Le géant du cloud Amazon Web Services (AWS) pense avoir la réponse à la fatigue des alertes sous la forme d’actions automatisées.
La nouvelle fonctionnalité, qui fait partie d’AWS Security Hub, vise à empêcher que des erreurs humaines potentiellement dangereuses ne se produisent lors du filtrage manuel d’un grand nombre d’alertes de sécurité, où la nature répétitive de la tâche pourrait conduire les analystes à minimiser l’importance des menaces. AWS argumente.
Les alertes de sécurité, ou les résultats, de tous les autres domaines d’AWS – ainsi que de plus de 65 solutions AWS Partner Network (APN) – sont rassemblés dans le Security Hub. Il était possible de configurer des actions automatisées pour ces résultats auparavant, mais cela impliquait de devoir utiliser Amazon EventBridge, les fonctions AWS Lambda, un runbook AWS Systems Manager Automation ou une étape AWS Step Functions.
Nouvelles règles
Les bonnes autorisations IAM étaient également requises si ces actions devaient s’exécuter sur plusieurs comptes et régions, ainsi que la maintenance de la fonction Lambda et de la règle EventBridge afin que le flux d’automatisation continue de s’exécuter comme prévu.
Désormais, cependant, des actions automatisées sont possibles dès le départ, avec la possibilité de définir des règles pour mettre à jour automatiquement divers champs dans les résultats, tels que la modification de leur gravité et de l’état du flux de travail, l’ajout de notes ou leur suppression automatique.
AWS affirme qu’il y a beaucoup de flexibilité dans la façon dont vous pouvez utiliser ces règles. Par exemple, les utilisateurs peuvent modifier la gravité d’une alerte en fonction de l’ID de compte et ajouter une note à la personne qui enquête pour lui donner des informations ou des instructions supplémentaires.
Une telle règle d’automatisation peut être configurée via l’AWS CLI, la console, l’API Security Hub ou le kit SDK AWS pour Python (Boto3). Vous pouvez même configurer plusieurs règles pour les mêmes résultats et attribuer l’ordre dans lequel Security Hub applique les actions automatisées. La règle avec la valeur la plus élevée est appliquée en dernier et a donc l’effet ultime sur le champ en question.
Vous pouvez également modifier la gravité en fonction de la balise de ressource. Un autre exemple de scénario d’utilisation de la nouvelle fonctionnalité d’automatisation consiste à supprimer un résultat marqué comme informatif par GuardDuty, ce qui signifie qu’il n’y a pas de menace et qu’il n’a été signalé que pour fournir des informations ; vous pouvez donc souhaiter supprimer d’autres résultats marqués comme informatifs.
Des modèles sont également disponibles pour créer de nouvelles règles et sont régulièrement mis à jour pour refléter les cas d’utilisation typiques qui s’appliquent à de nombreux clients. Le modèle que vous choisissez peut également être modifié pour répondre à vos besoins spécifiques.
Et si vous opérez dans plusieurs régions, vous pouvez dupliquer les règles créées dans votre Security Hub central pour les utiliser.
L’annonce a été faite dans le cadre de la conférence AWS re:Inforce 2023. Les règles d’automatisation dans Security Hub peuvent être utilisées dès maintenant, et AWS encourage les clients à publier des commentaires dans le repost ou à contacter l’assistance pour plus d’informations et de l’aide avec la nouvelle fonctionnalité.