Comprendre l'archivage automatique grâce à une réponse proactive - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre l'archivage automatique grâce à une réponse proactive

Lorsque vous activez le tri proactif des réponses et des alertes, vous surveillez et triez Réponse aux incidents de sécurité AWS automatiquement les résultats de sécurité provenant d'Amazon GuardDuty et du Security Hub CSPM. Dans le cadre de ce flux de travail de triage automatique, les résultats sont automatiquement archivés en fonction des critères suivants :

Comportement d'archivage automatique :

  • Résultats bénins : lorsque le processus de triage automatique détermine qu'un résultat est bénin (et ne constitue pas une véritable menace pour la sécurité), il archive Réponse aux incidents de sécurité AWS automatiquement le résultat dans Amazon GuardDuty et crée des règles de suppression afin d'empêcher que des résultats similaires ne génèrent des alertes à l'avenir.

  • Règles de suppression : le service crée des règles de suppression et d'archivage automatique dans Amazon GuardDuty et Security Hub CSPM pour les résultats correspondant aux modèles connus de votre environnement, tels que les adresses IP attendues, les entités IAM et les comportements opérationnels normaux.

  • Volume d'alertes réduit : les organisations utilisant la technologie SIEM GuardDuty constateront une réduction significative du volume de recherches Amazon au fil du temps, à mesure que le service apprend votre environnement et archive automatiquement les résultats bénins. Cela améliore l'efficacité du Réponse aux incidents de sécurité AWS service et de votre SIEM.

Affichage des résultats archivés :

Vous pouvez consulter les résultats archivés automatiquement et les règles de suppression créées par Réponse aux incidents de sécurité AWS :

  1. Accédez à la GuardDuty console Amazon

  2. Choisissez Findings

  3. Sélectionnez Archivé dans le filtre des résultats.

  4. Passez en revue les règles de suppression en sélectionnant la flèche vers le bas à côté de chaque règle

Considérations importantes :

  • Les résultats archivés sont conservés sur Amazon GuardDuty pendant 90 jours et peuvent être consultés à tout moment pendant cette période

  • Vous pouvez modifier ou supprimer les règles de suppression à tout moment via la GuardDuty console Amazon.

  • Le processus de triage automatique s'adapte en permanence à votre environnement, améliorant ainsi la précision au fil du temps et réduisant les faux positifs