Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comprendre les résultats d'Amazon Inspector
Amazon Inspector génère un résultat lorsqu'il détecte une vulnérabilité corrigée ou en attente de correction dans les instances Amazon EC2, les images des conteneurs Amazon ECR et les fonctions Lambda. Il permet également de détecter les vulnérabilités détectées dans le code source des applications propriétaires, les dépendances d'applications tierces et l'infrastructure en tant que code. Une constatation est un rapport détaillé sur une vulnérabilité affectant l'une de vos AWS ressources.
Les résultats sont nommés d'après des vulnérabilités et fournissent des évaluations de gravité, des informations sur les AWS ressources affectées et non liées aux AWS ressources, ainsi que des détails décrivant comment remédier aux vulnérabilités détectées. Amazon Inspector stocke tous vos résultats actifs jusqu'à ce que vous les corrigiez.
Lorsqu'une ressource est supprimée, résiliée ou n'est plus éligible à la numérisation, Amazon Inspector ferme automatiquement les résultats associés à la ressource, puis les supprime au bout de 3 jours. Si les résultats sont fermés pour une autre raison, ils sont supprimés au bout de 30 jours.
**Note**
Amazon Inspector rouvrira une découverte corrigée dans les sept jours suivant sa fermeture si le problème à l'origine de la vulnérabilité se reproduit.
Si vous désactivez Amazon Inspector, les résultats sont supprimés au bout de 24 heures. Si une ressource est supprimée, tout résultat lié à la ressource est supprimé au bout de 3 jours. Il en va de même pour toute recherche associée à une ressource pour laquelle la numérisation n'est plus éligible. En cas de AWS suspension de votre compte, les résultats sont supprimés au bout de 90 jours. Les résultats relatifs aux instances arrêtées restent actifs. Les résultats indiquent
Amazon Inspector classe les résultats dans les états suivants.
**Actif**
**Amazon Inspector classe un résultat qui n'a pas été corrigé comme actif.**
**Supprimé**
Amazon Inspector classe une découverte soumise à une ou plusieurs [règles de suppression](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html) dans la catégorie **Supprimée**.
**Fermées**
**Lorsqu'un résultat a été corrigé, Amazon Inspector le classe dans la catégorie Fermé.**
**Topics**
+ [Types de recherche Amazon Inspector](findings-types.md)
+ [Afficher les résultats d'Amazon Inspector](findings-understanding-locating-analyzing.md)
+ [Afficher les informations relatives aux résultats de vos recherches sur Amazon Inspector](findings-understanding-details.md)
+ [Consulter le score d'Amazon Inspector et comprendre les informations détaillées sur les vulnérabilités](findings-understanding-score.md)
+ [Comprendre les niveaux de gravité des conclusions de votre Amazon Inspector](findings-understanding-severity.md)
# Types de recherche Amazon Inspector
Cette section décrit les différents types de recherche dans Amazon Inspector.
**Topics**
+ [Vulnérabilité du package](#findings-types-package)
+ [vulnérabilité du code](#findings-types-code)
+ [Accessibilité du réseau](#findings-types-network)
## Vulnérabilité du package
Les résultats relatifs aux vulnérabilités des packages identifient les packages logiciels de votre AWS environnement qui sont exposés à des vulnérabilités et à des risques courants (CVEs). Les attaquants peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Le système CVE est une méthode de référence pour les vulnérabilités et les expositions de sécurité des informations connues du public. Pour plus d'informations, consultez [https://www.cve.org/](https://www.cve.org/).
Amazon Inspector peut générer des informations sur les vulnérabilités des packages pour les instances EC2, les images de conteneurs ECR et les fonctions Lambda. Les résultats relatifs à la vulnérabilité des packages incluent des informations spécifiques à ce type de découverte. Ces informations sont le [score de l'Inspector et les informations sur les vulnérabilités](findings-understanding-score.md).
Pour les instances Windows EC2, les résultats de vulnérabilité des packages peuvent être identifiés par la base de connaissances Microsoft (KB) IDs plutôt qu'individuellement CVEs. Si une mise à jour de la base de connaissances corrige une ou plusieurs d'entre elles CVEs, Amazon Inspector indique un seul résultat de base de connaissances`KB5023697`, par exemple, au lieu d'un résultat distinct pour chaque CVE. Un résultat KB indique le score CVSS, le score EPSS et la disponibilité des exploits les plus élevés pour tous les composants. CVEs
## vulnérabilité du code
Les découvertes de vulnérabilités dans le code aident à identifier les lignes de code susceptibles d'être exploitées. Les vulnérabilités du code incluent un chiffrement manquant, des fuites de données, des failles d'injection et une cryptographie faible. Amazon Inspector détecte les vulnérabilités du code grâce à l'[analyse des fonctions Lambda et à](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html) sa fonctionnalité [Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html).
Amazon Inspector évalue le code de l'application de la fonction Lambda à l'aide d'un raisonnement automatique et de l'apprentissage automatique afin d'analyser le code de l'application pour vérifier sa conformité globale en matière de sécurité. Il identifie les violations des politiques et les vulnérabilités à l'aide de détecteurs internes développés en collaboration avec Amazon Q. Pour une liste des détections possibles, consultez la [bibliothèque de détecteurs Amazon Q.](https://docs.aws.amazon.com/amazonq/detector-library/)
L'analyse du code capture des extraits de code pour mettre en évidence les vulnérabilités détectées. Par exemple, un extrait de code peut afficher des informations d'identification codées en dur ou d'autres informations sensibles en texte brut. Amazon Q stocke les extraits de code associés aux vulnérabilités du code. Par défaut, votre code est chiffré à l'aide d'une [clé que vous AWS possédez](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Toutefois, vous pouvez créer une clé gérée par le client pour chiffrer votre code si vous souhaitez mieux contrôler ces informations. Pour de plus amples informations, veuillez consulter [Chiffrement inexistant pour le code contenu dans vos résultats](encryption-rest.md#encryption-code-snippets).
**Note**
L'administrateur délégué d'une organisation ne peut pas consulter les extraits de code appartenant aux comptes des membres.
## Accessibilité du réseau
Les résultats relatifs à l'accessibilité du réseau indiquent qu'il existe des chemins réseau ouverts vers les instances Amazon EC2 dans votre environnement. Ces résultats apparaissent lorsque vos ports TCP et UDP sont accessibles depuis les périphériques du VPC, comme une passerelle Internet (y compris les instances situées derrière des équilibreurs de charge d'application ou des équilibreurs de charge classiques), une connexion d'appairage VPC ou un VPN via une passerelle virtuelle. Ces résultats mettent en évidence des configurations réseau qui peuvent être trop permissives, telles que des groupes de sécurité mal gérés, des listes de contrôle d'accès ou des passerelles Internet, ou qui peuvent autoriser un accès potentiellement malveillant.
Amazon Inspector génère uniquement des résultats d'accessibilité au réseau pour les instances Amazon EC2. Amazon Inspector analyse les données relatives à l'accessibilité du réseau toutes les 12 heures une fois Amazon Inspector activé.
Amazon Inspector évalue les configurations suivantes lors de la recherche de chemins réseau :
+ [Instances Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [Interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [Passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [Listes de contrôle d'accès au réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [Tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [Groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [Sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [Clouds privés virtuels](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
+ [Passerelles privées virtuelles](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [Points de terminaison de la passerelle VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [Connexions d'appairage de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Connexions VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
# Afficher les résultats d'Amazon Inspector
Vous pouvez consulter les résultats dans la console Amazon Inspector et à l'aide de l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html)API Amazon Inspector. Dans la console Amazon Inspector, vous pouvez consulter tous vos résultats dans les écrans **Tableau de bord** et **Résultats**. Par défaut, ces écrans affichent uniquement vos résultats actifs et critiques. Toutefois, vous pouvez filtrer les résultats ou choisir d'afficher les résultats par catégorie. Vous pouvez également consulter certains résultats dans [Security Hub CSPM et Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/integrations.html) si vous activez ces intégrations. Les procédures décrites dans cette section décrivent comment afficher les résultats dans la console Amazon Inspector et à l'aide de l'`ListFindings`API Amazon Inspector.
------
#### [ Console ]
**Pour consulter les résultats d'Amazon Inspector**
1. Connectez-vous à l'aide de vos informations d'identification. Ouvrez la console Amazon Inspector sur [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. (Facultatif) Dans le volet de navigation, choisissez **Dashboard**. Le tableau de bord présente une vue d'ensemble de la couverture de votre environnement et uniquement vos résultats actifs et critiques.
1. (Facultatif) Dans le volet de navigation, choisissez **Findings**. Cet écran répertorie tous vos résultats actifs. Vous pouvez utiliser des critères de filtrage [pour afficher des résultats spécifiques](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html). Pour exclure des résultats de la liste, [créez une règle de suppression](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html). Pour afficher les détails d'un résultat, choisissez le nom du résultat.
1. (Facultatif) Dans le volet de navigation, choisissez l'une des options suivantes pour afficher vos résultats par catégorie :
+ Par vulnérabilité : affiche les vulnérabilités présentant les résultats les plus critiques.
+ Par compte : affiche les comptes présentant les résultats les plus critiques. Cette catégorie est réservée aux administrateurs délégués.
+ Par instance : affiche les instances Amazon EC2 présentant les résultats les plus critiques. Cette catégorie n'inclut pas les informations relatives à la disponibilité du réseau.
+ Par image de conteneur — Affiche les images de conteneurs Amazon ECR présentant les résultats les plus critiques. Cette catégorie fournit également des informations de base sur les images de vos conteneurs. Il inclut même des détails, tels que le nombre de tâches Amazon ECS et de pods Amazon EKS déployés. Sur cet écran, vous pouvez savoir combien de véhicules tasks/pods étaient en cours de course au cours des dernières 24 heures et qui se sont arrêtés.
+ Par référentiel de conteneurs : affiche les référentiels de conteneurs présentant les résultats les plus critiques.
+ Par fonction Lambda — Affiche les fonctions Lambda présentant les résultats les plus critiques.
------
#### [ API ]
**Pour consulter les résultats d'Amazon Inspector**
+ Exécutez l'opération [ListFindings](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html)API. Dans la demande, spécifiez [FilterCriteria](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) pour renvoyer des résultats spécifiques.
------
# Afficher les informations relatives aux résultats de vos recherches sur Amazon Inspector
La procédure décrite dans cette section explique comment consulter les informations relatives aux résultats d'Amazon Inspector.
**Pour consulter les détails d'une recherche**
1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)
1. Sélectionnez la région dans laquelle vous souhaitez afficher les résultats.
1. Dans le volet de navigation, choisissez **Findings** pour afficher la liste des résultats
1. (Facultatif) Utilisez la barre de filtre pour sélectionner un résultat spécifique. Pour de plus amples informations, veuillez consulter [Filtrer les résultats de votre Amazon Inspector](findings-managing-filtering.md).
1. Choisissez une recherche pour afficher son panneau de détails.
Le panneau **Détails de la recherche** contient les caractéristiques d'identification de base de la recherche. Cela inclut le titre de la découverte ainsi qu'une description de base de la vulnérabilité identifiée, des suggestions de mesures correctives et un score de gravité. Pour plus d'informations sur la notation, voir[Comprendre les niveaux de gravité des conclusions de votre Amazon Inspector](findings-understanding-severity.md).
Les détails disponibles pour une recherche varient en fonction du type de recherche et de la **ressource concernée**.
Tous les résultats contiennent le numéro d' Compte AWS identification pour lequel le résultat a été identifié, une gravité, un **type** de résultat, la date à laquelle le résultat a été créé et une section **affectée à la ressource** avec des détails sur cette ressource.
Le **type de** recherche détermine les informations de correction et de renseignement sur les vulnérabilités disponibles pour la découverte. Selon le type de recherche, différents détails de recherche sont disponibles.
**Vulnérabilité du package**
Les résultats de vulnérabilité des packages sont disponibles pour les instances EC2, les images de conteneurs ECR et les fonctions Lambda. Pour plus d’informations, consultez [Vulnérabilité du package](findings-types.md#findings-types-package).
Les résultats de vulnérabilité des packages incluent également[Consulter le score d'Amazon Inspector et comprendre les informations détaillées sur les vulnérabilités](findings-understanding-score.md).
Ce type de recherche comporte les détails suivants :
+ **Correctif disponible** — Indique si la vulnérabilité est corrigée dans une version plus récente des packages concernés. Possède l'une des valeurs suivantes :
+ `YES`, ce qui signifie que tous les packages concernés ont une version fixe.
+ `NO`, ce qui signifie qu'aucun package concerné n'a de version fixe.
+ `PARTIAL`, ce qui signifie qu'un ou plusieurs (mais pas tous) des packages concernés ont une version fixe.
+ **Exploit disponible** — Indique que la vulnérabilité comporte un exploit connu.
+ `YES`, ce qui signifie que la vulnérabilité découverte dans votre environnement comporte un exploit connu. Amazon Inspector n'a aucune visibilité sur l'utilisation des exploits dans un environnement.
+ `NO`, ce qui signifie que cette vulnérabilité ne présente aucun exploit connu.
+ **Packages concernés** — Répertorie chaque package identifié comme vulnérable dans la recherche, ainsi que les détails de chaque package :
+ **Filepath** : ID du volume EBS et numéro de partition associés à une recherche. Ce champ est présent dans les résultats relatifs aux instances EC2 scannées à l'aide [Numérisation sans agent](scanning-ec2.md#agentless) de.
+ **Version installée/Version fixe** — Numéro de version du package actuellement installé pour lequel une vulnérabilité a été détectée. Comparez le numéro de version installé avec la valeur située après la barre oblique (**/**). La deuxième valeur est le numéro de version du package qui corrige la vulnérabilité détectée, comme indiqué dans le Common Vulnerabilities and Exposures (CVEs) ou dans l'avis associé à la découverte. Si la vulnérabilité a été corrigée dans plusieurs versions, ce champ répertorie la version la plus récente incluant le correctif. Si aucun correctif n'est disponible, cette valeur est`None available`.
**Note**
Si un résultat a été détecté avant qu'Amazon Inspector ne commence à inclure ce champ dans les résultats, la valeur de ce champ est vide. Cependant, un correctif est peut-être disponible.
+ **Gestionnaire de packages** : gestionnaire de packages utilisé pour configurer ce package.
+ Correction **:** si un correctif est disponible via un package ou une bibliothèque de programmation mis à jour, cette section inclut les commandes que vous pouvez exécuter pour effectuer la mise à jour. Vous pouvez copier la commande fournie et l'exécuter dans votre environnement.
**Note**
Les commandes de correction sont fournies à partir des flux de données des fournisseurs et peuvent varier en fonction de la configuration de votre système. Consultez les références de recherche ou la documentation du système d'exploitation pour obtenir des conseils plus spécifiques.
+ **Informations sur la vulnérabilité** : fournit un lien vers la source préférée d'Amazon Inspector pour le CVE identifiée dans le résultat, telle que la National Vulnerability Database (NVD), REDHAT ou un autre fournisseur de système d'exploitation. De plus, vous trouverez les scores de gravité du résultat. Pour plus d'informations sur le score de gravité, telles que, voir[Comprendre les niveaux de gravité des conclusions de votre Amazon Inspector](findings-understanding-severity.md). Les scores suivants sont inclus, y compris les vecteurs de notation pour chacun :
+ [Score du système EPSS (Exploit Prediction Scoring System)](https://www.first.org/epss/)
+ Note de l'Inspecteur
+ CVSS 3.1 d'Amazon CVE
+ CVSS 3.1 de NVD
+ CVSS 2.0 de NVD (le cas échéant, pour les versions plus anciennes) CVEs
+ **Vulnérabilités associées** — Spécifie les autres vulnérabilités liées à la découverte. Il s'agit généralement d'autres CVEs éléments qui ont un impact sur la même version du package, ou d'autres CVEs appartenant au même groupe que le CVE trouvé, tel que déterminé par le fournisseur.
+ **Ressources concernées** : inclut des informations sur le registre, le référentiel, le type de ressource, l'ID de l'image et le système d'exploitation de l'image. Il inclut également des informations, telles que la date à laquelle une image a été diffusée pour la dernière fois, le nombre de tâches Amazon ECS et de pods Amazon EKS déployés, et la date à laquelle l'image a été utilisée pour la dernière fois au cours des dernières 24 heures. Si vous avez déployé des tâches Amazon ECS et des pods Amazon EKS, vous pouvez consulter les détails en choisissant la valeur du champ. Cela vous dirige vers un écran où vous pouvez afficher des informations, telles que l'ARN du cluster, la date à laquelle la ressource a été utilisée pour la dernière fois au cours des dernières 24 heures, le nombre de personnes en cours d'exécution et d'arrêt pour la ressource, ainsi que le nom et le type de charge de travail.
**vulnérabilité du code**
Les résultats de vulnérabilité du code ne sont disponibles que pour les fonctions Lambda. Pour plus d’informations, consultez [vulnérabilité du code](findings-types.md#findings-types-code). Ce type de recherche comporte les détails suivants :
+ **Correctif disponible** — Pour les vulnérabilités du code, cette valeur est toujours la même`YES`.
+ **Nom du détecteur** : nom du détecteur Amazon Q utilisé pour détecter la vulnérabilité du code. Pour une liste des détections possibles, consultez la [bibliothèque Q Detector](https://docs.aws.amazon.com/amazonq/detector-library/).
+ **Balises de détection** : les balises Amazon Q sont associées au détecteur. Amazon Q utilise des balises pour classer les détections.
+ **CWE pertinent** : IDs du Common Weakness Enumeration (CWE) associé à la vulnérabilité du code.
+ **Chemin du fichier** — Emplacement du fichier contenant la vulnérabilité du code.
+ **Emplacement de la vulnérabilité** — En ce qui concerne les vulnérabilités liées au code d'analyse du code Lambda, ce champ indique les lignes de code exactes où Amazon Inspector a détecté la vulnérabilité.
+ **Correction suggérée** — Cela suggère comment le code peut être modifié pour corriger le résultat.
**Accessibilité du réseau**
Les résultats relatifs à l'accessibilité du réseau ne sont disponibles que pour les instances EC2. Pour plus d’informations, consultez [Accessibilité du réseau](findings-types.md#findings-types-network). Ce type de recherche comporte les détails suivants :
+ **Plage de ports ouverts** : plage de ports via laquelle l'instance EC2 est accessible.
+ **Chemins réseau ouverts** : indique le chemin d'accès libre vers l'instance EC2. Sélectionnez un élément sur le chemin pour plus d'informations.
+ **Correction :** recommande une méthode pour fermer le chemin réseau ouvert.
# Consulter le score d'Amazon Inspector et comprendre les informations détaillées sur les vulnérabilités
Amazon Inspector crée un score pour les résultats des instances Amazon Elastic Compute Cloud (Amazon EC2). Vous pouvez consulter le score Amazon Inspector et les informations relatives aux vulnérabilités dans la console Amazon Inspector. Le score Amazon Inspector vous fournit des informations que vous pouvez comparer aux indicateurs du [Common Vulnerability Scoring System](https://www.first.org/cvss/v3.1/specification-document). Ces informations ne sont disponibles que pour les découvertes relatives à [la vulnérabilité des packages](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-package). Cette section explique comment interpréter le score d'Amazon Inspector et comprendre les informations détaillées sur les vulnérabilités.
## Note d'Amazon Inspector
Amazon Inspector crée un score pour chaque résultat d'Amazon EC2. Amazon Inspector détermine le score en corrélant les informations du score de base CVSS avec les informations de votre environnement informatique, telles que les données d'accessibilité au réseau et les données d'exploitabilité. Amazon Inspector prend en charge les fournisseurs Amazon, Debian et RHEL. Chaque fournisseur fournit un score de base CVSS v3.1. Pour les autres fournisseurs, Amazon Inspector utilise un score de base CVSS fourni par la [National Vulnerability Database (NVD](https://nvd.nist.gov/vuln)).
En raison des exigences de FedRAMP, Amazon Inspector utilise le score de base CVSS v3.1 comme score par défaut. Toutefois, un score de base [CVSS 4.0](https://www.first.org/cvss/v4-0/specification-document) sera inclus dans vos métadonnées de vulnérabilité lorsqu'il sera disponible. Le score de base CVSS 4.0 fournit des mesures supplémentaires pour améliorer l'évaluation des vulnérabilités. Vous pouvez trouver la source et la version d'un score de base CVSS dans les détails de la vulnérabilité pour une découverte et dans les résultats exportés.
**Note**
Le score Amazon Inspector n'est pas disponible pour les instances Linux exécutant Ubuntu. Ubuntu utilise un système d'évaluation de gravité personnalisé qui diffère des scores CVSS.
### Informations détaillées sur le score d'Amazon Inspector
Lorsque vous ouvrez la page de détails d'une découverte, vous pouvez sélectionner l'onglet **Score de l'inspecteur et intelligence des vulnérabilités**. Ce panneau montre la différence entre le score de base et le score de l'**Inspector**. Cette section explique comment Amazon Inspector a attribué l'indice de gravité en se basant sur une combinaison du score Amazon Inspector et du score du fournisseur pour le package logiciel. Si les scores diffèrent, ce panneau explique pourquoi.
Dans la section des **métriques du score CVSS**, vous pouvez voir un tableau avec des comparaisons entre les métriques du score de base CVSS et le score de l'**Inspector**. Les métriques comparées sont les métriques de base définies dans le [document de spécification CVSS](https://www.first.org/cvss/specification-document) maintenu parfirst.org. Voici un résumé des indicateurs de base :
**Vecteur d'attaque**
Contexte dans lequel une vulnérabilité peut être exploitée. Pour les résultats d'Amazon Inspector, il peut s'agir d'un réseau, d'**un réseau** **adjacent** ou d'un réseau **local**.
**Complexité des attaques**
Cela décrit le niveau de difficulté auquel un attaquant sera confronté lorsqu'il exploitera la vulnérabilité. Un score **faible** signifie que l'attaquant ne devra remplir que peu ou pas de conditions supplémentaires pour exploiter la vulnérabilité. Un score **élevé** signifie qu'un attaquant devra investir des efforts considérables pour mener à bien une attaque avec cette vulnérabilité.
**Privilège requis**
Ceci décrit le niveau de privilège dont un attaquant aura besoin pour exploiter une vulnérabilité.
**Interaction avec l'utilisateur**
Cette métrique indique si une attaque réussie utilisant cette vulnérabilité nécessite un utilisateur humain autre que l'attaquant.
**Scope (Portée)**
Cela indique si une vulnérabilité dans un composant vulnérable a un impact sur les ressources des composants situés au-delà du périmètre de sécurité du composant vulnérable. Si cette valeur est **inchangée**, la ressource affectée et la ressource affectée sont identiques. Si cette valeur est **modifiée**, le composant vulnérable peut être exploité pour avoir un impact sur les ressources gérées par différentes autorités de sécurité.
**Confidentialité**
Cela mesure le niveau d'impact sur la confidentialité des données au sein d'une ressource lorsque la vulnérabilité est exploitée. Cela va de **Aucun**, où aucune confidentialité n'est perdue, à **High**, où toutes les informations contenues dans une ressource sont divulguées ou des informations confidentielles telles que les mots de passe ou les clés de chiffrement peuvent être divulguées.
**Intégrité**
Cela mesure le niveau d'impact sur l'intégrité des données au sein de la ressource affectée si la vulnérabilité est exploitée. L'intégrité est menacée lorsque l'attaquant modifie des fichiers au sein des ressources touchées. Le score varie de **Aucun**, lorsque l'exploit ne permet à un attaquant de modifier aucune information, à **élevé**, où, si elle était exploitée, la vulnérabilité permettrait à un attaquant de modifier tout ou partie des fichiers, ou les fichiers susceptibles d'être modifiés auraient de graves conséquences.
**Disponibilité**
Cela mesure le niveau d'impact sur la disponibilité de la ressource affectée lorsque la vulnérabilité est exploitée. Le score varie de **Aucun**, lorsque la vulnérabilité n'a aucun impact sur la disponibilité, à **Élevé**, où, si elle est exploitée, l'attaquant peut complètement refuser la disponibilité de la ressource ou rendre un service indisponible.
## Renseignements sur les vulnérabilités
Cette section résume les informations disponibles sur le CVE provenant d'Amazon ainsi que des sources de renseignement de sécurité standard telles que la Cybersecurity and Infrastructure Security Agency (CISA).
**Note**
Intel de CISA ou Amazon ne sera pas disponible pour tous CVEs.
Vous pouvez consulter les informations détaillées sur les vulnérabilités dans la console ou à l'aide de l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html)API. Les informations suivantes sont disponibles dans la console :
**AT&CK**
Cette section présente les tactiques, techniques et procédures MITRE (TTPs) associées au CVE. Les informations associées TTPs sont affichées, s'il y en a plus de deux applicables, TTPs vous pouvez sélectionner le lien pour voir une liste complète. La sélection d'une tactique ou d'une technique ouvre des informations à ce sujet sur le site Web de MITRE.
**CISA**
Cette section couvre les dates pertinentes associées à la vulnérabilité. La date à laquelle l'Agence de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité au catalogue des vulnérabilités exploitées connues, sur la base de preuves d'une exploitation active, et la date d'échéance que la CISA prévoit que les systèmes seront corrigés. Ces informations proviennent de la CISA.
**Malware connu**
Cette section répertorie les kits d'exploitation et les outils connus qui exploitent cette vulnérabilité.
**Dernière fois signalé**
Cette section indique la date du dernier exploit public connu pour cette vulnérabilité.
# Comprendre les niveaux de gravité des conclusions de votre Amazon Inspector
Lorsqu'Amazon Inspector génère un résultat, il lui attribue une note de gravité. Les indices de gravité vous aident à évaluer et à hiérarchiser vos résultats. L'indice de gravité d'une constatation correspond à un score et à un niveau numériques : **informationnel**, **faible**, **moyen**, **élevé** et **critique**. Amazon Inspector détermine le niveau de gravité d'une constatation en fonction du [type de constatation](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html). Cette section décrit comment Amazon Inspector détermine une note de gravité pour chaque type de constatation.
## Gravité de la vulnérabilité des progiciels
Amazon Inspector utilise le NVD/CVSS score comme base du score de gravité des vulnérabilités des progiciels. Le NVD/CVSS score est le score de gravité de la vulnérabilité publié par le NVD et défini par le CVSS. Le NVD/CVSS score est une composition de mesures de sécurité, telles que la complexité des attaques, la maturité du code d'exploitation et les privilèges requis. Amazon Inspector produit un score numérique de 1 à 10 qui reflète la gravité de la vulnérabilité. Amazon Inspector considère ce score comme un score de base car il reflète la gravité d'une vulnérabilité en fonction de ses caractéristiques intrinsèques, qui sont constantes dans le temps. Ce score suppose également l'impact le plus défavorable raisonnable sur les différents environnements déployés. [La norme CVSS v3 associe](https://www.first.org/cvss/specification-document) les scores CVSS aux cotes de gravité suivantes.
| | |
| --- |--- |
| **Score** | **Évaluation** |
| 0 | Informationnel |
| 0,1 à 3,9 | Faible |
| 4,0—6,9 | Moyenne |
| 7,0—8,9 | Élevée |
| 9,0—10,0 | Critique |
La gravité des vulnérabilités détectées dans les packages peut également être considérée comme **non triagée**. Cela signifie que le fournisseur n'a pas encore défini de score de vulnérabilité pour la vulnérabilité détectée. Dans ce cas, nous vous recommandons d'utiliser la référence du résultat URLs pour étudier cette vulnérabilité et réagir en conséquence.
Les résultats relatifs à la vulnérabilité des packages incluent les scores suivants et les vecteurs de notation associés dans les détails de leur découverte :
+ Score EPSS
+ Note de l'Inspecteur
+ CVSS 3.1 d'Amazon CVE
+ CVSS 3.1 de NVD
+ CVSS 2.0 de NVD (le cas échéant)
## Gravité de la vulnérabilité du code
Pour détecter une vulnérabilité dans le code, Amazon Inspector utilise les niveaux de gravité définis par les détecteurs Amazon Q qui ont généré le résultat. Une gravité est attribuée à chaque détecteur à l'aide du système de notation CVSS v3. ?
## Sévérité de l'accessibilité du réseau
Amazon Inspector détermine la gravité d'une vulnérabilité d'accessibilité au réseau en fonction du service, des ports et des protocoles exposés et du type de chemin ouvert. Le tableau suivant définit ces niveaux de gravité. La valeur de la colonne **Open path rating** représente les chemins ouverts provenant de passerelles virtuelles, de réseaux pairs et AWS Direct Connect de VPCs réseaux. Tous les autres services, ports et protocoles exposés ont une cote de gravité informationnelle.
| | | | | |
| --- |--- |--- |--- |--- |
| **Service** | **Ports TCP** | **Ports UDP** | **Évaluation du chemin Internet** | **Évaluation des chemins ouverts** |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Moyenne | Informationnel |
| Elasticsearch | 9300, 9200 | NA | Moyenne | Informationnel |
| FTP | 21 | 21 | Élevée | Moyenne |
| Catalogue global LDAP | 3268 | NA | Moyenne | Informationnel |
| Catalogue global LDAP via TLS | 3269 | NA | Moyenne | Informationnel |
| HTTP | 80 | 80 | Faible | Informationnel |
| HTTPS | 443 | 443 | Faible | Informationnel |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Moyenne | Informationnel |
| LDAP | 389 | 389 | Moyenne | Informationnel |
| LDAP via TLS | 636 | NA | Moyenne | Informationnel |
| MongoDB | 27017, 27018, 27019, 28017 | NA | Moyenne | Informationnel |
| MySQL | 3306 | NA | Moyenne | Informationnel |
| NetBIOS | 137, 139 | 137, 138 | Moyenne | Informationnel |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Moyenne | Informationnel |
| Oracle | 1521, 1630 | NA | Moyenne | Informationnel |
| PostgreSQL | 5432 | NA | Moyenne | Informationnel |
| Services d'impression | 515 | NA | Élevée | Moyenne |
| RDP | 3389 | 3389 | Moyenne | Faible |
| RPC | 111, 135, 530 | 111, 135, 530 | Moyenne | Informationnel |
| SMB | 445 | 445 | Moyenne | Informationnel |
| SSH | 22 | 22 | Moyenne | Faible |
| SQL Server | 1433 | 1434 | Moyenne | Informationnel |
| Syslog | 601 | 514 | Moyenne | Informationnel |
| Telnet | 23 | 23 | Élevée | Moyenne |
| WINS | 1512, 42 | 1512, 42 | Moyenne | Informationnel |