Le service Vulnerability Assessment pour Amazon Web Services (AWS) détecte les failles dans les ressources AWS suivantes :
- Packages logiciels installés sur les instances Amazon EC2
- Mauvaise configuration des packages logiciels et du système d'exploitation dans les images Elastic Container Registry (ECR)
Le service Vulnerability Assessment pour AWS analyse les instantanés des instances EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les machines EC2 cibles.
Le service Vulnerability Assessment pour AWS s'exécute sur le service AWS Lambda et déploie des instances EC2 qui hébergent des scanners, créent des instantanés des instances EC2 cibles et analysent les instantanés.
Vous pouvez définir un intervalle d'analyse compris entre 6 et 24 heures.
Pour chaque faille détectée, Vulnerability Assessment pour AWS génère un résultat dans Security Command Center. Un résultat est un enregistrement de la faille qui contient des informations sur la ressource AWS concernée et la faille, y compris des informations provenant de l'enregistrement CVE (Common Vulnerabilities and Exposures) associé.
Pour en savoir plus sur les résultats générés par Vulnerability Assessment pour AWS, consultez Résultats de Vulnerability Assessment pour AWS.
Résultats générés par Vulnerability Assessment pour AWS
Lorsque le service Vulnerability Assessment pour AWS détecte une faille logicielle sur une machine AWS EC2 ou dans une image Elastic Container Registry, il génère un résultat dans Security Command Center sur Google Cloud.
Les résultats individuels et leurs modules de détection correspondants ne sont pas listés dans la documentation Security Command Center.
Chaque résultat contient les informations suivantes, propres à la faille logicielle détectée :
- Nom complet de la ressource de l'instance ou de l'image concernée
- Description de la faille, y compris les informations suivantes :
- Package logiciel contenant la faille
- Informations issues de la fiche CVE associée
- Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
- Évaluation de la gravité de la faille par Security Command Center
- Un score d'exposition aux attaques pour vous aider à hiérarchiser les mesures correctives
- Représentation visuelle du chemin qu'un pirate informatique pourrait emprunter pour accéder aux ressources de forte valeur exposées par la faille
- Si disponible, les étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de version que vous pouvez utiliser pour corriger la faille
Toutes les conclusions de Vulnerability Assessment pour AWS partagent les valeurs de propriété suivantes :
- Catégorie
Software vulnerability- Classe
Vulnerability- Fournisseur de services cloud
Amazon Web Services- Source
EC2 Vulnerability Assessment
Pour savoir comment afficher les résultats dans la console Google Cloud , consultez Examiner les résultats dans la console Google Cloud .
Ressources utilisées lors des analyses
Lors de l'analyse, Vulnerability Assessment pour AWS utilise des ressources sur Google Cloudet sur AWS.
Utilisation des ressourcesGoogle Cloud
Les ressources utilisées par Vulnerability Assessment pour AWS sur Google Cloud sont incluses dans le coût de Security Command Center.
Ces ressources incluent les projets locataires, les buckets Cloud Storage et la fédération d'identité de charge de travail. Ces ressources sont gérées par Google Cloud et ne sont utilisées que lors des analyses actives.
Vulnerability Assessment pour AWS utilise également l'API Cloud Asset pour récupérer des informations sur les comptes et ressources AWS.
Utilisation des ressources AWS
Sur AWS, l'évaluation des failles pour AWS utilise les services AWS Lambda et Amazon Virtual Private Cloud (Amazon VPC). Une fois l'analyse terminée, le service Vulnerability Assessment pour AWS cesse d'utiliser ces services AWS.
AWS facture l'utilisation de ces services à votre compte AWS et n'identifie pas l'utilisation comme étant associée à Security Command Center ni au service Vulnerability Assessment pour AWS.
Identité et autorisations du service
Pour les actions qu'il effectue sur Google Cloud, le service Vulnerability Assessment pour AWS utilise l'agent de service Security Command Center suivant au niveau de l'organisation pour l'identité et l'autorisation d'accéder aux ressourcesGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Cet agent de service contient l'autorisation cloudasset.assets.listResource, que le service Vulnerability Assessment pour AWS utilise pour récupérer des informations sur les comptes AWS cibles à partir de inventaire des éléments cloud.
Pour les actions que Vulnerability Assessment pour AWS effectue sur AWS, vous devez créer un rôle AWS IAM et l'attribuer au service Vulnerability Assessment pour AWS lorsque vous configurez le modèle AWS CloudFormation requis. Pour obtenir des instructions, consultez Rôles et autorisations.