ressources et vous prenez les décisions finales concernant les mesures de réponse.
# Fermeture du boîtier
Réponse aux incidents de sécurité AWS les ingénieurs clôturent votre boîtier lorsque :
+ L'incident a été maîtrisé et corrigé
+ Tous les résultats de l'enquête vous ont été communiqués
+ Aucune autre assistance d'un ingénieur de réponse aux incidents de sécurité n'est requise
+ Vous demandez la clôture du dossier
Avant de clore un dossier, votre ingénieur de réponse aux incidents de sécurité fournit un résumé des résultats, des mesures prises et des recommandations pour améliorer votre posture de sécurité.
Si vous avez besoin d'une assistance supplémentaire après la clôture du dossier, vous pouvez ouvrir un nouveau dossier ou contacter un nouveau contact AWS Support.
# Répondre à un dossier AWS généré
Réponse aux incidents de sécurité AWS peut créer une notification sortante ou un cas lorsque vous devez agir ou être au courant d'un élément susceptible d'avoir un impact sur votre compte ou vos ressources. Cela ne se produit que si vous avez activé les flux de travail de réponse proactive et de triage des alertes dans le cadre de votre abonnement.
Ces notifications apparaissent sous forme de cas de réponse aux incidents de sécurité avec le préfixe « [Proactive case] » dans la Réponse aux incidents de sécurité AWS console. Pour consulter et gérer ces cas, procédez comme suit :
+ Ouvrez la console Security Incident Response à l'adresse https://console.aws.amazon.com/security-ir/
+ Choisissez **Cases**.
+ Vous pouvez voir tous les cas, y compris ceux portant le préfixe « [Proactive case] ».
Vous pouvez mettre à jour, résoudre et rouvrir ces dossiers selon vos besoins. Vous pouvez communiquer directement avec l' Réponse aux incidents de sécurité AWS équipe dans le cadre de ces dossiers, ce qui garantit une gestion efficace des problèmes de sécurité potentiels.
# Gestion des dossiers
**Topics**
+ [Modification du statut du dossier](changing-the-case-status.md)
+ [Changer le résolveur](changing-the-resolver.md)
+ [Eléments d'action](action-items.md)
+ [Modification d'un cas](edit-a-case.md)
+ [Communications](communications.md)
+ [Permissions](sir-permissions.md)
+ [Pièces jointes](attachments.md)
+ [Étiquettes](tags.md)
+ [Activités liées aux affaires](case-activities.md)
+ [Clôture d'un dossier](closing-a-case.md)
# Modification du statut du dossier
Un dossier se trouve dans l'un des états suivants :
+ Soumis : il s'agit du statut initial d'un dossier. Les cas présentant ce statut ont été soumis par une personne demandée, mais ne sont pas encore en cours de traitement.
+ Détection et analyse : ce statut indique qu'un intervenant a commencé à travailler sur le dossier. Cette phase comprend la collecte de données, le tri de l'événement et la réalisation d'analyses pour tirer des conclusions fondées sur les données.
+ Confinement, éradication et rétablissement : dans ce statut, le responsable de l'intervention en cas d'incident a identifié une activité suspecte qui nécessite des efforts supplémentaires pour être supprimée. L'intervenant en cas d'incident vous fournira des recommandations pour l'analyse des risques commerciaux et des mesures supplémentaires. Si vous avez activé les fonctionnalités d'opt-in pour le service, un intervenant en AWS cas d'incident vous demandera votre consentement pour effectuer des actions de confinement avec les documents SSM du ou des comptes concernés.
+ Activités après l'incident : dans ce statut, l'événement de sécurité principal a été maîtrisé. L'accent est désormais mis sur la reprise et le retour à la normale des activités commerciales. Un résumé et une analyse des causes premières sont fournis si le résolveur du dossier est AWS pris en charge.
+ Fermé : il s'agit de l'état final du flux de travail. Les dossiers classés indiquent que le travail est terminé. Les dossiers fermés ne peuvent pas être rouverts. Assurez-vous donc que toutes les actions sont terminées avant de passer à ce statut.
Choisissez **Action/Update Status** pour modifier le statut du dossier pour les cas autogérés. Pour les cas AWS pris en charge, le statut est défini par les ingénieurs de réponse aux incidents de AWS sécurité.
# Changer le résolveur
Pour les cas autogérés, votre équipe de réponse aux incidents peut demander de l'aide à AWS. Choisissez **Obtenir de l'aide AWS auprès de** pour remplacer le résolveur de ce cas par. AWS Une fois que le dossier est considéré comme AWS pris en charge, le statut passe à **Soumis**. L'historique des cas existant sera mis à la disposition des ingénieurs de réponse aux incidents de AWS sécurité. Une fois que AWS vous aurez demandé de l'aide, vous ne pourrez plus redevenir autogéré.
# Eléments d'action
Un ingénieur de réponse aux incidents de AWS sécurité travaillant sur le dossier peut demander des mesures à votre équipe interne.
Les actions qui apparaissent après la création d'un dossier sont les suivantes :
+ Demande d'autorisation permettant à un intervenant chargé de répondre aux incidents d'accéder à un dossier
+ Demande de fourniture de plus amples informations sur l'affaire
Mesures à prendre lorsqu'un dossier est prêt à être clôturé :
+ Demande de révision du rapport de cas
+ Demande de clôture du dossier
# Modification d'un cas
Choisissez **Modifier** pour modifier les détails d'un dossier.
**Pour les cas AWS pris en charge et autogérés :**
Vous pouvez modifier les informations de dossier suivantes une fois qu'un dossier a été créé :
+ Titre
+ Description
**Pour les cas AWS pris en charge uniquement :**
Vous pouvez modifier les champs supplémentaires :
+ **Type de demande :**
+ **Incident de sécurité actif** : ce type est destiné à l'assistance et aux services de réponse aux incidents urgents.
+ **Enquêtes** : les enquêtes vous permettent d'obtenir de l'aide en cas d'incidents de sécurité présumés. Les ingénieurs de réponse aux incidents de AWS sécurité peuvent vous aider à analyser le journal et à confirmer l'événement de sécurité de manière secondaire.
+ **Date de début estimée** : modifiez ce champ si vous avez reçu des indicateurs pour ce cas antérieurs à la date de début initiale fournie. Envisagez de fournir des détails supplémentaires concernant le nouvel indicateur détecté dans le champ de description ou d'ajouter un commentaire dans l'onglet communications.
# Communications
AWS Les ingénieurs de réponse aux incidents de sécurité peuvent ajouter des commentaires pour documenter leurs activités lorsqu'ils travaillent sur un dossier. Différents ingénieurs de réponse aux incidents de AWS sécurité peuvent travailler simultanément sur un dossier. Ils sont représentés en tant que **AWS répondeur** dans le journal des communications.
# Permissions
L'onglet Autorisations répertorie toutes les personnes qui seront informées de toute modification apportée au dossier. Vous pouvez ajouter et supprimer des personnes de la liste jusqu'à ce que le dossier soit clos.
**Note**
Les cas individuels vous permettent d'inclure jusqu'à 30 parties prenantes au total. Une configuration d'autorisation supplémentaire est requise pour accorder un accès au niveau du dossier à ces parties prenantes.
**Fournir l'accès à un dossier dans la console**
Pour donner accès au dossier figurant dans le AWS Management Console, vous pouvez copier le modèle de politique d'autorisation IAM et ajouter cette autorisation à un utilisateur ou à un rôle.
Ajouter la politique IAM à un utilisateur ou à un rôle :
1. Copiez la politique d'autorisation IAM.
1. Ouvrez IAM dans le via [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Utilisateur** ou **Rôles.**
1. Sélectionnez un utilisateur ou un rôle pour ouvrir la page de détails.
1. Dans l'onglet Autorisations, choisissez **Ajouter des autorisations.**
1. Choisissez **Attach policy** (Attacher la politique).
1. Sélectionnez la [politique Réponse aux incidents de sécurité AWS gérée](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) appropriée.
1. Choisissez **Add policy (Ajouter la politique)**.
# Pièces jointes
Vos intervenants en charge des incidents peuvent ajouter des pièces jointes à un dossier afin d'aider les autres intervenants dans leur enquête sur les cas autogérés.
**Note**
Si vous choisissez un dossier AWS pris en charge, vous AWS ne pouvez pas afficher les pièces jointes. Tous les détails relatifs aux dossiers AWS pris en charge doivent être partagés par le biais de commentaires ou en fournissant un partage d'écran à l'aide de votre technologie de communication préférée.
Choisissez **Upload** pour sélectionner un fichier sur votre ordinateur à ajouter au dossier.
**Note**
Toutes les pièces jointes téléchargées sont supprimées sept jours après la réception du dossier`Closed`.
# Étiquettes
Une balise est une étiquette facultative que vous pouvez attribuer à vos dossiers pour contenir les métadonnées relatives à cette ressource. Chaque balise est une étiquette composée d'une clé et d'une valeur facultative. Vous pouvez utiliser des balises pour rechercher, répartir les coûts et authentifier les autorisations associées à la ressource.
Pour ajouter une balise, procédez comme suit :
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez le nom de la balise.
1. Pour **Valeur**, saisissez la valeur de l‘identification.
Pour supprimer une balise, choisissez l‘option de **Suppression** pour cette balise.
# Activités liées aux affaires
Les pistes d'audit fournissent des enregistrements chronologiques détaillés de toutes les activités liées aux dossiers. Ils fournissent des informations importantes lors des activités post-événement et aident à identifier les améliorations potentielles. L'heure, l'utilisateur, l'action et les détails de tout changement de dossier sont enregistrés dans la piste d'audit des cas.
# Clôture d'un dossier
Pour les dossiers AWS pris en charge, choisissez **Fermer le dossier** sur la page des détails du dossier pour clôturer définitivement le dossier quel que soit son statut. Un dossier atteint généralement le statut « **Prêt à fermer** » avant d'être définitivement clos. Si vous clôturez un dossier prématurément à un autre statut que **Prêt à fermer, vous demandez aux** ingénieurs de réponse aux incidents de AWS sécurité de cesser de travailler sur ce dossier AWS pris en charge.
Si votre équipe de réponse aux incidents est chargée de répondre aux incidents, sélectionnez **Action/Clore le dossier sur la page** des détails du dossier.
**Note**
Le statut « Prêt à fermer » signifie qu'un dossier peut être définitivement clos et qu'il n'y a aucun travail supplémentaire à effectuer sur un dossier.
Un dossier ne peut pas être rouvert une fois qu'il a été définitivement fermé. Toutes les informations seront disponibles en lecture seule. Pour éviter toute fermeture accidentelle, il vous sera demandé de confirmer que vous souhaitez fermer le boîtier.
# Travailler avec CloudFormation StackSets
**Important**
Réponse aux incidents de sécurité AWS n'active pas les fonctionnalités de confinement par défaut. Pour exécuter ces actions de confinement, vous devez accorder les autorisations nécessaires au service à l'aide de Gestion des identités et des accès AWS rôles. Vous pouvez créer ces rôles individuellement pour chaque compte ou pour l'ensemble de votre organisation en déployant CloudFormation StackSets, puis en StackSets créant les rôles requis.
*Pour obtenir des instructions spécifiques sur la façon de créer un StackSet avec des autorisations gérées par un service, voir [Créer CloudFormation StackSets avec des autorisations gérées par un service dans le Guide de l'utilisateur](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html).AWS CloudFormation *
Les modèles suivants permettent de créer les *AWSSecurityIncidentResponseContainmentExecution*rôles *AWSSecurityIncidentResponseContainment*et.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# Annuler l'adhésion
Un rôle CancelMembership autorisé Réponse aux incidents de sécurité AWS peut annuler l'adhésion depuis la console, l'API ou AWS Command Line Interface.
**Important**
Une fois l'adhésion annulée, vous ne pourrez plus consulter l'historique des dossiers. Lorsque vous annulez un abonnement, celui-ci sera immédiatement supprimé et vous n'aurez plus accès aux dossiers relatifs à l'adhésion. Toutes les ressources ou enquêtes qui sont `Active` ou `ready to close` seront également interrompues lors de l'annulation de l'adhésion.
Lorsque vous annulez un abonnement :
Votre adhésion sera supprimée et vous n'aurez plus accès aux dossiers relatifs à l'adhésion.
**Important**
Si vous vous réabonnez au service, un nouvel abonnement sera créé et les ressources relatives aux dossiers qui existaient dans le cadre de l'adhésion précédente ne seront accessibles que si vous les avez téléchargées avant l'annulation.
Une fois l'adhésion annulée, tous les membres de l'équipe de réponse aux incidents d'adhésion sont informés par e-mail.
**Important**
Si vous avez créé un abonnement à l'aide d'un compte d'administrateur délégué et que vous utilisez l' AWS Organizations API pour supprimer la désignation d'administrateur délégué du compte, l'adhésion sera immédiatement résiliée.