Évaluation de la couverture de votre AWS environnement par Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation de la couverture de votre AWS environnement par Amazon Inspector

Vous pouvez évaluer la couverture de votre AWS environnement par Amazon Inspector depuis l'écran de gestion des comptes de la console Amazon Inspector, qui affiche des détails et des statistiques sur le statut des scans effectués par Amazon Inspector pour vos comptes et ressources.

Note

Si vous êtes l'administrateur délégué d'une organisation, vous pouvez consulter les détails et les statistiques de tous les comptes de l'organisation.

La procédure suivante explique comment évaluer la couverture de votre environnement Amazon Inspector.

Pour évaluer la couverture de votre AWS environnement par Amazon Inspector
  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Dans le volet de navigation, sélectionnez Gestion des comptes.

  3. Pour consulter la couverture, sélectionnez l'un des onglets suivants :

    • Choisissez Comptes pour consulter la couverture au niveau du compte.

    • Choisissez Instances pour vérifier la couverture des instances Amazon Elastic Compute Cloud (AmazonEC2).

    • Choisissez Container repositories pour vérifier la couverture des référentiels Amazon Elastic Container Registry (AmazonECR).

    • Choisissez Images de conteneurs pour vérifier la couverture des images de ECR conteneurs Amazon.

    • Choisissez les fonctions Lambda pour vérifier la couverture des fonctions Lambda.

Les rubriques suivantes décrivent les informations fournies par chacun de ces onglets.

Évaluation de la couverture au niveau du compte

Si votre compte ne fait pas partie d'une organisation ou n'est pas le compte administrateur Amazon Inspector délégué d'une organisation, l'onglet Comptes fournit des informations sur votre compte et le statut de l'analyse des ressources de votre compte. Dans cet onglet, vous pouvez activer ou désactiver l'analyse de tous les types de ressources de votre compte ou uniquement de certains types spécifiques. Pour de plus amples informations, veuillez consulter Types de scan automatisés dans Amazon Inspector.

Si votre compte est le compte administrateur Amazon Inspector délégué d'une organisation, l'onglet Comptes fournit des paramètres d'activation automatique pour les comptes de votre organisation et répertorie tous les comptes de votre organisation. Pour chaque compte, la liste indique si Amazon Inspector est activé pour le compte et, dans l'affirmative, les types d'analyse des ressources activés pour le compte. En tant qu'administrateur délégué, vous pouvez utiliser cet onglet pour modifier les paramètres d'activation automatique de votre organisation. Vous pouvez également activer ou désactiver des types spécifiques d'analyse des ressources pour les comptes de membres individuels. Pour de plus amples informations, veuillez consulter Activation des scans Amazon Inspector pour les comptes membres.

Évaluation de la couverture des EC2 instances Amazon

L'onglet Instances affiche EC2 les instances Amazon de votre AWS environnement. Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche toutes les instances de votre environnement. La colonne Status indique l'état d'analyse actuel d'une instance.

  • Numérisation : affiche toutes les instances qu'Amazon Inspector surveille et analyse activement dans votre environnement.

  • Pas de numérisation : affiche toutes les instances qu'Amazon Inspector ne surveille ni ne scanne dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse une instance.

    Une EC2 instance peut apparaître dans l'onglet Non numérisée pour plusieurs raisons. Amazon Inspector utilise AWS Systems Manager (SSM) et l'SSMagent pour surveiller et analyser automatiquement vos EC2 instances afin de détecter les vulnérabilités. Si l'SSMagent n'est pas en cours d'exécution sur une instance, si elle ne possède pas de rôle AWS Identity and Access Management (IAM) compatible avec Systems Manager, ou si aucun système d'exploitation ou architecture n'est compatible, Amazon Inspector ne peut pas surveiller ni scanner l'instance. Pour de plus amples informations, veuillez consulter Numérisation des EC2 instances Amazon.

Dans chaque onglet, la colonne Compte Compte AWS indique le propriétaire d'une instance.

EC2balises d'instance : cette colonne indique les balises associées à l'instance et peut être utilisée pour déterminer si votre instance a été exclue des analyses par balises.

Système d'exploitation : cette colonne indique le type de système d'exploitation, qui peut être WINDOWS MACLINUX, ouUNKNOWN.

Surveillé à l'aide : cette colonne indique si Amazon Inspector utilise la méthode de scan avec ou sans agent sur cette instance.

Dernière analyse : cette colonne indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. La fréquence à laquelle Amazon Inspector effectue des scans dépend de la méthode de scan utilisée pour scanner l'instance.

Pour consulter des informations supplémentaires sur une EC2 instance, cliquez sur le lien dans la colonne EC2instance. Amazon Inspector affiche ensuite les détails de l'instance et les résultats actuels relatifs à l'instance. Pour consulter les détails d'une découverte, cliquez sur le lien dans la colonne Titre. Pour plus d'informations sur ces détails, consultezAfficher les informations relatives aux résultats de vos recherches sur Amazon Inspector.

Numérisation des valeurs d'état pour les EC2 instances Amazon

Pour une instance Amazon Elastic Compute Cloud (AmazonEC2), les valeurs de statut possibles sont les suivantes :

  • Surveillance active : Amazon Inspector surveille et scanne en permanence l'instance.

  • Limite de stockage d'instance sans agent dépassée : Amazon Inspector utilise ce statut lorsque la taille combinée de tous les volumes attachés à une instance est supérieure à 1 200 Go ou lorsque plus de 8 volumes sont attachés à une instance.

  • Le délai de collecte des instances sans agent est dépassé : Amazon Inspector expire pendant la tentative d'exécution d'un scan sans agent sur une instance.

  • EC2instance arrêtée : Amazon Inspector a suspendu le scan de l'instance car celle-ci est dans un état arrêté. Toutes les découvertes existantes seront conservées jusqu'à la fermeture de l'instance. Si l'instance est redémarrée, Amazon Inspector reprendra automatiquement le scan de l'instance.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner l'instance. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • Aucun inventaire : Amazon Inspector n'a pas trouvé l'inventaire des applications logicielles à scanner pour l'instance. Les associations Amazon Inspector associées à l'instance ont peut-être été supprimées ou elles n'ont peut-être pas pu être exécutées.

    Pour résoudre ce problème, utilisez AWS Systems Manager pour vous assurer que l'InspectorInventoryCollection-do-not-deleteassociation existe et que son statut d'association est satisfaisant. Utilisez également AWS Systems Manager Fleet Manager pour vérifier l'inventaire des applications logicielles de l'instance.

  • Désactivation en attente : Amazon Inspector a arrêté de scanner l'instance. L'instance est en cours de désactivation, en attendant la fin des tâches de nettoyage.

  • En attente de l'analyse initiale : Amazon Inspector a mis l'instance en file d'attente pour une analyse initiale.

  • Ressource interrompue : l'instance a été interrompue. Amazon Inspector nettoie actuellement les résultats et les données de couverture existants pour l'instance.

  • Inventaire périmé : Amazon Inspector n'a pas été en mesure de collecter un inventaire d'applications logicielles mis à jour qui a été capturé au cours des 7 derniers jours pour l'instance.

    Pour résoudre ce problème, assurez-vous que AWS Systems Manager les associations Amazon Inspector requises existent et sont exécutées pour l'instance. Utilisez également AWS Systems Manager Fleet Manager pour vérifier l'inventaire des applications logicielles de l'instance.

  • EC2Instance non gérée : Amazon Inspector ne surveille ni ne scanne l'instance. L'instance n'est pas gérée par AWS Systems Manager.

    Pour remédier à ce problème, vous pouvez utiliser le AWSSupport-TroubleshootManagedInstance runbookfourni par AWS Systems Manager Automation. Une fois que vous avez configuré AWS Systems Manager la gestion de l'instance, Amazon Inspector commence automatiquement à surveiller et à scanner l'instance en continu.

  • Système d'exploitation non pris en charge : Amazon Inspector ne surveille ni ne scanne l'instance. L'instance utilise un système d'exploitation ou une architecture non pris en charge par Amazon Inspector. Pour obtenir la liste des systèmes d'exploitation pris en charge par Amazon Inspector, consultezValeurs de statut des EC2 instances Amazon.

  • Surveillance active avec erreurs partielles : cet état indique que le EC2 scan est actif, mais que des erreurs y sont associéesInspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2. Les erreurs d'inspection approfondies possibles sont les suivantes :

    • Limite de collecte de packages d'inspection approfondie dépassée — L'instance a dépassé la limite de 5 000 packages pour l'inspection approfondie d'Amazon Inspector. Pour reprendre une inspection approfondie de cette instance, vous pouvez essayer d'ajuster les chemins personnalisés associés au compte.

    • Dépassement de la limite d'inventaire SSM quotidienne pour une inspection approfondie : l'SSMagent n'a pas pu envoyer de stock à Amazon Inspector car le SSM quota de données d'inventaire collectées par instance et par jour a déjà été atteint pour cette instance. Pour plus d'informations, consultez la section Points de terminaison et quotas d'Amazon EC2 Systems Manager.

    • Dépassement du délai de collecte pour inspection approfondie : Amazon Inspector n'a pas réussi à extraire l'inventaire des colis car le temps de collecte des colis a dépassé le seuil maximum de 15 minutes.

    • L'inspection approfondie n'a aucun inventaire — Le SSMplugin Amazon Inspector n'a pas encore été en mesure de collecter un inventaire des packages pour cette instance. Cela est généralement dû à un scan en attente. Toutefois, si ce statut persiste après 6 heures, utilisez Amazon EC2 Systems Manager pour vous assurer que les associations Amazon Inspector requises existent et sont en cours d'exécution pour l'instance.

Pour plus de détails sur la configuration des paramètres de numérisation pour une EC2 instance, consultezNumérisation des EC2 instances Amazon.

Évaluation de la couverture des ECR référentiels Amazon

L'onglet Référentiels affiche les ECR référentiels Amazon de votre AWS environnement. Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche tous les référentiels de votre environnement. La colonne État indique l'état d'analyse actuel d'un référentiel.

  • Activé : affiche tous les référentiels qu'Amazon Inspector est configuré pour surveiller et analyser dans votre environnement. La colonne État indique l'état d'analyse actuel d'un référentiel.

  • Non activé : affiche tous les référentiels qu'Amazon Inspector ne surveille ni n'analyse dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse un référentiel.

Dans chaque onglet, la colonne Compte Compte AWS indique le propriétaire d'un référentiel.

Pour consulter des informations supplémentaires sur un dépôt, choisissez le nom du dépôt. Amazon Inspector affiche ensuite une liste des images du conteneur dans le référentiel ainsi que les détails de chaque image. Les détails incluent la balise d'image, le résumé de l'image et l'état de numérisation. Ils incluent également des statistiques de recherche clés, telles que le nombre de résultats critiques pour l'image. Pour effectuer une recherche détaillée et consulter les données nécessaires à la recherche de statistiques, choisissez la balise d'image associée à l'image.

Numérisation des valeurs d'état pour les ECR référentiels Amazon

Pour un référentiel Amazon Elastic Container Registry (AmazonECR), les valeurs de statut possibles sont les suivantes :

  • Activé (continu) — Pour un référentiel, Amazon Inspector surveille en permanence les images de ce référentiel. Le paramètre de numérisation amélioré pour le référentiel est défini sur une analyse continue. Amazon Inspector scanne initialement les nouvelles images lorsqu'elles sont envoyées et les analyse à nouveau si une nouvelle image CVE pertinente est publiée. Amazon Inspector continuera de surveiller les images de ce référentiel pendant la durée de ECR nouvelle numérisation d'Amazon que vous avez configurée.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement chaque image de conteneur dans le référentiel lorsqu'une nouvelle image est envoyée. L'analyse améliorée est activée pour le référentiel et configurée pour numériser en mode push.

  • Accès refusé : Amazon Inspector n'est pas autorisé à accéder au référentiel ni à aucune image de conteneur du référentiel.

    Pour résoudre ce problème, assurez-vous que AWS Identity and Access Management (IAM) les politiques du référentiel autorisent Amazon Inspector à accéder au référentiel.

  • Désactivé (manuel) — Amazon Inspector ne surveille ni ne scanne aucune image de conteneur dans le référentiel. Le paramètre de ECR numérisation Amazon pour le référentiel est défini sur une numérisation manuelle de base.

    Pour commencer à numériser des images du référentiel avec Amazon Inspector, modifiez le paramètre de numérisation du référentiel en mode de numérisation améliorée, puis choisissez de numériser les images en continu ou uniquement lorsqu'une nouvelle image est envoyée.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement chaque image de conteneur dans le référentiel lorsqu'une nouvelle image est envoyée. Le paramètre de numérisation amélioré pour le référentiel est configuré pour scanner en mode push.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner le référentiel. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

Pour plus de détails sur la configuration des paramètres de numérisation pour les référentiels. Numérisation d'images de ECR conteneurs Amazon

Évaluation de la couverture des images des ECR conteneurs Amazon

L'onglet Images affiche les images des ECR conteneurs Amazon dans votre AWS environnement. Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche toutes les images de conteneurs de votre environnement. La colonne État indique l'état actuel de numérisation d'une image.

  • Numérisation : affiche toutes les images de conteneurs qu'Amazon Inspector est configuré pour surveiller et scanner dans votre environnement. La colonne État indique l'état actuel de numérisation d'une image.

  • Pas de numérisation : affiche toutes les images de conteneurs qu'Amazon Inspector ne surveille pas et ne scanne pas dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni ne scanne une image.

    Une image de conteneur peut apparaître dans l'onglet Non activé pour plusieurs raisons. L'image peut être stockée dans un référentiel pour lequel Amazon Inspector n'est pas activé, ou les règles de ECR filtrage d'Amazon empêchent la numérisation de ce référentiel. Ou bien l'image n'a pas été poussée ou extraite pendant le nombre de jours que vous avez configuré pour la durée de ECR nouvelle numérisation. Pour plus d'informations, consultez Configuration de la durée de ECR réanalyse d'Amazon.

Dans chaque onglet, la colonne Nom du référentiel indique le nom du référentiel qui stocke une image de conteneur. La colonne Compte Compte AWS indique le propriétaire du référentiel. La colonne Dernière analyse indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. Cela peut inclure des vérifications en cas de mise à jour de la recherche de métadonnées, de mise à jour de l'inventaire des applications de la ressource ou d'une nouvelle analyse en réponse à une nouvelle CVE analyse. Pour de plus amples informations, veuillez consulter Comportements de scan pour Amazon ECR Scanning.

Pour consulter des informations supplémentaires sur une image de conteneur, cliquez sur le lien dans la colonne d'image de ECR conteneur. Amazon Inspector affiche ensuite les détails de l'image et les résultats actuels relatifs à l'image. Pour consulter les détails d'une découverte, cliquez sur le lien dans la colonne Titre. Pour plus d'informations sur ces détails, consultezAfficher les informations relatives aux résultats de vos recherches sur Amazon Inspector.

Valeurs d'état de numérisation pour les images des ECR conteneurs Amazon

Pour une image de conteneur Amazon Elastic Container Registry, les valeurs de statut possibles sont les suivantes :

  • Surveillance active (continue) : Amazon Inspector effectue une surveillance continue et l'image ainsi que les nouvelles numérisations y sont effectuées chaque fois qu'un nouveau document pertinent CVE est publié. La durée de ECR numérisation de l'image par Amazon est actualisée chaque fois que l'image est poussée ou extraite. La numérisation améliorée est activée pour le référentiel qui stocke l'image, et le paramètre de numérisation amélioré pour le référentiel est défini sur une numérisation continue.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement l'image chaque fois qu'une nouvelle image est envoyée. La numérisation améliorée est activée pour le référentiel qui stocke l'image, et le paramètre de numérisation amélioré pour le référentiel est défini pour numériser en mode push.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner l'image du conteneur. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • En attente de la numérisation initiale : Amazon Inspector a mis l'image en file d'attente pour une première numérisation.

  • L'éligibilité à la numérisation a expiré (en continu) — Amazon Inspector a suspendu la numérisation de l'image. L'image n'a pas été mise à jour pendant la durée que vous avez spécifiée pour les nouvelles numérisations automatiques des images dans le référentiel. Vous pouvez appuyer ou tirer l'image pour reprendre la numérisation.

  • L'éligibilité à la numérisation a expiré (On push) — Amazon Inspector a suspendu la numérisation de l'image. L'image n'a pas été mise à jour pendant la durée que vous avez spécifiée pour les nouvelles numérisations automatiques des images dans le référentiel. Vous pouvez appuyer sur l'image pour reprendre la numérisation.

  • Manuel de fréquence de numérisation (manuel) — Amazon Inspector ne scanne pas l'image du ECR conteneur Amazon. Le paramètre de ECR numérisation Amazon pour le référentiel qui stocke l'image est défini sur une numérisation manuelle de base. Pour commencer à numériser l'image automatiquement avec Amazon Inspector, modifiez le paramètre du référentiel pour une numérisation améliorée, puis choisissez de numériser les images en continu ou uniquement lorsqu'une nouvelle image est envoyée.

  • Système d'exploitation non pris en charge : Amazon Inspector ne surveille ni ne scanne l'image. L'image est basée sur un système d'exploitation non pris en charge par Amazon Inspector ou utilise un type de support non pris en charge par Amazon Inspector.

    Pour obtenir la liste des systèmes d'exploitation pris en charge par Amazon Inspector, consultezSystèmes d'exploitation pris en charge : Amazon ECR scannant avec Amazon Inspector. Pour obtenir la liste des types de médias pris en charge par Amazon Inspector, consultez la section Types de médias pris en charge.

Pour plus de détails sur la configuration des paramètres de numérisation pour les référentiels et les images, consultezNumérisation d'images de ECR conteneurs Amazon.

Évaluation de la couverture des AWS Lambda fonctions

L'onglet Lambda affiche les fonctions Lambda de votre environnement. AWS Cette page contient deux tableaux, l'un présentant les détails de la couverture des fonctions pour le scan standard Lambda et l'autre pour le scan du code Lambda. Vous pouvez regrouper les fonctions en fonction des onglets suivants :

  • Tout — Affiche toutes les fonctions Lambda de votre environnement. La colonne Status indique l'état actuel du scan pour une fonction Lambda.

  • Numérisation : affiche les fonctions Lambda pour lesquelles Amazon Inspector est configuré pour scanner. La colonne Status indique l'état actuel du scan pour chaque fonction Lambda.

  • Pas de numérisation : affiche les fonctions Lambda pour lesquelles Amazon Inspector n'est pas configuré pour analyser. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse une fonction.

    Une fonction Lambda peut apparaître dans l'onglet Ne pas scanner pour plusieurs raisons. La fonction Lambda peut appartenir à un compte qui n'a pas été ajouté à Amazon Inspector ou les règles de filtrage empêchent l'analyse de cette fonction. Pour de plus amples informations, veuillez consulter Fonctions Lambda de numérisation.

Dans chaque onglet, la colonne Nom de la fonction indique le nom de la fonction Lambda. La colonne Compte Compte AWS indique le propriétaire de la fonction. Runtime spécifie le temps d'exécution de la fonction. La colonne Status indique l'état actuel du scan pour chaque fonction Lambda. Les balises de ressources indiquent les balises qui ont été appliquées à la fonction. La colonne Dernière analyse indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. Cela peut inclure des vérifications en cas de mise à jour de la recherche de métadonnées, de mise à jour de l'inventaire des applications de la ressource ou d'une nouvelle analyse en réponse à une nouvelle CVE analyse. Pour de plus amples informations, veuillez consulter Comportements de scan pour l'analyse des fonctions Lambda.

Numérisation des valeurs d'état des AWS Lambda fonctions

Pour une fonction Lambda, les valeurs d'état possibles sont les suivantes :

  • Surveillance active : Amazon Inspector surveille et analyse en permanence les fonctions Lambda. L'analyse continue inclut une analyse initiale des nouvelles fonctions lorsqu'elles sont transférées vers le référentiel et une nouvelle analyse automatique des fonctions lorsqu'elles sont mises à jour ou lorsque de nouvelles vulnérabilités et expositions communes (CVEs) sont publiées.

  • Exclu par balise : Amazon Inspector n'analyse pas cette fonction car elle a été exclue des analyses par balises.

  • L'éligibilité au scan a expiré — Amazon Inspector ne surveille pas cette fonction car 90 jours ou plus se sont écoulés depuis sa dernière activation ou mise à jour.

  • Erreur interne : une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner la fonction. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • En attente de l'analyse initiale : Amazon Inspector a mis en file d'attente la fonction pour une analyse initiale.

  • Non pris en charge : le runtime de la fonction Lambda n'est pas pris en charge.