SEC 4: Comment détectez-vous et enquêtez-vous sur les événements de sécurité ?

Capturez et analysez les événements de journaux et les métriques pour obtenir une meilleure visibilité. Prenez des mesures en réaction aux événements de sécurité et aux menaces potentielles afin de contribuer à sécuriser votre charge de travail.

Ressources

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Bonnes pratiques:

• Configurer une journalisation de service et d'application: Configurez une journalisation tout au long du cycle de vie de la charge de travail, y compris des journaux d'application, des journaux de ressources et des journaux de service AWS. Par exemple, assurez-vous qu'AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty et AWS Security Hub sont activés pour tous les comptes au sein de votre organisation.

• Analyse centralisée des journaux, des résultats et des métriques: Tous les journaux, métriques et télémétriques doivent être collectés de manière centralisée et analysés automatiquement pour détecter des anomalies et des indicateurs d'activité non autorisée. Un tableau de bord peut vous permettre d'accéder facilement à des informations sur l'état en temps réel. Par exemple, assurez-vous que les journaux Amazon GuardDuty et Security Hub sont envoyés à un emplacement central pour les alertes et les analyses.

• Automatiser la réponse aux événements: L'utilisation de l'automatisation pour enquêter et corriger les événements réduit les efforts humains et les erreurs. Elle vous permet aussi de mettre à l'échelle les capacités d'investigation. Les vérifications régulières vous aideront à ajuster les outils d'automatisation et à itérer en continu. Par exemple, automatisez les réponses aux événements Amazon GuardDuty en automatisant la première étape de l'enquête, puis itérez pour supprimer progressivement l'effort humain.

• Implémenter des événements de sécurité exploitables: Créez des alertes qui sont envoyées à votre équipe et qui peuvent être exécutées par celle-ci. Assurez-vous que les alertes incluent des informations pertinentes pour que l'équipe agisse en conséquence. Par exemple, assurez-vous que les alertes Amazon GuardDuty et AWS Security Hub sont envoyées à l'équipe pour qu'elle agisse, ou envoyées à l'outil d'automatisation de la réponse, et que l'équipe reste informée grâce à des messages provenant du cadre d'automatisation.

Plan d'amélioration

Configurer une journalisation de service et d'application

Activer la journalisation des services AWS: Activez la journalisation des services AWS pour répondre à vos besoins. Les fonctionnalités de journalisation sont les suivantes : journaux de flux VPC, journaux ELB, journaux de compartiment S3, journaux d'accès CloudFront, journaux de requêtes Route 53 et journaux Amazon RDS.
AWS Answers: native AWS security-logging capabilities

Évaluer et activer la journalisation des systèmes d'exploitation et des applications spécifiques: Évaluez et activez la journalisation des systèmes d'exploitation et les journaux spécifiques à votre application pour détecter les comportements suspects.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

Appliquez des contrôles appropriés aux journaux: Les journaux peuvent contenir des informations sensibles et seuls les utilisateurs autorisés doivent y avoir accès. Pensez à restreindre les autorisations pour les compartiments S3 et les groupes de journaux CloudWatch Logs.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Configurer Amazon GuardDuty: Amazon GuardDuty est un service de détection des menaces qui recherche en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques pour envoyer des e-mails à l'aide de l'atelier.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configuration d'un journal de suivi personnalisé dans CloudTrail: La configuration d'une piste d'audit vous permet de stocker les journaux plus longtemps que la période par défaut, et de les analyser ultérieurement.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

Activer AWS Config: AWS Config fournit une vue détaillée de la configuration des ressources AWS sur votre compte AWS. Cette vue comprend la manière dont les ressources sont associées les unes aux autres et la façon dont elles étaient configurées précédemment pour que vous puissiez voir la façon dont les configurations et relations changent dans le temps.
AWS Config
Lab: Automated Deployment of Detective Controls

Activer AWS Security Hub: AWS Security Hub vous fournit une vue complète de votre état de sécurité dans AWS et vous aide à vérifier votre conformité aux standards et bonnes pratiques du secteur de la sécurité. Security Hub collecte les données de sécurité de tous les comptes, services AWS et produits partenaires tiers pris en charge et vous aide à analyser vos tendances de sécurité et à identifier les problèmes de sécurité les plus prioritaires.
AWS Security Hub

Analyse centralisée des journaux, des résultats et des métriques

Évaluer les capacités de traitement des journaux: Évaluer les options disponibles pour le traitement des journaux
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

Commencer l'analyser les journaux CloudTrail en testant Amazon Athena
Configuring Athena to analyze CloudTrail logs

Implémenter la journalisation centralisée dans AWS: Exemple de solution AWS pour centraliser la journalisation à partir de plusieurs sources
Centralize logging solution

Implémenter la journalisation centralisée avec le partenaire: Les partenaires APN disposent de solutions pour vous aider à analyser les journaux de manière centralisée.
Logging and Monitoring

Automatiser la réponse aux événements

Implémenter les alertes automatiques avec Amazon GuardDuty: Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
Lab: Automated Deployment of Detective Controls

Automatiser des processus d'investigation: Développez des processus automatisés qui enquêtent sur un événement et rapportent les informations à un administrateur pour gagner du temps.
Lab: Amazon GuardDuty hands on

Implémenter des événements de sécurité exploitables

Découvrir les métriques disponibles pour les services AWS: Découvrez les métriques disponibles via CloudWatch pour les services que vous utilisez.
AWS service documentation
Using Amazon CloudWatch Metrics

Configurez des alarmes Amazon CloudWatch: .
Using Amazon CloudWatch Alarms