Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des services AWS de sécurité
<a name="configure-aws-security-services"></a>

AWS propose une variété de services de sécurité conçus pour protéger votre AWS environnement. Pour votre programme de gestion des vulnérabilités, nous vous recommandons d'activer les éléments suivants Services AWS dans chaque compte :
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) aide à détecter les menaces actives dans votre environnement. Une GuardDuty découverte pourrait vous aider à identifier une vulnérabilité inconnue qui a été exploitée dans votre environnement. Cela peut également vous aider à comprendre les effets d'une vulnérabilité non corrigée.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos comptes Services AWS et de vos comptes.
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)analyse les politiques basées sur les ressources de votre AWS environnement afin d'identifier les ressources partagées avec une entité externe. Cela peut vous aider à identifier les vulnérabilités associées à un accès involontaire à vos ressources et à vos données. Pour chaque instance d'une ressource qui est partagée en dehors de votre compte, l’IAM Access Analyzer génère un résultat.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités logicielles et les risques d'exposition involontaire au réseau.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)vous permet de vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et d'identifier les risques liés à la configuration du cloud. Il fournit également une vue complète de votre état de AWS sécurité en agrégeant les résultats d'autres services de AWS sécurité et d'outils de sécurité tiers.

Cette section explique comment activer et configurer Amazon Inspector et Security Hub CSPM pour vous aider à établir un programme de gestion des vulnérabilités évolutif.

# Utilisation d'Amazon Inspector dans votre programme de gestion des vulnérabilités
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) est un service de gestion des vulnérabilités qui analyse en permanence vos instances Amazon Elastic Compute Cloud (Amazon EC2), les images de conteneur Amazon Elastic Container Registry (Amazon ECR) et les fonctions pour détecter les vulnérabilités logicielles et les expositions AWS Lambda involontaires au réseau. Vous pouvez utiliser Amazon Inspector pour gagner en visibilité et prioriser la résolution des vulnérabilités logicielles dans vos AWS environnements.

Amazon Inspector évalue en permanence votre environnement tout au long du cycle de vie de vos ressources. Il réanalyse automatiquement les ressources en réponse aux modifications susceptibles d'introduire une nouvelle vulnérabilité. Par exemple, il effectue une nouvelle analyse lorsque vous installez un nouveau package sur une instance EC2, lorsque vous installez un correctif ou lorsqu'un nouveau code CVE (Common Vulnerabilities and Exposures) affectant la ressource est publié. Lorsqu'Amazon Inspector identifie une vulnérabilité ou un chemin réseau ouvert, il produit un résultat que vous pouvez examiner. Le résultat fournit des informations complètes sur la vulnérabilité, notamment les suivantes :
+ [Score de risque d'Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Score du Common Vulnerability Scoring System (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Ressource affectée
+ données de renseignement sur les vulnérabilités concernant le CVE fournies par Amazon [https://www.recordedfuture.com/](https://www.recordedfuture.com/), et [https://www.cisa.gov/](https://www.cisa.gov/)
+ Recommandations en matière de mesures correctives

Pour obtenir des instructions sur la configuration d'Amazon Inspector, consultez [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). L'étape *Activer Amazon Inspector* de ce didacticiel propose deux options de configuration : un environnement de compte autonome et un environnement multi-comptes. Nous vous recommandons d'utiliser l'option d'environnement multi-comptes si vous souhaitez surveiller plusieurs Comptes AWS membres d'une organisation dans AWS Organizations.

Lorsque vous configurez Amazon Inspector pour un environnement multi-comptes, vous désignez un compte de l'organisation comme administrateur délégué d'Amazon Inspector. L'administrateur délégué peut gérer les résultats et certains paramètres pour les membres de l'organisation. Par exemple, l'administrateur délégué peut consulter le détail des résultats agrégés pour tous les comptes des membres, activer ou désactiver les scans pour les comptes des membres et examiner les ressources numérisées. La AWS SRA vous recommande de créer un [compte Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) et de l'utiliser en tant qu'administrateur délégué d'Amazon Inspector.

# Utilisation AWS Security Hub CSPM dans votre programme de gestion des vulnérabilités
<a name="aws-security-hub"></a>

L'élaboration d'un programme de gestion des vulnérabilités évolutif AWS implique de gérer les vulnérabilités logicielles et réseau traditionnelles, en plus des risques liés à la configuration du cloud. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)vous permet de vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et d'identifier les risques liés à la configuration du cloud. Security Hub CSPM fournit également une vue complète de votre état de sécurité en AWS agrégeant les résultats de sécurité provenant d'autres services de sécurité et d'outils de AWS sécurité tiers.

Dans les sections suivantes, nous présentons les meilleures pratiques et les recommandations pour configurer Security Hub CSPM afin de soutenir votre programme de gestion des vulnérabilités :
+  [Configuration du Security Hub CSPM](#setting-up-security-hub)
+  [Activation des normes CSPM du Security Hub](#enabling-security-hub-standards)
+  [Gestion des résultats du Security Hub CSPM](#managing-security-hub-findings)
+  [Agrégation des résultats provenant d'autres services et outils de sécurité](#aggregating-findings-from-other-security-services-and-tools)

## Configuration du Security Hub CSPM
<a name="setting-up-security-hub"></a>

Pour les instructions de configuration, voir [Configuration AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Pour utiliser Security Hub CSPM, vous devez l'activer. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Pour plus d'informations, consultez la section [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) dans la documentation Security Hub CSPM.

Si vous êtes intégré à AWS Organizations, depuis le compte de gestion de l'organisation, vous désignez un compte comme administrateur délégué du Security Hub CSPM. Pour obtenir des instructions, consultez la section [Désignation de l'administrateur délégué du Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). La AWS SRA vous recommande de créer un [compte Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) et de l'utiliser en tant qu'administrateur délégué du Security Hub CSPM.

L'administrateur délégué a automatiquement accès à la configuration du Security Hub CSPM pour tous les comptes membres de l'organisation et à la consultation des résultats associés à ces comptes. Nous vous recommandons d'activer AWS Config Security Hub CSPM dans tous Régions AWS vos. Comptes AWS Vous pouvez configurer Security Hub CSPM pour traiter automatiquement les nouveaux comptes d'organisation comme des comptes membres du Security Hub CSPM. Pour obtenir des instructions, voir [Gestion des comptes de membres appartenant à une organisation](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).

## Activation des normes CSPM du Security Hub
<a name="enabling-security-hub-standards"></a>

Security Hub CSPM génère des résultats en effectuant des contrôles de sécurité automatisés et continus par rapport aux contrôles *de sécurité*. Les commandes sont associées à une ou plusieurs *normes de sécurité*. Les contrôles vous aident à déterminer si les exigences d'une norme sont respectées.

Lorsque vous activez une norme dans Security Hub CSPM, Security Hub CSPM active automatiquement les contrôles qui s'appliquent à la norme. Security Hub CSPM utilise des AWS Config [règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour effectuer la plupart de ses contrôles de sécurité. Vous pouvez activer ou désactiver les normes Security Hub CSPM à tout moment. Pour plus d'informations, consultez [la section Contrôles et normes de sécurité dans AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Pour une liste complète des normes, consultez la référence des [normes Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).

Si votre organisation n'a pas encore de norme de sécurité préférée, nous vous recommandons d'utiliser la norme [AWS Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Cette norme est conçue pour détecter quand Comptes AWS et quand les ressources s'écartent des meilleures pratiques de sécurité. AWS organise cette norme et la met régulièrement à jour pour couvrir les nouvelles fonctionnalités et les nouveaux services. Après avoir trié les résultats du FSBP, envisagez d'activer d'autres normes.

## Gestion des résultats du Security Hub CSPM
<a name="managing-security-hub-findings"></a>

Security Hub CSPM propose plusieurs fonctionnalités qui vous aident à traiter un grand nombre de résultats provenant de l'ensemble de votre organisation et à comprendre l'état de sécurité de votre AWS environnement. Pour vous aider à gérer les résultats, nous vous recommandons d'activer les deux fonctionnalités suivantes du Security Hub CSPM :
+ Utilisez l'[agrégation entre régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) pour agréger les résultats, trouver des mises à jour, des informations, contrôler les statuts de conformité et les scores de sécurité de plusieurs régions d'agrégation Régions AWS à une seule.
+ Utilisez les [résultats de contrôle consolidés](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) pour réduire le bruit de recherche en supprimant les résultats dupliqués. Lorsque les résultats de contrôle consolidés sont activés dans votre compte, Security Hub CSPM génère une seule nouvelle découverte ou mise à jour pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées.

## Agrégation des résultats provenant d'autres services et outils de sécurité
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

Outre la génération de résultats de sécurité, vous pouvez utiliser Security Hub CSPM pour agréger les données de recherche provenant de plusieurs Services AWS solutions de sécurité tierces prises en charge. Cette section se concentre sur l'envoi de résultats de sécurité à Security Hub CSPM. La section suivante explique comment intégrer Security Hub CSPM à des produits qui peuvent recevoir les résultats de Security Hub CSPM. [Préparez-vous à attribuer les résultats de sécurité](prepare-finding-assignments.md)

Il existe de nombreux Services AWS produits tiers et solutions open source que vous pouvez intégrer à Security Hub CSPM. Si vous ne faites que commencer, nous vous recommandons de procéder comme suit :

1. **Activer l'intégration Services AWS** : la plupart Service AWS des intégrations qui envoient des résultats à Security Hub CSPM sont automatiquement activées une fois que vous avez activé Security Hub CSPM et le service intégré. Pour votre programme de gestion des vulnérabilités, nous vous recommandons d'activer Amazon Inspector GuardDuty AWS Health, Amazon et IAM Access Analyzer dans chaque compte. Ces services envoient automatiquement leurs résultats à Security Hub CSPM. Pour obtenir la liste complète des Service AWS intégrations prises en charge, consultez la section [Services AWS qui envoie les résultats à Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**Note**  
AWS Health envoie les résultats au Security Hub CSPM si l'une des conditions suivantes est remplie :  
La découverte est associée à un service AWS de sécurité
Le **code de type de** recherche contient les mots`security`, ou `abuse` `certificate`
Le AWS Health service de recherche est `risk` ou `abuse`

1. **Configurer des intégrations tierces** : pour obtenir la liste des intégrations actuellement prises en charge, voir Intégrations de [produits partenaires tiers disponibles](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Sélectionnez les outils supplémentaires qui peuvent envoyer des résultats à Security Hub CSPM ou en recevoir. Il se peut que vous disposiez déjà de certains de ces outils tiers. Suivez les instructions du produit pour configurer l'intégration avec Security Hub CSPM.