Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles dans les ressources AWS suivantes :
- Packages logiciels installés sur les instances Amazon EC2
- Configurations incorrectes des packages logiciels et du système d'exploitation dans les images Elastic Container Registry (ECR)
Le service d'évaluation des failles pour AWS analyse les instantanés des instances EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les machines EC2 cibles.
Le service d'évaluation des failles pour AWS s'exécute sur le service AWS Lambda et déploie des instances EC2 qui hébergent des scanners, créent des instantanés des instances EC2 cibles et analysent les instantanés.
Vous pouvez définir un intervalle d'analyse compris entre 6 et 24 heures.
Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat dans Security Command Center. Un résultat est un enregistrement de la faille qui contient des informations sur la ressource AWS concernée et la faille, y compris des informations provenant de l'enregistrement Common Vulnerabilities and Exposures (CVE) associé.
Pour en savoir plus sur les résultats générés par l'évaluation des failles pour AWS, consultez Résultats de l'évaluation des failles pour AWS.
Résultats générés par l'évaluation des failles pour AWS
Lorsque le service d'évaluation des failles pour AWS détecte une faille logicielle sur une machine AWS EC2 ou dans une image Elastic Container Registry, il génère un résultat dans Security Command Center sur Google Cloud.
Les résultats individuels et leurs modules de détection correspondants ne sont pas listés dans la documentation Security Command Center.
Chaque résultat contient les informations suivantes, propres à la faille logicielle détectée :
- Nom complet de la ressource de l'instance ou de l'image concernée
- Description de la faille, y compris les informations suivantes :
- Package logiciel contenant la faille
- Informations issues de l'enregistrement CVE associé
- Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
- Évaluation de la gravité de la faille par Security Command Center
- Un score d'exposition aux attaques pour vous aider à hiérarchiser les mesures correctives
- Représentation visuelle du chemin qu'un pirate informatique pourrait emprunter pour accéder aux ressources de forte valeur exposées par la faille
- Si disponible, les étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de version que vous pouvez utiliser pour corriger la faille
Toutes les conclusions de l'évaluation des failles pour AWS partagent les valeurs de propriété suivantes :
- Catégorie
Software vulnerability- Classe
Vulnerability- Fournisseur de services cloud
Amazon Web Services- Source
EC2 Vulnerability Assessment
Pour savoir comment afficher les résultats dans la console Google Cloud , consultez Examiner les résultats dans la console Google Cloud .
Ressources utilisées lors des analyses
Lors de l'analyse, l'évaluation des failles pour AWS utilise des ressources à la fois sur Google Cloudet sur AWS.
Utilisation des ressourcesGoogle Cloud
Les ressources utilisées par l'évaluation des failles pour AWS sur Google Cloud sont incluses dans le coût de Security Command Center.
Ces ressources incluent les projets locataires, les buckets Cloud Storage et la fédération d'identité de charge de travail. Ces ressources sont gérées par Google Cloud et ne sont utilisées que lors des analyses actives.
L'évaluation des failles pour AWS utilise également l'API Cloud Asset pour récupérer des informations sur les comptes et ressources AWS.
Utilisation des ressources AWS
Sur AWS, l'évaluation des failles pour AWS utilise les services AWS Lambda et Amazon Virtual Private Cloud (Amazon VPC). Une fois l'analyse terminée, le service d'évaluation des failles pour AWS cesse d'utiliser ces services AWS.
AWS facture l'utilisation de ces services à votre compte AWS, sans identifier l'utilisation comme étant associée à Security Command Center ni au service d'analyse des failles pour AWS.
Identité et autorisations du service
Pour les actions qu'il effectue sur Google Cloud, le service d'évaluation des failles pour AWS utilise l'agent de service Security Command Center suivant au niveau de l'organisation pour l'identité et l'autorisation d'accéder aux ressourcesGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Cet agent de service contient l'autorisation cloudasset.assets.listResource, que le service d'analyse des failles pour AWS utilise pour récupérer des informations sur les comptes AWS cibles à partir de Cloud Asset Inventory.
Pour les actions que l'évaluation des failles pour AWS effectue sur AWS, vous devez créer un rôle AWS IAM et l'attribuer au service d'évaluation des failles pour AWS lorsque vous configurez le modèle AWS CloudFormation requis. Pour obtenir des instructions, consultez Rôles et autorisations.