Évaluez et hiérarchisez les résultats de sécurité - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluez et hiérarchisez les résultats de sécurité

Un élément essentiel d'un programme de gestion des vulnérabilités efficace est la capacité d'évaluer et de hiérarchiser les résultats de sécurité. C'est là qu'entrent en jeu le contexte, l'historique de l'organisation et le réglage des systèmes de détection. La hiérarchisation des résultats de sécurité permet d'établir la vitesse appropriée pour le niveau de réponse.

Pour Amazon Inspector et Amazon AWS Security Hub GuardDuty, les résultats contiennent une étiquette ou un score de gravité. Nous vous recommandons de donner la priorité à l'investigation de tous les résultats critiques et très graves dans Security Hub, y compris les résultats liés à la norme Foundational Security Best Practices (FSBP), Amazon Inspector et. GuardDuty Pour trouver des étiquettes de gravité, les scores sont déterminés comme suit :

  • Le score Amazon Inspector est un score hautement contextualisé pour chaque résultat. Il est calculé en corrélant les informations du score de base du système CVSS (Common Vulnerability Scoring System) avec les résultats d'accessibilité du réseau et les données d'exploitabilité. À l'aide de ce score, vous pouvez hiérarchiser les résultats afin de vous concentrer sur les résultats les plus critiques et les ressources vulnérables. Outre le score, Amazon Inspector fournit également des informations améliorées sur les vulnérabilités relatives aux vulnérabilités et expositions courantes (CVE). Il s'agit d'un résumé des informations disponibles sur le CVE auprès d'Amazon ainsi que de sources de renseignement de sécurité standard, telles que Recorded Future et la Cybersecurity and Infrastructure Security Agency (CISA). Par exemple, Amazon Inspector peut fournir les noms des kits de malwares connus utilisés pour exploiter une vulnérabilité. Pour plus d'informations, consultez Vulnerability Intelligence.

  • Chaque GuardDuty constatation est associée à un niveau de gravité et à une valeur qui reflètent le risque potentiel qu'elle présente pour votre environnement. Ce niveau et cette valeur sont déterminés par les ingénieurs AWS de sécurité. Par exemple, un niveau de High gravité indique qu'une ressource est compromise et qu'elle est activement utilisée à des fins non autorisées. Nous vous recommandons de traiter une GuardDuty constatation de High gravité comme une priorité et d'y remédier immédiatement pour empêcher toute nouvelle utilisation non autorisée.

  • La gravité d'une constatation de contrôle du Security Hub dépend de la difficulté à exploiter et de la probabilité de compromission. La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace. La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos ressources Services AWS ou de vos ressources.

Pour ajuster les résultats, vous pouvez supprimer ou archiver des résultats spécifiques directement dans la console de service correspondante ou en utilisant l'API du service. En outre, vous pouvez modifier les résultats dans Security Hub à l'aide de règles d'automatisation. GuardDuty et les résultats d'Amazon Inspector sont automatiquement envoyés à Security Hub. Vous pouvez utiliser les règles d'automatisation pour mettre à jour automatiquement (par exemple en modifiant la gravité) ou supprimer les résultats en temps quasi réel, en fonction de critères que vous définissez. Lorsque vous créez des règles d'automatisation, nous vous recommandons d'ajouter du contexte à la description de la règle, par exemple la date de création ou de modification, son créateur et les raisons pour lesquelles la règle est nécessaire. Ces informations sont souvent utiles pour référence future.