Modèles d'évaluation et cycles d'évaluation Amazon Inspector Classic - Amazon Inspector Classic
Modèles d'évaluation Amazon Inspector ClassicLimites des modèles d'évaluation Amazon Inspector Classic Création d'un modèle d'évaluationSuppression d'un modèle d'évaluationExécutions d'évaluationLimites des cycles d'évaluation Amazon Inspector Classic La configuration de l'évaluation automatique passe par une fonction LambdaConfiguration d'une rubrique SNS pour les notifications Amazon Inspector Classic

Il s'agit du guide de l'utilisateur d'Amazon Inspector Classic. Pour plus d'informations sur le nouvel Amazon Inspector, consultez le guide de l'utilisateur d'Amazon Inspector. Pour accéder à la console Amazon Inspector Classic, ouvrez la console Amazon Inspector à l'https://console.aws.amazon.com/inspector/adresse, puis sélectionnez Amazon Inspector Classic dans le volet de navigation.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modèles d'évaluation et cycles d'évaluation Amazon Inspector Classic

Amazon Inspector Classic vous aide à découvrir les problèmes de sécurité potentiels en utilisant des règles de sécurité pour analyser vos AWS ressources. Amazon Inspector Classic surveille et collecte les données comportementales (télémétrie) relatives à vos ressources. Les données incluent des informations sur l'utilisation de canaux sécurisés, le trafic réseau entre les processus en cours d'exécution et les détails de la communication avec AWS les services. Ensuite, Amazon Inspector Classic analyse et compare les données par rapport à un ensemble de packages de règles de sécurité. Enfin, Amazon Inspector Classic produit une liste de résultats qui identifient les problèmes de sécurité potentiels de différents niveaux de gravité.

Pour commencer, vous devez créer un objectif d'évaluation (un ensemble de AWS ressources que vous souhaitez qu'Amazon Inspector Classic analyse). Ensuite, vous créez un modèle d'évaluation (un plan que vous utilisez pour configurer votre évaluation). Vous utilisez le modèle pour lancer une exécution d'évaluation, c'est-à-dire le processus de surveillance et d'analyse qui génère un ensemble de résultats.

Modèles d'évaluation Amazon Inspector Classic

Un modèle d'évaluation vous permet de spécifier la configuration de vos exécutions d'évaluation, notamment les éléments suivants :

  • Packages de règles utilisés par Amazon Inspector Classic pour évaluer votre objectif d'évaluation

  • Durée de l'évaluation : vous pouvez définir la durée d'une évaluation entre 3 minutes et 24 heures. Nous vous recommandons de définir la durée des exécutions d'évaluation sur 1 heure.

  • Rubriques Amazon SNS auxquelles Amazon Inspector Classic envoie des notifications concernant l'état et les résultats de votre cycle d'évaluation

  • Attributs Amazon Inspector Classic (paires clé-valeur) que vous pouvez attribuer aux résultats générés par le cycle d'évaluation utilisant ce modèle d'évaluation

Une fois qu'Amazon Inspector Classic a créé le modèle d'évaluation, vous pouvez le baliser comme n'importe quelle autre AWS ressource. Pour plus d'informations, consultez Tag Editor. Le balisage des modèles d'évaluation vous permet de les organiser et d'assurer une meilleure surveillance de votre stratégie de sécurité. Par exemple, Amazon Inspector Classic propose un grand nombre de règles par rapport auxquelles vous pouvez évaluer vos objectifs d'évaluation. Vous souhaiterez peut-être inclure divers sous-ensembles de règles disponibles dans vos modèles d'évaluation afin de cibler des zones de préoccupation particulières ou de découvrir des problèmes de sécurité spécifiques. Le balisage des modèles d'évaluation vous permet de les localiser et de les exécuter rapidement à tout moment en fonction de vos objectifs et de votre stratégie de sécurité.

Important

Une fois que vous avez créé un modèle d'évaluation, vous ne pouvez plus le modifier.

Limites des modèles d'évaluation Amazon Inspector Classic

Vous pouvez créer jusqu'à 500 modèles d'évaluation pour chaque AWS compte.

Pour plus d’informations, consultez Limites de service Amazon Inspector Classic.

Création d'un modèle d'évaluation

Pour créer un modèle d'évaluation

  1. Connectez-vous à la console Amazon Inspector Classic AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/inspector/.

  2. Dans le volet de navigation, choisissez Modèles d'évaluation, puis Créer.

  3. Dans Nom, saisissez un nom pour votre modèle d'évaluation.

  4. Dans Nom de l'objectif, choisissez un objectif d'évaluation à analyser.

    Note

    Lorsque vous créez un modèle d'évaluation, vous pouvez utiliser le bouton Prévisualiser la cible sur la page Modèles d'évaluation pour passer en revue toutes les instances EC2 incluses dans la cible d'évaluation. Pour chaque instance EC2, vous pouvez consulter le nom d'hôte, l'ID de l'instance, l'adresse IP et, le cas échéant, le statut de l'agent. Le statut de l'agent peut prendre les valeurs suivantes : SAIN, MALSAIN et INCONNU. Amazon Inspector Classic affiche le statut INCONNU lorsqu'il ne parvient pas à déterminer si un agent est en cours d'exécution sur l'instance EC2.

    Vous pouvez également utiliser le bouton Preview Target sur la page Modèles d'évaluation pour vérifier les instances EC2 qui constituent des objectifs d'évaluation inclus dans vos modèles précédemment créés.

  5. Dans Packages de règles, choisissez un ou plusieurs packages de règles à inclure dans votre modèle d'évaluation.

  6. Pour Durée, spécifiez la durée de votre modèle d'évaluation.

  7. (Facultatif) Pour les rubriques SNS, spécifiez une rubrique SNS à laquelle vous souhaitez qu'Amazon Inspector Classic envoie des notifications concernant l'état et les résultats des évaluations. Amazon Inspector Classic peut envoyer des notifications SNS concernant les événements suivants :

    • Une exécution d'évaluation a commencé

    • Une exécution d'évaluation est terminée

    • Le statut d'une exécution d'évaluation a changé

    • Un résultat a été généré

    Pour plus d'informations sur la configuration d'une rubrique SNS, consultez Configuration d'une rubrique SNS pour les notifications Amazon Inspector Classic.

  8. (Facultatif) Pour Balise, saisissez les valeurs souhaitées dans les champs Clé et Valeur. Vous pouvez ajouter plusieurs balises au modèle d'évaluation.

  9. (Facultatif) Pour les attributs ajoutés aux résultats, entrez les valeurs de clé et de valeur. Amazon Inspector Classic applique les attributs à tous les résultats générés par le modèle d'évaluation. Vous pouvez ajouter plusieurs attributs au modèle d'évaluation. Pour plus d'informations sur les résultats et le balisage des résultats, consultez Résultats d'Amazon Inspector Classic.

  10. (Facultatif) Pour configurer un calendrier pour vos exécutions d'évaluation à l'aide de ce modèle, sélectionnez la case Set up recurring assessment runs once every <number_of_days>, starting now (Configurer des exécutions d'évaluation récurrentes une fois tous les <nombre de jours> à partir de maintenant) et spécifiez le modèle de récurrence (nombre de jours) à l'aide des flèches vers le haut et vers le bas.

    Note

    Lorsque vous cochez cette case, Amazon Inspector Classic crée automatiquement une règle Amazon CloudWatch Events pour le calendrier des cycles d'évaluation que vous configurez. Amazon Inspector Classic crée ensuite automatiquement un rôle IAM nomméAWS_InspectorEvents_Invoke_Assessment_Template. Ce rôle permet à CloudWatch Events d'effectuer des appels d'API vers les ressources Amazon Inspector Classic. Pour plus d'informations, consultez Qu'est-ce qu'Amazon CloudWatch Events ? et en utilisant des politiques basées sur les ressources pour CloudWatch les événements.

    Note

    Vous pouvez également configurer des exécutions d'évaluation automatiques via une fonction AWS Lambda . Pour plus d’informations, consultez La configuration de l'évaluation automatique passe par une fonction Lambda.

  11. Choisissez Créer et exécuter ou Créer.

Suppression d'un modèle d'évaluation

Pour supprimer un modèle d'évaluation, utilisez la procédure suivante.

Pour supprimer un modèle d'évaluation

  • Sur la page Assessment Templates (Modèles d'évaluation), choisissez le modèle à supprimer, puis choisissez Delete (Supprimer). Lorsque vous êtes invité à confirmer l'opération, choisissez Yes (Oui).

    Important

    Lorsque vous supprimez un modèle d'évaluation, tous les modèles d'évaluation, toutes les exécutions d'évaluation, tous les résultats et toutes les versions des rapports associés à ce modèle sont également supprimés.

Vous pouvez également supprimer un modèle d'évaluation à l'aide de l'API DeleteAssessmentTemplate.

Exécutions d'évaluation

Après avoir créé un modèle d'évaluation, vous pouvez l'utiliser pour lancer des exécutions d'évaluation. Vous pouvez démarrer plusieurs essais en utilisant le même modèle tant que vous respectez la limite de points fixée pour chaque AWS compte. Pour plus d’informations, consultez Limites des cycles d'évaluation Amazon Inspector Classic .

Si vous utilisez la console Amazon Inspector Classic, vous devez démarrer la première exécution de votre nouveau modèle d'évaluation depuis la page Modèles d'évaluation. Après avoir lancé l'exécution, vous pouvez utiliser la page Exécutions d'évaluation pour surveiller sa progression. Utilisez les boutons Exécuter, Annuler et Supprimer pour démarrer, annuler ou supprimer une exécution. Vous pouvez également afficher les détails de l'exécution, dont l'ARN de l'exécution, les packages de règles sélectionnés pour celle-ci, les balises et attributs que vous avez appliqués à cette exécution, et bien plus encore.

Pour les exécutions suivantes du modèle d'évaluation, vous pouvez utiliser les boutons Exécuter, Annuler et Supprimer de la page Modèles d'exécution ou de la page Exécutions d'évaluation.

Suppression d'une exécution d'évaluation

Pour supprimer une exécution d'évaluation, utilisez la procédure suivante.

Pour supprimer une exécution

  • Sur la page Assessment runs (Exécutions d'évaluation), choisissez l'exécution à supprimer, puis choisissez Delete (Supprimer). Lorsque vous êtes invité à confirmer l'opération, choisissez Yes (Oui).

    Important

    Lorsque vous supprimez une exécution, tous les résultats et toutes les versions du rapport de cette exécution sont également supprimés.

Vous pouvez aussi supprimer une exécution en utilisant l'API DeleteAssessmentRun.

Limites des cycles d'évaluation Amazon Inspector Classic

Vous pouvez créer jusqu'à 50 000 cycles d'évaluation pour chaque AWS compte.

Vous pouvez avoir plusieurs exécutions en même temps tant que les cibles utilisées pour les exécutions ne contiennent pas d'instances EC2 qui se chevauchent.

Pour plus d’informations, consultez Limites de service Amazon Inspector Classic.

La configuration de l'évaluation automatique passe par une fonction Lambda

Si vous souhaitez configurer un calendrier récurrent pour votre évaluation, vous pouvez configurer votre modèle d'évaluation pour qu'il s'exécute automatiquement en créant une fonction Lambda à l'aide de la AWS Lambda console. Pour plus d'informations, consultez Fonctions Lambda.

Pour configurer des cycles d'évaluation automatiques à l'aide de la AWS Lambda console, effectuez la procédure suivante.

Pour configurer des exécutions automatiques via une fonction Lambda

  1. Connectez-vous à la AWS Management ConsoleAWS Lambda console et ouvrez-la.

  2. Dans le volet de navigation, choisissez Dashboard ou Functions, puis choisissez Create a Lambda Function.

  3. Sur la page Create function (Créer une fonction), choisissez Browse serverless app repository (Parcourir le référentiel d'applications sans serveur), puis saisissez inspector dans le champ de recherche.

  4. Choisissez le modèle inspector-scheduled-run.

  5. Sur la page Révision, configuration et déploiement, configurez un calendrier récurrent pour les exécutions automatisées en spécifiant un CloudWatch événement qui déclenche votre fonction. Pour ce faire, saisissez un nom de règle et une description, puis choisissez une expression de planification. L'expression de planification détermine la fréquence à laquelle se produit l'exécution, par exemple, toutes les 15 minutes ou une fois par jour. Pour plus d'informations sur les CloudWatch événements et les concepts, consultez Qu'est-ce qu'Amazon CloudWatch Events ?

    Si vous cochez la case Enable trigger (Activer le déclencheur), l'exécution d'évaluation commence dès que vous avez fini de créer votre fonction. Les exécutions automatiques suivantes respecteront le modèle de récurrence spécifié dans le champ Schedule expression (Programmer l'expression). Si vous ne cochez pas la case Enable trigger lors de la création de la fonction, vous pouvez modifier la fonction ultérieurement pour activer ce déclencheur.

  6. Sur la page Configure function, spécifiez les éléments suivants :

    • Pour Nom, saisissez le nom de votre fonction.

    • (Facultatif) Pour Description, saisissez une description qui vous aidera à identifier votre fonction ultérieurement.

    • Pour l'exécution, conservez la valeur par défaut deNode.js 8.10. AWS Lambda prend en charge le inspector-scheduled-runplan uniquement pour le temps Node.js 8.10 d'exécution.

    • Indiquez le modèle d'évaluation que vous souhaitez exécuter automatiquement à l'aide de cette fonction. Pour ce faire, vous devez fournir la valeur de la variable d'environnement appelée assessmentTemplateArn.

    • Pour le gestionnaire, conservez la valeur par défaut de index.handler.

    • Définissez les autorisations pour votre fonction à l'aide du champ Rôle. Pour plus d'informations, consultez Modèle d'autorisations AWS Lambda.

      Pour exécuter cette fonction, vous avez besoin d'un rôle IAM qui permet de AWS Lambda démarrer les exécutions et d'écrire des messages de journal concernant les exécutions, y compris les erreurs éventuelles, dans Amazon CloudWatch Logs. AWS Lambda assume ce rôle pour chaque exécution automatique récurrente. Par exemple, vous pouvez associer le modèle de politique suivant à ce rôle IAM :

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. Passez en revue vos sélections, puis choisissez Create function.

Configuration d'une rubrique SNS pour les notifications Amazon Inspector Classic

Amazon Simple Notification Service (Amazon SNS) est un service Web qui envoie des messages aux points de terminaison ou aux clients abonnés. Vous pouvez utiliser Amazon SNS pour configurer les notifications pour Amazon Inspector Classic.

Pour configurer une rubrique SNS pour les notifications

  1. Créez une rubrique SNS. Consultez Didacticiel : Création d'une rubrique Amazon SNS. Lorsque vous créez la rubrique, développez la section Access policy - optional (Stratégie d'accès - facultatif). Ensuite, procédez de la façon suivante pour autoriser l'évaluation à envoyer des messages dans la rubrique :

    1. Pour Choose method (Choisir une méthode), choisissez Basic (De base).

    2. Pour Définir qui peut publier des messages sur le sujet, choisissez Uniquement les AWS comptes spécifiés, puis entrez l'ARN du compte dans la région dans laquelle vous créez le sujet :

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia)- arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)- arn ::iam : :206278770380:root aws-us-gov

      • AWS GovCloud (US-West)- arn ::iam : :850862329162 : root aws-us-gov

    3. Pour Définir qui peut s'abonner à cette rubrique, choisissez Uniquement les AWS comptes spécifiés, puis entrez l'ARN du compte dans la région dans laquelle vous créez la rubrique.

    4. Pour éviter que l'Inspecteur ne soit utilisé comme un adjoint confus, comme indiqué dans la section Problème d'adjoint confus du guide de l'utilisateur de l'IAM, procédez comme suit :

      1. Choisir Advanced (Avancé). Cela vous dirigera vers l'éditeur JSON.

      2. Ajoutez la condition suivante :

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (Facultatif) Pour plus d'informations sur aws : SourceAccount et aws :SourceArn, consultez la section Clés contextuelles des conditions globales dans le guide de l'utilisateur IAM.

    6. Mettez à jour les autres paramètres pour la rubrique si nécessaire, puis choisissez Create topic (Créer la rubrique).

  2. (Facultatif) Pour créer une rubrique SNS chiffrée, consultez la section Chiffrement au repos dans le guide du développeur SNS.

  3. Pour éviter que l'Inspector ne soit utilisé comme un adjoint confus pour votre clé KMS, suivez les étapes supplémentaires ci-dessous :

    1. Accédez à votre clé CMK dans la console KMS.

    2. Choisissez Modifier.

    3. Ajoutez la condition suivante :

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. Créez un abonnement à la rubrique que vous avez créée. Pour plus d'informations, consultez Didacticiel : Abonnement d'un point de terminaison à une rubrique Amazon SNS.

  5. Pour vérifier que l'abonnement est configuré correctement, publiez un message dans la rubrique. Pour plus d'informations, consultez Didacticiel : Publication d'un message dans une rubrique Amazon SNS.