Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Prise en main
Prise en main

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)


**Topics**
+ [

# Guide d'intégration
](onboarding-guide.md)
+ [

# Matrice RACI
](raci-matrix.md)
+ [

# Sélectionnez un compte d'adhésion
](select-a-membership-account.md)
+ [

# Configurer les détails de l'adhésion
](setup-membership-details.md)
+ [

# Associer des comptes à AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [

# Configurez des flux de travail proactifs de réponse et de triage des alertes
](setup-monitoring-and-investigation-workflows.md)

# Guide d'intégration
Guide d'intégration

 Le guide d'intégration vous explique les prérequis et les actions d' Réponse aux incidents de sécurité AWS intégration et de confinement. 

**Important**  
 Conditions préalables   
La seule condition préalable au déploiement est l'activation [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Bien que cela ne soit pas obligatoire, nous vous recommandons d'activer [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) et d'activer Amazon [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)sur tous les comptes afin Régions AWS de maximiser les avantages de la réponse aux incidents de sécurité.
Révision GuardDuty et réponse aux incidents de sécurité.
Consultez [GuardDutyle guide des meilleures pratiques](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).

AWS Security Hub CSPM intègre les résultats de fournisseurs tiers de détection et de réponse aux terminaux (EDR) (FortineTCNApp (Lacework) et Trend MicroCrowdStrike, entre autres). Si ces résultats sont intégrés au Security Hub CSPM, ils sont triés automatiquement par Security Incident Response afin de créer des dossiers de manière proactive. Pour configurer un EDR tiers avec Security Hub CSPM, consultez la section [Detect and Analyze](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).

Pour configurer un EDR tiers avec Security Hub CSPM, procédez comme suit :

1. Accédez à la page Security Hub CSPM Integrations pour valider l'existence de l'intégration tierce.

1. Depuis la console, accédez à la page du service Security Hub CSPM.

1. Choisissez **Integrations** (en utilisant Wiz.io comme exemple) :  
![\[Page d'intégrations CSPM de Security Hub présentant les intégrations tierces disponibles.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Security_Hub_CSPM.png)

1. Recherchez le fournisseur que vous souhaitez intégrer  
![\[Interface de recherche permettant de rechercher et de sélectionner des intégrations de fournisseurs tiers.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Integrations.png)

**Note**  
 Lorsque vous y êtes invité, fournissez les informations relatives à votre compte ou à votre abonnement. Une fois que vous avez fourni ces informations, Security Incident Response intègre les conclusions de tiers. Pour consulter les tarifs relatifs à l'ingestion des résultats par des tiers, consultez la page **Intégrations** dans Security Hub CSPM. 

# Déployer et configurer la réponse aux incidents de sécurité
Déployer et configurer la réponse aux incidents de sécurité

1. Choisissez **S'inscrire**  
![\[Réponse aux incidents de sécurité AWS page d'inscription avec le bouton d'inscription.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)

1. Sélectionnez un compte d'**outils de sécurité** en tant qu'administrateur délégué dans le compte de gestion.
   + [Architecture de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
   + [Documentation pour les administrateurs délégués](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)  
![\[Configurez la page centrale du compte de membre pour sélectionner un compte d'administrateur délégué.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)

1. Connectez-vous au compte d'administrateur délégué

1. Entrez les détails de l'adhésion et les comptes associés  
![\[Entrez les détails de l'adhésion et les comptes associés.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Define_Membership_Details.png)

# Autoriser les actions de réponse aux incidents de sécurité
Autoriser les actions de surveillance et de confinement

 Cette page explique comment autoriser Security Incident Response à effectuer des actions de surveillance et de confinement automatisées dans votre AWS environnement. Vous pouvez activer deux fonctionnalités d'autorisation distinctes : la surveillance proactive des réponses et les préférences relatives aux actions de confinement. Ces fonctionnalités sont indépendantes et peuvent être activées séparément en fonction de vos exigences de sécurité. 

# Permettre une réponse proactive


 La réponse proactive permet à Security Incident Response de surveiller et d'étudier les alertes générées par Amazon GuardDuty et AWS Security Hub CSPM les intégrations au sein de votre organisation. Lorsqu'elle est activée, Security Incident Response trie les alertes de faible priorité grâce à l'automatisation des services afin que votre équipe puisse se concentrer sur les problèmes les plus critiques. 

 Pour permettre une réponse proactive lors de l'intégration : 

1. Dans la console Security Incident Response, accédez au flux de travail d'intégration.

1. Passez en revue les autorisations de service qui permettent à Security Incident Response de suivre les résultats sur tous les comptes couverts et pris Régions AWS en charge activement au sein de votre organisation.

1. Choisissez **S'inscrire** pour activer la fonctionnalité.  
![\[Consultez l'écran des autorisations de service indiquant les autorisations requises par Security Incident Response pour suivre les résultats.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Review_Service_Permissions.png)  
![\[Écran de confirmation d'inscription pour activer le suivi proactif des réponses.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Review_and_Sign_Up.png)

 Cette fonctionnalité crée automatiquement un rôle lié au service dans tous les comptes de membres couverts de votre compte. AWS Organizations Toutefois, vous devez créer manuellement le rôle lié à un service dans le compte de gestion en utilisant des ensembles de AWS CloudFormation piles. 

 **Prochaines étapes :** pour plus d'informations sur le fonctionnement de Security Incident Response avec Amazon GuardDuty et AWS Security Hub CSPM consultez la section *Detect and Analyze* dans le *guide de Réponse aux incidents de sécurité AWS l'utilisateur*. 

# Définition des préférences en matière d'actions de confinement


 Les actions de confinement permettent Réponse aux incidents de sécurité AWS d'exécuter des mesures de réponse rapide lors d'un incident de sécurité actif. Ces actions permettent d'atténuer rapidement l'impact des incidents de sécurité dans votre environnement. 

**Important**  
 Security Incident Response n’active pas les fonctionnalités de confinement par défaut. Vous devez autoriser explicitement les actions de confinement par le biais de vos préférences de confinement. 

 Pour autoriser Réponse aux incidents de sécurité AWS les ingénieurs à effectuer des actions de confinement en votre nom, outre le déploiement d'une solution [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)qui crée les rôles IAM requis, vous devez définir les préférences de confinement au niveau de votre organisation ou de votre compte. Les préférences au niveau du compte remplacent les préférences au niveau de l'organisation. 

 **Conditions préalables :** Vous devez disposer des autorisations nécessaires pour créer des AWS Support dossiers. 

 **Options de confinement :** 
+ **Approbation requise** (par défaut) : n'effectuez aucun confinement proactif d'une ressource sans autorisation explicite case-by-case.
+ **Contenir les données confirmées** : effectuez un confinement proactif d'une ressource dont la compromission a été confirmée.
+ **Contenir les ressources suspectes** : effectuez un confinement proactif d'une ressource présentant une forte probabilité d'avoir été compromise, sur la base d'une analyse réalisée par l' Réponse aux incidents de sécurité AWS ingénierie.

 Pour définir les préférences de confinement : 

1. [Créez un AWS Support dossier](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) demandant de configurer les préférences d'action de confinement pour la réponse aux incidents de sécurité.

1. Dans votre dossier d'assistance, spécifiez :
   + Votre AWS Organizations identifiant ou compte spécifique sur IDs lequel les actions de confinement doivent être autorisées
   + Votre option de confinement préférée (approbation requise, Contenu confirmé ou Contenu suspect).
   + Les types d'actions de confinement que vous souhaitez autoriser (telles que l'isolation d'instances EC2, la rotation des informations d'identification ou les modifications de groupes de sécurité)

1. AWS Support travaille avec vous pour configurer vos préférences de confinement. Vous devez déployer le nécessaire pour créer AWS CloudFormation StackSet les rôles IAM requis. AWS Support peut fournir une assistance, si nécessaire.

 Une fois configuré, Réponse aux incidents de sécurité AWS exécute les actions de confinement autorisées lors d'incidents de sécurité actifs afin de protéger votre environnement. 

 **Étapes suivantes :** Une fois les préférences de confinement configurées, vous pouvez surveiller les mesures de confinement prises lors d'incidents dans la console Security Incident Response. 

# Après le déploiement de la solution de réponse aux incidents de sécurité


AWS s'intègre à votre cadre de réponse aux incidents existant au lieu de le remplacer.

1. Passez en revue nos capacités d'intégration opérationnelle pour améliorer vos pratiques actuelles.

1. Regardez notre démonstration d'assistance aux membres au niveau de l'unité organisationnelle, EventBridge l'utilisation et l'intégration de Jira-ITSM pour des opérations de sécurité plus efficaces.  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)

# Mettre à jour l'équipe de réponse aux incidents


1. Assurez-vous que vous êtes inscrit et que vous avez suivi les étapes d'intégration décrites dans ce guide *d'intégration*.

1. Sélectionnez Équipe de réponse aux incidents dans le menu de navigation de gauche.

1. Sélectionnez les coéquipiers que vous souhaitez ajouter à votre équipe.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Teamates.png)

**Note**  
L'équipe peut inclure la direction de l'organisation, des conseillers juridiques, des partenaires MDR, des ingénieurs cloud, etc. Vous pouvez ajouter jusqu'à 10 membres supplémentaires. N'incluez que le nom, le titre et l'adresse e-mail de chaque membre.

# AWS étui pris en charge


Réponse aux incidents de sécurité AWS fournit un portail de gestion des dossiers par abonnement où votre organisation communique directement avec nos ingénieurs de réponse aux incidents de sécurité. Nous participons aux enquêtes de sécurité et aux incidents actifs avec un SLO de 15 minutes, sans limite de cas réactifs. Veuillez consulter notre documentation relative à la création d'un dossier AWS pris en charge.

**Élargir l'équipe d'enquête**

Grâce au portail de gestion des dossiers, vous pouvez accorder de la visibilité aux parties externes en ajoutant des règles Watchers et IAM. Utilisez ces options pour les partenaires, les équipes juridiques ou les experts en la matière.

**Pour ajouter des observateurs à un dossier, procédez comme suit :**

1. Ouvrez n'importe quel dossier depuis le portail des cas de réponse aux incidents de sécurité.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Cases.png)

1. Choisissez l'onglet Autorisations  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Overview.png)

1. Sélectionnez Ajouter  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Watchers.png)

**Note**  
Chaque dossier inclut une politique IAM préremplie accordant l'accès uniquement à ce cas spécifique, en conservant le moindre privilège. Copiez et collez cette politique directement dans les rôles ou les utilisateurs IAM pour les partenaires MDR tiers ou les équipes d'enquête spécifiques afin de permettre leur contribution.

# GuardDuty règles de détection et de suppression


Réponse aux incidents de sécurité AWS ingère, trie et répond de manière proactive à toutes les constatations d'Amazon et aux GuardDuty conclusions de FortineTCNApp ( CrowdStrikeLacework) et AWS Security Hub CSPM de Trend Micro. Notre technologie de triage automatique élimine les exigences en matière d'analyse interne. Le service crée des règles de suppression et d'archivage automatique dans GuardDuty Security Hub CSPM en cas de découverte bénigne. Consultez ou modifiez ces règles sous « Résultats » dans la GuardDuty console Amazon.

Pour vérifier les règles de GuardDuty suppression activées, procédez comme suit :

1. Ouvrez la GuardDuty console Amazon.

1. Choisissez **Findings**.

1. Dans le volet de navigation, sélectionnez **Règles de suppression**. La page **Règles de suppression** affiche la liste de toutes les règles de suppression de votre compte. 

1. Pour revoir ou modifier les paramètres d'une règle, choisissez la règle, puis choisissez **Mettre à jour la règle de suppression** dans le menu **Actions**.

**Note**  
Organisations utilisant la technologie SIEM ont considérablement réduit GuardDuty le volume de recherches au fil du temps, améliorant à la fois le service de réponse aux incidents de sécurité et l'efficacité du SIEM.

# Amazon EventBridge


Amazon propose EventBridge une architecture axée sur les événements pour la réponse aux incidents de sécurité, permettant ainsi à l'activité des dossiers de déclencher des services en aval (SNS, Lambda, SQS, Step-Functions) ou des outils externes (Jira, Teams, Slack,). ServiceNow PagerDuty

**Pour configurer les EventBridge règles, procédez comme suit :**

1. Accédez à Amazon EventBridge

1. Sélectionnez **Règles** dans le menu déroulant **Bus**.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)

1. Choisissez **Create Rule (Créer une règle)**.

1. Entrez le détail de la règle.

1. Choisissez **Suivant**.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Define_Rule.png)

1. Faites défiler l'écran jusqu'à **AWS service,** puis **Réponse aux incidents de sécurité AWS**sélectionnez dans le menu déroulant.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Event_Pattern_Security.png)

1. Dans la liste déroulante **Type d'événement**, sélectionnez l'événement ou l'appel d'API pour lequel vous souhaitez créer un modèle.

1. Vous pouvez modifier manuellement le modèle pour inclure plusieurs événements.

1. Choisissez **Suivant**.  
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Event_Pattern.png)

**Note**  
Sélectionnez une ou plusieurs cibles (Amazon Simple Notification Service, document SSM AWS Lambda, Step-Function) pour vos événements. Configurez des cibles entre comptes, si nécessaire.

Vous pouvez vérifier les modèles d'intégration des partenaires sous Sources d'événements partenaires dans le menu EventBridge Intégration. Les partenaires disponibles incluent Atlassian (Jira) DataDog, New Relic, PagerDuty Symantec et Zendesk, entre autres.

![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)


# Intégrations et flux de travail d'outillage externe


**AWS solutions pour intégrer JIRA ou ServiceNow avec Security Incident Response**

Déployez nos solutions entièrement développées pour une intégration bidirectionnelle avec Jira et. ServiceNow Ces intégrations permettent une communication bidirectionnelle entre Cases et votre plateforme ITSM, les mises à jour des Réponse aux incidents de sécurité AWS dossiers étant automatiquement reflétées dans les tâches Jira correspondantes.

**Avantages de l'intégration**

L'intégration Réponse aux incidents de sécurité AWS à votre plateforme ITSM existante rationalise vos opérations de sécurité en centralisant le suivi des incidents et les flux de travail de réponse. Ces solutions prédéfinies éliminent le besoin de développement personnalisé, permettant à vos équipes de sécurité de conserver une visibilité sur les systèmes de gestion des incidents AWS natifs et à l'échelle de l'entreprise. En tirant parti d'Amazon EventBridge pour une automatisation basée sur les événements, les mises à jour circulent de manière fluide entre les plateformes en temps réel, ce qui permet de garantir un suivi cohérent des incidents de sécurité, quelle que soit leur origine. Cette approche unifiée réduit le changement de contexte pour les analystes de sécurité, améliore les temps de réponse et fournit des pistes d'audit complètes tout au long du cycle de vie de réponse aux incidents.

Pour configurer EventBridge les règles :

1. Accédez à Amazon EventBridge.

1. Sélectionnez **Règles** dans le menu déroulant **Bus**.

# Flux de travail d'outillage externe


Security Incident Response s'intègre aux outils et partenaires externes de plusieurs manières :
+ *Intégration du SIEM :* les ingénieurs de réponse aux incidents de sécurité aident à analyser et à étudier ces résultats en parallèle avec votre équipe lorsque vous soumettez des cas AWS pris en charge. Nous identifions les corrélations entre les environnements hybrides et multicloud, ce qui permet d'évaluer les mouvements des acteurs malveillants entre les fournisseurs.
+ *Améliore vos opérations de sécurité existantes :* nous remplaçons les flux de travail de GuardDuty réponse traditionnels par un modèle de réponse parallèle plus efficace. De nombreuses entreprises utilisent actuellement la technologie SIEM pour les flux de travail de détection par le biais de la gestion des dossiers. Ce service fournit une alternative rationalisée spécifiquement pour les résultats GuardDuty (et certains de ceux qui concernent le Security Hub CSPM). La solution s'appuie sur une technologie sophistiquée de triage automatique avec supervision humaine pour créer des cas proactifs sur votre portail, en alertant simultanément votre équipe d'intervention et en faisant appel à nos ingénieurs de réponse aux incidents de sécurité pour des efforts de résolution coordonnés.
+ *Équipes d'enquête tierces :* nos ingénieurs de réponse aux incidents de sécurité collaborent directement avec vos partenaires et fournisseurs de MDR.

# Annexe A : Points de contact


Le fait de fournir vos métadonnées dès le départ à nos ingénieurs de réponse aux incidents de sécurité peut contribuer à accélérer le temps de création des profils, renforçant ainsi la confiance dans notre technologie de triage dès le départ. Cela permet de réduire le nombre de faux positifs identifiés dès le départ lorsque nous commençons à assimiler les informations relatives à vos menaces et à créer votre « monde connu pour le bien ».


**Coordonnées du personnel de l'IR et du SOC**  

| Entry | Personnel IR \$1 SOC : rôle, nom, e-mail | Contacts d'escalade principaux et secondaires | Plages CIDR internes connues | Plages CIDR externes connues | Fournisseurs de services cloud supplémentaires |  AWS Régions de travail | Serveur DNS IPs (s'il est autre qu'Amazon Route 53 Resolver) | VPN \$1 Solutions d'accès à distance et IPs | Noms des applications critiques \$1 Numéros de compte | Ports peu courants couramment utilisés | EDR \$1 AV \$1 Outils de gestion des vulnérabilités utilisés | IDP \$1 Succursales | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 1 | Commandant du SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/A | Connexion directe, VIF public 116.32.8.7 | Serveur Web Nginx (exemple critique) \$1 1234567890 | 8080 | CrowdStrike Faucon | Entra, Azure | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 

Pour soumettre des informations de métadonnées pour votre environnement, créez un [AWS Support dossier](https://repost.aws/knowledge-center/get-aws-technical-support).

**Pour soumettre des métadonnées**

1. Complétez le tableau des métadonnées avec les informations relatives à votre environnement.

1. Créez un AWS Support dossier avec les informations suivantes :
   + **Type de boîtier :** Technique
   + **Service : Service** de réponse aux incidents de sécurité
   + **Catégorie :** Autres

1. Joignez le tableau de métadonnées complété au dossier.

# Matrice RACI
Matrice RACI

 La matrice RACI suivante définit les rôles et les responsabilités dans le cadre du processus de mise en œuvre de la réponse aux incidents de sécurité. RACI est l'abréviation de Responsable (R), Responsable (A), Consulté (C) et Informé (I). 


| Activité | Client | AWS Équipe chargée du compte | L'équipe SIR | 
| --- | --- | --- | --- | 
| Pré-intégration | 
| Identifier les principales parties prenantes | R |  | I | 
| Valider les sources de recherche | R | C | I | 
| [Intégration EDR tierce] Security Hub CSPM | R | C | I | 
| GuardDuty Validation/Bilan de santé | C | R | I | 
| Déterminer l'étendue du compte | R |  |  | 
| Établir des protocoles d'escalade | R | I | C | 
| Permettre aux AWS organisations | R | C |  | 
| Associer des comptes à AWS Organizations | R | I |  | 
| Sélectionnez un compte administrateur délégué/outils de sécurité | R | I |  | 
| Intégration | 
| Configurer les détails de l'adhésion | R | I |  | 
| Procédure pas à pas (configurer des flux de travail proactifs de réponse et de tri des alertes ; déployer un rôle lié au service sur le compte de gestion ; autoriser les actions de confinement) | R | C | I | 
| Configuration après le déploiement | 
| Passez en revue les capacités d'intégration opérationnelle | R | C | I | 
| Soumettre des cas réactifs de réponse aux incidents de sécurité | R |  |  | 
| Configuration des EventBridge intégrations Amazon | R | C | C | 
| Connect des outils tiers (Jira, ServiceNow, Teams PagerDuty, etc.) | R | I | C | 
| Présentation approfondie et démonstration du service | A | R | C | 

 **Définitions RACI :** 
+ **Responsable (R)** - La partie qui exécute le travail pour terminer la tâche
+ **Responsable (A)** - La partie responsable en dernier ressort de la bonne exécution de la tâche
+ **Consulté (C)** - La partie dont les opinions sont sollicitées et avec laquelle il existe une communication bidirectionnelle
+ **Informé (I)** - La partie qui suit up-to-date les progrès et avec laquelle il existe une communication à sens unique

# Sélectionnez un compte d'adhésion
Sélectionnez un compte d'adhésion

 Un compte de membre est le AWS compte utilisé pour configurer les détails du compte, ajouter et supprimer des informations pour votre équipe de réponse aux incidents, et où tous les événements de sécurité actifs et historiques peuvent être créés et gérés. Il est recommandé d'aligner votre compte de Réponse aux incidents de sécurité AWS membre sur le même compte que celui que vous avez activé pour des services tels qu'Amazon GuardDuty et AWS Security Hub CSPM. 

 Vous avez deux options pour sélectionner votre compte de Réponse aux incidents de sécurité AWS membre en utilisant AWS Organizations. Vous pouvez créer une adhésion dans le compte de gestion des Organisations ou dans un compte administrateur délégué des Organisations. 

 **Utilisez le compte d'administrateur délégué :** les tâches Réponse aux incidents de sécurité AWS administratives et la gestion des dossiers se trouvent dans le compte d'administrateur délégué. Nous vous recommandons d'utiliser le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité. Fournissez l'identifiant de compte administrateur délégué à 12 chiffres, puis connectez-vous à ce compte pour continuer. 

**Important**  
 Lorsque vous utilisez un compte d'administrateur délégué dans le cadre de la configuration, vous ne Réponse aux incidents de sécurité AWS pouvez pas créer automatiquement le rôle lié au service de triage requis dans votre compte AWS Organizations de gestion.   
Vous pouvez utiliser l'IAM pour créer ce rôle dans votre compte AWS Organizations de gestion  
Connectez-vous à votre compte AWS Organizations de gestion.
Accédez à la [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home)fenêtre ou accédez au compte via la CLI selon la méthode de votre choix.
Utilisez la commande CLI `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Facultatif) Pour vérifier que la commande a fonctionné, vous pouvez exécuter la commande `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`

 **Utiliser le compte actuellement connecté** : la sélection de ce compte signifie que le compte actuel sera désigné comme compte de membre central pour votre Réponse aux incidents de sécurité AWS adhésion. Les membres de votre organisation devront accéder au service via ce compte pour créer, accéder et gérer les cas actifs et résolus. 

 Assurez-vous de disposer des autorisations suffisantes pour administrer Réponse aux incidents de sécurité AWS. 

 Reportez-vous à la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) pour connaître les étapes spécifiques à suivre pour ajouter des autorisations. 

 Reportez-vous aux [politiques Réponse aux incidents de sécurité AWS gérées.](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) 

 Pour vérifier les autorisations IAM, vous pouvez suivre les étapes suivantes : 
+  *Vérifiez la politique IAM : passez* en revue la politique IAM attachée à votre utilisateur, groupe ou rôle pour vous assurer qu'elle accorde les autorisations nécessaires. Vous pouvez le faire en accédant au [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), en sélectionnant l'`Users`option, en choisissant l'utilisateur en question, puis sur sa page de résumé, en accédant à l'`Permissions`onglet où vous pouvez voir la liste de toutes les politiques jointes ; vous pouvez développer chaque ligne de stratégie pour en afficher les détails. 
+ *Testez les autorisations :* essayez d'effectuer l'action dont vous avez besoin pour vérifier les autorisations. Par exemple, si vous devez accéder à un dossier, essayez de le faire`ListCases`. Si vous ne disposez pas des autorisations nécessaires, vous recevrez un message d'erreur. 
+  *Utiliser le AWS CLI ou le SDK :* vous pouvez utiliser le AWS Command Line Interface ou un AWS SDK dans votre langage de programmation préféré pour tester les autorisations. Par exemple, avec le AWS Command Line Interface, vous pouvez exécuter la `aws sts get-caller-identity` commande pour vérifier vos autorisations utilisateur actuelles. 
+  *Vérifiez les AWS CloudTrail journaux :* [passez en revue les CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) pour voir si les actions que vous essayez d'effectuer sont enregistrées. Cela peut vous aider à identifier les éventuels problèmes d'autorisation. 
+  *Utilisez le simulateur de politique IAM : Le simulateur* [de politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) est un outil qui vous permet de tester les politiques IAM et de voir leur effet sur vos autorisations. 

**Note**  
 Les étapes spécifiques peuvent varier en fonction du AWS service et des actions que vous essayez d'effectuer. 

# Configurer les détails de l'adhésion
Configurer les détails de l'adhésion
+  Sélectionnez l' Région AWS endroit où votre adhésion et vos dossiers seront conservés.
**Avertissement**  
Vous ne pouvez pas modifier la valeur par défaut Région AWS après l'enregistrement initial de l'adhésion.
+ Indiquez si vous souhaitez offrir une couverture d'adhésion complète à l'ensemble AWS Organizations ou à une partie de vos unités organisationnelles AWS Organizations par le biais (OUs).
+  Vous pouvez éventuellement sélectionner un nom pour cette adhésion. 
+  Un contact principal et un contact secondaire doivent être fournis dans le cadre du processus de création d'adhésion. Ces contacts sont automatiquement inclus dans votre équipe de réponse aux incidents. Au moins deux contacts doivent exister pour un seul abonnement, ce qui garantit également qu'un minimum de deux contacts sont inclus dans l'équipe de réponse aux incidents. 
+  Définissez des tags facultatifs pour votre adhésion. Les balises vous aident à suivre AWS les coûts et à rechercher des ressources. 

# Associer des comptes à AWS Organizations
Associer des comptes à AWS Organizations

 Si vous avez choisi d'associer l'intégralité de votre compte AWS Organizations lors de la configuration, votre adhésion donne droit à une couverture sur tous les comptes membres de l'organisation. Les comptes associés seront automatiquement mis à jour au fur et à mesure que des comptes seront ajoutés ou supprimés de votre organisation.

 Si vous avez choisi d'associer une partie de votre compte AWS Organizations lors de la configuration et que vous avez restreint votre adhésion à des unités organisationnelles spécifiques (OUs), votre adhésion donne droit à une couverture sur tous les comptes sélectionnés OUs. Cela inclut les comptes situés sous le OUs nom de compte sélectionné OUs. Les comptes associés sont automatiquement mis à jour au fur et à mesure que des comptes y sont ajoutés ou supprimés OUs.

 Pour en savoir plus sur les meilleures pratiques impliquant les unités organisationnelles, consultez la section [Organisation de votre AWS environnement à l'aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).

# Configurez des flux de travail proactifs de réponse et de triage des alertes
Configurez des flux de travail proactifs de réponse et de triage des alertes

Réponse aux incidents de sécurité AWS surveille et analyse les alertes de menaces générées par les intégrations d'Amazon GuardDuty et de Security Hub CSPM. Pour utiliser cette fonctionnalité, [Amazon GuardDuty doit être activé](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). Réponse aux incidents de sécurité AWS trie les alertes de faible priorité grâce à l'automatisation des services afin que votre équipe puisse se concentrer sur les problèmes les plus critiques. Pour plus d'informations sur le Réponse aux incidents de sécurité AWS fonctionnement avec Amazon GuardDuty AWS Security Hub CSPM, consultez la section [Détecter et analyser](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) du guide de l'utilisateur.

Si vous rencontrez des problèmes d'intégration, [créez un AWS Support dossier pour obtenir une](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) assistance supplémentaire. Assurez-vous d'inclure les détails, y compris l' Compte AWS identifiant et les erreurs que vous pourriez avoir constatées pendant le processus de configuration. 

**Note**  
 Si vous avez des questions concernant les règles de GuardDuty suppression d'Amazon, les configurations de tri des alertes ou les flux de travail de réponse proactifs, vous pouvez créer un dossier AWS pris en charge avec le type de dossier **Investigations et demandes de renseignements** pour consulter l'équipe de réponse aux incidents de AWS sécurité. Pour de plus amples informations, veuillez consulter [Création d'un dossier AWS pris en charge](create-an-aws-supported-case.md). 

Cette fonctionnalité permet Réponse aux incidents de sécurité AWS de surveiller et d'étudier les résultats concernant tous les comptes couverts et les AWS régions prises en charge actives au sein de votre organisation. Pour faciliter cette fonctionnalité, crée Réponse aux incidents de sécurité AWS automatiquement un rôle lié au service dans tous les comptes de membres couverts au sein de votre. AWS Organizations Toutefois, pour le compte de gestion, vous devez créer manuellement le rôle lié au service pour activer la surveillance.

*Le service ne peut pas créer le rôle lié au service dans le compte de gestion. Vous devez créer ce rôle manuellement dans le compte de gestion en [utilisant des ensembles de AWS CloudFormation piles](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*

# Comprendre l'archivage automatique grâce à une réponse proactive


Lorsque vous activez le tri proactif des réponses et des alertes, vous surveillez et triez Réponse aux incidents de sécurité AWS automatiquement les résultats de sécurité provenant d'Amazon GuardDuty et du Security Hub CSPM. Dans le cadre de ce flux de travail de triage automatique, les résultats sont automatiquement archivés en fonction des critères suivants :

**Comportement d'archivage automatique :**
+ **Résultats bénins :** lorsque le processus de triage automatique détermine qu'un résultat est bénin (et ne constitue pas une véritable menace pour la sécurité), il archive Réponse aux incidents de sécurité AWS automatiquement le résultat dans Amazon GuardDuty et crée des règles de suppression afin d'empêcher que des résultats similaires ne génèrent des alertes à l'avenir.
+ **Règles de suppression :** le service crée des règles de suppression et d'archivage automatique dans Amazon GuardDuty et Security Hub CSPM pour les résultats correspondant aux modèles connus de votre environnement, tels que les adresses IP attendues, les entités IAM et les comportements opérationnels normaux.
+ **Volume d'alertes réduit :** les organisations utilisant la technologie SIEM GuardDuty constatent une réduction significative du volume de recherches Amazon au fil du temps, à mesure que le service apprend votre environnement et archive automatiquement les résultats bénins. Cela améliore l'efficacité du Réponse aux incidents de sécurité AWS service et de votre SIEM.

**Affichage des résultats archivés :**

Vous pouvez consulter les résultats archivés automatiquement et les règles de suppression créées par Réponse aux incidents de sécurité AWS :

1. Accédez à la GuardDuty console Amazon

1. Choisissez **Findings**

1. Sélectionnez **Archivé** dans le filtre des résultats

1. Passez en revue les règles de suppression en sélectionnant la flèche vers le bas à côté de chaque règle

**Considérations importantes :**
+ Les résultats archivés sont conservés sur Amazon GuardDuty pendant 90 jours et peuvent être consultés à tout moment pendant cette période.
+ Vous pouvez modifier ou supprimer les règles de suppression à tout moment via la GuardDuty console Amazon
+ Le processus de triage automatique s'adapte en permanence à votre environnement, améliorant ainsi la précision au fil du temps et réduisant les faux positifs

**Confinement :** en cas d'incident de sécurité, Réponse aux incidents de sécurité AWS vous pouvez exécuter des actions de confinement pour en atténuer rapidement l'impact, telles que l'isolation des hôtes compromis ou la rotation des informations d'identification. Security Incident Response n’active pas les fonctionnalités de confinement par défaut. Pour exécuter ces actions de confinement, vous devez d'abord accorder les autorisations nécessaires au service. Cela peut être fait en déployant un [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), qui crée les rôles requis.