Activer et utiliser l'évaluation des failles pour AWS

Cette page explique comment configurer et utiliser l'évaluation des failles pour Amazon Web Services (AWS) Google Cloud.

Avant de commencer

Pour activer le service d'évaluation des failles pour AWS, vous devez disposer Les autorisations IAM et Security Command Center doivent être connectés à AWS.

Rôles et autorisations

Pour terminer la configuration du service d'évaluation des failles pour AWS, vous devez disposer de rôles avec les autorisations nécessaires Google Cloud et AWS.

Rôles Google Cloud

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation : Security Center Admin Editor (roles/securitycenter.adminEditor)

Vérifier les rôles

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM
2. Sélectionnez l'organisation.

3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

   Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM
2. Sélectionnez l'organisation.
3. Cliquez sur person_add Accorder l'accès.
4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
6. Pour attribuer des rôles supplémentaires, cliquez sur add Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
7. Cliquez sur Enregistrer.

Rôles AWS

Dans AWS, un utilisateur administrateur AWS doit créer le compte AWS que vous d'activer les analyses.

Pour créer un rôle d'évaluation des failles dans AWS, procédez comme suit:

1. À l'aide d'un compte utilisateur administrateur AWS, accédez à Page Rôles IAM dans AWS Management Console.
2. Sélectionnez lambda dans le menu Service or Use Case.

3. Ajoutez les règles d'autorisation suivantes:

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. Cliquez sur Ajouter une autorisation > Créer. Règle intégrée pour créer une règle d'autorisation:

   1. Ouvrez la page suivante et copiez la stratégie: Stratégie de rôle pour l'évaluation des failles pour AWS
   2. Dans l'éditeur JSON, collez la stratégie.
   3. Attribuez un nom à la règle.
   4. Enregistrez la règle.

5. Ouvrez l'onglet Relations de confiance.

6. Collez l'objet JSON suivant en l'ajoutant à n'importe quel objet d'instructions:

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. Enregistrez le rôle.

Vous attribuerez ce rôle ultérieurement lorsque vous installerez le modèle CloudFormation sur AWS.

Vérifier que Security Command Center est connecté à AWS

Le service d'évaluation des failles pour AWS nécessite un accès à l'inventaire des ressources AWS gérées par l'inventaire des éléments cloud lorsque Security Command Center est connecté à AWS pour détecter les failles.

Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez le service d'évaluation des failles pour AWS.

Pour configurer une connexion, consultez Connectez-vous à AWS pour détecter les failles et évaluer les risques.

Activer l'évaluation des failles pour AWS

Pour activer l'évaluation des failles pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activez l'évaluation des failles pour le service AWS Security Command Center, puis déployez un modèle CloudFormation sur AWS.

Activer l'évaluation des failles pour AWS dans Security Command Center

L'évaluation des failles pour AWS doit être activée sur Google Cloud au au niveau de l'organisation.

1. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

2. Sélectionnez l'organisation dans laquelle vous devez activer l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

3. Dans la fiche du service Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'ouvre.

4. Sélectionnez l'onglet AWS.

5. Dans le champ État, sous Activation du service, sélectionnez Activer.

6. Sous Connecteur AWS, vérifiez l'état de la connexion.

   • Si l'état de la connexion est configurée, passez à l'étape suivante.
   • Avant de continuer, si l'état de la connexion est Non configuré à l'étape suivante, configurez le connecteur en cliquant sur Ajouter un connecteur AWS Pour savoir comment procéder, consultez Connectez-vous à AWS pour détecter les failles et évaluer les risques.

7. Sous Paramètres d'analyse, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre station de travail. Vous devez déployer le modèle dans chaque compte AWS dont vous avez besoin pour analyser les failles.

Déployer le modèle AWS CloudFormation

1. Accédez au modèle AWS CloudFormation. dans la console AWS Management Console.
2. Cliquez sur Piles > Avec les nouvelles ressources (standard).
3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant. et importez un fichier de modèle pour importer le modèle CloudFormation.
4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne pas modifier tout autre paramètre du modèle.
5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de la pile s'ouvre.
6. Sous Autorisations, sélectionnez l'option IAM Vulnerability Assessment Role. que vous avez créées précédemment.
7. Cliquez sur Suivant.
8. Cochez la case pour confirmer.
9. Cliquez sur Envoyer pour déployer le modèle. La pile prend quelques minutes pour commencer à s'exécuter.

L'état du déploiement s'affiche dans la console AWS. Si le Échec du déploiement du modèle CloudFormation, consultez Dépannage

Une fois les analyses lancées, si des failles sont détectées, le les résultats correspondants sont générés et affichés dans Security Command Center Résultats de la console Google Cloud.

Examiner les résultats dans la console Google Cloud

Vous pouvez afficher l'évaluation des failles pour les résultats AWS dans la console Google Cloud. Le rôle IAM minimal requis pour afficher les résultats est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

Pour examiner l'évaluation des failles pour les résultats AWS dans la console Google Cloud, suivez ces étapes:

1. Accédez à la page Résultats de Security Command Center:

   Accéder

2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

   

3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides : sélectionnez Évaluation des failles EC2.

   Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que Évaluation des failles pour les résultats AWS.

4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau des détails du résultat se développe pour afficher un résumé des détails des résultats.

Désactiver l'évaluation des failles pour AWS

Pour désactiver le service d'évaluation des failles pour AWS, vous devez le désactiver dans Security Command Center, puis supprimez la pile contenant CloudFormation dans AWS. Si la pile n'est pas supprimée, continuent à entraîner des coûts dans AWS.

Procédez comme suit pour désactiver l'évaluation des failles pour AWS:

1. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

2. Sélectionnez l'organisation dans laquelle vous devez activer l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

3. Dans la fiche du service Évaluation des failles, cliquez sur Gérer les paramètres.

4. Dans le champ État, sous Activation du service, sélectionnez Désactiver.

5. Accédez au modèle AWS CloudFormation. dans la console AWS Management Console.

6. Supprimez la pile contenant le modèle CloudFormation pour Évaluation des failles pour AWS.

   S'il n'est pas supprimé, des frais inutiles peuvent vous être facturés.

Dépannage

Si vous avez activé l'évaluation des failles pour AWS, mais que les analyses ne sont pas en cours d'exécution, vérifiez les points suivants:

• Vérifiez que le connecteur AWS est correctement configuré.
• Vérifiez que la pile de modèles CloudFormation a été entièrement déployée. Son l'état dans le compte AWS doit être CREATION_COMPLETE.