Activer et utiliser l'évaluation des failles pour AWS

Enterprise

Cette page explique comment configurer et utiliser le service d'évaluation des failles pour Amazon Web Services (AWS).

Pour activer l'évaluation des failles pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activer le service d'évaluation des failles pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer le service d'évaluation des failles pour AWS, vous avez besoin de certaines autorisations IAM et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration du service d'évaluation des failles pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dansGoogle Cloud et AWS.

Google Cloud  rôles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Rôles AWS

    Dans AWS, un utilisateur administratif AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

    Pour créer un rôle pour l'évaluation des failles dans AWS, procédez comme suit :

    1. À l'aide d'un compte d'utilisateur administratif AWS, accédez à la page Rôles IAM dans la console AWS Management Console.
    2. Dans le menu Service ou cas d'utilisation, sélectionnez lambda.
    3. Ajoutez les règles d'autorisation suivantes :
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Cliquez sur Ajouter une autorisation > Créer une règle intégrée pour créer une règle d'autorisation :
      1. Ouvrez la page suivante et copiez la stratégie : Stratégie de rôle pour l'évaluation des failles pour AWS et VM Threat Detection.
      2. Dans l'éditeur JSON, collez la stratégie.
      3. Spécifiez un nom pour la règle.
      4. Enregistrez la règle.
    5. Ouvrez l'onglet Relations d'approbation.

    6. Collez l'objet JSON suivant en l'ajoutant à n'importe quel tableau d'instructions existant :

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Enregistrez le rôle.

    Vous attribuerez ce rôle ultérieurement lorsque vous installerez le modèle CloudFormation sur AWS.

    Collecter des informations sur les ressources AWS à analyser

    Lorsque vous activez l'évaluation des failles pour AWS, vous pouvez personnaliser la configuration pour analyser des régions AWS spécifiques, des tags spécifiques qui identifient les ressources AWS et des volumes de disque dur (HDD) spécifiques (SC1 et ST1).

    Il est utile de disposer de ces informations avant de configurer l'évaluation des failles pour AWS.

    Vérifier que Security Command Center est connecté à AWS

    Le service d'évaluation des failles pour AWS nécessite d'accéder à l'inventaire des ressources AWS que inventaire des éléments cloud gère lorsque Security Command Center est connecté à AWS.

    Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez le service d'évaluation des failles pour AWS.

    Pour configurer une connexion, consultez Se connecter à AWS pour la collecte de données de configuration et de ressources.

    Activer l'évaluation des failles pour AWS dans Security Command Center

    L'évaluation des failles pour AWS doit être activée sur Google Cloud au niveau de l'organisation.

    1. Accédez à la page Présentation des risques dans Security Command Center :

      Accéder à l'aperçu des risques

    2. Sélectionnez l'organisation dans laquelle vous souhaitez activer l'évaluation des failles pour AWS.

    3. Cliquez sur Paramètres.

    4. Dans la fiche Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'ouvre.

    5. Sélectionnez l'onglet Amazon Web Services.

    6. Dans la section Activation du service, définissez le champ État sur Activer.

    7. Dans la section Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté. Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Suivez les étapes décrites dans Se connecter à AWS pour la configuration et la collecte de données sur les ressources avant de passer à l'étape suivante.

    8. Configurez les paramètres d'analyse pour le calcul et le stockage AWS. Pour modifier la configuration par défaut, cliquez sur Modifier les paramètres d'analyse. Pour en savoir plus sur chaque option, consultez Personnaliser les paramètres d'analyse pour le calcul et le stockage AWS.

    9. Si vous avez déjà activé VM Threat Detection pour AWS et déployé le modèle CloudFormation dans le cadre de cette fonctionnalité, ignorez cette étape. Dans la section Paramètres d'analyse, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre poste de travail. Vous devez déployer le modèle dans chaque compte AWS que vous devez analyser pour détecter les failles.

    Personnaliser les paramètres d'analyse pour le calcul et le stockage AWS

    Cette section décrit les options disponibles pour personnaliser l'analyse des ressources AWS. Ces options personnalisées se trouvent dans la section Paramètres d'analyse pour le calcul et le stockage AWS lorsque vous modifiez une analyse de l'évaluation des failles pour AWS.

    Vous pouvez définir jusqu'à 50 tags AWS et ID d'instance Amazon EC2. Les modifications apportées aux paramètres d'analyse n'affectent pas le modèle AWS CloudFormation. Vous n'avez pas besoin de redéployer le modèle. Si une valeur d'ID de tag ou d'instance n'est pas correcte (par exemple, si elle comporte une faute d'orthographe) et que la ressource spécifiée n'existe pas, la valeur est ignorée lors de l'analyse.
    Option Description
    Intervalle d'analyse Saisissez le nombre d'heures entre chaque analyse. Les valeurs valides sont comprises entre 6 et 24. La valeur par défaut est 6. Des analyses plus fréquentes peuvent entraîner une augmentation de l'utilisation des ressources et éventuellement des frais de facturation.
    Régions AWS

    Choisissez un sous-ensemble de régions à inclure dans l'analyse d'évaluation des failles.

    Seules les instances des régions sélectionnées sont analysées. Sélectionnez une ou plusieurs régions AWS à inclure dans l'analyse.

    Si vous avez configuré des régions spécifiques dans le connecteur Amazon Web Services (AWS), assurez-vous que les régions sélectionnées ici sont identiques ou constituent un sous-ensemble de celles définies lorsque vous avez configuré la connexion à AWS.

    Tags AWS Spécifiez les tags qui identifient le sous-ensemble d'instances à analyser. Seules les instances comportant ces tags sont analysées. Saisissez la paire clé/valeur pour chaque tag. Si un tag non valide est spécifié, il sera ignoré. Vous pouvez spécifier jusqu'à 50 tags. Pour en savoir plus sur les tags, consultez Taguer vos ressources Amazon EC2 et Ajouter et supprimer des tags pour les ressources Amazon EC2.
    Exclure par ID d'instance

    Excluez les instances EC2 de chaque analyse en spécifiant l' ID d'instance EC2. Vous pouvez spécifier jusqu'à 50 ID d'instance. Si des valeurs non valides sont spécifiées, elles seront ignorées. Si vous définissez plusieurs ID d'instance, ils sont combinés à l'aide de l'opérateur AND.

    • Si vous sélectionnez Exclure l'instance par ID, saisissez manuellement chaque ID d'instance en cliquant sur Ajouter une instance AWS EC2, puis en saisissant la valeur.

    • Si vous sélectionnez Copier et coller une liste d'ID d'instance à exclure (format JSON), procédez de l'une des manières suivantes :

      • Saisissez un tableau d'ID d'instance. Exemple :

        [ "instance-id-1", "instance-id-2" ]

      • Importez un fichier contenant la liste des ID d'instance. Le contenu du fichier doit être un tableau d'ID d'instance, par exemple : 

        [ "instance-id-1", "instance-id-2" ]
    Analyser l'instance SC1 Sélectionnez Analyser l'instance SC1 pour inclure ces instances. Les instances SC1 sont exclues par défaut. En savoir plus sur les instances SC1
    Analyser l'instance ST1 Sélectionnez Analyser les instances ST1 pour inclure ces instances. Les instances ST1 sont exclues par défaut. En savoir plus sur les instances ST1
    Analyser Elastic Container Registry (ECR) Sélectionnez Analyser l'instance Elastic Container Registry pour analyser les images de conteneurs stockées dans ECR et leurs packages installés. En savoir plus sur Elastic Container Registry

    Déployer le modèle AWS CloudFormation

    Effectuez ces étapes au moins six heures après avoir créé un connecteur AWS.

    Pour en savoir plus sur le déploiement d'un modèle CloudFormation, consultez Créer une pile à partir de la console CloudFormation dans la documentation AWS.

    1. Accédez à la page Modèle AWS CloudFormation dans la console AWS Management Console.
    2. Cliquez sur Stacks > With new resources (standard) (Piles > Avec de nouvelles ressources (standard)).
    3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant et Importer un fichier de modèle pour importer le modèle CloudFormation.
    4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle.
    5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de la pile s'ouvre.
    6. Sous Autorisations, sélectionnez le rôle AWS que vous avez créé précédemment.
    7. Si vous y êtes invité, cochez la case pour confirmer.
    8. Cliquez sur Envoyer pour déployer le modèle. Le démarrage de la pile prend quelques minutes.

    L'état du déploiement s'affiche dans la console AWS. Si le modèle CloudFormation ne parvient pas à se déployer, consultez la section Dépannage.

    Une fois les analyses lancées, si des failles sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la consoleGoogle Cloud .

    Examiner les résultats dans la console

    Vous pouvez consulter les résultats de l'évaluation des failles pour AWS dans la console Google Cloud . Le rôle IAM minimal requis pour afficher les résultats est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

    Pour examiner les résultats de l'évaluation des failles pour AWS dans la console Google Cloud , procédez comme suit :

    Standard ou Premium

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet Google Cloud ou votre organisation.
    3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
    4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
    5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
    6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Entreprise

    1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

      Accéder à la page "Résultats" du niveau Enterprise

    2. Sélectionnez votre Google Cloud organisation.
    3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
    4. Sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
    5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
    6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
    7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Dépannage

    Si vous avez activé le service d'évaluation des failles, mais que les analyses ne sont pas en cours d'exécution, vérifiez les points suivants :

    • Vérifiez que le connecteur AWS est correctement configuré.
    • Vérifiez que la pile du modèle CloudFormation a été déployée complètement. Son état dans le compte AWS doit être CREATION_COMPLETE.