SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés - Pilier Sécurité
Directives d’implémentationÉtapes d’implémentationRessources

SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés

Les équipes de sécurité s’appuient sur les journaux et les résultats pour analyser les événements susceptibles d’indiquer une activité non autorisée ou des modifications involontaires. Afin de simplifier cette analyse, capturez les journaux de sécurité et les résultats dans des emplacements standardisés.  Vous pourrez ainsi rendre disponibles les points de données intéressants pour la corrélation et simplifier les intégrations d’outils.

Résultat escompté : vous disposez d’une approche standardisée pour collecter, analyser et visualiser les données de journal, les résultats et les métriques. Les équipes de sécurité peuvent corréler, analyser et visualiser efficacement les données de sécurité provenant de systèmes disparates afin de découvrir les événements de sécurité potentiels et d’identifier les anomalies. Des systèmes de gestion des informations et des événements de sécurité (SIEM) ou d’autres mécanismes sont intégrés pour interroger et analyser les données des journaux afin de répondre rapidement, de suivre et de faire remonter les événements de sécurité.

Anti-modèles courants :

  • Les équipes possèdent et gèrent indépendamment la journalisation et la collecte de métriques qui ne sont pas conformes à la stratégie de journalisation de l’organisation.

  • Les équipes ne disposent pas de contrôles d’accès adéquats pour restreindre la visibilité et la modification des données collectées.

  • Les équipes ne gèrent pas leurs journaux de sécurité, leurs résultats et leurs métriques dans le cadre de leur politique de classification des données.

  • Les équipes négligent les exigences de souveraineté et de localisation des données lors de la configuration des collections de données.

Avantages liés au respect de cette bonne pratique : une solution de journalisation standardisée pour collecter et interroger les données et les événements des journaux améliore les informations dérivées des informations qu’ils contiennent. La configuration d’un cycle de vie automatisé pour les données de journal collectées peut permettre de réduire les coûts liés au stockage des journaux. Vous pouvez créer un contrôle d’accès précis pour les informations de journal collectées en fonction de la sensibilité des données et des modèles d’accès nécessaires à vos équipes. Vous pouvez intégrer des outils pour corréler, visualiser et déduire des informations à partir des données.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

La croissance de l’utilisation d’AWS au sein d’une organisation entraîne une augmentation du nombre de charges de travail et d’environnements distribués. Dans la mesure où chaque charge de travail et environnement génère des données sur l’activité qui s’y déroule, la capture et le stockage de ces données localement constituent un défi pour les opérations de sécurité. Les équipes de sécurité utilisent des outils tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour collecter des données à partir de sources distribuées et effectuer des flux de travail de corrélation, d’analyse et de réponse. Ces opérations requièrent la gestion d’un ensemble complexe d’autorisations pour accéder aux différentes sources de données et impliquent des frais supplémentaires liés à l’exploitation des processus d’extraction, de transformation et de chargement (ETL).

Pour surmonter ces difficultés, pensez à agréger toutes les sources pertinentes de données des journaux de sécurité dans un compte Log Archive, comme décrit dans la section Organisation de votre environnement AWS à l’aide de plusieurs comptes. Cela inclut toutes les données liées à la sécurité provenant de votre charge de travail et les journaux générés par les services AWS, tels que AWS CloudTrail, AWS WAF, Elastic Load Balancing et Amazon Route 53. La saisie de ces données dans des emplacements standardisés dans un Compte AWS avec des autorisations intercomptes appropriées présente plusieurs avantages. Cette pratique permet d’empêcher l’altération des journaux dans les charges de travail et les environnements compromis, fournit un point d’intégration unique pour des outils supplémentaires et propose un modèle plus simplifié pour configurer la conservation et le cycle de vie des données.  Évaluez les impacts de la souveraineté des données, des périmètres de conformité et d’autres réglementations afin de déterminer si plusieurs emplacements de stockage des données de sécurité et périodes de conservation sont nécessaires.

Pour faciliter la capture et la standardisation des journaux et des résultats, évaluez Amazon Security Lake dans votre compte d’archivage des journaux. Vous pouvez configurer Security Lake pour ingérer automatiquement les données provenant de sources courantes telles que CloudTrail, Route 53, Amazon EKS et les journaux de flux VPC. Vous pouvez également configurer AWS Security Hub en tant que source de données dans Security Lake, ce qui vous permet de corréler les résultats d’autres services AWS, tels qu’Amazon GuardDuty et Amazon Inspector, avec les données de vos journaux.  Vous pouvez également utiliser des intégrations de sources de données tierces ou configurer des sources de données personnalisées. Toutes les intégrations normalisent vos données au format OCSF (Open Cybersecurity Schema Framework) et sont stockées dans des compartiments Amazon S3 sous forme de fichiers Parquet, éliminant ainsi le besoin de traitement ETL.

Le stockage des données de sécurité dans des emplacements standardisés fournit des fonctionnalités d’analyse avancées. AWS vous recommande de déployer des outils d’analyse de sécurité qui fonctionnent dans un environnement AWS dans un compte Security Tooling distinct de votre compte d’archivage des journaux. Cette approche vous permet de mettre en œuvre des contrôles approfondis afin de protéger l’intégrité et la disponibilité des journaux et du processus de gestion des journaux, indépendamment des outils qui y accèdent.  Envisagez d’utiliser des services tels qu’Amazon Athena pour exécuter des requêtes à la demande qui mettent en corrélation plusieurs sources de données. Vous pouvez également intégrer des outils de visualisation, tels qu’Amazon QuickSight. Les solutions optimisées par l’IA sont de plus en plus disponibles et peuvent exécuter des fonctions telles que la conversion des résultats en résumés lisibles par l’homme et l’interaction en langage naturel. L’intégration de ces solutions est généralement plus simple si vous disposez d’un emplacement de stockage de données standardisé pour les requêtes.

Étapes d’implémentation

  1. Création des comptes d’archivage des journaux et d’outils de sécurité

    1. À l’aide d’AWS Organizations, créez les comptes d’archivage des journaux et d’outils de sécurité dans une unité organisationnelle de sécurité. Si vous utilisez AWS Control Tower pour gérer votre organisation, les comptes d’archivage des journaux et d’outils de sécurité sont créés automatiquement pour vous. Configurez les rôles et les autorisations pour accéder à ces comptes et les administrer selon les besoins.

  2. Configurer vos emplacements de données de sécurité standardisés

    1. Déterminez votre stratégie pour créer des emplacements de données de sécurité standardisés.  Vous pouvez y parvenir grâce à des options telles que des approches d’architecture de lac de données courantes, des produits de données tiers ou Amazon Security Lake. AWS vous recommande de capturer les données de sécurité à partir des Régions AWS qui sont activées pour vos comptes, même lorsque vous ne les utilisez pas activement.

  3. Configurer la publication des sources de données dans vos emplacements standardisés

    1. Identifiez les sources de vos données de sécurité et configurez-les pour les publier dans vos emplacements standardisés. Évaluez les options permettant d’exporter automatiquement les données dans le format souhaité, par opposition à celles nécessitant le développement de processus ETL. Avec Amazon Security Lake, vous pouvez collecter des données à partir de sources AWS prises en charge et de systèmes tiers intégrés.

  4. Configurer des outils pour accéder à vos emplacements standardisés

    1. Configurez des outils tels qu’Amazon Athena, Amazon QuickSight, ou des solutions tierces pour disposer de l’accès requis à vos emplacements standardisés.  Configurez ces outils de façon à ce qu’ils fonctionnent à partir du compte d’outils de sécurité avec un accès en lecture intercompte au compte d’archivage des journaux, le cas échéant. Créez des abonnés dans Amazon Security Lake pour permettre à ces outils d’accéder à vos données.

Ressources

Bonnes pratiques associées :

Documents connexes :

Exemples connexes :

Outils associés :