Détection

La détection se compose de deux parties : la détection des modifications de configuration inattendues ou indésirables et la détection des comportements inattendus. La première peut avoir lieu à plusieurs endroits dans un cycle de vie de livraison d’application. En utilisant l'infrastructure sous forme de code (par exemple, un CloudFormation modèle), vous pouvez vérifier l'absence de configuration indésirable avant le déploiement d'une charge de travail en implémentant des contrôles dans les pipelines CI/CD ou le contrôle de source. Ensuite, lorsque vous déployez une charge de travail dans des environnements de production et de non-production, vous pouvez vérifier la configuration à l'aide d'outils natifs AWS, open source ou AWS partenaires. Ces vérifications peuvent concerner une configuration qui ne respecte pas les principes de sécurité ou les bonnes pratiques, ou des modifications apportées entre une configuration testée et déployée. Pour une application en cours d’exécution, vous pouvez vérifier si la configuration a été modifiée de manière inattendue, y compris en dehors d’un déploiement connu ou d’un événement de mise à l’échelle automatique.

Pour la deuxième partie de la détection, à savoir les comportements inattendus, vous pouvez utiliser des outils ou en alertant en cas d'augmentation d'un type d'APIappel particulier. Amazon GuardDuty vous permet d'être alerté en cas d'activité inattendue, potentiellement non autorisée ou malveillante sur vos AWS comptes. Vous devez également surveiller de manière explicite les API appels mutants que vous ne vous attendez pas à voir utilisés dans le cadre de votre charge de travail et les API appels qui modifient la posture de sécurité.

La détection permet d’identifier une erreur potentielle dans la configuration des mesures de sécurité, une menace ou un comportement inattendu. Il s’agit d’une partie essentielle de la sécurité et elle peut être utilisée pour soutenir un processus de qualité, une obligation légale ou de conformité, ainsi que pour identifier les menaces et les efforts de réponse. Il existe différents types de mécanismes de détection. Par exemple, les journaux de votre charge de travail peuvent être analysés pour détecter les failles de sécurité exploitées. Vous devez vérifier régulièrement les mécanismes de détection liés à votre charge de travail afin de vous assurer que vous respectez les politiques et les exigences internes et externes. Les alertes et notifications automatisées doivent être basées sur des conditions définies pour permettre à vos équipes ou outils d’enquêter. Ces mécanismes sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée d’une activité anormale.

Dans AWS, il existe un certain nombre d'approches que vous pouvez utiliser pour aborder les mécanismes de détection. Les sections suivantes décrivent comment utiliser ces approches :

Bonnes pratiques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP09 Partager des ressources en toute sécurité avec un tiers

SEC04-BP01 Configurer une journalisation de service et d’application