View a markdown version of this page

Runbooks - Guide de réponse aux incidents de sécurité AWS
Création de RunbooksMise en route

Runbooks

Lorsqu'une anomalie de sécurité est détectée, la maîtrise de l'événement et le retour à un état correct connu constituent une partie importante d'un plan de réponse. Par exemple, si l'anomalie est survenue en raison d'une mauvaise configuration de la sécurité, la correction peut se limiter à supprimer l'écart en redéployant les ressources avec la configuration appropriée. Pour ce faire, vous devez planifier à l'avance et définir vos propres procédures de réponse de sécurité, souvent appelées runbooks.

Un runbook est la forme documentée des procédures d'une organisation visant à exécuter une tâche ou une série de tâches. Cette documentation est généralement stockée soit dans un système numérique interne, soit imprimée sur papier. Vous disposez peut-être déjà de runbooks de réponse aux incidents ou vous devez les créer pour vous conformer à un cadre d'assurance de sécurité. Cependant, lorsque vous suivez manuellement les runbooks écrits, vous augmentez le risque de commettre des erreurs. Nous vous recommandons plutôt d'automatiser toutes vos tâches reproductibles. L'automatisation libère les membres de votre équipe de réponse des tâches courantes et les rend disponibles pour des tâches plus importantes, telles que la corrélation d'événements, les simulations, la conception de nouvelles procédures de réponse, la réalisation de recherches, le développement de nouvelles compétences et le test ou la création de nouveaux outils. Cependant, avant de pouvoir décomposer les tâches en logique programmable et itérer vers une automatisation appropriée, vous devez commencer par écrire un runbook.

Création de Runbooks

Pour créer des runbooks pour le cloud, nous vous recommandons de commencer par vous concentrer sur les alertes que vous générez actuellement. Si vous générez une alerte, il est important de l'examiner. Commencez par définir les descriptions des processus manuels que vous effectuez. Ensuite, testez les processus et itérez sur le modèle de runbook pour améliorer la logique de base de votre réponse. Déterminez les exceptions et les autres résolutions de ces scénarios. Par exemple, dans un environnement de développement, vous pouvez mettre fin à une instance Amazon EC2 mal configurée. Cependant, si le même événement se produisait dans un environnement de production, au lieu de mettre fin à l'instance, vous pourriez l'arrêter et vérifier avec les parties prenantes que les données critiques ne sont pas perdues et vérifier si la résiliation est acceptable.

Après avoir déterminé la meilleure solution, vous pouvez déconstruire la logique en une solution basée sur le code, qui peut être utilisée comme outil par de nombreux intervenants pour automatiser la réponse et supprimer les écarts ou les conjectures de vos intervenants. Cela accélère le cycle de vie d'une réponse. L'objectif suivant est de permettre à ce code d'être entièrement automatisé en étant appelé par les alertes ou les événements eux-mêmes, plutôt que d'être exécuté par un intervenant humain.

Mise en route

Si vous ne savez pas par où commencer, envisagez de commencer par les alertes qui pourraient être générées par AWS Trusted Advisor, les bonnes pratiques de sécurité fondamentales d'AWS Security Hub et AWS Config Rules (y compris le référentiel Github AWS Config Rules). Ensuite, concentrez-vous sur les événements générés par les services qui décriront les systèmes qui vous préoccupent.

Il est souvent suggéré d'utiliser Amazon GuardDuty et Access Analyzer, car ils décrivent de nombreux domaines qu'une application utilisera dans AWS. Cependant, Amazon Inspector et Amazon Macie proposent des utilisations spécifiques en cas de préoccupations au niveau des données et des points de terminaison. Les informations sur les résultats d'Amazon GuardDuty sont disponibles dans le Guide de l'utilisateur Amazon GuardDuty. Les résultats d'Access Analyzer sont disponibles dans le Guide de l'utilisateur Amazon Access Analyzer. Les résultats de Macie sont disponibles dans le Guide de l'utilisateur Amazon Macie. Les résultats d'Amazon Inspector sont disponibles dans le Guide de l'utilisateur Amazon Inspector. Security Hub est suggéré comme emplacement central pour la correction, car il vous permet d'unifier ces découvertes en un seul endroit et d'y réagir avec une faible latence.

Tous les services ci-dessus envoient des notifications via Amazon CloudWatch Events en cas de modification des résultats ou des alertes, y compris en cas d'alerte nouvellement générée et de mise à jour des alertes existantes. Vous pouvez configurer les règles Amazon CloudWatch Events pour déclencher des fonctions AWS Lambda afin d'offrir une réponse basée sur un événement. Cependant, des critères importants font pencher la balance vers Security Hub : il offre la possibilité de créer des informations personnalisées et d'ajouter vos propres conclusions à partir du domaine d'application. Pour de plus amples informations, veuillez consulter la section Réponse basée sur les événements.