Guide d'audit - AWS IoT Device Defender
PrérequisActivation des vérifications d'auditAfficher les résultats d'auditCréation d'actions d'atténuation des auditsAppliquez des mesures d'atténuation aux résultats de votre auditCréation d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)Activer les notifications SNS (facultatif)(Facultatif) Activer la journalisation

Guide d'audit

Ce didacticiel fournit des instructions sur la façon de configurer un audit récurrent, de configurer des alarmes, d'examiner les résultats d'audit et d'atténuer les problèmes d'audit.

Prérequis

Pour suivre ce didacticiel, vous aurez besoin des éléments suivants :

  • Un Compte AWS. Si vous n'avez pas cela, consultez Setting up.

Activation des vérifications d'audit

Dans la procédure suivante, vous activez les contrôles d’audit qui examinent les paramètres et les politiques des comptes et des appareils pour garantir que les mesures de sécurité sont en place. Dans ce didacticiel, nous vous demandons d'activer tous les contrôles d'audit, mais vous pouvez sélectionner ceux que vous souhaitez.

Le prix de l'audit est calculé par nombre d'appareils par mois (flotte d'appareils connectés à AWS IoT). Par conséquent, l'ajout ou la suppression de contrôles d'audit n'affecterait pas votre facture mensuelle lorsque vous utiliserez cette fonctionnalité.

  1. Ouvrez la AWS IoT console. Dans le volet de navigation, développez Sécurité et choisissez Intro.

  2. Choisissez Automatiser l'audit de AWS IoT sécurité. Les contrôles d'audit sont automatiquement activés.

  3. Développez Audit et choisissez Paramètres pour afficher vos contrôles d'audit. Sélectionnez le nom du contrôle d'audit pour en savoir plus sur le rôle du contrôle d'audit. Pour plus d'informations sur les contrôles d'audit, consultez Contrôles d'audit.

  4. (Facultatif) Si vous avez déjà un rôle que vous souhaitez utiliser, choisissez Gérer les autorisations de service, choisissez le rôle dans la liste, puis Mettre à jour.

Afficher les résultats d'audit

La procédure suivante vous explique comment afficher les résultats d'audit. Dans ce didacticiel, vous pouvez voir les résultats d'audit issus des contrôles d'audit configurés dans le didacticiel Activation des vérifications d'audit.

Pour consulter les résultats de l'audit

  1. Ouvrez la AWS IoT console. Dans le volet de navigation, développez Sécurité, Audit, puis sélectionnez Résultats.

  2. Sélectionnez le nom du calendrier d'audit que vous souhaitez étudier.

  3. Dans Contrôles non conformes, sous Atténuation, sélectionnez les boutons d'information pour savoir pourquoi ils ne sont pas conformes. Pour obtenir des conseils sur la manière de rendre conformes vos contrôles non conformes, consultez Contrôles d'audit.

Création d'actions d'atténuation des audits

Dans la procédure suivante, vous allez créer une action d'atténuation de AWS IoT Device Defender l'audit pour activer la journalisation AWS IoT. Chaque contrôle d'audit comporte des actions d'atténuation mappées qui affecteront le type d'action que vous choisissez pour le contrôle d'audit que vous souhaitez corriger. Pour plus d'informations, consultez les Mitigation action (Action d'atténuation).

Utiliser la console AWS IoT pour créer des actions d'atténuation

  1. Ouvrez la AWS IoT console. Dans le volet de navigation, développez Security, Detect, puis choisissez Mitigation actions.

  2. Dans la page Mitigation Actions (Actions d'atténuation), choisissez Create (Créer).

  3. Dans la page Create a Mitigation Action (Créer une action d’atténuation), dans Action name (Nom de l’action), saisissez un nom unique pour votre action d'atténuation tel que EnableErrorLoggingAction..

  4. Pour Type d'action, choisissez Activer la AWS IoT journalisation.

  5. Dans Autorisations, choisissez Créer un rôle. Pour le nom du rôle, utilisez IOTMitigationActionErrorLoggingRole. Ensuite, choisissez Créer.

  6. Dans Paramètres, sous Rôle pour la journalisation, sélectionnez IoTMitigationActionErrorLoggingRole. Pour Niveau de journalisation, sélectionnezError.

  7. Sélectionnez Créer.

Appliquez des mesures d'atténuation aux résultats de votre audit

La procédure suivante vous explique comment appliquer des mesures d'atténuation aux résultats d'audit.

Pour atténuer les résultats d'audit non conformes

  1. Ouvrez la AWS IoT console. Dans le volet de navigation, développez Sécurité, Audit, puis sélectionnez Résultats.

  2. Choisissez un résultat d'audit auquel vous voulez répondre.

  3. Vérifiez vos résultats.

  4. Choisissez Start Mitigation Actions (Lancer des actions d’atténuation).

  5. Pour la journalisation désactivée, choisissez l'action d'atténuation que vous avez créée précédemment,EnableErrorLoggingAction. Vous pouvez sélectionner les actions appropriées pour chaque résultat de non-conformité afin de résoudre les problèmes.

  6. Pour Select reason codes (Sélectionner les codes de motif), choisissez le code de motif renvoyé par le contrôle d'audit.

  7. Choisissez Démarrer la tâche. L'action d'atténuation peut prendre quelques minutes.

Pour vérifier que les mesures d'atténuation ont fonctionné

  1. Dans la console AWS IoT, dans le volet de navigation, choisissez Paramètres.

  2. Dans le journal de service, vérifiez que le niveau du journal estError (least verbosity).

Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)

Dans la procédure suivante, vous allez créer un rôle AWS IoT Device Defender Audit IAM qui fournit un accès en AWS IoT Device Defender lecture à AWS IoT.

Pour créer un rôle pour un service AWS IoT Device Defender (console IAM)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console IAM, choisissez Rôles, puis Créer un rôle.

  3. Choisissez le type du rôle de l'Service AWS.

  4. Dans Cas d'utilisation pour d'autres AWS services, choisissez AWS IoT, puis IoT - Device Defender Audit.

  5. Choisissez Suivant.

  6. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.

    Développez la section Permissions boundary (Limite d'autorisations) et sélectionnez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques gérées par AWS et des politiques gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez Création de politiques IAM dans le Guide de l'utilisateur IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.

  7. Choisissez Suivant.

  8. Entrez un nom de rôle pour vous aider à identifier l'objectif de ce rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.

  9. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  10. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Select permissions (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.

  11. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique Balisage des ressources IAM dans le Guide de l'utilisateur IAM.

  12. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Activer les notifications SNS (facultatif)

Dans la procédure suivante, vous activez les notifications Amazon SNS (SNS) pour vous avertir lorsque vos audits identifient des ressources non conformes. Dans ce didacticiel, vous allez configurer des notifications pour les contrôles d'audit activés dans le didacticiel Activation des vérifications d'audit.

  1. Si ce n'est pas déjà fait, joignez une politique permettant d'accéder au réseau social via le AWS Management Console. Pour ce faire, suivez les instructions de la section Attacher une politique à un groupe d'utilisateurs IAM dans le guide de l'utilisateur IAM et en sélectionnant la politique AwsiotDeviceDefenderPublishFindingsMitigationAction.

  2. Ouvrez la AWS IoT console. Dans le volet de navigation, développez Sécurité, Audit, puis sélectionnez Paramètres.

  3. Au bas de la page des paramètres d'audit de Device Defender, choisissez Activer les alertes SNS.

  4. Choisissez Enabled (Activé).

  5. Choisissez Rubriques, puis Créer une rubrique. Nommez le sujet IOTDDNotifications et choisissez Créer. Pour Rôle, choisissez le rôle que vous avez créé dans Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif).

  6. Choisissez Mettre à jour.

  7. Si vous souhaitez recevoir des e-mails ou des SMS sur vos plateformes Ops via Amazon SNS, consultez la section Utilisation d'Amazon Simple Notification Service pour les notifications destinées aux utilisateurs.

(Facultatif) Activer la journalisation

Cette procédure décrit comment activer la journalisation AWS IoT des informations dans CloudWatch Logs. Cela vous permettra de consulter les résultats de votre audit. L'activation de la journalisation peut entraîner des frais.

Pour activer la journalisation

  1. Ouvrez la AWS IoT console. Dans le volet de navigation, choisissez Paramètres.

  2. Dans Logs, sélectionnez Gérer les journaux .

  3. Pour Sélectionner un rôle, choisissez Créer un rôle. Nommez le rôle AWSIOTLoggingRole et choisissez Créer. Une politique est automatiquement jointe.

  4. Pour le niveau de journalisation, choisissez Debug (niveau de verbosité le plus élevé).

  5. Choisissez Mettre à jour.