# Détection
<a name="detection"></a>

La détection se compose de deux parties : la détection des modifications de configuration inattendues ou indésirables et la détection des comportements inattendus. La première peut avoir lieu à plusieurs endroits dans un cycle de vie de livraison d’application. À l’aide d’une infrastructure en tant que code (par exemple, un modèle CloudFormation), vous pouvez rechercher les configurations indésirables avant le déploiement d’une charge de travail en mettant en œuvre des vérifications dans les pipelines CI/CD ou le contrôle de la source. Ensuite, lorsque vous déployez une charge de travail dans des environnements de non-production et de production, vous pouvez vérifier la configuration à l’aide d’outils AWS, d’outils open source ou d’outils de partenaires AWS natifs. Ces vérifications peuvent concerner une configuration qui ne respecte pas les principes de sécurité ou les bonnes pratiques, ou des modifications apportées entre une configuration testée et déployée. Pour une application en cours d’exécution, vous pouvez vérifier si la configuration a été modifiée de manière inattendue, y compris en dehors d’un déploiement connu ou d’un événement de mise à l’échelle automatique. 

Pour la deuxième partie de la détection (comportement inattendu), vous pouvez utiliser des outils ou configurer des alertes en cas d’augmentation d’un type particulier d’appel d’API. Grâce à Amazon GuardDuty, vous pouvez être alerté lorsqu’une activité inattendue et potentiellement non autorisée ou malveillante se produit dans vos comptes AWS. Vous devez également surveiller explicitement les appels d’API en mutation que vous ne vous attendez pas à utiliser dans votre charge de travail, et les appels d’API qui modifient le niveau de sécurité.

La détection permet d’identifier une erreur potentielle dans la configuration des mesures de sécurité, une menace ou un comportement inattendu. Il s’agit d’une partie essentielle de la sécurité et elle peut être utilisée pour soutenir un processus de qualité, une obligation légale ou de conformité, ainsi que pour identifier les menaces et les efforts de réponse. Il existe différents types de mécanismes de détection. Par exemple, les journaux de votre charge de travail peuvent être analysés pour détecter les failles de sécurité exploitées. Vous devez vérifier régulièrement les mécanismes de détection liés à votre charge de travail afin de vous assurer que vous respectez les politiques et les exigences internes et externes. Les alertes et notifications automatisées doivent être basées sur des conditions définies pour permettre à vos équipes ou outils d’enquêter. Ces mécanismes sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée d’une activité anormale. 

Dans AWS, il existe plusieurs approches que vous pouvez utiliser pour aborder les mécanismes de détection. Les sections suivantes décrivent comment utiliser ces approches :

**Topics**
+ [SEC04-BP01 Configurer une journalisation de service et d’application](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 Corréler et enrichir les alertes de sécurité](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 Lancer la correction pour les ressources non conformes](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 Configurer une journalisation de service et d’application
<a name="sec_detect_investigate_events_app_service_logging"></a>

Conservez les journaux d’événements de sécurité des services et des applications. Il s’agit d’un principe de sécurité fondamental pour les cas d’audit, d’enquête et d’utilisation opérationnelle, et d’une exigence de sécurité commune dictée par les normes, politiques et procédures de gouvernance, de risque et de conformité (GRC).

 **Résultat escompté :** une organisation doit être en mesure de récupérer de manière fiable et cohérente les journaux des événements de sécurité des services et des applications AWS en temps opportun lorsque cela est nécessaire pour remplir un processus ou une obligation interne, comme une réponse à un incident de sécurité. Envisagez de centraliser les journaux pour obtenir de meilleurs résultats opérationnels. 

 **Anti-modèles courants :** 
+  Les journaux sont stockés à perpétuité ou supprimés trop tôt. 
+  Tout le monde peut accéder aux journaux. 
+  Se fier entièrement aux processus manuels pour la gouvernance et l’utilisation des journaux. 
+  Stocker chaque type de journal au cas où il serait nécessaire. 
+  Vérifier l’intégrité des journaux uniquement lorsque cela s’avère nécessaire. 

 **Avantages du respect de cette bonne pratique :** mettez en œuvre un mécanisme d’analyse des causes profondes (RCA) pour les incidents de sécurité et une source de preuves pour vos obligations en matière de gouvernance, de risque et de conformité. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Au cours d’une enquête de sécurité ou d’autres cas d’utilisation en fonction de vos besoins, vous devez être en mesure d’examiner les journaux pertinents pour consigner et comprendre la portée et la chronologie complètes de l’incident. Des journaux sont également requis pour la génération d’alertes, indiquant que certaines actions intéressantes ont eu lieu. Il est essentiel de sélectionner, d’activer, de stocker et de configurer les mécanismes d’interrogation et de récupération ainsi que les alertes. 

 **Étapes d’implémentation** 
+  **Sélectionnez et utilisez les sources de journaux.** Avant une enquête de sécurité, vous devez saisir les journaux pertinents pour reconstruire rétroactivement l’activité dans un Compte AWS. Sélectionnez les sources de journaux pertinentes pour vos charges de travail. 

   Les critères de sélection des sources de journaux doivent être fondés sur les cas d’utilisation requis par votre entreprise. Établissez une piste pour chaque Compte AWS en utilisant AWS CloudTrail ou une piste AWS Organizations, puis configurez un compartiment Amazon S3 pour cette piste. 

   AWS CloudTrail est un service de journalisation qui suit les appels API sur un Compte AWS pour capturer l’activité de service AWS. Il est activé par défaut avec une rétention de 90 jours des événements de gestion qui peuvent être [récupérés via l’historique des événements CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) à l’aide de la AWS Management Console, de la AWS CLI ou d’un AWS SDK. Pour une conservation et une visibilité prolongées des événements liés aux données, [créez un journal CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et associez-le à un compartiment Amazon S3, et éventuellement à un groupe de journaux Amazon CloudWatch. Vous pouvez également créer un [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), qui conserve les journaux CloudTrail pendant une période maximale de sept ans et fournit une fonction de requête basée sur SQL 

   AWS recommande aux clients utilisant un VPC d’activer le trafic réseau et les journaux DNS à l’aide des [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) et des [journaux de requêtes d’Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), respectivement, et de les diffuser vers un compartiment Amazon S3 ou un groupe de journaux CloudWatch. Vous pouvez créer un journal de flux VPC pour un VPC, un sous-réseau ou une interface réseau. Pour les journaux de flux VPC, vous pouvez choisir comment et où vous les utilisez pour réduire les coûts. 

   Les journaux AWS CloudTrail, les journaux de flux VPC et les journaux de requêtes du résolveur Route 53 sont les sources de journalisation de base qui soutiennent les enquêtes de sécurité dans AWS. Vous pouvez également utiliser [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) pour collecter, normaliser et stocker ces données de journal au format Apache Parquet et au format Open Cybersecurity Schema Framework (OCSF), qui est prêt à être interrogé. Security Lake prend également en charge d’autres journaux AWS et des journaux de sources tierces. 

   Les services AWS peuvent générer des journaux non capturés par les sources de journaux de base, comme les journaux Elastic Load Balancing, les journaux AWS WAF, les journaux de l’enregistreur AWS Config, les résultats Amazon GuardDuty, les journaux d’audit Amazon Elastic Kubernetes Service (Amazon EKS) et les journaux d’application et de système d’exploitation des instances Amazon EC2. Pour une liste complète des options de journalisation et de surveillance, consultez [Annexe A : Définitions des fonctionnalités cloud — Journalisation et événements](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) du [Guide de réponse aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 
+  **Recherchez des capacités de journalisation pour chaque service et application AWS :** chaque service et application AWS vous propose des options de stockage des journaux, chacune ayant ses propres capacités de conservation et de cycle de vie. Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch sont les deux services de stockage de journaux les plus courants. Pour de longues périodes de conservation, il est recommandé d’utiliser Amazon S3 pour sa rentabilité et ses capacités de cycle de vie flexibles. Si l’option de journalisation principale est Amazon CloudWatch Logs, en tant qu’option, vous devez envisager d’archiver les journaux les moins consultés dans Amazon S3. 
+  **Sélectionnez le stockage des journaux :** le choix du stockage des journaux dépend généralement de l’outil de requête que vous utilisez, des capacités de conservation, de la familiarité et du coût. Les options principales du stockage de journaux sont un compartiment Amazon S3 ou un groupe de journaux CloudWatch. 

   Un compartiment Amazon S3 offre un stockage durable et rentable avec une politique de cycle de vie facultative. Les journaux stockés dans des compartiments Amazon S3 peuvent être interrogés à l’aide de services tels qu’Amazon Athena. 

   Un groupe de journaux CloudWatch offre un stockage durable et une installation de requête intégrée via CloudWatch Logs Insights. 
+  **Identifiez la rétention appropriée des journaux :** lorsque vous utilisez un compartiment Amazon S3 ou un groupe de journaux CloudWatch pour stocker des journaux, vous devez établir des cycles de vie adéquats pour chaque source de journaux afin d’optimiser les coûts de stockage et de récupération. Les clients ont généralement entre trois mois et un an de journaux facilement disponibles pour la recherche, avec une conservation de sept ans maximum. Le choix de la disponibilité et de la conservation doit correspondre à vos exigences en matière de sécurité et à un ensemble d’obligations statutaires, réglementaires et opérationnelles. 
+  **Utilisez la journalisation pour chaque service et application AWS avec des politiques de conservation et de cycle de vie appropriées :** pour chaque service ou application AWS de votre organisation, consultez les instructions de configuration de journalisation spécifiques : 
  + [ Configurer AWS CloudTrail Trail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [ Configurer des journaux de flux VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [ Configurer Amazon GuardDuty Finding Export ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [ Configurer l’enregistrement AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [ Configurer le trafic ACL AWS WAF Web ](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [ Configurer les journaux de trafic réseau AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [ Configurer les journaux d’accès Elastic Load Balancing ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)
  + [ Configurer les journaux de requête Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [ Configurer les journaux Amazon RDS ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [ Configurer les journaux du plan de contrôle Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [ Configurer l’agent Amazon CloudWatch pour les instances Amazon EC2 et les serveurs sur site ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **Sélectionnez et implémentez des mécanismes d’interrogation pour les journaux :** pour les interrogations de journal, vous pouvez utiliser [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) pour les données stockées dans les groupes de journaux CloudWatch, et [Amazon Athena](https://aws.amazon.com/athena/) et [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) pour les données stockées dans Amazon S3. Vous pouvez également utiliser des outils d’interrogation tiers tels qu’un service de gestion des informations de sécurité et des événements (SIEM). 

   Le processus de sélection d’un outil d’interrogation de journaux doit tenir compte des aspects humains, technologiques et de processus de vos opérations de sécurité. Choisissez un outil qui répond aux exigences opérationnelles, métier et de sécurité, tout en étant accessible et gérable à long terme. Gardez à l’esprit que les outils d’interrogation de journaux fonctionnent de manière optimale lorsque le nombre de journaux à analyser est maintenu dans les limites de l’outil. Il n’est pas rare d’avoir plusieurs outils d’interrogation en raison de contraintes de coût ou techniques. 

   Par exemple, vous pouvez utiliser un outil de gestion des événements et des informations de sécurité tiers (SIEM) pour effectuer des requêtes sur les 90 derniers jours de données, mais utiliser Athena pour effectuer des requêtes au-delà de 90 jours en raison du coût d’ingestion du journal d’un SIEM. Quelle que soit l’implémentation choisie, assurez-vous que votre approche réduit au minimum le nombre d’outils requis pour maximiser l’efficacité opérationnelle, en particulier pendant une enquête sur un événement de sécurité. 
+  **Utiliser les journaux pour les alertes :** AWS fournit des alertes par le biais de plusieurs services de sécurité : 
  +  [AWS Config](https://aws.amazon.com/config/) surveille et enregistre les configurations de vos ressources AWS et permet d’automatiser l’évaluation et la remédiation par rapport aux configurations souhaitées. 
  +  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. GuardDuty ingère, agrège et analyse les informations provenant de sources telles que les événements de gestion et de données AWS CloudTrail, les journaux DNS, les journaux de flux VPC et les journaux d’audit Amazon EKS. GuardDuty extrait des flux de données indépendants directement depuis CloudTrail, les journaux de flux VPC, les journaux de requêtes DNS et Amazon EKS. Vous n’avez pas besoin de gérer les politiques de compartiment Amazon S3 ni de modifier la façon dont vous collectez et stockez les journaux. Il est toujours recommandé de conserver ces journaux à des fins d’enquête et de conformité. 
  +  [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) fournit un emplacement unique qui regroupe, organise et priorise vos alertes de sécurité ou vos résultats provenant de plusieurs services AWS et de produits tiers en option pour vous donner une vue complète des alertes de sécurité et du statut de conformité. 

   Vous pouvez également utiliser des moteurs de génération d’alertes personnalisés pour les alertes de sécurité non couvertes par ces services ou pour les alertes spécifiques pertinentes à votre environnement. Pour plus d’informations sur la création de ces alertes et détections, consultez la section [Détection dans le Guide de réponse aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html). 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 Définir la gestion évolutive du cycle de vie des données](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06 Prédéployer les outils](sec_incident_response_pre_deploy_tools.md) 

 **Documents connexes :** 
+ [Guide d’intervention en cas d’incident de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Premiers pas avec Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Démarrer : Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)

 **Vidéos connexes:** 
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)

 **Exemples connexes:** 
+ [ Assistant Log Enabler pour AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [AWS Security Hub CSPM Exportation historique des résultats ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)

# SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés
<a name="sec_detect_investigate_events_logs"></a>

 Les équipes de sécurité s’appuient sur les journaux et les résultats pour analyser les événements susceptibles d’indiquer une activité non autorisée ou des modifications involontaires. Afin de simplifier cette analyse, capturez les journaux de sécurité et les résultats dans des emplacements standardisés.  Vous pourrez ainsi rendre disponibles les points de données intéressants pour la corrélation et simplifier les intégrations d’outils. 

 **Résultat escompté :** vous disposez d’une approche standardisée pour collecter, analyser et visualiser les données de journal, les résultats et les métriques. Les équipes de sécurité peuvent corréler, analyser et visualiser efficacement les données de sécurité provenant de systèmes disparates afin de découvrir les événements de sécurité potentiels et d’identifier les anomalies. Des systèmes de gestion des informations et des événements de sécurité (SIEM) ou d’autres mécanismes sont intégrés pour interroger et analyser les données des journaux afin de répondre rapidement, de suivre et de faire remonter les événements de sécurité. 

 **Anti-modèles courants :** 
+  Les équipes possèdent et gèrent indépendamment la journalisation et la collecte de métriques qui ne sont pas conformes à la stratégie de journalisation de l’organisation. 
+  Les équipes ne disposent pas de contrôles d’accès adéquats pour restreindre la visibilité et la modification des données collectées. 
+  Les équipes ne gèrent pas leurs journaux de sécurité, leurs résultats et leurs métriques dans le cadre de leur politique de classification des données. 
+  Les équipes négligent les exigences de souveraineté et de localisation des données lors de la configuration des collections de données. 

 **Avantages du respect de cette bonne pratique :** une solution de journalisation standardisée pour collecter et interroger les données et les événements des journaux améliore les informations dérivées des informations qu’ils contiennent. La configuration d’un cycle de vie automatisé pour les données de journal collectées peut permettre de réduire les coûts liés au stockage des journaux. Vous pouvez créer un contrôle d’accès précis pour les informations de journal collectées en fonction de la sensibilité des données et des modèles d’accès nécessaires à vos équipes. Vous pouvez intégrer des outils pour corréler, visualiser et déduire des informations à partir des données. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 La croissance de l’utilisation d’AWS au sein d’une organisation entraîne une augmentation du nombre de charges de travail et d’environnements distribués. Dans la mesure où chaque charge de travail et environnement génère des données sur l’activité qui s’y déroule, la capture et le stockage de ces données localement constituent un défi pour les opérations de sécurité. Les équipes de sécurité utilisent des outils tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour collecter des données à partir de sources distribuées et effectuer des flux de travail de corrélation, d’analyse et de réponse. Ces opérations requièrent la gestion d’un ensemble complexe d’autorisations pour accéder aux différentes sources de données et impliquent des frais supplémentaires liés à l’exploitation des processus d’extraction, transformation et chargement (ETL). 

 Pour surmonter ces difficultés, pensez à agréger toutes les sources pertinentes de données des journaux de sécurité dans un compte Log Archive, comme décrit dans la section [Organisation de votre environnement AWS à l’aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account). Cela inclut toutes les données liées à la sécurité provenant de votre charge de travail et les journaux générés par les services AWS, tels que [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [AWS WAF](https://aws.amazon.com/waf/), [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) et [Amazon Route 53](https://aws.amazon.com/route53/). La saisie de ces données dans des emplacements standardisés dans un Compte AWS avec des autorisations intercomptes appropriées présente plusieurs avantages. Cette pratique permet d’empêcher l’altération des journaux dans les charges de travail et les environnements compromis, fournit un point d’intégration unique pour des outils supplémentaires et propose un modèle plus simplifié pour configurer la conservation et le cycle de vie des données.  Évaluez les impacts de la souveraineté des données, des périmètres de conformité et d’autres réglementations afin de déterminer si plusieurs emplacements de stockage de données de sécurité et périodes de conservation sont nécessaires. 

 Pour faciliter la capture et la standardisation des journaux et des résultats, évaluez [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dans votre compte d’archivage des journaux. Vous pouvez configurer Security Lake pour ingérer automatiquement les données provenant de sources courantes telles que CloudTrail, Route 53, [Amazon EKS](https://aws.amazon.com/eks/) et les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). Vous pouvez également configurer AWS Security Hub CSPM en tant que source de données dans Security Lake, ce qui vous permet de corréler les résultats d’autres services AWS, tels qu’[Amazon GuardDuty](https://aws.amazon.com/guardduty/) et [Amazon Inspector](https://aws.amazon.com/inspector/), avec les données de vos journaux.  Vous pouvez également utiliser des intégrations de sources de données tierces ou configurer des sources de données personnalisées. Toutes les intégrations normalisent vos données au format OCSF ([Open Cybersecurity Schema Framework](https://github.com/ocsf)) et sont stockées dans des compartiments [Amazon S3](https://aws.amazon.com/s3/) sous forme de fichiers Parquet, éliminant ainsi le besoin de traitement ETL. 

 Le stockage des données de sécurité dans des emplacements standardisés fournit des fonctionnalités analytiques avancées. AWS vous recommande de déployer des outils d’analyse de sécurité qui fonctionnent dans un environnement AWS dans un compte [Security Tooling](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts) distinct de votre compte d’archivage des journaux. Cette approche vous permet de mettre en œuvre des contrôles approfondis afin de protéger l’intégrité et la disponibilité des journaux et du processus de gestion des journaux, indépendamment des outils qui y accèdent.  Envisagez d’utiliser des services tels qu’[Amazon Athena](https://aws.amazon.com/athena/) pour exécuter des requêtes à la demande qui mettent en corrélation plusieurs sources de données. Vous pouvez également intégrer des outils de visualisation, tels que [Quick](https://aws.amazon.com/quicksight/). Les solutions optimisées par l’IA sont de plus en plus disponibles et peuvent exécuter des fonctions telles que la conversion des résultats en résumés lisibles par l’homme et l’interaction en langage naturel. L’intégration de ces solutions est généralement plus simple si vous disposez d’un emplacement de stockage de données standardisé pour les requêtes. 

## Étapes d’implémentation
<a name="implementation-steps"></a>

1.  **Création des comptes d’archivage des journaux et d’outils de sécurité** 

   1.  À l’aide d’AWS Organizations, [créez les comptes d’archivage des journaux et d’outils de sécurité](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html) dans une unité organisationnelle de sécurité. Si vous utilisez AWS Control Tower pour gérer votre organisation, les comptes d’archivage des journaux et d’outils de sécurité sont créés automatiquement pour vous. Configurez les rôles et les autorisations pour accéder à ces comptes et les administrer selon les besoins. 

1.  **Configurer vos emplacements de données de sécurité standardisés** 

   1.  Déterminez votre stratégie pour créer des emplacements de données de sécurité standardisés.  Vous pouvez y parvenir grâce à des options telles que des approches d’architecture de lac de données courantes, des produits de données tiers ou [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html). AWS vous recommande de capturer les données de sécurité à partir des Régions AWS qui sont [activées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) pour vos comptes, même lorsque vous ne les utilisez pas activement. 

1.  **Configurer la publication des sources de données dans vos emplacements standardisés** 

   1.  Identifiez les sources de vos données de sécurité et configurez-les pour les publier dans vos emplacements standardisés. Évaluez les options permettant d’exporter automatiquement les données dans le format souhaité, par opposition à celles nécessitant le développement de processus ETL. Avec Amazon Security Lake, vous pouvez [collecter des données](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html) à partir de sources AWS prises en charge et de systèmes tiers intégrés. 

1.  **Configurer des outils pour accéder à vos emplacements standardisés** 

   1.  Configurez des outils tels qu’Amazon Athena, Quick ou des solutions tierces pour disposer de l’accès requis à vos emplacements standardisés.  Configurez ces outils de façon à ce qu’ils fonctionnent à partir du compte d’outils de sécurité avec un accès en lecture intercompte au compte d’archivage des journaux, le cas échéant. [Créez des abonnés dans Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) pour permettre à ces outils d’accéder à vos données. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [ SEC01-BP01 Séparer les charges de travail à l’aide de comptes ](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 Définir la gestion du cycle de vie des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04 Appliquer le contrôle d’accès](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 Analyse des journaux de charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **Documents connexes:** 
+  [Livres blancs AWS : organisation de votre environnement AWS à l’aide de comptes multiple](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [Conseils prescriptifs AWS : architecture de référence de sécurité AWS (SRA AWS)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [AWS Conseils prescriptifs  : guide journalisation et surveillance pour les propriétaires d’applications](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **Exemples connexes:** 
+  [Agrégation, recherche et visualisation des données de journal provenant de sources distribuées avec Amazon Athena et Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [Comment visualiser les résultats d’Amazon Security Lake avec Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Génération d’informations optimisées par l’IA pour Amazon Security Lake à l’aide d’Amazon SageMaker AI Studio et d'Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identification des anomalies de cybersécurité dans vos données Amazon Security Lake à l’aide de l’IA Amazon SageMaker](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Ingestion, transformation et diffusion des événements publiés par Amazon Security Lake sur Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [Simplification de l’analyse des journaux AWS CloudTrail via la génération de requêtes en langage naturel dans CloudTrail Lake](https://aws.amazon.com/blogs/aws/simplify-aws-cloudtrail-log-analysis-with-natural-language-query-generation-in-cloudtrail-lake-preview/) 

 **Outils associés:** 
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Intégrations des partenaires Amazon Security Lake](https://aws.amazon.com/security-lake/partners/) 
+  [Cadre de schéma de cybersécurité ouvert (OCSF)](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/) 

# SEC04-BP03 Corréler et enrichir les alertes de sécurité
<a name="sec_detect_investigate_events_security_alerts"></a>

 Les activités inattendues peuvent générer plusieurs alertes de sécurité provenant de différentes sources, ce qui nécessite une corrélation et un enrichissement supplémentaires pour comprendre le contexte complet. Mettez en œuvre une corrélation et un enrichissement automatisés des alertes de sécurité afin de permettre une identification et une réponse plus précises aux incidents. 

 **Résultat escompté :** au fur et à mesure que l’activité génère différentes alertes au sein de vos charges de travail et de vos environnements, des mécanismes automatisés mettent en corrélation les données et les enrichissent avec des informations supplémentaires. Ce prétraitement permet de mieux comprendre l’événement, ce qui aide vos enquêteurs à déterminer sa criticité et s’il s’agit d’un incident qui requiert une réponse officielle. Ce processus réduit la charge de travail de vos équipes de surveillance et d’enquête. 

 **Anti-modèles courants :** 
+  Différents groupes de personnes étudient les résultats et les alertes générés par différents systèmes, sauf si les exigences relatives à la séparation des tâches en disposent autrement.   
+  Votre organisation achemine tous les résultats de sécurité et toutes les données d’alerte vers des emplacements standard, mais demande aux enquêteurs d’effectuer une corrélation et un enrichissement manuels. 
+  Vous vous fiez uniquement à l’intelligence des systèmes de détection des menaces pour rendre compte des résultats et établir la criticité. 

 **Avantages du respect de cette bonne pratique :** la corrélation et l’enrichissement automatisés des alertes contribuent à réduire la charge cognitive globale et la préparation manuelle des données requises par vos enquêteurs. Cette pratique permet de réduire le temps nécessaire pour déterminer si l’événement représente un incident et lancer une réponse officielle. Un contexte supplémentaire vous permet également d’évaluer avec précision la gravité réelle d’un événement, car celle-ci peut être supérieure ou inférieure à ce que suggère une alerte. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** bas  

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les alertes de sécurité peuvent provenir de nombreuses sources différentes dans AWS, y compris : 
+  Des services tels qu’[Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) et [Analyseur d’accès réseau](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) 
+  Alertes issues de l’analyse automatique des journaux de service AWS, d’infrastructure et d’application, telles que celles issues de [Security Analytics pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html). 
+  Alarmes en réponse à des modifications de votre activité de facturation provenant de sources telles qu’[Amazon CloudWatch](https://aws.amazon.com/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) ou [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Des sources tierces, telles que les flux de renseignements sur les menaces et les [solutions des partenaires de sécurité](https://aws.amazon.com/security/partner-solutions/) d’AWS Partner Network. 
+  [Contact par AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) ou par d’autres sources, telles que des clients ou des employés internes. 
+  Utilisez [Threat Technique Catalog by AWS (TTC)](https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/) pour aider à identifier et à corréler le comportement des acteurs menaçants grâce à l’identification des indicateurs de compromission (IoC). TTC est une extension du framework MITRE ATT&CK, qui catégorise tous les comportements et techniques connus et observés des acteurs menaçants dirigés contre les ressources AWS. 

 Dans leur forme la plus fondamentale, les alertes contiennent des informations sur qui (le *principal* ou l’*identité*) fait quoi *(*les *mesures* prises) à quoi (les *ressources* affectées). Pour chacune de ces sources, déterminez s’il existe des moyens de créer des mappages entre les identifiants de ces identités, actions et ressources afin d’effectuer une corrélation. À cet effet, vous pouvez notamment intégrer des sources d’alerte à un outil de gestion des informations et des événements de sécurité (SIEM) afin d’effectuer une corrélation automatique, créer vos propres pipelines et traitements de données, ou mettre en place une combinaison de ces deux solutions. 

 [Amazon Detective](https://aws.amazon.com/detective) est un exemple de service capable d’effectuer une corrélation pour vous. Detective ingère en permanence les alertes provenant de différentes sources AWS et tierces. Il utilise différentes formes d’informations pour créer un graphique visuel de leurs relations afin de faciliter les enquêtes. 

 Alors que la criticité initiale d’une alerte facilite l’établissement des priorités, le contexte dans lequel l’alerte s’est produite détermine sa véritable criticité. Par exemple, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) peut vous avertir qu’une instance Amazon EC2 de votre charge de travail demande un nom de domaine inattendu. GuardDuty peut attribuer à elle seule une faible criticité à cette alerte. Cependant, une corrélation automatique avec d’autres activités au moment de l’alerte peut révéler que plusieurs centaines d’instances EC2 ont été déployées sous la même identité, ce qui augmente les coûts d’exploitation globaux. Dans ce cas, le contexte de l’événement corrélé justifierait une nouvelle alerte de sécurité et la criticité pourrait être portée à un niveau élevé, ce qui accélérerait la mise en place d’une réponse. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Identifiez les sources d’informations relatives aux alertes de sécurité. Comprenez comment les alertes de ces systèmes représentent l’identité, l’action et les ressources afin de déterminer où une corrélation est possible. 

1.  Mettez en place un mécanisme permettant de capturer les alertes provenant de différentes sources. À cette fin, pensez à des services tels que Security Hub CSPM, EventBridge et CloudWatch. 

1.  Identifiez les sources pour la corrélation et l’enrichissement des données. Les exemples de sources incluent [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [les journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), [les journaux de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) et les journaux d’infrastructure et d’application. Tout ou partie de ces journaux peuvent être consommés par le biais d’une seule intégration avec [Amazon Security Lake](https://aws.amazon.com/security-lake/). 

1.  Intégrez les alertes à vos sources de corrélation et d’enrichissement des données pour créer des contextes d’événements de sécurité plus détaillés et établir leur criticité. 

   1.  Amazon Detective, les outils SIEM ou d’autres solutions tierces peuvent effectuer automatiquement un certain niveau d’ingestion, de corrélation et d’enrichissement. 

   1.  Vous pouvez également utiliser des services AWS pour créer le vôtre. Par exemple, vous pouvez invoquer une fonction AWS Lambda pour exécuter une requête Amazon Athena par rapport à AWS CloudTrail ou Amazon Security Lake, et publier les résultats dans EventBridge. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC10-BP03 Préparer les fonctionnalités d’analyse poussée](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Création d’alertes exploitables](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Envoyer des notifications (traitement et alarmes en temps réel)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Documents connexes:** 
+  [AWS Guide d’intervention en cas d’incident de sécurité](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Exemples connexes:** 
+  [Comment enrichir les résultats AWS Security Hub CSPM grâce aux métadonnées des comptes](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 

 **Outils associés :** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 Lancer la correction pour les ressources non conformes
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 Vos contrôles de détection peuvent signaler la présence de ressources non conformes à vos exigences de configuration. Vous pouvez lancer des mesures correctives définies par programme, manuellement ou automatiquement, afin de corriger ces ressources et de minimiser les impacts potentiels. Lorsque vous définissez des mesures correctives par programmation, vous pouvez agir rapidement et avec cohérence. 

 Bien que l’automatisation puisse améliorer les opérations de sécurité, vous devez la mettre en œuvre et la gérer avec soin.  Mettez en place des mécanismes de supervision et de contrôle appropriés pour vérifier que les réponses automatisées sont efficaces, précises et conformes aux politiques organisationnelles et à la propension au risque. 

 **Résultat escompté :** vous définissez les normes de configuration des ressources ainsi que les étapes à suivre pour corriger les ressources détectées comme étant non conformes. Dans la mesure du possible, vous avez défini les mesures correctives par programmation afin qu’elles puissent être lancées manuellement ou automatiquement. Des systèmes de détection sont en place pour identifier les ressources non conformes et publier des alertes dans des outils centralisés surveillés par votre personnel de sécurité. Ces outils vous permettent d’exécuter vos corrections programmatiques, manuellement ou automatiquement. Les mesures correctives automatiques sont dotées de mécanismes de supervision et de contrôle appropriés pour régir leur utilisation. 

 **Anti-modèles courants :** 
+  Vous mettez en œuvre l’automatisation, mais vous ne parvenez pas à tester ni à valider de manière approfondie les mesures correctives. Cela peut avoir des conséquences imprévues, telles que la perturbation des opérations commerciales légitimes ou l’instabilité du système. 
+  Vous améliorez les temps de réponse et les procédures grâce à l’automatisation, mais sans surveillance appropriée et sans mécanismes permettant une intervention et un discernement humains en cas de besoin. 
+  Vous vous fiez uniquement aux mesures correctives, au lieu de les intégrer dans le cadre d’un programme plus large de réponse aux incidents et de reprise. 

 **Avantages du respect de cette bonne pratique :** les corrections automatiques peuvent répondre aux erreurs de configuration plus rapidement que les processus manuels, ce qui vous permet de minimiser les impacts commerciaux potentiels et de réduire les opportunités d’utilisation involontaire. Lorsque vous définissez des mesures correctives de manière programmatique, elles sont appliquées de manière cohérente, ce qui réduit le risque d’erreur humaine. L’automatisation peut également gérer simultanément un plus grand volume d’alertes, ce qui est particulièrement important dans les environnements fonctionnant à grande échelle.   

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Comme décrit dans [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md), des services tels que [AWS Config](https://aws.amazon.com/config/) et [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) peuvent vous aider à surveiller la configuration des ressources de vos comptes afin de garantir leur conformité à vos exigences. Lorsque des ressources non conformes sont détectées, des services tels que AWS Security Hub CSPM peuvent aider à acheminer les alertes de manière appropriée et à prendre des mesures correctives. Ces solutions fournissent à vos enquêteurs de sécurité un emplacement central qui leur permet de surveiller les problèmes et de prendre des mesures correctives. 

 Outre AWS Security Hub CSPM, AWS a introduit [Security Hub Advanced](https://aws.amazon.com/security-hub/). Ce service, annoncé lors de re:Invent 2025, transforme la façon dont les entreprises hiérarchisent leurs problèmes de sécurité les plus critiques et répondent à grande échelle pour protéger leurs environnements cloud. La solution améliorée de Security Hub utilise désormais des données analytiques avancées pour corréler, enrichir et hiérarchiser automatiquement les signaux de sécurité dans votre environnement cloud. Security Hub s’intègre parfaitement avec [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [Amazon Inspector](https://aws.amazon.com/inspector/), [Amazon Macie](https://aws.amazon.com/macie/) et [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/cspm/features/). Les résultats corrélés dans Security Hub peuvent aboutir à une nouvelle découverte, appelée découverte d’exposition, qui inclut une trajectoire d’attaque supposée basée sur les vulnérabilités détectées dans chaque ressource. 

 Alors que certaines situations de ressources non conformes sont uniques et requièrent un discernement humain pour être résolues, d’autres situations ont besoin d’une réponse standard que vous pouvez définir par programmation. Par exemple, une solution standard à un problème de configuration du groupe de sécurité VPC peut consister à supprimer les règles d’interdiction et à en informer le propriétaire. Les réponses peuvent être définies dans les fonctions [AWS Lambda](https://aws.amazon.com/pm/lambda), les documents [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) ou via d’autres environnements de code que vous préférez. Assurez-vous que l’environnement est capable de s’authentifier auprès d’AWS à l’aide d’un rôle IAM avec le moins d’autorisations nécessaires pour prendre des mesures correctives. 

 Une fois que vous avez défini la correction souhaitée, vous pouvez ensuite déterminer le moyen par lequel vous préférez la lancer. AWS Config peut [initier des mesures correctives](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) pour vous. Si vous utilisez Security Hub CSPM, vous pouvez le faire par le biais d’[actions personnalisées](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html), ce qui entraîne la publication des informations de résultat sur [Amazon EventBridge](https://aws.amazon.com/eventbridge/). Une règle EventBridge peut ensuite lancer votre correction. Vous pouvez configurer les corrections via Security Hub CSPM pour qu’elles s’exécutent automatiquement ou manuellement.  

 Pour la correction programmatique, nous vous recommandons de disposer de journaux et d’audits complets des actions entreprises, ainsi que de leurs résultats. Passez en revue et analysez ces journaux pour évaluer l’efficacité des processus automatisés et identifier les domaines à améliorer. Capturez les journaux dans [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) et les résultats des mesures correctives sous forme de [notes de résultat](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) dans Security Hub CSPM. 

 Comme point de départ, pensez à [Automated Security Response on AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/), qui propose des correctifs prédéfinis pour résoudre les erreurs de configuration de sécurité courantes. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Analysez et hiérarchisez les alertes. 

   1.  Regroupez les alertes de sécurité provenant de différents services AWS dans Security Hub CSPM pour centraliser la visibilité, la hiérarchisation et les mesures correctives. 

1.  Élaborez des mesures correctives. 

   1.  Utilisez des services tels que Systems Manager et AWS Lambda pour exécuter des corrections programmatiques. 

1.  Configurez la façon dont les mesures correctives sont lancées. 

   1.  À l’aide de Systems Manager, définissez des actions personnalisées qui publient les résultats dans EventBridge. Configurez ces actions de façon à ce qu’elles soient lancées manuellement ou automatiquement. 

   1.  Vous pouvez également utiliser [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) pour envoyer des notifications et des alertes aux parties prenantes concernées (comme l’équipe de sécurité ou les équipes de réponse aux incidents) pour une intervention manuelle ou une escalade, si nécessaire. 

1.  Passez en revue et analysez les journaux de correction afin d’en vérifier l’efficacité et de les améliorer. 

   1.  Envoyez une sortie de journal à CloudWatch Logs. Enregistrez les résultats sous forme de notes de résultat dans Security Hub CSPM. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC06-BP03 Réduire la gestion manuelle et l’accès interactif](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **Documents connexes:** 
+  [AWS Guide d’intervention en cas d’incident de sécurité - Détection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **Exemples connexes:** 
+  [Automated Security Response on AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Surveiller les paires de clés d’instance EC2 à l’aide de AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Créer des règles AWS Config personnalisées à l’aide de stratégies AWS CloudFormation Guard](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Corriger automatiquement les instances et clusters de base de données Amazon RDS non chiffrés](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **Outils associés:** 
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [Automated Security Response on AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)