Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SEC04-BP03 Corréler et enrichir les alertes de sécurité
Les activités inattendues peuvent générer plusieurs alertes de sécurité provenant de différentes sources, ce qui nécessite une corrélation et un enrichissement supplémentaires pour comprendre le contexte complet. Mettez en œuvre une corrélation et un enrichissement automatisés des alertes de sécurité afin de permettre une identification et une réponse plus précises aux incidents.
Résultat souhaité : au fur et à mesure que l’activité génère différentes alertes au sein de vos charges de travail et de vos environnements, des mécanismes automatisés mettent en corrélation les données et les enrichissent avec des informations supplémentaires. Ce prétraitement permet de mieux comprendre l’événement, ce qui aide vos enquêteurs à déterminer sa criticité et s’il s’agit d’un incident qui requiert une réponse officielle. Ce processus réduit la charge de travail de vos équipes de surveillance et d’enquête.
Anti-modèles courants :
-
Différents groupes de personnes étudient les résultats et les alertes générés par différents systèmes, sauf si les exigences relatives à la séparation des tâches en disposent autrement.
-
Votre organisation achemine tous les résultats de sécurité et toutes les données d’alerte vers des emplacements standard, mais demande aux enquêteurs d’effectuer une corrélation et un enrichissement manuels.
-
Vous vous fiez uniquement à l’intelligence des systèmes de détection des menaces pour rendre compte des résultats et établir la criticité.
Avantages du respect de cette bonne pratique : la corrélation et l’enrichissement automatisés des alertes contribuent à réduire la charge cognitive globale et la préparation manuelle des données requises par vos enquêteurs. Cette pratique permet de réduire le temps nécessaire pour déterminer si l’événement représente un incident et lancer une réponse officielle. Un contexte supplémentaire vous permet également d’évaluer avec précision la gravité réelle d’un événement, car celle-ci peut être supérieure ou inférieure à ce que suggère une alerte.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible
Directives d’implémentation
Les alertes de sécurité peuvent provenir de nombreuses sources internes AWS, notamment :
-
Des services tels qu'Amazon GuardDuty AWS Security Hub
, Amazon Macie , Amazon Inspector et Network AWS Identity and Access Management Access AnalyzerAccess Analyzer AWS Config -
Alertes issues de l'analyse automatique des journaux des AWS services, de l'infrastructure et des applications, telles que celles issues de Security Analytics for Amazon OpenSearch Service.
-
Alarmes en réponse à des modifications de votre activité de facturation provenant de sources telles qu'Amazon CloudWatch EventBridge
, Amazon ou AWS Budgets . -
Des sources tierces telles que les flux de renseignements sur les menaces et les solutions des partenaires de sécurité
du AWS Partner Network -
Contact par AWS Trust & Safety
ou par d'autres sources, telles que des clients ou des employés internes.
Dans leur forme la plus fondamentale, les alertes contiennent des informations sur qui (le principal ou l’identité) fait quoi (les mesures prises) à quoi (les ressources concernées). Pour chacune de ces sources, déterminez s’il existe des moyens de créer des mappages entre les identifiants de ces identités, actions et ressources afin d’effectuer une corrélation. Cela peut prendre la forme d'intégrer des sources d'alerte à un outil de gestion des informations et des événements de sécurité (SIEM) pour effectuer une corrélation automatique pour vous, de créer vos propres pipelines de données et de traitement, ou d'une combinaison des deux.
Amazon Detective
Alors que la criticité initiale d’une alerte facilite l’établissement des priorités, le contexte dans lequel l’alerte s’est produite détermine sa véritable criticité. Par exemple, Amazon GuardDuty peut vous avertir qu'une EC2 instance Amazon de votre charge de travail demande un nom de domaine inattendu. GuardDuty pourrait attribuer à elle seule une faible criticité à cette alerte. Cependant, une corrélation automatique avec d'autres activités au moment de l'alerte peut révéler que plusieurs centaines d'EC2instances ont été déployées sous la même identité, ce qui augmente les coûts d'exploitation globaux. Dans ce cas, GuardDuty vous pourriez publier ce contexte d'événement corrélé sous la forme d'une nouvelle alerte de sécurité et ajuster la criticité à un niveau élevé, ce qui accélérerait la prise de mesures supplémentaires.
Étapes d’implémentation
-
Identifiez les sources d’informations relatives aux alertes de sécurité. Comprenez comment les alertes de ces systèmes représentent l’identité, l’action et les ressources afin de déterminer où une corrélation est possible.
-
Mettez en place un mécanisme permettant de capturer les alertes provenant de différentes sources. Envisagez des services tels que Security Hub EventBridge, et CloudWatch dans ce but.
-
Identifiez les sources pour la corrélation et l’enrichissement des données. Les exemples de sources incluent les journaux de VPC flux CloudTrail, Amazon Security Lake et les journaux d'infrastructure et d'application.
-
Intégrez les alertes à vos sources de corrélation et d’enrichissement des données pour créer des contextes d’événements de sécurité plus détaillés et établir leur criticité.
-
Amazon Detective, SIEM Tooling ou d'autres solutions tierces peuvent effectuer automatiquement un certain niveau d'ingestion, de corrélation et d'enrichissement.
-
Vous pouvez également utiliser AWS les services pour créer le vôtre. Par exemple, vous pouvez appeler une AWS Lambda fonction pour exécuter une requête Amazon Athena sur AWS CloudTrail Amazon Security Lake et publier les résultats sur. EventBridge
-
Ressources
Bonnes pratiques associées :
Documents connexes :
Exemples connexes :
Outils associés :
