Fonctionnalités de la réponse aux incidents de sécurité AWS

Réponse aux incidents de sécurité surveille et trie les résultats de sécurité provenant d’Amazon GuardDuty et d’outils tiers tels que CrowdStrike Falcon, Trend Micro Cloud One et Fortinet Lacework FortiCNAPP via AWS Security Hub. Elle utilise des informations spécifiques au client, telles que les adresses IP connues et les entités de la Gestion des identités et des accès AWS (IAM), pour filtrer les résultats en fonction du comportement attendu, réduisant ainsi le volume d’alertes tout en faisant remonter celles qui nécessitent une attention immédiate.

La réponse aux incidents de sécurité évolue avec votre environnement, intégrant de nouvelles connaissances pour améliorer les performances au fil du temps. Le service affine les règles de triage automatique en fonction des modèles d’activité propres à votre organisation, ce qui facilite la distinction entre les opérations courantes et les risques potentiels. À mesure que votre environnement se développe, Réponse aux incidents de sécurité détecte les événements critiques avec encore plus de précision et d’efficacité.

Réduisez le temps nécessaire à la coordination des parties prenantes en créant une équipe de réponse aux incidents personnalisée. Cette équipe recevra une notification par e-mail immédiate chaque fois qu’un dossier de sécurité est créé via le service. Accordez à ces membres de l’équipe les autorisations nécessaires pour contrôler l’accès aux dossiers et conserver le moindre privilège.

Grâce à l’intégration Amazon EventBridge, vous pouvez automatiser le routage des événements et les notifications vers des plateformes tierces, telles que ServiceNow, Jira, Slack et PagerDuty. Par exemple, lorsque la Réponse aux incidents de sécurité crée de manière proactive un cas, l’automatisation EventBridge peut déclencher des systèmes pour avertir les parties prenantes, ce qui permet une réponse plus rapide lors d’événements de sécurité potentiels.

La réponse aux incidents de sécurité combine une analyse basée sur l’IA et la supervision d’experts afin d’examiner les résultats de sécurité, les journaux et les modèles anormaux afin de déterminer si une escalade est nécessaire. Si un événement de sécurité est confirmé ou si des informations supplémentaires sont nécessaires, le service crée un dossier et informe les parties prenantes que vous avez désignées comme membres de votre équipe d’intervention en cas d’incident. Grâce à une participation active, le service apprend à connaître votre environnement et les comportements attendus, améliorant ainsi la précision des alertes et garantissant une réponse rapide aux événements de sécurité réels.

L’agent d’IA de la réponse aux incidents de sécurité contribue à réduire le temps d’investigation en automatisant la collecte de preuves et en minimisant les retards de communication, ce qui permet une réponse et une reprise plus rapides. Lorsque vous créez un dossier ou que le service en crée un de manière proactive, l’agent chargé de l’enquête vous interroge sur les indicateurs potentiels, les noms des ressources et les délais, afin d’adapter l’enquête à votre problème spécifique. Il recueille et corrèle automatiquement les preuves provenant de plusieurs sources de données AWS, telles qu’AWS CloudTrail, AWS IAM, Amazon EC2 et l’explorateur de coûts AWS. Il vous présente ensuite ses conclusions sous forme de résumés clairs et exploitables, le tout sous la supervision continue des experts en sécurité AWS qui vous guident tout au long de l’enquête jusqu’à son terme.

Lorsque vous avez besoin d’une expertise spécialisée, le CIRT AWS traite votre dossier en quelques minutes. Agissant comme une extension de votre équipe du centre des opérations de sécurité (SOC), le CIRT AWS a accès aux données de journalisation pertinentes, quelles que soient vos configurations de journalisation, pour mener des enquêtes lors d’événements de sécurité potentiels. Le CIRT AWS fournit à votre équipe des mesures claires de confinement ou de remédiation pour les incidents de sécurité confirmés. Si vous le souhaitez, vous pouvez autoriser le CIRT AWS à les exécuter en votre nom.

Lorsque les résultats de sécurité provenant d’outils tiers tels que CrowdStrike Falcon, Trend Micro Cloud One et Fortinet Lacework FortiCNAPP sont impliquées dans une affaire, le CIRT AWS travaille directement avec ces fournisseurs, combinant leur expertise pour créer une réponse globale. Cette approche unifiée vous permet de bénéficier des connaissances spécialisées de tous les fournisseurs, tandis que le CIRT AWS gère la communication et la coordination, en fournissant des informations claires et exploitables à chaque étape de la réponse.

Vous pouvez accorder à Réponse aux incidents de sécurité les autorisations nécessaires pour effectuer les actions de confinement prises en charge en réponse aux alertes en votre nom. Cette fonctionnalité permet d’atténuer plus rapidement les incidents de sécurité, minimisant ainsi leur impact potentiel sur votre environnement.