Activer et utiliser l'évaluation des failles pour AWS

Cette page explique comment configurer et utiliser le service d'évaluation des failles pour Amazon Web Services (AWS).

Pour activer l'évaluation des failles pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activer le service d'évaluation des failles pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer l'évaluation des failles pour le service AWS, vous avez besoin de certaines autorisations IAM, et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration du service d'évaluation des failles pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dans Google Cloud et AWS.

Rôles Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Rôles AWS

    Dans AWS, un utilisateur administrateur AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

    Pour créer un rôle d'évaluation des failles dans AWS, procédez comme suit:

    1. À l'aide d'un compte utilisateur administrateur AWS, accédez à Page Rôles IAM dans AWS Management Console.
    2. Sélectionnez lambda dans le menu Service or Use Case.

    3. Ajoutez les règles d'autorisation suivantes:

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole

    4. Cliquez sur Ajouter une autorisation > Créer. Règle intégrée pour créer une règle d'autorisation:

      1. Ouvrez la page suivante et copiez la stratégie: Stratégie de rôle pour l'évaluation des failles pour AWS
      2. Dans l'éditeur JSON, collez la stratégie.
      3. Spécifiez un nom pour la règle.
      4. Enregistrez la règle.

    5. Ouvrez l'onglet Relations de confiance.

    6. Collez l'objet JSON suivant, en l'ajoutant à un tableau d'instructions existant :

      {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

    7. Enregistrez le rôle.

    Vous attribuerez ce rôle plus tard lorsque vous installerez le modèle CloudFormation sur AWS.

    Collecter des informations sur les ressources AWS à analyser

    Lors de la procédure d'activation de l'évaluation des failles pour AWS, vous pouvez personnaliser la configuration pour analyser des régions AWS spécifiques, des libellés spécifiques qui identifient les ressources AWS et des volumes de disque dur (HDD) spécifiques (SC1 et ST1).

    Il est utile de disposer de ces informations avant de configurer l'évaluation des failles pour AWS.

    Vérifier que Security Command Center est connecté à AWS

    Le service d'évaluation des failles pour AWS nécessite l'accès à l'inventaire des ressources AWS géré par Cloud Asset Inventory lorsque Security Command Center est connecté à AWS pour la détection des failles.

    Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez le service d'évaluation des failles pour AWS.

    Pour configurer une connexion, consultez la section Se connecter à AWS pour la détection des failles et l'évaluation des risques.

    Activer l'évaluation des failles pour AWS dans Security Command Center

    L'évaluation des failles pour AWS doit être activée sur Google Cloud au niveau de l'organisation.

    1. Accédez à la page Paramètres de Security Command Center :

      Accéder aux paramètres

    2. Sélectionnez l'organisation dans laquelle vous devez activer l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

    3. Dans la fiche de service Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'ouvre.

    4. Sélectionnez l'onglet Amazon Web Services.

    5. Dans le champ État sous Activation du service, sélectionnez Activer.

    6. Sous Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté. Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Suivez la procédure décrite dans Se connecter à AWS pour détecter les failles et évaluer les risques avant de passer à l'étape suivante.

    7. Configurez les paramètres d'analyse pour le calcul et le stockage AWS. Pour modifier la configuration par défaut, cliquez sur Modifier les paramètres d'analyse. Pour en savoir plus sur chaque option, consultez Personnalisez les paramètres d'analyse pour le calcul et le stockage AWS.

    8. Sous Paramètres d'analyse, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre station de travail. Vous devez déployer le modèle dans chaque compte AWS dont vous avez besoin pour analyser les failles.

    Personnaliser les paramètres d'analyse pour le calcul et le stockage AWS

    Cette section décrit les options disponibles pour personnaliser l'analyse des ressources AWS. Ces options personnalisées se trouvent sous Scan settings for AWS compute and storage (Paramètres d'analyse pour le calcul et le stockage AWS). lors de la modification d'une évaluation des failles pour l'analyse AWS.

    Vous pouvez définir un maximum de 50 balises AWS et ID d'instance Amazon EC2. Les modifications apportées aux paramètres d'analyse n'affectent pas le modèle AWS CloudFormation. Vous n'avez pas besoin de redéployer le modèle. Si la valeur d'un tag ou d'un ID d'instance est incorrecte (par exemple, si la valeur est mal orthographiée) et que la ressource spécifiée n'existe pas, la valeur est ignorée lors de l'analyse.
    Option Description
    Intervalle d'analyse Définissez le nombre d'heures entre chaque analyse. Saisissez une valeur comprise entre 6 et 24. La valeur par défaut est 6. La valeur maximale est 24. Des analyses plus fréquentes peuvent entraîner une augmentation de l'utilisation des ressources, voire une augmentation de frais de facturation.
    Régions AWS Choisissez un sous-ensemble de régions à inclure dans l'analyse d'évaluation des failles. Uniquement les instances
    des régions sélectionnées sont analysés. Sélectionnez une ou plusieurs Régions AWS à inclure dans l'analyse.
    Si vous avez configuré des régions spécifiques dans le connecteur Amazon Web Services (AWS), assurez-vous que les régions sélectionnées ici sont identiques ou un sous-ensemble de celles définies lorsque vous avez configuré la connexion à AWS.
    Balises AWS Spécifiez des balises qui identifient le sous-ensemble d'instances à analyser. Uniquement les instances associées à ces les tags sont analysés. Saisissez la paire clé-valeur pour chaque balise. Si une balise non valide est spécifiée, elle sera ignorée. Vous pouvez spécifier jusqu'à 50 tags. Pour en savoir plus sur les tags, consultez Ajouter des tags à vos ressources Amazon EC2 et Ajoutez et supprimez des tags pour les ressources Amazon EC2.
    Exclure par ID d'instance Excluez les instances EC2 de chaque analyse en spécifiant l'ID d'instance EC2. Vous pouvez spécifier un maximum de 50 ID d'instances. Si des valeurs non valides sont spécifiées, elles seront ignorées. Si vous définissez plusieurs ID d'instance, ils sont combinés à l'aide de l'opérateur AND.
    • Si vous sélectionnez Exclure une instance par ID, saisissez manuellement chaque ID d'instance en cliquant sur Ajouter une instance AWS EC2, puis en saisissant la valeur.
    • Si vous sélectionnez Copier et coller une liste d'ID d'instance à exclure (format JSON), procédez comme suit :
      • Saisissez un tableau d'ID d'instances. Exemple:
        [ "instance-id-1", "instance-id-2" ]
      • Importez un fichier contenant la liste des ID d'instance. Le contenu du fichier doit être un tableau de ID d'instance, par exemple:
        [ "instance-id-1", "instance-id-2" ]
    Analyser l'instance SC1 Sélectionnez Analyser l'instance SC1 pour inclure ces instances. Les instances SC1 sont exclues par défaut.
    En savoir plus sur les instances SC1
    Analyser l'instance ST1 Sélectionnez Analyser l'instance ST1 pour les inclure. Les instances ST1 sont exclues par défaut.
    Apprenez-en plus sur les instances ST1.

    Déployer le modèle AWS CloudFormation

    1. Accédez au modèle AWS CloudFormation. dans la console AWS Management Console.
    2. Cliquez sur Stacks > With new resources (standard) (Piles > Avec de nouvelles ressources (standard)).
    3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant. et Upload a template file (Importer un fichier de modèle) pour importer le modèle CloudFormation.
    4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne pas modifier tout autre paramètre du modèle.
    5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de la pile s'ouvre.
    6. Sous Autorisations, sélectionnez l'IAM Vulnerability Assessment Role que vous avez créé précédemment.
    7. Cliquez sur Suivant.
    8. Cochez la case pour confirmer.
    9. Cliquez sur Envoyer pour déployer le modèle. La pile prend quelques minutes pour commencer à s'exécuter.

    L'état du déploiement s'affiche dans la console AWS. Si le déploiement du modèle CloudFormation échoue, consultez la section Dépannage.

    Une fois les analyses lancées, si des failles sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud.

    Examiner les résultats dans la console

    Vous pouvez consulter les résultats de l'évaluation des failles pour AWS dans la console Google Cloud. Le rôle IAM minimal requis pour afficher les résultats est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

    Pour examiner les résultats de l'évaluation des failles pour AWS dans la console Google Cloud, procédez comme suit :

    console Google Cloud

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Sélectionnez votre projet ou votre organisation Google Cloud.
    3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
    4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Récapitulatif.
    5. Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
    6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Console Opérations de sécurité

    1. Dans la console Security Operations, accédez à la page Résultats. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
    3. Sélectionnez Évaluation des failles EC2. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
    4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Récapitulatif.
    5. Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
    6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

    Dépannage

    Si vous avez activé l'évaluation des failles pour AWS, mais que les analyses ne sont pas en cours d'exécution, vérifiez les points suivants:

    • Vérifiez que le connecteur AWS est correctement configuré.
    • Vérifiez que la pile de modèles CloudFormation a été entièrement déployée. Son l'état dans le compte AWS doit être CREATION_COMPLETE.