Évaluation de la couverture de votre AWS environnement par Amazon Inspector - Amazon Inspector
Évaluation de la couverture au niveau du compteÉvaluation de la couverture des instances Amazon EC2Évaluation de la couverture des référentiels Amazon ECRÉvaluation de la couverture des images de conteneurs Amazon ECRÉvaluation de la couverture des AWS Lambda fonctions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation de la couverture de votre AWS environnement par Amazon Inspector

Pour vous aider à évaluer et à interpréter la couverture de votre AWS environnement par Amazon Inspector, la page de gestion des comptes de la console Amazon Inspector fournit des statistiques et des détails sur le statut de l'analyse de vos comptes et ressources par Amazon Inspector. Cette page vous permet de consulter les statistiques agrégées et d'autres données relatives à vos ressources. Vous pouvez également effectuer une analyse approfondie de la couverture d'Amazon Inspector pour des ressources individuelles et passer en revue les résultats relatifs à des ressources spécifiques. Si vous êtes l'administrateur délégué d'Amazon Inspector pour une organisation, les données incluent les statistiques et les détails de tous les comptes de votre organisation.

Pour évaluer la couverture de votre AWS environnement par Amazon Inspector

  1. Ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/v2/home.

  2. Dans le volet de navigation, sélectionnez Gestion des comptes.

  3. Sur la page de gestion du compte, choisissez l'onglet correspondant à l'une des cinq vues de couverture différentes :

    • Comptes, pour une couverture au niveau du compte.

    • Instances, pour la couverture des instances Amazon Elastic Compute Cloud (Amazon EC2).

    • Référentiels, pour la couverture des référentiels Amazon Elastic Container Registry (Amazon ECR).

    • Images, pour la couverture des images de conteneurs Amazon ECR.

    • Lambda, pour la couverture des fonctions Lambda.

Les rubriques de cette section décrivent les informations fournies par chaque onglet, y compris le statut d'analyse que peut avoir une ressource individuelle.

Évaluation de la couverture au niveau du compte

Si votre compte ne fait pas partie d'une organisation ou n'est pas le compte administrateur Amazon Inspector délégué d'une organisation, l'onglet Comptes fournit des informations sur votre compte et le statut de l'analyse des ressources de votre compte. Dans cet onglet, vous pouvez activer ou désactiver l'analyse de tous les types de ressources de votre compte ou uniquement de certains types spécifiques. Pour plus d’informations, consultez Analyse automatisée des ressources avec Amazon Inspector.

Si votre compte est le compte administrateur Amazon Inspector délégué d'une organisation, l'onglet Comptes fournit des paramètres d'activation automatique pour les comptes de votre organisation et répertorie tous les comptes de votre organisation. Pour chaque compte, la liste indique si Amazon Inspector est activé pour le compte et, dans l'affirmative, les types d'analyse des ressources activés pour le compte. En tant qu'administrateur délégué, vous pouvez utiliser cet onglet pour modifier les paramètres d'activation automatique de votre organisation. Vous pouvez également activer ou désactiver des types spécifiques d'analyse des ressources pour les comptes de membres individuels. Pour plus d’informations, consultez Activation des scans Amazon Inspector pour les comptes membres.

Évaluation de la couverture des instances Amazon EC2

L'onglet Instances affiche les instances Amazon EC2 présentes dans votre AWS environnement. Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche toutes les instances de votre environnement. La colonne Status indique l'état d'analyse actuel d'une instance.

  • Numérisation : affiche toutes les instances qu'Amazon Inspector surveille et analyse activement dans votre environnement.

  • Pas de numérisation : affiche toutes les instances qu'Amazon Inspector ne surveille ni ne scanne dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse une instance.

    Une instance EC2 peut apparaître dans l'onglet Non numérisée pour plusieurs raisons. Amazon Inspector utilise AWS Systems Manager (SSM) et l'agent SSM pour surveiller et analyser automatiquement vos instances EC2 afin de détecter les vulnérabilités. Si l'agent SSM n'est pas en cours d'exécution sur une instance, si elle ne possède pas de rôle AWS Identity and Access Management (IAM) compatible avec Systems Manager ou si elle n'exécute pas de système d'exploitation ou d'architecture compatible, Amazon Inspector ne peut pas surveiller ni scanner l'instance. Pour plus d’informations, consultez Numérisation d'instances Amazon EC2.

Dans chaque onglet, la colonne Compte Compte AWS indique le propriétaire d'une instance.

Balises d'instance EC2 : cette colonne indique les balises associées à l'instance et peut être utilisée pour déterminer si votre instance a été exclue des analyses par balises.

Système d'exploitation : cette colonne indique le type de système d'exploitation, qui peut être WINDOWS MACLINUX, ouUNKNOWN.

Surveillé à l'aide : cette colonne indique si Amazon Inspector utilise la méthode de scan avec ou sans agent sur cette instance.

Dernière analyse : cette colonne indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. La fréquence à laquelle Amazon Inspector effectue des scans dépend de la méthode de scan utilisée pour scanner l'instance.

Pour consulter des informations supplémentaires sur une instance EC2, cliquez sur le lien dans la colonne instance EC2. Amazon Inspector affiche ensuite les détails de l'instance et les résultats actuels relatifs à l'instance. Pour consulter les détails d'une découverte, cliquez sur le lien dans la colonne Titre. Pour plus d'informations sur ces détails, consultezAmazon Inspector trouve des informations.

Numérisation des valeurs d'état pour les instances Amazon EC2

Pour une instance Amazon Elastic Compute Cloud (Amazon EC2), les valeurs de statut possibles sont les suivantes :

  • Surveillance active : Amazon Inspector surveille et scanne en permanence l'instance.

  • Instance EC2 arrêtée : Amazon Inspector a suspendu le scan de l'instance car celle-ci est dans un état arrêté. Toutes les découvertes existantes seront conservées jusqu'à la fermeture de l'instance. Si l'instance est redémarrée, Amazon Inspector reprendra automatiquement le scan de l'instance.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner l'instance. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • Aucun inventaire : Amazon Inspector n'a pas trouvé l'inventaire des applications logicielles à scanner pour l'instance. Les associations Amazon Inspector associées à l'instance ont peut-être été supprimées ou elles n'ont peut-être pas pu être exécutées.

    Pour résoudre ce problème, utilisez AWS Systems Manager pour vous assurer que l'InspectorInventoryCollection-do-not-deleteassociation existe et que son statut d'association est satisfaisant. Utilisez également AWS Systems Manager Fleet Manager pour vérifier l'inventaire des applications logicielles de l'instance.

  • Désactivation en attente : Amazon Inspector a arrêté de scanner l'instance. L'instance est en cours de désactivation, en attendant la fin des tâches de nettoyage.

  • En attente de l'analyse initiale : Amazon Inspector a mis l'instance en file d'attente pour une analyse initiale.

  • Ressource interrompue : l'instance a été interrompue. Amazon Inspector nettoie actuellement les résultats et les données de couverture existants pour l'instance.

  • Inventaire périmé : Amazon Inspector n'a pas été en mesure de collecter un inventaire d'applications logicielles mis à jour qui a été capturé au cours des 7 derniers jours pour l'instance.

    Pour résoudre ce problème, assurez-vous que AWS Systems Manager les associations Amazon Inspector requises existent et sont exécutées pour l'instance. Utilisez également AWS Systems Manager Fleet Manager pour vérifier l'inventaire des applications logicielles de l'instance.

  • Instance EC2 non gérée : Amazon Inspector ne surveille ni ne scanne l'instance. L'instance n'est pas gérée par AWS Systems Manager.

    Pour résoudre ce problème, vous pouvez utiliser le logiciel AWSSupport-TroubleshootManagedInstance runbookfourni par AWS Systems Manager Automation. Une fois que vous avez configuré AWS Systems Manager la gestion de l'instance, Amazon Inspector commence automatiquement à surveiller et à scanner l'instance en continu.

  • Système d'exploitation non pris en charge : Amazon Inspector ne surveille ni ne scanne l'instance. L'instance utilise un système d'exploitation ou une architecture non pris en charge par Amazon Inspector. Pour obtenir la liste des systèmes d'exploitation pris en charge par Amazon Inspector, consultezSystèmes d'exploitation pris en charge pour le scan Amazon EC2.

  • Surveillance active avec erreurs partielles : cet état indique que le scan EC2 est actif, mais que des erreurs y sont associéesInspection approfondie d'Amazon Inspector pour les instances Linux Amazon EC2. Les erreurs d'inspection approfondies possibles sont les suivantes :

    • Limite de collecte de packages d'inspection approfondie dépassée : l'instance a dépassé la limite de 5 000 packages pour l'inspection approfondie d'Amazon Inspector. Pour reprendre une inspection approfondie de cette instance, vous pouvez essayer d'ajuster les chemins personnalisés associés au compte.

    • Dépassement de la limite d'inventaire SSM quotidienne pour une inspection approfondie : l'agent SSM n'a pas pu envoyer de stock à Amazon Inspector car le quota SSM pour les données d'inventaire collectées par instance et par jour a déjà été atteint pour cette instance. Pour plus d'informations, consultez la section Points de terminaison et quotas Amazon EC2 Systems Manager.

    • Dépassement du délai de collecte pour inspection approfondie : Amazon Inspector n'a pas réussi à extraire l'inventaire des colis car le temps de collecte des colis a dépassé le seuil maximum de 15 minutes.

    • L'inspection approfondie n'a aucun inventaire — Le plugin Amazon Inspector SSM n'a pas encore été en mesure de collecter un inventaire des packages pour cette instance. Cela est généralement dû à une analyse en attente. Toutefois, si cet état persiste après 6 heures, utilisez Amazon EC2 Systems Manager pour vous assurer que les associations Amazon Inspector requises existent et sont exécutées pour l'instance.

Pour plus de détails sur la configuration des paramètres de numérisation pour une instance EC2, consultezNumérisation d'instances Amazon EC2.

Évaluation de la couverture des référentiels Amazon ECR

L'onglet Référentiels affiche les référentiels Amazon ECR de votre environnement. AWS Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche tous les référentiels de votre environnement. La colonne État indique l'état d'analyse actuel d'un référentiel.

  • Activé : affiche tous les référentiels qu'Amazon Inspector est configuré pour surveiller et analyser dans votre environnement. La colonne État indique l'état d'analyse actuel d'un référentiel.

  • Non activé : affiche tous les référentiels qu'Amazon Inspector ne surveille ni n'analyse dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse un référentiel.

Dans chaque onglet, la colonne Compte Compte AWS indique le propriétaire d'un référentiel.

Pour consulter des informations supplémentaires sur un dépôt, choisissez le nom du dépôt. Amazon Inspector affiche ensuite une liste des images du conteneur dans le référentiel ainsi que les détails de chaque image. Les détails incluent la balise d'image, le résumé de l'image et l'état de numérisation. Ils incluent également des statistiques de recherche clés, telles que le nombre de résultats critiques pour l'image. Pour effectuer une recherche détaillée et consulter les données nécessaires à la recherche de statistiques, choisissez la balise d'image associée à l'image.

Numérisation des valeurs d'état pour les référentiels Amazon ECR

Pour un référentiel Amazon Elastic Container Registry (Amazon ECR), les valeurs de statut possibles sont les suivantes :

  • Activé (continu) — Pour un référentiel, Amazon Inspector surveille en permanence les images de ce référentiel. Le paramètre de numérisation amélioré pour le référentiel est défini sur une analyse continue. Amazon Inspector scanne initialement les nouvelles images lorsqu'elles sont envoyées et les analyse à nouveau si un nouveau CVE correspondant à cette image est publié. Amazon Inspector continuera de surveiller les images de ce référentiel pendant la durée de scan ECR que vous avez configurée.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement chaque image de conteneur dans le référentiel lorsqu'une nouvelle image est envoyée. L'analyse améliorée est activée pour le référentiel et configurée pour numériser en mode push.

  • Accès refusé : Amazon Inspector n'est pas autorisé à accéder au référentiel ni à aucune image de conteneur du référentiel.

    Pour résoudre ce problème, assurez-vous que les politiques AWS Identity and Access Management (IAM) du référentiel autorisent Amazon Inspector à accéder au référentiel.

  • Désactivé (manuel) — Amazon Inspector ne surveille ni ne scanne aucune image de conteneur dans le référentiel. Le paramètre d'analyse Amazon ECR pour le référentiel est défini sur une analyse manuelle de base.

    Pour commencer à numériser des images du référentiel avec Amazon Inspector, modifiez le paramètre de numérisation du référentiel en mode de numérisation améliorée, puis choisissez de numériser les images en continu ou uniquement lorsqu'une nouvelle image est envoyée.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement chaque image de conteneur dans le référentiel lorsqu'une nouvelle image est envoyée. Le paramètre de numérisation amélioré pour le référentiel est configuré pour scanner en mode push.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner le référentiel. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

Pour plus de détails sur la configuration des paramètres de numérisation pour les référentiels. Numérisation d'images de conteneurs Amazon ECR

Évaluation de la couverture des images de conteneurs Amazon ECR

L'onglet Images affiche les images des conteneurs Amazon ECR de votre AWS environnement. Les listes sont organisées en groupes dans les onglets suivants :

  • Tout : affiche toutes les images de conteneurs de votre environnement. La colonne État indique l'état actuel de numérisation d'une image.

  • Numérisation : affiche toutes les images de conteneurs qu'Amazon Inspector est configuré pour surveiller et scanner dans votre environnement. La colonne État indique l'état actuel de numérisation d'une image.

  • Pas de numérisation : affiche toutes les images de conteneurs qu'Amazon Inspector ne surveille pas et ne scanne pas dans votre environnement. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni ne scanne une image.

    Une image de conteneur peut apparaître dans l'onglet Non activé pour plusieurs raisons. L'image peut être stockée dans un référentiel pour lequel les scans d'Amazon Inspector ne sont pas activés, ou les règles de filtrage Amazon ECR empêchent la numérisation de ce référentiel. Ou bien l'image n'a pas été poussée ou extraite pendant le nombre de jours que vous avez configuré pour la durée de la nouvelle numérisation ECR. Pour plus d’informations, consultez Configuration de la durée de la nouvelle analyse ECR.

Dans chaque onglet, la colonne Nom du référentiel indique le nom du référentiel qui stocke une image de conteneur. La colonne Compte Compte AWS indique le propriétaire du référentiel. La colonne Dernière analyse indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. Cela peut inclure des vérifications en cas de mise à jour de la recherche de métadonnées, de mise à jour de l'inventaire des applications de la ressource ou d'une nouvelle analyse en réponse à un nouveau CVE. Pour plus d’informations, consultez Comportements de scan pour le scan Amazon ECR.

Pour consulter des informations supplémentaires sur une image de conteneur, cliquez sur le lien dans la colonne d'image de conteneur ECR. Amazon Inspector affiche ensuite les détails de l'image et les résultats actuels relatifs à l'image. Pour consulter les détails d'une découverte, cliquez sur le lien dans la colonne Titre. Pour plus d'informations sur ces détails, consultezAmazon Inspector trouve des informations.

Valeurs d'état de numérisation pour les images de conteneurs Amazon ECR

Pour une image de conteneur Amazon Elastic Container Registry, les valeurs de statut possibles sont les suivantes :

  • Surveillance active (continue) : Amazon Inspector effectue une surveillance continue et l'image ainsi que les nouvelles numérisations y sont effectuées chaque fois qu'un nouveau CVE pertinent est publié. La durée de réanalyse Amazon ECR pour l'image est actualisée chaque fois que l'image est poussée ou extraite. La numérisation améliorée est activée pour le référentiel qui stocke l'image, et le paramètre de numérisation amélioré pour le référentiel est défini sur une numérisation continue.

  • Activé (en mode push) : Amazon Inspector scanne automatiquement l'image chaque fois qu'une nouvelle image est envoyée. La numérisation améliorée est activée pour le référentiel qui stocke l'image, et le paramètre de numérisation amélioré pour le référentiel est défini pour numériser en mode push.

  • Erreur interne — Une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner l'image du conteneur. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • En attente de la numérisation initiale : Amazon Inspector a mis l'image en file d'attente pour une première numérisation.

  • L'éligibilité à la numérisation a expiré (en continu) — Amazon Inspector a suspendu la numérisation de l'image. L'image n'a pas été mise à jour pendant la durée que vous avez spécifiée pour les nouvelles numérisations automatiques des images dans le référentiel. Vous pouvez appuyer ou tirer l'image pour reprendre la numérisation.

  • L'éligibilité à la numérisation a expiré (On push) — Amazon Inspector a suspendu la numérisation de l'image. L'image n'a pas été mise à jour pendant la durée que vous avez spécifiée pour les nouvelles numérisations automatiques des images dans le référentiel. Vous pouvez appuyer sur l'image pour reprendre la numérisation.

  • Manuel de fréquence de numérisation (manuel) — Amazon Inspector ne scanne pas l'image du conteneur Amazon ECR. Le paramètre de numérisation Amazon ECR pour le référentiel qui stocke l'image est défini sur une numérisation manuelle de base. Pour commencer à numériser l'image automatiquement avec Amazon Inspector, modifiez le paramètre du référentiel pour une numérisation améliorée, puis choisissez de numériser les images en continu ou uniquement lorsqu'une nouvelle image est envoyée.

  • Système d'exploitation non pris en charge : Amazon Inspector ne surveille ni ne scanne l'image. L'image est basée sur un système d'exploitation non pris en charge par Amazon Inspector ou utilise un type de support non pris en charge par Amazon Inspector.

    Pour obtenir la liste des systèmes d'exploitation pris en charge par Amazon Inspector, consultezSystèmes d'exploitation pris en charge pour la numérisation Amazon ECR. Pour obtenir la liste des types de médias pris en charge par Amazon Inspector, consultez la section Types de médias pris en charge.

Pour plus de détails sur la configuration des paramètres de numérisation pour les référentiels et les images, consultezNumérisation d'images de conteneurs Amazon ECR.

Évaluation de la couverture des AWS Lambda fonctions

L'onglet Lambda affiche les fonctions Lambda de votre environnement. AWS Cette page contient deux tableaux, l'un présentant les détails de la couverture des fonctions pour le scan standard Lambda et l'autre pour le scan du code Lambda. Vous pouvez regrouper les fonctions en fonction des onglets suivants :

  • Tout — Affiche toutes les fonctions Lambda de votre environnement. La colonne Status indique l'état actuel du scan pour une fonction Lambda.

  • Numérisation : affiche les fonctions Lambda pour lesquelles Amazon Inspector est configuré pour scanner. La colonne Status indique l'état actuel du scan pour chaque fonction Lambda.

  • Pas de numérisation : affiche les fonctions Lambda pour lesquelles Amazon Inspector n'est pas configuré pour analyser. La colonne Reason indique pourquoi Amazon Inspector ne surveille ni n'analyse une fonction.

    Une fonction Lambda peut apparaître dans l'onglet Ne pas scanner pour plusieurs raisons. La fonction Lambda peut appartenir à un compte qui n'a pas été ajouté à Amazon Inspector ou les règles de filtrage empêchent l'analyse de cette fonction. Pour plus d’informations, consultez AWS Lambda Fonctions de numérisation.

Dans chaque onglet, la colonne Nom de la fonction indique le nom de la fonction Lambda. La colonne Compte Compte AWS indique le propriétaire de la fonction. Runtime spécifie le temps d'exécution de la fonction. La colonne Status indique l'état actuel du scan pour chaque fonction Lambda. Les balises de ressources indiquent les balises qui ont été appliquées à la fonction. La colonne Dernière analyse indique la date à laquelle Amazon Inspector a vérifié pour la dernière fois la présence de vulnérabilités dans cette ressource. Cela peut inclure des vérifications en cas de mise à jour de la recherche de métadonnées, de mise à jour de l'inventaire des applications de la ressource ou d'une nouvelle analyse en réponse à un nouveau CVE. Pour plus d’informations, consultez Comportements de scan pour l'analyse des fonctions Lambda.

Numérisation des valeurs d'état des AWS Lambda fonctions

Pour une fonction Lambda, les valeurs d'état possibles sont les suivantes :

  • Surveillance active : Amazon Inspector surveille et analyse en permanence les fonctions Lambda. L'analyse continue inclut une analyse initiale des nouvelles fonctions lorsqu'elles sont transférées vers le référentiel et une nouvelle analyse automatique des fonctions lorsqu'elles sont mises à jour ou lorsque de nouvelles vulnérabilités et expositions communes (CVE) sont publiées.

  • Exclu par balise : Amazon Inspector n'analyse pas cette fonction car elle a été exclue des analyses par balises.

  • L'éligibilité au scan a expiré — Amazon Inspector ne surveille pas cette fonction car 90 jours ou plus se sont écoulés depuis sa dernière utilisation ou mise à jour.

  • Erreur interne : une erreur interne s'est produite lorsqu'Amazon Inspector a tenté de scanner la fonction. Amazon Inspector corrigera automatiquement l'erreur et reprendra l'analyse dès que possible.

  • En attente de l'analyse initiale : Amazon Inspector a mis en file d'attente la fonction pour une analyse initiale.

  • Non pris en charge : le runtime de la fonction Lambda n'est pas pris en charge.