Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Guide d'intégration
Le guide d'intégration vous explique les prérequis et les actions d' Réponse aux incidents de sécurité AWS intégration et de confinement.
**Important**
Conditions préalables
La seule condition préalable au déploiement est l'activation [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Bien que cela ne soit pas obligatoire, nous vous recommandons d'activer [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) et d'activer Amazon [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)sur tous les comptes afin Régions AWS de maximiser les avantages de la réponse aux incidents de sécurité.
Révision GuardDuty et réponse aux incidents de sécurité.
Consultez [GuardDutyle guide des meilleures pratiques](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
AWS Security Hub CSPM intègre les résultats de fournisseurs tiers de détection et de réponse aux terminaux (EDR) (FortineTCNApp (Lacework) et Trend MicroCrowdStrike, entre autres). Si ces résultats sont intégrés au Security Hub CSPM, ils sont triés automatiquement par Security Incident Response afin de créer des dossiers de manière proactive. Pour configurer un EDR tiers avec Security Hub CSPM, consultez la section [Detect and Analyze](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).
Pour configurer un EDR tiers avec Security Hub CSPM, procédez comme suit :
1. Accédez à la page Security Hub CSPM Integrations pour valider l'existence de l'intégration tierce.
1. Depuis la console, accédez à la page du service Security Hub CSPM.
1. Choisissez **Integrations** (en utilisant Wiz.io comme exemple) :
![\[Page d'intégrations CSPM de Security Hub présentant les intégrations tierces disponibles.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Recherchez le fournisseur que vous souhaitez intégrer
![\[Interface de recherche permettant de rechercher et de sélectionner des intégrations de fournisseurs tiers.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Integrations.png)
**Note**
Lorsque vous y êtes invité, fournissez les informations relatives à votre compte ou à votre abonnement. Une fois que vous avez fourni ces informations, Security Incident Response intègre les conclusions de tiers. Pour consulter les tarifs relatifs à l'ingestion des résultats par des tiers, consultez la page **Intégrations** dans Security Hub CSPM.
# Déployer et configurer la réponse aux incidents de sécurité
1. Choisissez **S'inscrire**
![\[Réponse aux incidents de sécurité AWS page d'inscription avec le bouton d'inscription.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Sélectionnez un compte d'**outils de sécurité** en tant qu'administrateur délégué dans le compte de gestion.
+ [Architecture de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentation pour les administrateurs délégués](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configurez la page centrale du compte de membre pour sélectionner un compte d'administrateur délégué.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Connectez-vous au compte d'administrateur délégué
1. Entrez les détails de l'adhésion et les comptes associés
![\[Entrez les détails de l'adhésion et les comptes associés.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autoriser les actions de réponse aux incidents de sécurité
Cette page explique comment autoriser Security Incident Response à effectuer des actions de surveillance et de confinement automatisées dans votre AWS environnement. Vous pouvez activer deux fonctionnalités d'autorisation distinctes : la surveillance proactive des réponses et les préférences relatives aux actions de confinement. Ces fonctionnalités sont indépendantes et peuvent être activées séparément en fonction de vos exigences de sécurité.
# Permettre une réponse proactive
La réponse proactive permet à Security Incident Response de surveiller et d'étudier les alertes générées par Amazon GuardDuty et AWS Security Hub CSPM les intégrations au sein de votre organisation. Lorsqu'elle est activée, Security Incident Response trie les alertes de faible priorité grâce à l'automatisation des services afin que votre équipe puisse se concentrer sur les problèmes les plus critiques.
Pour permettre une réponse proactive lors de l'intégration :
1. Dans la console Security Incident Response, accédez au flux de travail d'intégration.
1. Passez en revue les autorisations de service qui permettent à Security Incident Response de suivre les résultats sur tous les comptes couverts et pris Régions AWS en charge activement au sein de votre organisation.
1. Choisissez **S'inscrire** pour activer la fonctionnalité.
![\[Consultez l'écran des autorisations de service indiquant les autorisations requises par Security Incident Response pour suivre les résultats.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Écran de confirmation d'inscription pour activer le suivi proactif des réponses.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Cette fonctionnalité crée automatiquement un rôle lié au service dans tous les comptes de membres couverts de votre compte. AWS Organizations Toutefois, vous devez créer manuellement le rôle lié à un service dans le compte de gestion en utilisant des ensembles de AWS CloudFormation piles.
**Prochaines étapes :** pour plus d'informations sur le fonctionnement de Security Incident Response avec Amazon GuardDuty et AWS Security Hub CSPM consultez la section *Detect and Analyze* dans le *guide de Réponse aux incidents de sécurité AWS l'utilisateur*.
# Définition des préférences en matière d'actions de confinement
Les actions de confinement permettent Réponse aux incidents de sécurité AWS d'exécuter des mesures de réponse rapide lors d'un incident de sécurité actif. Ces actions permettent d'atténuer rapidement l'impact des incidents de sécurité dans votre environnement.
**Important**
Security Incident Response n’active pas les fonctionnalités de confinement par défaut. Vous devez autoriser explicitement les actions de confinement par le biais de vos préférences de confinement.
Pour autoriser Réponse aux incidents de sécurité AWS les ingénieurs à effectuer des actions de confinement en votre nom, outre le déploiement d'une solution [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)qui crée les rôles IAM requis, vous devez définir les préférences de confinement au niveau de votre organisation ou de votre compte. Les préférences au niveau du compte remplacent les préférences au niveau de l'organisation.
**Conditions préalables :** Vous devez disposer des autorisations nécessaires pour créer des AWS Support dossiers.
**Options de confinement :**
+ **Approbation requise** (par défaut) : n'effectuez aucun confinement proactif d'une ressource sans autorisation explicite case-by-case.
+ **Contenir les données confirmées** : effectuez un confinement proactif d'une ressource dont la compromission a été confirmée.
+ **Contenir les ressources suspectes** : effectuez un confinement proactif d'une ressource présentant une forte probabilité d'avoir été compromise, sur la base d'une analyse réalisée par l' Réponse aux incidents de sécurité AWS ingénierie.
Pour définir les préférences de confinement :
1. [Créez un AWS Support dossier](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) demandant de configurer les préférences d'action de confinement pour la réponse aux incidents de sécurité.
1. Dans votre dossier d'assistance, spécifiez :
+ Votre AWS Organizations identifiant ou compte spécifique sur IDs lequel les actions de confinement doivent être autorisées
+ Votre option de confinement préférée (approbation requise, Contenu confirmé ou Contenu suspect).
+ Les types d'actions de confinement que vous souhaitez autoriser (telles que l'isolation d'instances EC2, la rotation des informations d'identification ou les modifications de groupes de sécurité)
1. AWS Support travaille avec vous pour configurer vos préférences de confinement. Vous devez déployer le nécessaire pour créer AWS CloudFormation StackSet les rôles IAM requis. AWS Support peut fournir une assistance, si nécessaire.
Une fois configuré, Réponse aux incidents de sécurité AWS exécute les actions de confinement autorisées lors d'incidents de sécurité actifs afin de protéger votre environnement.
**Étapes suivantes :** Une fois les préférences de confinement configurées, vous pouvez surveiller les mesures de confinement prises lors d'incidents dans la console Security Incident Response.
# Après le déploiement de la solution de réponse aux incidents de sécurité
AWS s'intègre à votre cadre de réponse aux incidents existant au lieu de le remplacer.
1. Passez en revue nos capacités d'intégration opérationnelle pour améliorer vos pratiques actuelles.
1. Regardez notre démonstration d'assistance aux membres au niveau de l'unité organisationnelle, EventBridge l'utilisation et l'intégration de Jira-ITSM pour des opérations de sécurité plus efficaces.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Mettre à jour l'équipe de réponse aux incidents
1. Assurez-vous que vous êtes inscrit et que vous avez suivi les étapes d'intégration décrites dans ce guide *d'intégration*.
1. Sélectionnez Équipe de réponse aux incidents dans le menu de navigation de gauche.
1. Sélectionnez les coéquipiers que vous souhaitez ajouter à votre équipe.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Teamates.png)
**Note**
L'équipe peut inclure la direction de l'organisation, des conseillers juridiques, des partenaires MDR, des ingénieurs cloud, etc. Vous pouvez ajouter jusqu'à 10 membres supplémentaires. N'incluez que le nom, le titre et l'adresse e-mail de chaque membre.
# AWS étui pris en charge
Réponse aux incidents de sécurité AWS fournit un portail de gestion des dossiers par abonnement où votre organisation communique directement avec nos ingénieurs de réponse aux incidents de sécurité. Nous participons aux enquêtes de sécurité et aux incidents actifs avec un SLO de 15 minutes, sans limite de cas réactifs. Veuillez consulter notre documentation relative à la création d'un dossier AWS pris en charge.
**Élargir l'équipe d'enquête**
Grâce au portail de gestion des dossiers, vous pouvez accorder de la visibilité aux parties externes en ajoutant des règles Watchers et IAM. Utilisez ces options pour les partenaires, les équipes juridiques ou les experts en la matière.
**Pour ajouter des observateurs à un dossier, procédez comme suit :**
1. Ouvrez n'importe quel dossier depuis le portail des cas de réponse aux incidents de sécurité.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Cases.png)
1. Choisissez l'onglet Autorisations
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Overview.png)
1. Sélectionnez Ajouter
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Watchers.png)
**Note**
Chaque dossier inclut une politique IAM préremplie accordant l'accès uniquement à ce cas spécifique, en conservant le moindre privilège. Copiez et collez cette politique directement dans les rôles ou les utilisateurs IAM pour les partenaires MDR tiers ou les équipes d'enquête spécifiques afin de permettre leur contribution.
# GuardDuty règles de détection et de suppression
Réponse aux incidents de sécurité AWS ingère, trie et répond de manière proactive à toutes les constatations d'Amazon et aux GuardDuty conclusions de FortineTCNApp ( CrowdStrikeLacework) et AWS Security Hub CSPM de Trend Micro. Notre technologie de triage automatique élimine les exigences en matière d'analyse interne. Le service crée des règles de suppression et d'archivage automatique dans GuardDuty Security Hub CSPM en cas de découverte bénigne. Consultez ou modifiez ces règles sous « Résultats » dans la GuardDuty console Amazon.
Pour vérifier les règles de GuardDuty suppression activées, procédez comme suit :
1. Ouvrez la GuardDuty console Amazon.
1. Choisissez **Findings**.
1. Dans le volet de navigation, sélectionnez **Règles de suppression**. La page **Règles de suppression** affiche la liste de toutes les règles de suppression de votre compte.
1. Pour revoir ou modifier les paramètres d'une règle, choisissez la règle, puis choisissez **Mettre à jour la règle de suppression** dans le menu **Actions**.
**Note**
Organisations utilisant la technologie SIEM ont considérablement réduit GuardDuty le volume de recherches au fil du temps, améliorant à la fois le service de réponse aux incidents de sécurité et l'efficacité du SIEM.
# Amazon EventBridge
Amazon propose EventBridge une architecture axée sur les événements pour la réponse aux incidents de sécurité, permettant ainsi à l'activité des dossiers de déclencher des services en aval (SNS, Lambda, SQS, Step-Functions) ou des outils externes (Jira, Teams, Slack,). ServiceNow PagerDuty
**Pour configurer les EventBridge règles, procédez comme suit :**
1. Accédez à Amazon EventBridge
1. Sélectionnez **Règles** dans le menu déroulant **Bus**.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Choisissez **Create Rule (Créer une règle)**.
1. Entrez le détail de la règle.
1. Choisissez **Suivant**.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Define_Rule.png)
1. Faites défiler l'écran jusqu'à **AWS service,** puis **Réponse aux incidents de sécurité AWS**sélectionnez dans le menu déroulant.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. Dans la liste déroulante **Type d'événement**, sélectionnez l'événement ou l'appel d'API pour lequel vous souhaitez créer un modèle.
1. Vous pouvez modifier manuellement le modèle pour inclure plusieurs événements.
1. Choisissez **Suivant**.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Event_Pattern.png)
**Note**
Sélectionnez une ou plusieurs cibles (Amazon Simple Notification Service, document SSM AWS Lambda, Step-Function) pour vos événements. Configurez des cibles entre comptes, si nécessaire.
Vous pouvez vérifier les modèles d'intégration des partenaires sous Sources d'événements partenaires dans le menu EventBridge Intégration. Les partenaires disponibles incluent Atlassian (Jira) DataDog, New Relic, PagerDuty Symantec et Zendesk, entre autres.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Intégrations et flux de travail d'outillage externe
**AWS solutions pour intégrer JIRA ou ServiceNow avec Security Incident Response**
Déployez nos solutions entièrement développées pour une intégration bidirectionnelle avec Jira et. ServiceNow Ces intégrations permettent une communication bidirectionnelle entre Cases et votre plateforme ITSM, les mises à jour des Réponse aux incidents de sécurité AWS dossiers étant automatiquement reflétées dans les tâches Jira correspondantes.
**Avantages de l'intégration**
L'intégration Réponse aux incidents de sécurité AWS à votre plateforme ITSM existante rationalise vos opérations de sécurité en centralisant le suivi des incidents et les flux de travail de réponse. Ces solutions prédéfinies éliminent le besoin de développement personnalisé, permettant à vos équipes de sécurité de conserver une visibilité sur les systèmes de gestion des incidents AWS natifs et à l'échelle de l'entreprise. En tirant parti d'Amazon EventBridge pour une automatisation basée sur les événements, les mises à jour circulent de manière fluide entre les plateformes en temps réel, ce qui permet de garantir un suivi cohérent des incidents de sécurité, quelle que soit leur origine. Cette approche unifiée réduit le changement de contexte pour les analystes de sécurité, améliore les temps de réponse et fournit des pistes d'audit complètes tout au long du cycle de vie de réponse aux incidents.
Pour configurer EventBridge les règles :
1. Accédez à Amazon EventBridge.
1. Sélectionnez **Règles** dans le menu déroulant **Bus**.
# Flux de travail d'outillage externe
Security Incident Response s'intègre aux outils et partenaires externes de plusieurs manières :
+ *Intégration du SIEM :* les ingénieurs de réponse aux incidents de sécurité aident à analyser et à étudier ces résultats en parallèle avec votre équipe lorsque vous soumettez des cas AWS pris en charge. Nous identifions les corrélations entre les environnements hybrides et multicloud, ce qui permet d'évaluer les mouvements des acteurs malveillants entre les fournisseurs.
+ *Améliore vos opérations de sécurité existantes :* nous remplaçons les flux de travail de GuardDuty réponse traditionnels par un modèle de réponse parallèle plus efficace. De nombreuses entreprises utilisent actuellement la technologie SIEM pour les flux de travail de détection par le biais de la gestion des dossiers. Ce service fournit une alternative rationalisée spécifiquement pour les résultats GuardDuty (et certains de ceux qui concernent le Security Hub CSPM). La solution s'appuie sur une technologie sophistiquée de triage automatique avec supervision humaine pour créer des cas proactifs sur votre portail, en alertant simultanément votre équipe d'intervention et en faisant appel à nos ingénieurs de réponse aux incidents de sécurité pour des efforts de résolution coordonnés.
+ *Équipes d'enquête tierces :* nos ingénieurs de réponse aux incidents de sécurité collaborent directement avec vos partenaires et fournisseurs de MDR.
# Annexe A : Points de contact
Le fait de fournir vos métadonnées dès le départ à nos ingénieurs de réponse aux incidents de sécurité peut contribuer à accélérer le temps de création des profils, renforçant ainsi la confiance dans notre technologie de triage dès le départ. Cela permet de réduire le nombre de faux positifs identifiés dès le départ lorsque nous commençons à assimiler les informations relatives à vos menaces et à créer votre « monde connu pour le bien ».
**Coordonnées du personnel de l'IR et du SOC**
| Entry | Personnel IR \$1 SOC : rôle, nom, e-mail | Contacts d'escalade principaux et secondaires | Plages CIDR internes connues | Plages CIDR externes connues | Fournisseurs de services cloud supplémentaires | AWS Régions de travail | Serveur DNS IPs (s'il est autre qu'Amazon Route 53 Resolver) | VPN \$1 Solutions d'accès à distance et IPs | Noms des applications critiques \$1 Numéros de compte | Ports peu courants couramment utilisés | EDR \$1 AV \$1 Outils de gestion des vulnérabilités utilisés | IDP \$1 Succursales |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Commandant du SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/A | Connexion directe, VIF public 116.32.8.7 | Serveur Web Nginx (exemple critique) \$1 1234567890 | 8080 | CrowdStrike Faucon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
Pour soumettre des informations de métadonnées pour votre environnement, créez un [AWS Support dossier](https://repost.aws/knowledge-center/get-aws-technical-support).
**Pour soumettre des métadonnées**
1. Complétez le tableau des métadonnées avec les informations relatives à votre environnement.
1. Créez un AWS Support dossier avec les informations suivantes :
+ **Type de boîtier :** Technique
+ **Service : Service** de réponse aux incidents de sécurité
+ **Catégorie :** Autres
1. Joignez le tableau de métadonnées complété au dossier.