View a markdown version of this page

Étape 1 : activer Réponse aux incidents de sécurité AWS - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : activer Réponse aux incidents de sécurité AWS

Le processus d'intégration prend environ 10 à 15 minutes par AWS organisation. Pour une présentation détaillée, consultez la vidéo de mise en route dans la documentation du service.

Pour activer Réponse aux incidents de sécurité AWS

  1. Connectez-vous à la console de AWS gestion à l'aide de votre compte de gestion.

  2. Ouvrez la Réponse aux incidents de sécurité AWS console et choisissez S'inscrire.

    Réponse aux incidents de sécurité AWS page d'inscription avec le bouton d'inscription.

  3. Désignez un compte d'outils de sécurité en tant qu'administrateur délégué.

    Configurez la page centrale du compte de membre pour sélectionner un compte d'administrateur délégué.

  4. Connectez-vous au compte d'administrateur délégué.

  5. Entrez les détails de votre adhésion et associez les comptes concernés.

  6. Dans le champ d'application du compte, choisissez de l'activer Réponse aux incidents de sécurité AWS pour AWS l'ensemble de votre organisation ou pour un usage spécifique OUs. Vous pouvez sélectionner la couverture au niveau de l'unité organisationnelle, mais pas au niveau du compte individuel.

  7. Pour Proactive Response, vérifiez que le paramètre est activé. La réponse proactive est activée par défaut et crée un rôle lié au service qui permet au AWS SIRT d'ingérer les GuardDuty résultats et d'ouvrir des enquêtes proactives lorsque des menaces sont détectées. Pour plus d'informations, consultez la section Réponse proactive.

    Important

    Le rôle lié au service n'est pas automatiquement déployé sur le compte de gestion. Vous devez le configurer manuellement pour une couverture complète. Pour obtenir des instructions, veuillez consulter Configurez des flux de travail proactifs de réponse et de triage des alertes.

  8. (Facultatif) Choisissez de pré-autoriser le AWS SIRT à effectuer des actions de confinement en votre nom lors d'incidents actifs. Les actions de confinement prises en charge incluent les runbooks pour les compartiments S3 compromis, les instances EC2 et les principes IAM. Si vous ignorez cette étape, le SIRT fournira des instructions manuelles pendant les enquêtes. Pour plus d'informations, consultez la section Actions de confinement.

  9. Vérifiez les autorisations de service et la configuration d'intégration, puis choisissez S'inscrire.

    Passez en revue l'écran des autorisations de service indiquant Réponse aux incidents de sécurité AWS les autorisations nécessaires pour surveiller les résultats.
    Écran de confirmation d'inscription pour activer le suivi proactif des réponses.