Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Cas
Réponse aux incidents de sécurité AWS vous permet de créer deux types de dossiers : les dossiers AWS pris en charge ou les cas autogérés.
# Création d'un dossier AWS pris en charge
Vous pouvez créer un dossier AWS pris en charge Réponse aux incidents de sécurité AWS via la console, l'API ou le AWS Command Line Interface. AWS les cas pris en charge vous permettent de bénéficier de l'assistance des ingénieurs de réponse aux incidents de sécurité.
**Important**
Les dossiers de démonstration ou de simulation seront clôturés après une période de 90 jours.
**Note**
AWS Les ingénieurs de réponse aux incidents de sécurité répondront à votre cas dans les 15 minutes. Le temps de réponse correspond à la première réponse des ingénieurs de réponse aux incidents de AWS sécurité. Nous ferons tous les efforts raisonnables pour répondre à votre demande initiale dans ce délai. Ce délai de réponse ne s'applique pas aux réponses suivantes.
**Note**
Vous pouvez créer des dossiers AWS pris en charge non seulement pour les incidents de sécurité en cours et les enquêtes, mais également pour les demandes concernant les capacités de réponse aux incidents de AWS sécurité. Cela inclut des questions sur les règles de GuardDuty suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et des conseils généraux sur le niveau de sécurité. Sélectionnez le type de dossier **Enquêtes et demandes** de renseignements à ces fins.
# Quand contacter Réponse aux incidents de sécurité AWS
Vous pouvez contacter AWS Security Incident Response à différentes fins en fonction de vos besoins. Le tableau suivant décrit les différents scénarios et la méthode de contact appropriée pour chacun.
| Scénario | Utilisation | Temps de réponse | Type de boîtier |
| --- | --- | --- | --- |
| **Incident de sécurité actif** | Vous êtes confronté à un incident de sécurité urgent nécessitant une réponse immédiate aux incidents, un soutien et des services. | 15 minutes (première réponse) | [Incident de sécurité actif](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Enquête** | Vous avez l'impression d'un incident de sécurité et avez besoin d'aide pour l'analyse des journaux et la confirmation secondaire de l'enquête sur la réponse à l'incident | 15 minutes (première réponse) | [Enquêtes et demandes](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Demandes de renseignements et conseils** | Vous avez des questions sur GuardDuty les résultats d'Amazon, les règles de suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs ou le niveau de sécurité général lié aux fonctionnalités Réponse aux incidents de sécurité AWS | 15 minutes (première réponse) | [Enquêtes et demandes](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problèmes d'intégration** | Vous rencontrez des problèmes techniques lors du processus d'intégration à AWS Security Incident Response | Varie en fonction du plan de support | [AWS Support cas](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Pour tous les cas AWS pris en charge (incident de sécurité actif et enquêtes et demandes de renseignements), les ingénieurs de réponse aux incidents de AWS sécurité répondront dans les 15 minutes pour obtenir la première réponse. Ce délai de réponse s'applique uniquement au contact initial et ne s'applique pas aux réponses suivantes.
L'exemple suivant décrit l'utilisation de la console.
1. Connectez-vous Réponse aux incidents de sécurité AWS via le AWS Management Console.
1. Choisissez **Create Case**
1. Choisissez **Résoudre le dossier avec AWS**
1. Sélectionnez le type de demande
1. **Incident de sécurité actif** : ce type est destiné à l'assistance et aux services de réponse aux incidents urgents.
1. **Enquêtes et demandes de renseignements** : utilisez ce type pour les incidents de sécurité présumés où les ingénieurs AWS de réponse aux incidents de sécurité peuvent vous aider à analyser les journaux et à confirmer ensuite l'enquête sur la réponse aux incidents. Vous pouvez également utiliser ce type pour les demandes concernant les GuardDuty résultats, les règles de suppression, les configurations de triage des alertes, les flux de travail de réponse proactifs et les questions générales de sécurité liées aux capacités de réponse aux incidents de AWS sécurité.
1. Définissez l'estimation de la date de début à la date du premier indicateur de l'incident. Par exemple, lorsque vous avez connu un comportement anormal pour la première fois ou lorsque vous avez reçu la première alerte de sécurité correspondante.
1. Définissez un titre pour le dossier
1. Fournissez une description détaillée du cas. Tenez compte des aspects suivants qui peuvent aider les intervenants à résoudre les incidents :
1. Que s’est-il passé ?
1. Qui a découvert et signalé l'incident ?
1. Qui est concerné par cette affaire ?
1. Quel est l'impact connu ?
1. Quelle est l'urgence de cette affaire ?
1. Ajoutez un ou plusieurs Compte AWS IDs éléments inclus dans le champ du dossier.
1. Ajoutez des informations facultatives sur le dossier :
1. Sélectionnez les principaux services concernés dans la liste déroulante.
1. Sélectionnez les principales régions touchées dans la liste déroulante.
1. Ajoutez une ou plusieurs adresses IP d'acteurs menaçants que vous avez identifiées dans le cadre de ce dossier.
1. Ajoutez des intervenants supplémentaires facultatifs au dossier qui recevra des notifications. Pour ajouter une personne, procédez comme suit :
1. Ajoutez une adresse e-mail.
1. Ajoutez un prénom et un nom de famille facultatifs.
1. Choisissez **Ajouter** pour ajouter une autre personne.
1. Pour supprimer un individu, choisissez l'option **Supprimer** pour un individu.
1. Choisissez **Ajouter** pour ajouter toutes les personnes répertoriées au dossier.
1. Vous pouvez sélectionner plusieurs personnes et choisir **Supprimer** pour les supprimer de la liste.
1. Ajoutez des étiquettes facultatives au boîtier.
1. Pour ajouter une balise, procédez comme suit :
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez le nom de la balise.
1. Pour **Valeur**, saisissez la valeur de l‘identification.
1. Pour supprimer une balise, choisissez l‘option de **Suppression** pour cette balise.
Une fois qu'un dossier AWS pris en charge a été créé, les ingénieurs de réponse aux incidents de AWS sécurité et votre équipe de réponse aux incidents sont immédiatement avertis.
**Pour créer un dossier AWSétayé par une investigation basée sur l'IA**
1. Ouvrez la Réponse aux incidents de sécurité AWS console à l'adresse [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Choisissez **Cases dans** le volet de navigation.
1. Choisissez **Create case** (Créer une demande).
1. Pour **Type de dossier**, sélectionnez **Boîtier AWS pris en charge**.
1. Fournissez les détails du dossier, notamment le titre, la date de début de l'incident et l'identifiant AWS du compte concerné.
1. Dans la section **Décrire l'événement de sécurité**, fournissez une description complète de l'incident.
1. Fournissez des informations supplémentaires sur les AWS services concernés, les régions et d'autres informations pertinentes.
1. Choisissez **Create case** (Créer une demande).
Une fois le dossier créé, les ingénieurs de réponse aux incidents de sécurité et l'agent d'intelligence artificielle commencent à travailler simultanément.
**Pour répondre aux questions de clarification de l'IA (facultatif)**
1. Accédez à l'onglet **Investigation** correspondant à votre cas.
1. Passez en revue toutes les questions de clarification présentées par l'agent d'IA.
1. Répondez aux questions ou choisissez **Ignorer** si vous préférez ne pas y répondre.
1. Choisissez **Soumettre** pour continuer. Tous les champs sont facultatifs.
**Divulgation responsable de l'IA**
Les résumés des enquêtes sont générés à l'aide des fonctionnalités de l'IA AWS générative. Vous êtes chargé d'évaluer les recommandations générées par l'IA dans votre contexte spécifique, de mettre en œuvre des mécanismes de supervision appropriés, de vérifier les résultats de manière indépendante et de maintenir un contrôle humain de toutes les décisions de sécurité.
# Création d'un dossier autogéré
Vous pouvez créer un formulaire autogéré Réponse aux incidents de sécurité AWS via la console, l'API ou AWS Command Line Interface. Ce type de cas *N'ENGAGE PAS* les ingénieurs de réponse aux incidents de AWS sécurité. L'exemple suivant décrit l'utilisation de la console.
1. Connectez-vous Réponse aux incidents de sécurité AWS via l' AWS Management Console adresse [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Choisissez **Create Case (Créer une demande)**.
1. Choisissez **Résoudre le dossier avec ma propre équipe de réponse aux incidents.**
1. Définissez l'estimation de la date de début à la date du premier indicateur de l'incident. Par exemple, lorsque vous avez connu un comportement anormal pour la première fois ou lorsque vous avez reçu la première alerte de sécurité correspondante.
1. Définissez un titre pour le dossier. Il est recommandé d'inclure les données dans le titre du dossier, comme suggéré lors de la sélection de l'option **Générer le titre**.
1. Entrez Compte AWS IDs ceux qui font partie du dossier. Pour ajouter un identifiant de compte, procédez comme suit :
1. Entrez l'identifiant de compte à 12 chiffres et choisissez **Ajouter un compte**.
1. Pour supprimer un compte, choisissez **Supprimer** à côté du compte que vous souhaitez supprimer du dossier.
1. Fournissez une description détaillée du cas.
1. Tenez compte des aspects suivants qui peuvent aider les intervenants à résoudre les incidents :
1. Que s’est-il passé ?
1. Qui a découvert et signalé l'incident ?
1. Qui est concerné par cette affaire ?
1. Quel est l'impact connu ?
1. Quelle est l'urgence de cette affaire ?
1. Ajoutez des informations facultatives sur le dossier :
1. Sélectionnez les principaux services concernés dans la liste déroulante.
1. Sélectionnez les principales régions touchées dans la liste déroulante.
1. Ajoutez une ou plusieurs adresses IP d'acteurs menaçants que vous avez identifiées dans le cadre de ce dossier.
1. Ajoutez des intervenants supplémentaires facultatifs au dossier qui recevra des notifications. Pour ajouter une personne, procédez comme suit :
1. Ajoutez une adresse e-mail.
1. Ajoutez un prénom et un nom de famille facultatifs.
1. Choisissez **Ajouter** pour ajouter une autre personne.
1. Pour supprimer un individu, choisissez l'option **Supprimer** pour un individu.
1. Choisissez **Ajouter** pour ajouter toutes les personnes répertoriées au dossier. Vous pouvez sélectionner plusieurs personnes et choisir **Supprimer** pour les supprimer de la liste.
1. Ajoutez des étiquettes facultatives au boîtier. Pour ajouter une balise, procédez comme suit :
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez le nom de la balise.
1. Pour **Valeur**, saisissez la valeur de l‘identification.
1. Pour supprimer une balise, choisissez l‘option de **Suppression** pour cette balise.
L'équipe de réponse aux incidents sera informée par e-mail une fois le dossier créé.
# Collaboration avec les ingénieurs de réponse aux incidents de AWS sécurité
Une fois que vous avez ouvert un dossier d'incident de AWS sécurité, les ingénieurs de réponse aux incidents de sécurité commencent à travailler sur votre incident. Cette section explique à quoi s'attendre pendant l'enquête et comment collaborer efficacement avec notre équipe.
# À quoi s'attendre de la part des ingénieurs de réponse aux incidents de AWS sécurité
Lorsque vous ouvrez un dossier AWS pris en charge, un ingénieur de réponse aux incidents de sécurité est affecté à votre incident. Le répondeur qui vous a été assigné devra :
+ Passez en revue les informations initiales que vous avez fournies dans le dossier
+ Analyser les journaux AWS de service pertinents et les résultats de sécurité
+ Identifier la portée et l'impact de l'incident de sécurité
+ Élaborez un plan d'enquête et d'intervention adapté à votre situation
**Délai de réponse** : L'objectif de niveau de service (SLO) pour la reconnaissance des nouveaux cas par les Réponse aux incidents de sécurité AWS ingénieurs est de 15 minutes. Le calendrier de l'évaluation initiale peut varier en fonction de la gravité et de la complexité du cas. Si Réponse aux incidents de sécurité AWS les ingénieurs ne reçoivent pas de réponse ou d'informations critiques de votre part dans les 5 jours ouvrables, le dossier est clos.
# Flux de travail d'investigation
AWS Les ingénieurs de réponse aux incidents de sécurité suivent un processus structuré de réponse aux incidents aligné sur le framework NIST 800-61r2. Au cours de votre enquête, vous pouvez vous attendre aux phases suivantes :
1. **Triage initial** : les ingénieurs de réponse aux incidents de sécurité examinent les détails de votre dossier et confirment l'étendue de l'incident
1. **Enquête** : les ingénieurs de réponse aux incidents de sécurité analysent les journaux, identifient les indicateurs de compromission et en déterminent la cause première
1. **Confinement** : les ingénieurs de réponse aux incidents de sécurité recommandent des mesures pour limiter l'impact de l'incident
1. **Éradication et restauration** : les ingénieurs de réponse aux incidents de sécurité vous aident à éliminer les menaces et à rétablir le fonctionnement normal
1. **Examen post-incident** : les ingénieurs de réponse aux incidents de sécurité fournissent des conclusions et des recommandations pour prévenir de futurs incidents
Tout au long de ces phases, votre ingénieur de réponse aux incidents de sécurité vous tient informé par le biais de mises à jour des dossiers et peut vous demander des informations ou des actions supplémentaires.
# Les ingénieurs de réponse aux incidents liés à la sécurité de l'information peuvent demander
Pour enquêter efficacement sur votre incident, les ingénieurs de réponse aux incidents de AWS sécurité peuvent vous demander de fournir :
+ **Détails de la chronologie** : date à laquelle vous avez détecté l'incident pour la première fois et tout événement pertinent qui l'a précédé
+ **Ressources concernées** - AWS Compte IDs, services, régions et ressources spécifiques ARNs concernés
+ **Informations d'accès : informations** sur les personnes ayant accès aux ressources concernées et sur les modifications d'accès récentes
+ **Contexte commercial** - Comment les ressources concernées sont utilisées et impact commercial potentiel
+ **Journaux et preuves** : journaux, captures d'écran ou artefacts supplémentaires susceptibles de faciliter l'enquête
+ **Autorisation** - Approbation pour effectuer des actions de confinement ou de correction spécifiques en votre nom
Votre ingénieur de réponse aux incidents de sécurité expliquera pourquoi chaque information est nécessaire et en quoi elle contribue à l'enquête.
# Bonnes pratiques en matière de communication
Une communication efficace accélère la résolution des incidents. Suivez les pratiques suivantes lorsque vous travaillez avec des ingénieurs de réponse aux incidents de AWS sécurité :
+ **Répondez rapidement aux** demandes d'informations de votre ingénieur de réponse aux incidents de sécurité
+ **Fournissez des informations complètes** même si vous n'êtes pas certain de leur pertinence
+ **Posez des questions** si vous ne comprenez pas une recommandation ou si vous avez besoin de précisions
+ **Mettez à jour le dossier** en fonction de tout nouveau développement ou de toute modification apportée à l'incident
+ **Désignez un contact principal** au sein de votre équipe pour assurer la coordination avec les ingénieurs de réponse aux incidents de sécurité
**Important**
Si Réponse aux incidents de sécurité AWS les ingénieurs ne reçoivent pas de réponse aux demandes d'informations critiques dans les 5 jours ouvrables, nous nous efforçons de clore le dossier. Vous pouvez rouvrir un dossier si de nouvelles informations sont disponibles.
# Votre rôle au cours de l'enquête
Pendant que Réponse aux incidents de sécurité AWS les ingénieurs mènent l'enquête, votre participation est essentielle. Vous êtes responsable des actions suivantes :
+ Fournir des réponses rapides aux demandes d'information
+ Mise en œuvre des mesures de confinement et de correction recommandées dans votre environnement AWS
+ Autoriser les ingénieurs de réponse aux incidents de sécurité à prendre des mesures en votre nom (si vous avez activé la réponse proactive)
+ Coordination avec vos équipes internes (sécurité, juridique, conformité) selon les besoins
+ Prendre des décisions commerciales concernant les priorités et les compromis en matière de réponse aux incidents
Réponse aux incidents de sécurité AWS les ingénieurs fournissent leur expertise et leurs recommandations, mais vous gardez le contrôle de vos AWS ressources et vous prenez les décisions finales concernant les mesures de réponse.
# Fermeture du boîtier
Réponse aux incidents de sécurité AWS les ingénieurs clôturent votre boîtier lorsque :
+ L'incident a été maîtrisé et corrigé
+ Tous les résultats de l'enquête vous ont été communiqués
+ Aucune autre assistance d'un ingénieur de réponse aux incidents de sécurité n'est requise
+ Vous demandez la clôture du dossier
Avant de clore un dossier, votre ingénieur de réponse aux incidents de sécurité fournit un résumé des résultats, des mesures prises et des recommandations pour améliorer votre posture de sécurité.
Si vous avez besoin d'une assistance supplémentaire après la clôture du dossier, vous pouvez ouvrir un nouveau dossier ou contacter un nouveau contact AWS Support.
# Répondre à un dossier AWS généré
Réponse aux incidents de sécurité AWS peut créer une notification sortante ou un cas lorsque vous devez agir ou être au courant d'un élément susceptible d'avoir un impact sur votre compte ou vos ressources. Cela ne se produit que si vous avez activé les flux de travail de réponse proactive et de triage des alertes dans le cadre de votre abonnement.
Ces notifications apparaissent sous forme de cas de réponse aux incidents de sécurité avec le préfixe « [Proactive case] » dans la Réponse aux incidents de sécurité AWS console. Pour consulter et gérer ces cas, procédez comme suit :
+ Ouvrez la console Security Incident Response à l'adresse https://console.aws.amazon.com/security-ir/
+ Choisissez **Cases**.
+ Vous pouvez voir tous les cas, y compris ceux portant le préfixe « [Proactive case] ».
Vous pouvez mettre à jour, résoudre et rouvrir ces dossiers selon vos besoins. Vous pouvez communiquer directement avec l' Réponse aux incidents de sécurité AWS équipe dans le cadre de ces dossiers, ce qui garantit une gestion efficace des problèmes de sécurité potentiels.