View a markdown version of this page

Journalisation et événements - Guide de réponse aux incidents de sécurité AWS

Journalisation et événements

AWS CloudTrail – AWS CloudTrail est un service qui permet la gouvernance, la conformité, l'audit opérationnel et l'audit des risques de votre compte AWS. Avec CloudTrail, vous pouvez journaliser, surveiller en continu et conserver l'activité de votre compte relative aux actions effectuées sur l'ensemble de votre infrastructure AWS. CloudTrail fournit l'historique des événements intervenus sur votre compte AWS, y compris les actions prises via AWS Management Console, les SDK AWS, les outils de ligne de commande et d'autres services AWS. Cet historique des événements simplifie l'analyse de la sécurité, le suivi des modifications de ressources et le dépannage.

Les fichiers journaux validés s'avèrent utiles lors d'enquêtes de sécurité et d'analyse. Afin de déterminer si des fichiers journaux ont été modifiés ou supprimés, ou s'ils restent inchangés après avoir été livrés par CloudTrail, vous pouvez utiliser la validation d'intégrité des fichiers journaux de CloudTrail. Cette fonction est intégrée l'aide d'algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est alors impossible de modifier, supprimer ou falsifier des fichiers journaux CloudTrail par traitement informatique sans être détecté.

Par défaut, les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés à l'aide du chiffrement côté serveur Amazon. Vous pouvez éventuellement utiliser les clés gérées AWS Key Management Service (AWS KMS) (SSE-KMS) pour vos fichiers journaux CloudTrail.

Amazon CloudWatch Events – Amazon CloudWatch Events fournit un flux d'événements système en quasi temps réel décrivant les modifications apportées aux ressources AWS ou lorsque des appels d'API sont publiés par AWS CloudTrail. À l'aide de règles simples et rapidement configurées, vous pouvez faire correspondre des événements et les acheminer vers un ou plusieurs flux, ou vers une ou plusieurs fonctions cibles. CloudWatch Events prend connaissance des changements opérationnels au fur et à mesure qu'ils surviennent. CloudWatch Events peut répondre à ces changements opérationnels et, le cas échéant, prend des mesures correctives en envoyant des messages pour répondre à l'environnement, en activant des fonctions, en procédant à des modifications et en capturant des informations d'état. Certains services de sécurité, tels qu'Amazon GuardDuty, produisent leur sortie sous la forme d'événements CloudWatch Events.

AWS Config – AWS Config est un service qui vous permet d'apprécier, d'auditer et d'évaluer les configurations de vos ressources AWS. Config surveille et enregistre en permanence les configurations de vos ressources AWS et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées. Avec Config, vous pouvez examiner l'évolution des configurations et des relations entre les ressources AWS, manuellement ou automatiquement. Vous pouvez consulter des historiques de configuration des ressources détaillés et déterminer votre conformité globale aux configurations spécifiées dans vos directives internes. Cela vous permet de simplifier l'audit de la conformité, l'analyse de la sécurité, la gestion des modifications et le diagnostic des défaillances opérationnelles.

Journaux d'accès Amazon S3 – Si vous stockez des informations sensibles dans un compartiment Amazon S3, vous pouvez activer les journaux d'accès S3 pour enregistrer chaque chargement, téléchargement et modification de ces données. Ce journal est distinct et complémentaire des journaux CloudTrail qui enregistrent les modifications apportées au compartiment lui-même (telles que la modification des politiques d'accès et des politiques de cycle de vie).

Amazon CloudWatch Logs – Vous pouvez utiliser Amazon CloudWatch Logs pour surveiller, stocker et accéder à vos fichiers journaux (tels que votre système d'exploitation, votre application et vos fichiers journaux personnalisés) à partir de vos instances Amazon Elastic Compute Cloud (Amazon EC2) à l'aide de l'agent CloudWatch Logs. En outre, Amazon CloudWatch Logs peut capturer des journaux à partir de AWS CloudTrail, de requêtes DNS Amazon Route 53, de journaux de flux VPC, de fonctions Lambda et d'autres sources. Vous pouvez ensuite récupérer les données de journaux associées depuis CloudWatch Logs.

Journaux de flux VPC – Les journaux de flux VPC vous permettent de capturer des informations sur le trafic IP vers et depuis les interfaces réseau dans votre VPC. Une fois que vous avez créé un journal de flux, vous pouvez afficher et extraire ses données dans Amazon CloudWatch Logs. Les journaux de flux VPC peuvent vous aider à réaliser un certain nombre de tâches. Par exemple, vous pouvez utiliser des journaux de flux pour déterminer pourquoi un trafic spécifique n'atteint pas une instance, ce qui peut vous aider à diagnostiquer des règles de groupe de sécurité trop restrictives. Vous pouvez également utiliser les journaux de flux comme outil de sécurité pour surveiller le trafic qui atteint votre instance.

Journaux AWS WAF – AWS WAF prend désormais en charge la journalisation complète de toutes les demandes web inspectées par le service. Vous pouvez stocker ces journaux dans Amazon S3 à des fins de conformité et d'audit, ainsi que les utiliser pour le débogage et d'autres analyses. Ces journaux vous aideront à comprendre pourquoi certaines règles sont déclenchées, alors que certaines demandes web sont bloquées. Vous pouvez également intégrer les journaux à vos services SIEM et à vos outils d'analyse des journaux.

Autres journaux AWS – Au fur et à mesure des innovations, nous continuons à déployer de nouvelles fonctions et capacités pour les clients pratiquement tous les jours, ce qui signifie qu'il existe des dizaines de services AWS qui fournissent des fonctions de journalisation et de surveillance. Pour de plus amples informations sur les fonctionnalités disponibles pour chaque service AWS, veuillez consulter la documentation AWS relative à chaque service.