Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte des failles dans les packages logiciels qui sont installés sur Instances Amazon EC2 (VM) sur la plate-forme cloud AWS.
Le service d'évaluation des failles pour AWS analyse les instantanés des instances EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les machines EC2 cibles.
L'évaluation des failles pour le service AWS s'exécute sur le service AWS Lambda et déploie des instances EC2 qui hébergent des analyseurs, créent des instantanés des instances EC2 cibles et analyser les instantanés.
Les analyses sont effectuées environ trois fois par jour.
Pour chaque faille détectée, l'évaluation des failles pour AWS génère un finding dans Security Command Center. Un résultat est un enregistrement du qui contient des détails sur la ressource AWS concernée et la vulnérabilité, y compris les informations de la documentation Common Failles et expositions (CVE) enregistrer.
Pour en savoir plus sur les résultats générés par l'évaluation des failles pour AWS, consultez la page Résultats de l'évaluation des failles pour AWS.
Résultats générés par l'évaluation des failles pour AWS
Lorsque le service d'évaluation des failles pour AWS détecte une faille logicielle sur une machine AWS EC2, il émet une alerte dans Security Command Center sur Google Cloud.
Les résultats individuels et les modules de détection correspondants ne sont pas dans la documentation de Security Command Center.
Chaque résultat contient les informations suivantes qui sont uniques pour faille logicielle détectée:
- Nom de ressource complet de l'instance EC2 concernée
- Une description de la faille, y compris les informations suivantes :
- Le package logiciel contenant la faille
- Informations de l'enregistrement CVE associé
- Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
- Évaluation de Security Command Center de la gravité faille
- Un score d'exposition au piratage pour vous aider à prioriser les mesures correctives
- Représentation visuelle du chemin qu'un pirate informatique peut emprunter vers les ressources à forte valeur exposées par la faille
- les étapes à suivre pour résoudre le problème, y compris les ou une mise à niveau de version permettant de corriger la faille
Tous les résultats de l'évaluation des failles pour AWS partagent les valeurs de propriété suivantes:
- Catégorie
Software vulnerability- Classe
Vulnerability- Fournisseur de services cloud
Amazon Web Services- Source
EC2 Vulnerability Assessment
Pour en savoir plus sur l'affichage des résultats dans la console Google Cloud, consultez la section Examiner les résultats dans la console Google Cloud.
Ressources utilisées lors des analyses
Pendant l'analyse, l'évaluation des failles pour AWS utilise des ressources sur les Google Cloud et AWS.
Utilisation des ressources Google Cloud
Les ressources utilisées par l'évaluation des failles pour AWS sur Google Cloud sont incluses dans le coût de Security Command Center.
Ces ressources incluent les projets de locataire, les buckets Cloud Storage et la fédération d'identités de charge de travail. Ces ressources sont gérées par Google Cloud et ne sont utilisées que lors des analyses actives.
L'évaluation des failles pour AWS utilise aussi l'API Cloud Asset pour récupérer des informations sur les ressources et comptes AWS.
Utilisation des ressources AWS
Sur AWS, l'évaluation des failles pour AWS utilise AWS Lambda et Amazon Virtual Private Cloud (Amazon VPC) services. Une fois l'analyse terminée, le service d'évaluation des failles pour AWS cesse d'utiliser ces services AWS.
AWS facture votre compte AWS pour l'utilisation de ces services et n'identifie pas leur utilisation comme étant associée à Security Command Center ou l'évaluation des failles pour AWS.
Identité du service et autorisations
Pour les actions qu'il effectue sur Google Cloud, le service d'évaluation des failles pour AWS utilise le service agent Security Command Center suivant au niveau de l'organisation pour l'identité et l'autorisation d'accéder aux ressources Google Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Cet agent de service contient l'autorisation cloudasset.assets.listResource, que le service d'évaluation des failles pour AWS utilise pour récupérer des informations sur les comptes AWS cibles à partir de l'inventaire des ressources Cloud.
Pour les actions effectuées par l'évaluation des failles pour AWS sur AWS, vous devez créer un rôle IAM AWS et l'attribuer au service d'évaluation des failles pour AWS lorsque vous configurez le modèle AWS CloudFormation requis. Pour obtenir des instructions, consultez la section Rôles et autorisations.