Au sein d’un datacenter bien établi, ces systèmes bénéficiaient d’une infrastructure robuste avec une sécurité périmétrique, un enregistrement des journaux et des systèmes de surveillance. Les équipes de réponse aux incidents accédaient sans difficulté aux données issues de ces systèmes. Mais dans le cloud, comment accéder au socle de l’infrastructure ? Les entreprises pensent trop souvent, et à tort, que le fournisseur cloud inclut par défaut ces fonctionnalités dans son offre standard.

Réponse aux incidents dans le cloud : anticipez !

Déménager les systèmes dans le cloud ne devrait pas affecter nos capacités à répondre aux incidents. En fait, il y a des différences et des nouveautés souvent porteuses d’améliorations. Mais il faut prendre en compte ces nouvelles fonctionnalités dès la configuration du cloud et les activer en amont, avant tout incident. Ainsi, les équipes de réponse aux incidents doivent passer d’un mode réactif à une posture proactive : à elles de s’assurer, en collaboration avec les architectes cloud, que l’architecture de base inclut les outils dont elles auront besoin.

Vous avez dit journaux ?

Trop de journaux ou pas assez, où est le juste milieu ? Le cloud génère de nombreux journaux à différents niveaux, à commencer par ceux des hyperviseurs, suivis en nombre par les journaux d’authentification. La moindre ressource a le sien. Si certains sont activés par défaut, ce n’est pas le cas de tous. Dans la formation FOR509 – Enterprise Cloud Forensics and Incident Response, vous verrez les tenants et les aboutissants de toutes ces sources de journaux. Vous apprendrez à utiliser les outils du cloud pour y accéder et à les exporter vers des plateformes externes de gestion des informations et des événements de sécurité (SIEM). Vous apprendrez aussi à interpréter les entrées des journaux et à les exploiter dans vos enquêtes. Les 16 labos de la formation seront l’occasion de mettre en pratique vos compétences d’investigation.

Parmi les thèmes traités au cours de ces 4 jours de formation :
• Microsoft 365 et repérage des fraudes aux ordres de virement (FOVI)
• API de Microsoft Graph et ses journaux peu fournis
• Journaux AWS CloudTrail
• Journaux des machines virtuelles AWS, journaux de flux VPC et analyses des journaux S3
• Repérage et suivi de déplacement latéral dans AWS
• Journaux d’Azure Active Directory et analyse d’une attaque par pulvérisation de mots de passe
• Suivi des créations de ressources dans Azure
• Exfiltration de données par des Blobs Azure
• Gestion des identités et des accès (IAM) dans GCP
• Agent de journalisation des machines virtuelles de Google
• Utilisation frauduleuse du stockage GCP et exfiltration de données
• Analyse post-incident réseau avancée sur GCP

Conclusion

Pour les spécialistes de la réponse aux incidents, le cloud représente une occasion extraordinaire. Dans nos organisations, à nous d’anticiper et de libérer de nouvelles capacités de réponse aux incidents. La technologie cloud évolue en permanence, ne relâchons pas les efforts de formation. Inscrivez-vous à FOR509 SANS qui se tiendra à Paris à partir du 21 mars 2022 : formez-vous à l’inforensique et à la réponse aux incidents du cloud !

– Pour en savoir plus cliquez ICI