View a markdown version of this page

Contenir - Réponse aux incidents de sécurité AWS Guide de l’utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contenir

Lorsque vous Réponse aux incidents de sécurité AWS identifiez une menace active dans votre environnement, le confinement est la priorité immédiate : empêcher l'auteur de la menace de causer des dommages supplémentaires tout en préservant les preuves pour l'enquête. Le service assure le confinement par le biais d'actions automatisées réversibles qui isolent les ressources compromises sans les détruire. Pour activer ces fonctionnalités, vous devez d'abord configurer les autorisations et préférences requises. Consultez Déployer des rôles de confinement et de triage EC2.

Prise de décision en matière de confinement

Un élément essentiel du confinement consiste à décider s'il convient d'arrêter un système, d'isoler une ressource du réseau, de révoquer l'accès ou de mettre fin à des sessions. Réponse aux incidents de sécurité AWS fournit la stratégie de confinement, vous informe de l'impact potentiel et vous guide dans la mise en œuvre de la solution uniquement après avoir pris en compte et accepté les risques encourus.

Ces décisions deviennent plus faciles lorsque vous avez des stratégies et des procédures prédéterminées. Le service utilise une combinaison de vos préférences de confinement (configurées lors de l'intégration), de la nature de la menace et d'une analyse en temps réel pour déterminer la réponse appropriée.

Actions de confinement prises en charge

Réponse aux incidents de sécurité AWS exécute des actions de confinement en votre nom afin de réduire le temps dont dispose un acteur menaçant pour causer des dégâts. Toutes les actions de confinement prises en charge sont réversibles. Le service peut rétablir l'état d'avant le confinement de la ressource une fois l'incident résolu. Les actions de confinement correspondent à trois types de ressources :

Amazon EC2 containment (AWSSupport-ContainEC2Instance) effectue un confinement réseau réversible d'une instance Amazon Elastic Compute Cloud (Amazon EC2). L'instance reste active et intacte, mais l'automatisation l'isole des nouvelles activités du réseau et l'empêche de communiquer avec des ressources internes ou externes à votre Amazon VPC en remplaçant les groupes de sécurité de l'instance par un groupe de sécurité de confinement restrictif. Les connexions suivies existantes ne sont pas interrompues suite à un changement de groupe de sécurité. Seul le trafic futur est bloqué.

Le confinement IAM (AWSSupport-ContainIAMPrincipal) effectue un confinement réversible d'un utilisateur ou d'un rôle Gestion des identités et des accès AWS (IAM). Le principal reste dans IAM, mais l'automatisation l'empêche de communiquer avec les ressources de votre compte en y associant une politique de refus de tout. Cela révoque effectivement la capacité du directeur à prendre des mesures tout en la préservant pour un examen médico-légal.

Amazon S3 containment (AWSSupport-ContainS3Resource) effectue un confinement réversible d'un bucket Amazon Simple Storage Service (Amazon S3). Les objets restent dans le compartiment, mais l'automatisation isole le compartiment ou l'objet en modifiant ses politiques d'accès afin de refuser tout accès externe.

Élaboration de votre stratégie de confinement

Envisagez des stratégies d'endiguement pour chaque type d'événement majeur qui correspondent à votre propension au risque. Documentez des critères clairs pour faciliter la prise de décision lors d'un événement. Les critères à prendre en compte sont les suivants :

  • Dommages potentiels aux ressources

  • Préservation des preuves et exigences réglementaires

  • Indisponibilité du service (par exemple, connectivité réseau ou services fournis à des tiers externes)

  • Temps et ressources nécessaires à la mise en œuvre de la stratégie

  • Efficacité de la stratégie (confinement partiel ou total)

  • Permanence de la solution (réversible ou irréversible)

  • Durée de la solution (solution d'urgence, solution temporaire ou solution permanente)

Appliquez des contrôles de sécurité qui réduisent les risques et laissez le temps de définir et de mettre en œuvre une stratégie de confinement plus efficace.

Approche de confinement par étapes

Réponse aux incidents de sécurité AWS utilise une approche progressive pour parvenir à un confinement efficient et efficace, impliquant des stratégies à court et à long terme basées sur le type de ressource. Short-termle confinement vise à arrêter immédiatement la menace active (isolation d'un réseau, révocation des informations d'identification), tandis que le confinement à long terme s'attaque à la cause première afin d'éviter qu'il ne se reproduise une fois le danger immédiat passé.

Le lien entre le confinement et le cycle de vie des incidents

Le confinement se situe entre le cycle de vie des incidents detection/analysis et leur éradication. Une fois que le triage automatique a identifié une menace confirmée ou suspectée et qu'un dossier a été créé, le service détermine si des mesures de confinement sont justifiées en fonction de vos préférences et de la gravité de l'événement. Une fois qu'une ressource est maîtrisée, les Réponse aux incidents de sécurité AWS ingénieurs poursuivent l'enquête, partagent les résultats avec vous et vous guident dans l'éradication et le rétablissement. Une fois l'incident entièrement résolu, les mesures de confinement sont annulées et les opérations normales reprennent.