De plus en plus d’entreprises ont entamé une migration de leurs services dans le cloud, mais n’ont bien souvent pas pris en compte dès le départ le sujet du forensic et plus largement de la réponse à incidents. Bien que l’environnement soit différent du classique On-Prem, les enjeux restent les mêmes, être en mesure de détecter et d’investiguer le plus rapidement possible les ressources compromises.
Les équipes de réponses à incidents ont désormais des processus matures sur des environnements On-Prem, mais qu’en est-il des environnements cloud de type IaaS ou PaaS ? Cet article a pour objectif de présenter les bonnes pratiques pour être prêt à intervenir dans ce nouvel écosystème tout en tentant de rester agnostique du fournisseur cloud. En effet, il est courant qu’une entreprise déploie ses services chez plusieurs fournisseurs de services cloud, chacun avec leurs spécificités. Nous nous focaliserons dans cet article sur les trois fournisseurs majeurs, Amazon, Google et Microsoft, afin de donner des éléments tangibles au lecteur, éléments qu'il faudra adapter au contexte d'autres fournisseurs. Cet article n’a donc pas vocation à présenter sous un angle technique comment intervenir, mais plutôt une remise en condition afin d’anticiper le jour où surviendra un incident dans ces environnements. Des liens vers des ressources externes seront proposés...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[RACI] https://en.wikipedia.org/wiki/Responsibility_assignment_matrix
[Workload Discovery] https://docs.aws.amazon.com/solutions/latest/workload-discovery-on-aws/welcome.html
[Security Token Service] https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html
[short-lived credentials] https://cloud.google.com/iam/docs/create-short-lived-credentials-direct
[cloudgoat] https://github.com/RhinoSecurityLabs/cloudgoat
[CapitalOne] https://www.capitalone.com/digital/facts2019/
[kubernetes-goat] https://github.com/madhuakula/kubernetes-goat
[Status Red Team] https://stratus-red-team.cloud/
[pacu] https://github.com/RhinoSecurityLabs/pacu
[MicroBurst] https://github.com/NetSPI/MicroBurst
[kdigger] https://github.com/quarkslab/kdigger
[CloudTrail] https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
[Activity log] https://docs.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log
[Resource logs] https://docs.microsoft.com/en-us/azure/azure-monitor/essentials/resource-logs
[Cloud Audit Logs] https://cloud.google.com/logging/docs/audit
[Datadog] https://www.datadoghq.com/product/security-platform/cloud-workload-security/
[AquaSec] https://aquasecurity.github.io/tracee/latest
[Azure Sentinel] https://azure.microsoft.com/en-us/services/microsoft-sentinel
[Chronicle] https://chronicle.security/
[CloudWatch] https://aws.amazon.com/fr/cloudwatch/
[GuardDuty] https://aws.amazon.com/fr/guardduty/
[Security Hub] https://aws.amazon.com/fr/security-hub/
[Amazon Cloud Formation] https://aws.amazon.com/fr/cloudformation/
[Azure Resource Manager] https://docs.microsoft.com/en-us/azure/azure-resource-manager/
[Google Deployment Manager] https://cloud.google.com/deployment-manager/docs
[Terraform] https://www.terraform.io/
[runbook] https://github.com/awslabs/aws-security-automation/tree/master/EC2%20Auto%20Clean%20Room%20Forensics
[Network Watcher packet] https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-packet-capture-overview
[Azure Locks] https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/lock-resources