Skip to content

Comment CloudTrail et GuardDuty s'intègrent-ils dans la journalisation et la surveillance cloud ?

Réponse courte

CloudTrail enregistre chaque appel API dans le compte — qui a fait quoi, quand, d'où — vous donnant la piste d'audit faisant autorité pour les investigations et la conformité. GuardDuty est un service géré de détection des menaces qui analyse CloudTrail, les flux VPC et les journaux DNS pour faire remonter des découvertes comme l'exfiltration d'identifiants ou le minage de cryptomonnaie. CloudTrail est la source de vérité que vous devez protéger ; GuardDuty transforme cette télémétrie en alertes exploitables.

Vous ne pouvez pas réagir à ce que vous ne voyez pas, et le cloud est piloté par API — donc la journalisation et la détection sont le socle de la sécurité cloud. Cette question vérifie que vous connaissez la différence entre enregistrer l'activité et y détecter des menaces.

CloudTrail — la source d'audit faisant autorité

CloudTrail enregistre chaque appel API effectué dans le compte : l'identité (principal), l'action, l'horodatage, l'IP source et les paramètres de la requête. C'est votre enregistrement faisant autorité, a posteriori.

  • Il répond à « qui a fait quoi, quand et d'où » — essentiel pour délimiter un incident et pour la conformité.
  • Il doit être protégé contre l'altération. La bonne pratique consiste à envoyer les journaux vers un compte de journalisation dédié et verrouillé ou un bucket en écriture unique (object-lock), pour qu'un attaquant qui compromet le compte de charge de travail ne puisse pas effacer ses traces.
  • Activez-le dans toutes les régions plus les événements de données pour les ressources sensibles, sinon vous aurez des angles morts.

GuardDuty — la couche de détection

Les journaux bruts sont énormes et ne s'interprètent pas seuls. GuardDuty est un service géré de détection des menaces qui analyse en continu CloudTrail, les flux VPC et les journaux DNS, en appliquant du renseignement sur les menaces et du ML pour produire des découvertes :

  • Exemples : identifiants d'instance utilisés depuis un emplacement inhabituel (probable exfiltration), appels API depuis des IP connues comme malveillantes, trafic de minage de cryptomonnaie ou comportement IAM anormal.
  • Il transforme des téraoctets de télémétrie en une courte liste d'alertes priorisées que vous pouvez router vers un SOC ou une réponse automatisée.

Comment ils fonctionnent ensemble

CloudTrail fournit les preuves ; GuardDuty fournit la détection par-dessus. Lors d'un incident, vous pivotez d'une découverte GuardDuty vers CloudTrail pour délimiter exactement ce qu'un identifiant compromis a touché.

Ce que recherchent les recruteurs

Une séparation claire entre journal d'audit et détection de menaces, la protection de l'intégrité de CloudTrail (compte séparé / object-lock), et savoir que GuardDuty consomme aussi les journaux de flux et DNS.

Questions de suivi probables

  • Pourquoi les journaux CloudTrail devraient-ils aller dans un compte séparé et verrouillé ?
  • Quels types de découvertes GuardDuty génère-t-il que le CloudTrail brut ne montrerait pas ?
  • Comment utiliseriez-vous CloudTrail lors d'un incident pour délimiter un identifiant compromis ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.