Fonctionnalités Accès à Amazon Inspector

Qu'est-ce qu'Amazon Inspector ?

Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités logicielles et les risques d'exposition involontaire au réseau. Amazon Inspector découvre et analyse automatiquement les instances Amazon EC2 en cours d'exécution, les images de conteneurs dans Amazon Elastic Container Registry (Amazon ECR) et les fonctions pour détecter les vulnérabilités logicielles connues AWS Lambda et les expositions involontaires au réseau.

Amazon Inspector crée une constatation lorsqu'il découvre une vulnérabilité logicielle ou un problème de configuration réseau. Une constatation décrit la vulnérabilité, identifie la ressource affectée, évalue la gravité de la vulnérabilité et fournit des conseils pour y remédier. Vous pouvez analyser les résultats à l'aide de la console Amazon Inspector, ou consulter et traiter vos résultats par le biais d'une autre console Services AWS. Pour plus d’informations, consultez Comprendre les résultats dans Amazon Inspector.

Caractéristiques d'Amazon Inspector

Gérez de manière centralisée plusieurs comptes Amazon Inspector

Si votre AWS environnement comporte plusieurs comptes, vous pouvez le gérer de manière centralisée par le biais d'un seul compte en utilisant AWS Organizations. En utilisant cette approche, vous pouvez désigner un compte comme compte d'administrateur délégué pour Amazon Inspector.

Amazon Inspector peut être activé pour l'ensemble de votre organisation en un seul clic. En outre, vous pouvez automatiser l'activation du service pour les futurs membres chaque fois qu'ils rejoignent votre organisation. Le compte d'administrateur délégué Amazon Inspector peut gérer les données relatives aux résultats et certains paramètres pour les membres de l'organisation. Cela inclut l'affichage des détails des résultats agrégés pour tous les comptes membres, l'activation ou la désactivation des scans pour les comptes membres et l'examen des ressources numérisées au sein de l' AWS organisation.

Analysez en permanence votre environnement pour détecter les vulnérabilités et l'exposition du réseau

Avec Amazon Inspector, vous n'avez pas besoin de planifier ou de configurer manuellement les scans d'évaluation. Amazon Inspector découvre et commence à analyser automatiquement vos ressources éligibles. Amazon Inspector continue d'évaluer votre environnement tout au long du cycle de vie de vos ressources en réanalysant automatiquement les ressources en réponse aux modifications susceptibles d'introduire une nouvelle vulnérabilité, telles que l'installation d'un nouveau package dans une instance EC2, l'installation d'un correctif et la publication d'une nouvelle vulnérabilité et exposition courante (CVE) ayant un impact sur la ressource. Contrairement aux logiciels de numérisation de sécurité traditionnels, Amazon Inspector a un impact minimal sur les performances de votre flotte.

Lorsque des vulnérabilités ou des chemins réseau ouverts sont identifiés, Amazon Inspector produit un résultat que vous pouvez examiner. Le résultat inclut des informations complètes sur la vulnérabilité, la ressource affectée et des recommandations de correction. Si vous corrigez un résultat de manière appropriée, Amazon Inspector détecte automatiquement le correctif et ferme le résultat.

Évaluez les vulnérabilités avec précision grâce au score de risque d'Amazon Inspector

Dans la mesure où Amazon Inspector collecte des informations sur votre environnement par le biais de scans, il fournit des scores de gravité spécifiquement adaptés à votre environnement. Amazon Inspector examine les indicateurs de sécurité qui constituent le score de base de la National Vulnerability Database (NVD) pour une vulnérabilité et les ajuste en fonction de votre environnement informatique. Par exemple, le service peut réduire le score Amazon Inspector d'une découverte concernant une instance Amazon EC2 si la vulnérabilité est exploitable sur le réseau mais qu'aucun chemin réseau ouvert vers Internet n'est disponible depuis l'instance. Ce score est au format CVSS et est une modification du score CVSS (Common Vulnerability Scoring System) de base fourni par le NVD.

Identifiez les résultats à fort impact grâce au tableau de bord Amazon Inspector

Le tableau de bord Amazon Inspector offre une vue d'ensemble des résultats obtenus dans l'ensemble de votre environnement. Depuis le tableau de bord, vous pouvez accéder aux détails détaillés d'une constatation. Le tableau de bord contient des informations rationalisées sur la couverture des scans dans votre environnement, sur vos résultats les plus critiques et sur les ressources qui en contiennent le plus. Le panneau de correction basé sur les risques du tableau de bord Amazon Inspector présente les résultats qui affectent le plus grand nombre d'instances et d'images. Ce panneau permet d'identifier plus facilement les résultats ayant le plus d'impact sur votre environnement, d'examiner les détails des résultats et de passer en revue les solutions proposées.

Gérez vos résultats à l'aide de vues personnalisables

Outre le tableau de bord, la console Amazon Inspector propose une vue des résultats. Cette page répertorie tous les résultats relatifs à votre environnement et fournit le détail des résultats individuels. Vous pouvez consulter les résultats regroupés par catégorie ou par type de vulnérabilité. Dans chaque affichage, vous pouvez personnaliser davantage vos résultats à l'aide de filtres. Vous pouvez également utiliser des filtres pour créer des règles de suppression qui masquent les résultats indésirables pour vos vues.

Vous pouvez utiliser des filtres et des règles de suppression pour générer des rapports de recherche qui présentent tous les résultats ou une sélection personnalisée de résultats. Les rapports peuvent être générés au format CSV ou JSON.

Surveiller et traiter les résultats avec d'autres services et systèmes

Pour faciliter l'intégration avec d'autres services et systèmes, Amazon Inspector publie les résultats sur Amazon EventBridge sous la forme d'événements de recherche. EventBridge est un service de bus d'événements sans serveur qui peut acheminer les données de résultats vers des cibles telles que des AWS Lambda fonctions et des rubriques Amazon Simple Notification Service (Amazon SNS). Vous pouvez ainsi surveiller et traiter les résultats en temps quasi réel dans le cadre de vos flux de travail existants en matière de sécurité et de conformité. EventBridge

Si vous l'avez activé AWS Security Hub, Amazon Inspector publiera également les résultats sur Security Hub. Security Hub est un service qui fournit une vue complète de votre niveau de sécurité dans l'ensemble de votre AWS environnement et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub vous permet de surveiller et de traiter plus facilement vos résultats dans le cadre d'une analyse plus large du niveau de sécurité de votre entreprise dans AWS.

Accès à Amazon Inspector

Amazon Inspector est disponible dans la plupart des cas Régions AWS. Pour obtenir la liste des régions dans lesquelles Amazon Inspector est actuellement disponible, consultez la section Points de terminaison et quotas Amazon Inspector dans le manuel Amazon Web Services General Reference. Pour en savoir plus Régions AWS, consultez la section Gestion Régions AWS dans le manuel Amazon Web Services General Reference. Dans chaque région, vous pouvez utiliser Amazon Inspector de la manière suivante.

AWS Console de gestion

AWS Management Console Il s'agit d'une interface basée sur un navigateur que vous pouvez utiliser pour créer et gérer AWS des ressources. Dans le cadre de cette console, la console Amazon Inspector permet d'accéder à votre compte et à vos ressources Amazon Inspector. Vous pouvez effectuer des tâches Amazon Inspector depuis la console Amazon Inspector.

AWS outils de ligne de commande

Grâce aux outils de ligne de AWS commande, vous pouvez émettre des commandes sur la ligne de commande de votre système pour effectuer des tâches Amazon Inspector. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que celle de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches .

AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface (AWS CLI) et le AWS Tools for PowerShell. Pour plus d'informations sur l'installation et l'utilisation de AWS CLI, consultez le Guide de l'utilisateur de l'interface de ligne de AWS commande. Pour plus d'informations sur l'installation et l'utilisation des outils pour PowerShell, consultez le guide de AWS Tools for PowerShell l'utilisateur.

AWS Kits SDK

AWS fournit des SDK composés de bibliothèques et d'exemples de code pour divers langages de programmation et plateformes, notamment Java, Go, Python, C++ et .NET. Les SDK fournissent un accès pratique et programmatique à Amazon Inspector et à d'autres applications. Services AWS Ils gèrent également des tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations sur l'installation et l'utilisation des AWS SDK, consultez la section Outils sur AWS lesquels vous pouvez vous appuyer.

API REST Amazon Inspector

L'API REST Amazon Inspector vous donne un accès complet et programmatique à votre compte et à vos ressources Amazon Inspector. Avec cette API, vous pouvez envoyer des requêtes HTTPS directement à Amazon Inspector. Cependant, contrairement aux outils de ligne de AWS commande et aux SDK, l'utilisation de cette API nécessite que votre application gère des détails de bas niveau tels que la génération d'un hachage pour signer une demande.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Didacticiel de démarrage