Détection

La détection se compose de deux parties : la détection des modifications de configuration inattendues ou indésirables et la détection des comportements inattendus. La première peut avoir lieu à plusieurs endroits dans un cycle de vie de livraison d'application. À l'aide d'une infrastructure en tant que code (par exemple, un modèle CloudFormation), vous pouvez rechercher les configurations indésirables avant le déploiement d'une charge de travail en mettant en œuvre des vérifications dans les pipelines CI/CD ou le contrôle de la source. Ensuite, lorsque vous déployez une charge de travail dans des environnements de non-production et de production, vous pouvez vérifier la configuration à l'aide d'outils AWS, d'outils open source ou d'outils de partenaires AWS natifs. Ces vérifications peuvent concerner une configuration qui ne respecte pas les principes de sécurité ou les bonnes pratiques, ou des modifications apportées entre une configuration testée et déployée. Pour une application en cours d'exécution, vous pouvez vérifier si la configuration a été modifiée de manière inattendue, y compris en dehors d'un déploiement connu ou d'un événement de mise à l'échelle automatique.

Pour la deuxième partie de la détection (comportement inattendu), vous pouvez utiliser des outils ou configurer des alertes en cas d'augmentation d'un type particulier d'appel d'API. Grâce à Amazon GuardDuty, vous pouvez être alerté lorsqu'une activité inattendue et potentiellement non autorisée ou malveillante se produit dans vos comptes AWS. Vous devez également surveiller explicitement les appels d'API en mutation que vous ne vous attendez pas à utiliser dans votre charge de travail, et les appels d'API qui modifient le niveau de sécurité.

La détection permet d'identifier une erreur potentielle dans la configuration des mesures de sécurité, une menace ou un comportement inattendu. Il s'agit d'une partie essentielle de la sécurité et elle peut être utilisée pour soutenir un processus de qualité, une obligation légale ou de conformité, ainsi que pour identifier les menaces et les efforts de réponse. Il existe différents types de mécanismes de détection. Par exemple, les journaux de votre charge de travail peuvent être analysés pour détecter les failles de sécurité exploitées. Vous devez vérifier régulièrement les mécanismes de détection liés à votre charge de travail afin de vous assurer que vous respectez les politiques et les exigences internes et externes. Les alertes et notifications automatisées doivent être basées sur des conditions définies pour permettre à vos équipes ou outils d'enquêter. Ces mécanismes sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée d'une activité anormale.

Dans AWS, il existe plusieurs approches que vous pouvez utiliser pour aborder les mécanismes de détection. Les sections suivantes décrivent comment utiliser ces approches :

Bonnes pratiques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP09 Partager des ressources en toute sécurité avec un tiers

SEC04-BP01 Configurer une journalisation de service et d'application