SEC10-BP06 Outils de pré-déploiement

Vérifiez que le personnel de sécurité dispose des outils appropriés préalablement déployés pour accélérer l’enquête jusqu’à la récupération.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Pour automatiser les fonctions opérationnelles et de réponse en matière de sécurité, vous pouvez utiliser un ensemble complet APIs d'outils issus de AWS. Vous pouvez automatiser entièrement la gestion des identités, la sécurité des réseaux, la protection des données et les fonctionnalités de surveillance, et les mettre en œuvre en utilisant les méthodes de développement de logiciel les plus courantes que vous avez déjà mises en place. Lorsque vous automatisez la sécurité, votre système peut surveiller, examiner et déclencher une réponse, plutôt que d’avoir à demander à des personnes de surveiller votre niveau de sécurité et de réagir manuellement aux événements.

Si vos équipes de réponse aux incidents continuent de répondre aux alertes de la même manière, elles risquent de se lasser des alertes. Au fil du temps, l’équipe peut faire moins attention aux alertes et soit faire des erreurs en gérant des situations ordinaires, soit manquer des alertes inhabituelles. L’automatisation permet d’éliminer la lassitude liée aux alertes en utilisant des fonctions qui traitent les alertes répétitives et ordinaires, laissant aux personnes le soin de gérer les incidents sensibles et uniques. L'intégration de systèmes de détection des anomalies, tels qu'Amazon GuardDuty, AWS CloudTrail Insights et Amazon CloudWatch Anomaly Detection, peut réduire le fardeau des alertes courantes basées sur des seuils.

Vous pouvez améliorer les processus manuels en automatisant par programmation les étapes du processus. Une fois que vous avez défini le modèle de correction d’un événement, vous pouvez le décomposer en logique exploitable et écrire le code pour exécuter cette logique. Les intervenants peuvent ensuite exécuter ce code pour corriger le problème. Au fil du temps, vous pouvez automatiser un nombre croissant d’étapes et, enfin, gérer automatiquement des catégories entières d’incidents courants.

Au cours d’une enquête de sécurité, vous devez être en mesure d’examiner les journaux pertinents pour consigner et comprendre la portée et la chronologie complètes de l’incident. Des journaux sont également requis pour la génération d’alertes, indiquant que certaines actions intéressantes ont eu lieu. Il est essentiel de sélectionner, d’activer, de stocker et de configurer les mécanismes d’interrogation et de récupération et de configurer les alertes. En outre, une solution efficace qui fournit des outils de recherche dans les données des journaux est Amazon Detective.

AWS propose plus de 200 services cloud et des milliers de fonctionnalités. Nous vous recommandons de passer en revue les services susceptibles de prendre en charge et de simplifier votre stratégie de réponse aux incidents.

Outre la journalisation, vous devez développer et mettre en œuvre une stratégie de balisage. Le balisage peut aider à mettre en contexte l'objectif d'une AWS ressource. Le balisage peut également être utilisé à des fins d’automatisation.

Étapes d’implémentation

Sélection et configuration de journaux à des fins d’analyse et d’alerte

Consultez la documentation suivante relative à la configuration de la journalisation pour la réponse aux incidents :

Permettre aux services de sécurité de prendre en charge la détection et l’intervention

AWS fournit des fonctionnalités natives de détection, de prévention et de réactivité, et d'autres services peuvent être utilisés pour concevoir des solutions de sécurité personnalisées. Pour obtenir la liste des services les plus pertinents en matière de réponse aux incidents de sécurité, consultez Définitions des fonctionnalités du cloud.

Élaboration et mise en œuvre d’une stratégie de marquage

Il peut être difficile d'obtenir des informations contextuelles sur le cas d'utilisation métier et les parties prenantes internes concernées par une AWS ressource. Pour ce faire, vous pouvez notamment utiliser des balises, qui attribuent des métadonnées à vos AWS ressources et consistent en une clé et une valeur définies par l'utilisateur. Vous pouvez créer des balises pour classer les ressources par objectif, propriétaire, environnement, type de données traitées et d’autres critères de votre choix.

Une stratégie de balisage cohérente peut accélérer les temps de réponse et minimiser le temps consacré au contexte organisationnel en vous permettant d'identifier et de discerner rapidement les informations contextuelles relatives à une ressource. AWS Les balises peuvent également servir de mécanisme pour initier l’automatisation des réponses. Pour plus de détails sur les éléments à étiqueter, consultez la section Marquage de vos AWS ressources. Vous devez d’abord définir les balises que vous souhaitez implémenter dans votre organisation. Ensuite, vous mettez en œuvre et appliquez cette stratégie de balisage. Pour plus de détails sur la mise en œuvre et l'application, voir Implémenter une stratégie de balisage AWS des ressources à l'aide des politiques de AWS balises et des politiques de contrôle des services (SCPs).

Ressources

Bonnes pratiques Well-Architected connexes :

Documents connexes :

Exemples connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC10-BP05 Préallouer les accès

SEC10-BP07 Exécuter des simulations