Activer et utiliser l'évaluation des failles pour AWS

Cette page explique comment configurer et utiliser le service d'évaluation des failles pour Amazon Web Services (AWS).

Pour activer l'évaluation des failles pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activer le service d'évaluation des failles pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer l'évaluation des failles pour le service AWS, vous avez besoin de certaines autorisations IAM, et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration du service d'évaluation des failles pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dans Google Cloud et AWS.

Rôles Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Rôles AWS

    Dans AWS, un utilisateur administrateur AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

    Pour créer un rôle d'évaluation des failles dans AWS, procédez comme suit:

    1. À l'aide d'un compte utilisateur administrateur AWS, accédez à la page Rôles IAM dans la console de gestion AWS.
    2. Sélectionnez lambda dans le menu Service or Use Case.
    3. Ajoutez les règles d'autorisation suivantes :
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Cliquez sur Ajouter une autorisation > Créer une règle intégrée pour créer une règle d'autorisation :
      1. Ouvrez la page suivante et copiez la stratégie : Stratégie de rôle pour l'évaluation des failles pour AWS.
      2. Dans l'Éditeur JSON, collez la stratégie.
      3. Spécifiez un nom pour la règle.
      4. Enregistrez la stratégie.
    5. Ouvrez l'onglet Relations d'approbation.

    6. Collez l'objet JSON suivant, en l'ajoutant à un tableau d'instructions existant:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Enregistrez le rôle.

    Vous attribuerez ce rôle plus tard lorsque vous installerez le modèle CloudFormation sur AWS.

    Collecter des informations sur les ressources AWS à analyser

    Lors de la procédure d'activation de l'évaluation des failles pour AWS, vous pouvez personnaliser la configuration pour analyser des régions AWS spécifiques, des libellés spécifiques qui identifient les ressources AWS et des volumes de disque dur (HDD) spécifiques (SC1 et ST1).

    Il est utile de disposer de ces informations avant de configurer l'évaluation des failles pour AWS.

    Vérifier que Security Command Center est connecté à AWS

    Le service d'évaluation des failles pour AWS nécessite l'accès à l'inventaire des ressources AWS géré par inventaire des éléments cloud lorsque Security Command Center est connecté à AWS pour la détection des failles.

    Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez le service d'évaluation des failles pour AWS.

    Pour configurer une connexion, consultez la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.

    Activer l'évaluation des failles pour AWS dans Security Command Center

    L'évaluation des failles pour AWS doit être activée sur Google Cloud au niveau de l'organisation.

    1. Accédez à la page Vue d'ensemble des risques dans Security Command Center:

      Accéder à la page "Vue d'ensemble des risques"

    2. Sélectionnez l'organisation pour laquelle vous souhaitez activer l'évaluation des failles pour AWS.

    3. Cliquez sur Paramètres.

    4. Dans la fiche Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'affiche.

    5. Sélectionnez l'onglet Amazon Web Services.

    6. Dans la section Activation du service, définissez le champ État sur Activer.

    7. Dans la section Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté. Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Suivez les étapes de la section Se connecter à AWS pour la détection des failles et l'évaluation des risques avant de passer à l'étape suivante.

    8. Configurez les paramètres d'analyse pour le calcul et le stockage AWS. Pour modifier la configuration par défaut, cliquez sur Modifier les paramètres d'analyse. Pour en savoir plus sur chaque option, consultez la section Personnaliser les paramètres d'analyse pour le calcul et le stockage AWS.

    9. Dans la section Paramètres d'analyse, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre poste de travail. Vous devez déployer le modèle dans chaque compte AWS que vous devez analyser pour détecter les failles.

    Personnaliser les paramètres d'analyse pour le calcul et le stockage AWS

    Cette section décrit les options disponibles pour personnaliser l'analyse des ressources AWS. Ces options personnalisées se trouvent dans la section Paramètres d'analyse pour le calcul et le stockage AWS lorsque vous modifiez une analyse de l'évaluation des failles pour AWS.

    Vous pouvez définir un maximum de 50 balises AWS et d'ID d'instance Amazon EC2. Les modifications apportées aux paramètres d'analyse n'affectent pas le modèle AWS CloudFormation. Vous n'avez pas besoin de redéployer le modèle. Si la valeur d'un tag ou d'un ID d'instance n'est pas correcte (par exemple, si elle est mal orthographiée) et que la ressource spécifiée n'existe pas, la valeur est ignorée lors de l'analyse.
    Option Description
    Intervalle d'analyse Saisissez le nombre d'heures à laisser s'écouler entre chaque analyse. Les valeurs valides sont comprises entre 6 et 24. La valeur par défaut est 6. Des analyses plus fréquentes peuvent entraîner une augmentation de l'utilisation des ressources et éventuellement une augmentation des frais de facturation.
    Régions AWS

    Choisissez un sous-ensemble de régions à inclure dans l'analyse d'évaluation des failles.

    Seules les instances des régions sélectionnées sont analysées. Sélectionnez une ou plusieurs régions AWS à inclure dans l'analyse.

    Si vous avez configuré des régions spécifiques dans le connecteur Amazon Web Services (AWS), assurez-vous que les régions sélectionnées ici sont identiques ou un sous-ensemble de celles définies lorsque vous avez configuré la connexion à AWS.

    Balises AWS Spécifiez des balises qui identifient le sous-ensemble d'instances à analyser. Seules les instances comportant ces balises sont analysées. Saisissez la paire clé-valeur pour chaque balise. Si une balise non valide est spécifiée, elle sera ignorée. Vous pouvez spécifier jusqu'à 50 tags. Pour en savoir plus sur les tags, consultez les articles Ajouter des tags à vos ressources Amazon EC2 et Ajouter et supprimer des tags pour des ressources Amazon EC2.
    Exclure par ID d'instance

    Excluez les instances EC2 de chaque analyse en spécifiant l' ID d'instance EC2. Vous pouvez spécifier jusqu'à 50 ID d'instance. Si des valeurs non valides sont spécifiées, elles seront ignorées. Si vous définissez plusieurs ID d'instance, ils sont combinés à l'aide de l'opérateur AND.

    • Si vous sélectionnez Exclure l'instance par ID, saisissez manuellement chaque ID d'instance en cliquant sur Ajouter une instance AWS EC2, puis en saisissant la valeur.

    • Si vous sélectionnez Copier et coller une liste d'ID d'instance à exclure (format JSON), procédez comme suit:

      • Saisissez un tableau d'ID d'instance. Exemple :

        [ "instance-id-1", "instance-id-2" ]

      • Importez un fichier contenant la liste des ID d'instance. Le contenu du fichier doit être un tableau d'ID d'instance, par exemple: 

        [ "instance-id-1", "instance-id-2" ]
    Analyser l'instance SC1 Sélectionnez Analyser l'instance SC1 pour les inclure. Les instances SC1 sont exclues par défaut. En savoir plus sur les instances SC1
    Analyser l'instance ST1 Sélectionnez Analyser l'instance ST1 pour les inclure. Les instances ST1 sont exclues par défaut. En savoir plus sur les instances ST1

    Déployer le modèle AWS CloudFormation

    1. Accédez à la page Modèle AWS CloudFormation dans la console AWS Management Console.
    2. Cliquez sur Stacks > With new resources (standard) (Piles > Avec de nouvelles ressources (standard)).
    3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant et Importer un fichier de modèle pour importer le modèle CloudFormation.
    4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle.
    5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de pile s'ouvre.
    6. Sous Permissions, sélectionnez l'IAM Vulnerability Assessment Role que vous avez créé précédemment.
    7. Cliquez sur Suivant.
    8. Cochez la case de confirmation.
    9. Cliquez sur Envoyer pour déployer le modèle. Le démarrage de la pile prend quelques minutes.

    L'état du déploiement s'affiche dans la console AWS. Si le déploiement du modèle CloudFormation échoue, consultez la section Dépannage.

    Une fois les analyses lancées, si des failles sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud.

    Examiner les résultats dans la console

    Vous pouvez consulter les résultats de l'évaluation des failles pour AWS dans la console Google Cloud. Le rôle IAM minimal requis pour afficher les résultats est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

    Pour examiner les résultats de l'évaluation des failles pour AWS dans la console Google Cloud, procédez comme suit:

    Console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet ou votre organisation Google Cloud.
    3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
    4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
    5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
    6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Console Security Operations

    1. Dans la console Security Operations, accédez à la page Résultats. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
    3. Sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
    4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
    5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
    6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Dépannage

    Si vous avez activé le service d'évaluation des failles pour AWS, mais que les analyses ne s'exécutent pas, vérifiez les points suivants:

    • Vérifiez que le connecteur AWS est correctement configuré.
    • Vérifiez que la pile de modèles CloudFormation a été entièrement déployée. Son état dans le compte AWS doit être CREATION_COMPLETE.