SEC04-BP03 Corréler et enrichir les alertes de sécurité

Les activités inattendues peuvent générer plusieurs alertes de sécurité provenant de différentes sources, ce qui nécessite une corrélation et un enrichissement supplémentaires pour comprendre le contexte complet. Mettez en œuvre une corrélation et un enrichissement automatisés des alertes de sécurité afin de permettre une identification et une réponse plus précises aux incidents.

Résultat escompté : au fur et à mesure que l’activité génère différentes alertes au sein de vos charges de travail et de vos environnements, des mécanismes automatisés mettent en corrélation les données et les enrichissent avec des informations supplémentaires. Ce prétraitement permet de mieux comprendre l’événement, ce qui aide vos enquêteurs à déterminer sa criticité et s’il s’agit d’un incident qui requiert une réponse officielle. Ce processus réduit la charge de travail de vos équipes de surveillance et d’enquête.

Anti-modèles courants :

Différents groupes de personnes étudient les résultats et les alertes générés par différents systèmes, sauf si les exigences relatives à la séparation des tâches en disposent autrement.
Votre organisation achemine tous les résultats de sécurité et toutes les données d’alerte vers des emplacements standard, mais demande aux enquêteurs d’effectuer une corrélation et un enrichissement manuels.
Vous vous fiez uniquement à l’intelligence des systèmes de détection des menaces pour rendre compte des résultats et établir la criticité.

Avantages du respect de cette bonne pratique : la corrélation et l’enrichissement automatisés des alertes contribuent à réduire la charge cognitive globale et la préparation manuelle des données requises par vos enquêteurs. Cette pratique permet de réduire le temps nécessaire pour déterminer si l’événement représente un incident et lancer une réponse officielle. Un contexte supplémentaire vous permet également d’évaluer avec précision la gravité réelle d’un événement, car celle-ci peut être supérieure ou inférieure à ce que suggère une alerte.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible

Directives d’implémentation

Les alertes de sécurité peuvent provenir de nombreuses sources différentes dans AWS, y compris :

Des services tels qu’Amazon GuardDuty, AWS Security Hub, Amazon Macie, Amazon Inspector, AWS Config, AWS Identity and Access Management Access Analyzer et Analyseur d’accès réseau
Alertes issues de l’analyse automatique des journaux de service AWS, d’infrastructure et d’application, telles que celles issues de Security Analytics pour Amazon OpenSearch Service.
Alarmes en réponse à des modifications de votre activité de facturation provenant de sources telles qu’Amazon CloudWatch, Amazon EventBridge ou AWS Budgets.
Des sources tierces, telles que les flux de renseignements sur les menaces et les solutions des partenaires de sécurité d’AWS Partner Network.
Contact par AWS Trust & Safety ou par d’autres sources, telles que des clients ou des employés internes.

Dans leur forme la plus fondamentale, les alertes contiennent des informations sur qui (le principal ou l’identité) fait quoi (les mesures prises) à quoi (les ressources concernées). Pour chacune de ces sources, déterminez s’il existe des moyens de créer des mappages entre les identifiants de ces identités, actions et ressources afin d’effectuer une corrélation. À cet effet, vous pouvez notamment intégrer des sources d’alerte à un outil de gestion des informations et des événements de sécurité (SIEM) afin d’effectuer une corrélation automatique, créer vos propres pipelines et traitements de données, ou mettre en place une combinaison de ces deux solutions.

Amazon Detective est un exemple de service capable d’effectuer une corrélation pour vous. Detective ingère en permanence les alertes provenant de différentes sources AWS et tierces. Il utilise différentes formes d’informations pour créer un graphique visuel de leurs relations afin de faciliter les enquêtes.

Alors que la criticité initiale d’une alerte facilite l’établissement des priorités, le contexte dans lequel l’alerte s’est produite détermine sa véritable criticité. Par exemple, Amazon GuardDuty peut vous avertir qu’une instance Amazon EC2 de votre charge de travail demande un nom de domaine inattendu. GuardDuty peut attribuer à elle seule une faible criticité à cette alerte. Cependant, une corrélation automatique avec d’autres activités au moment de l’alerte peut révéler que plusieurs centaines d’instances EC2 ont été déployées sous la même identité, ce qui augmente les coûts d’exploitation globaux. Dans ce cas, le contexte de l’événement corrélé justifierait une nouvelle alerte de sécurité et la criticité pourrait être portée à un niveau élevé, ce qui accélérerait la mise en place d’une réponse.

Étapes d’implémentation

Identifiez les sources d’informations relatives aux alertes de sécurité. Comprenez comment les alertes de ces systèmes représentent l’identité, l’action et les ressources afin de déterminer où une corrélation est possible.
Mettez en place un mécanisme permettant de capturer les alertes provenant de différentes sources. À cette fin, pensez à des services tels que Security Hub, EventBridge et CloudWatch.
Identifiez les sources pour la corrélation et l’enrichissement des données. Les exemples de sources incluent AWS CloudTrail, les journaux de flux VPC, les journaux de Route 53 Resolver et les journaux d’infrastructure et d’application. Tout ou partie de ces journaux peuvent être consommés par le biais d’une seule intégration avec Amazon Security Lake.
Intégrez les alertes à vos sources de corrélation et d’enrichissement des données pour créer des contextes d’événements de sécurité plus détaillés et établir leur criticité.
1. Amazon Detective, les outils SIEM ou d’autres solutions tierces peuvent effectuer automatiquement un certain niveau d’ingestion, de corrélation et d’enrichissement.
2. Vous pouvez également utiliser des services AWS pour créer le vôtre. Par exemple, vous pouvez invoquer une fonction AWS Lambda pour exécuter une requête Amazon Athena par rapport à AWS CloudTrail ou Amazon Security Lake, et publier les résultats dans EventBridge.

Ressources

Bonnes pratiques associées :

Documents connexes :

Guide d’intervention en cas d’incident de sécurité AWS

Exemples associés :

Comment enrichir les résultats AWS Security Hub grâce aux métadonnées des comptes

Outils associés :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés

SEC04-BP04 Lancer la correction pour les ressources non conformes