Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre les niveaux de gravité des conclusions de votre Amazon Inspector
Lorsqu'Amazon Inspector génère une constatation, il lui attribue une note de gravité. Les indices de gravité vous aident à évaluer et à hiérarchiser vos résultats. L'indice de gravité d'une constatation correspond à un score et à un niveau numériques : informationnel, faible, moyen, élevé et critique. Amazon Inspector détermine le niveau de gravité d'une constatation en fonction du type de constatation. Cette section décrit comment Amazon Inspector détermine une note de gravité pour chaque type de constatation.
Gravité de la vulnérabilité des progiciels
Amazon Inspector utilise le NVD/CVSS score as the basis of severity scoring for software
package vulnerabilities. The NVD/CVSS score is the vulnerability severity score
published by the NVD and defined by the CVSS. The NVD/CVSS score comme une composition de mesures de sécurité, telles que la complexité des attaques, la maturité du code d'exploitation et les privilèges requis. Amazon Inspector produit un score numérique de 1 à 10 qui reflète la gravité de la vulnérabilité. Amazon Inspector considère ce score comme un score de base car il reflète la gravité d'une vulnérabilité en fonction de ses caractéristiques intrinsèques, qui sont constantes dans le temps. Ce score suppose également l'impact le plus défavorable raisonnable sur les différents environnements déployés. La norme CVSS v3 associe
|
Score |
Notation |
| 0 | Informationnel |
| 0,1 à 3,9 | Faible |
| 4,0—6,9 | Moyen |
| 7,0—8,9 | Élevé |
| 9,0—10,0 | Critique |
La gravité des vulnérabilités détectées dans les packages peut également être considérée comme non triagée. Cela signifie que le fournisseur n'a pas encore défini de score de vulnérabilité pour la vulnérabilité détectée. Dans ce cas, nous vous recommandons d'utiliser la référence du résultat URLs pour étudier cette vulnérabilité et réagir en conséquence.
Les résultats relatifs à la vulnérabilité des packages incluent les scores suivants et les vecteurs de notation associés dans les détails de leur découverte :
-
Score EPSS
-
Note de l'Inspecteur
-
CVSS 3.1 d'Amazon CVE
-
CVSS 3.1 de NVD
-
CVSS 2.0 de NVD (le cas échéant)
Gravité de la vulnérabilité du code
Pour détecter une vulnérabilité dans le code, Amazon Inspector utilise les niveaux de gravité définis par les CodeGuru détecteurs Amazon à l'origine de la découverte. Une gravité est attribuée à chaque détecteur à l'aide du système de notation CVSS v3. Pour une explication des CodeGuru utilisations de sévérité, voir les définitions de gravité dans le CodeGuru guide. Pour obtenir une liste des détecteurs par niveau de gravité, sélectionnez l'un des langages de programmation pris en charge ci-dessous :
Sévérité de l'accessibilité du réseau
Amazon Inspector détermine la gravité d'une vulnérabilité d'accessibilité au réseau en fonction du service, des ports et des protocoles exposés et du type de chemin ouvert. Le tableau suivant définit ces niveaux de gravité. La valeur de la colonne Open path rating représente les chemins ouverts provenant de passerelles virtuelles, de réseaux pairs et AWS Direct Connect de VPCs réseaux. Tous les autres services, ports et protocoles exposés ont une cote de gravité informationnelle.
|
Service |
Ports TCP |
Ports UDP |
Évaluation du chemin Internet |
Évaluation des chemins ouverts |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Moyen | Informationnel |
| Elasticsearch | 9300, 9200 | NA | Moyen | Informationnel |
| FTP | 21 | 21 | Élevé | Moyen |
| Catalogue global LDAP | 3268 | NA | Moyen | Informationnel |
| Catalogue global LDAP via TLS | 3269 | NA | Moyen | Informationnel |
| HTTP | 80 | 80 | Faible | Informationnel |
| HTTPS | 443 | 443 | Faible | Informationnel |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Moyen | Informationnel |
| LDAP | 389 | 389 | Moyen | Informationnel |
| LDAP via TLS | 636 | NA | Moyen | Informationnel |
| MongoDB | 27017, 27018, 27019, 28017 | NA | Moyen | Informationnel |
| MySQL | 3306 | NA | Moyen | Informationnel |
| NetBIOS | 137, 139 | 137, 138 | Moyen | Informationnel |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Moyen | Informationnel |
| Oracle | 1521, 1630 | NA | Moyen | Informationnel |
| PostgreSQL | 5432 | NA | Moyen | Informationnel |
| Services d'impression | 515 | NA | Élevé | Moyen |
| RDP | 3389 | 3389 | Moyen | Faible |
| RPC | 111, 135, 530 | 111, 135, 530 | Moyen | Informationnel |
| SMB | 445 | 445 | Moyen | Informationnel |
| SSH | 22 | 22 | Moyen | Faible |
| SQL Server | 1433 | 1434 | Moyen | Informationnel |
| Syslog | 601 | 514 | Moyen | Informationnel |
| Telnet | 23 | 23 | Élevé | Moyen |
| WINS | 1512, 42 | 1512, 42 | Moyen | Informationnel |
