Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Préparez votre programme évolutif de gestion des vulnérabilités
La préparation à l'élaboration d'un programme de gestion des vulnérabilités évolutif implique de former le personnel, de développer des processus et de mettre en œuvre la technologie appropriée conformément aux meilleures pratiques. Les personnes, les processus et les technologies sont tout aussi importants pour un programme de gestion des vulnérabilités efficace, et vous devez les intégrer étroitement pour gérer les vulnérabilités à grande échelle.
Cette section du guide passe en revue les mesures de base que vous pouvez prendre pour préparer votre programme évolutif de gestion des vulnérabilités. AWS
**Topics**
+ [Définir un plan de gestion des vulnérabilités](vulnerability-management-plan.md)
+ [Répartissez la propriété des titres](distribute-ownership.md)
+ [Élaboration d'un programme de divulgation des vulnérabilités](disclosure-program.md)
+ [Préparez votre AWS environnement](prepare-environment.md)
+ [Surveillez les bulletins AWS de sécurité](monitor-aws-security-bulletins.md)
+ [Configuration des services AWS de sécurité](configure-aws-security-services.md)
+ [Préparez-vous à attribuer les résultats de sécurité](prepare-finding-assignments.md)
# Définir un plan de gestion des vulnérabilités
La première étape de la préparation de votre programme de gestion des vulnérabilités dans le cloud consiste à définir votre *plan de gestion des vulnérabilités*. Ce plan inclut les politiques et les processus suivis par votre organisation. Ce plan doit être documenté et accessible à toutes les parties prenantes. Un plan de gestion des vulnérabilités est un document de haut niveau qui comprend généralement les sections suivantes :
+ **Objectifs et champ d'application** — Décrivez les objectifs, les fonctions et le champ d'application de la gestion des vulnérabilités.
+ **Rôles et responsabilités** — Répertoriez les parties prenantes de la gestion des vulnérabilités et détaillez leurs responsabilités.
+ **Définitions de la gravité et de la hiérarchisation des vulnérabilités** : déterminez comment classer la gravité d'une vulnérabilité et comment la prioriser.
+ **Contrats de niveau de service (SLAs)** **pour la correction** : pour chaque niveau de gravité, définissez le délai maximal dont dispose le responsable de la correction pour résoudre un problème de sécurité. La conformité aux SLA faisant partie intégrante d'un programme de gestion des vulnérabilités efficace et évolutif, réfléchissez à la manière de vérifier si vous les SLAs respectez.
+ **Processus d'exception** : détaillez le processus de soumission, d'approbation et de mise à jour des exceptions. Ce processus doit garantir que les exceptions sont légitimes, limitées dans le temps et suivies.
+ **Sources d'informations sur les vulnérabilités** — Répertoriez les sources ou les outils qui génèrent des résultats de sécurité. Pour plus d'informations sur Services AWS ce qui pourrait être une source de résultats de sécurité, consultez [Configuration des services AWS de sécurité](configure-aws-security-services.md) ce guide.
Bien que ces sections soient communes à toutes les entreprises de tailles et de secteurs d'activité différents, le plan de gestion des vulnérabilités de chaque organisation est unique. Vous devez élaborer un plan de gestion des vulnérabilités qui convient le mieux à votre organisation. Attendez-vous à réitérer votre plan au fil du temps pour intégrer les leçons apprises et l'évolution des technologies.
# Répartissez la propriété des titres
Le [modèle de responsabilitéAWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) définit comment AWS et ses clients partagent la responsabilité en matière de sécurité et de conformité dans le cloud. Dans ce modèle, AWS sécurise l'infrastructure qui exécute tous les services proposés dans le AWS Cloud, et les AWS clients sont responsables de la sécurisation de leurs données et de leurs applications.
Vous pouvez reproduire ce modèle au sein de votre organisation et répartir les responsabilités entre vos équipes chargées du cloud et des applications. Cela vous permet de faire évoluer vos programmes de sécurité dans le cloud de manière plus efficace, car les équipes chargées des applications prennent en charge certains aspects de sécurité de leurs applications. L'interprétation la plus simple du modèle de responsabilité partagée est que si vous avez accès à la configuration de la ressource, vous êtes responsable de la sécurité de cette ressource.
Pour répartir les responsabilités en matière de sécurité entre les équipes chargées des applications, il est essentiel de créer des outils de sécurité en libre-service qui aident les équipes chargées des applications à automatiser leurs tâches. Au départ, cela peut être un effort conjoint. L'équipe de sécurité peut traduire les exigences de sécurité en outils d'analyse de code, puis les équipes d'application peuvent utiliser ces outils pour créer et partager des solutions avec leur communauté interne de développeurs. Cela contribue à améliorer l'efficacité des autres équipes qui doivent répondre à des exigences de sécurité similaires.
Le tableau suivant décrit les étapes à suivre pour attribuer la propriété aux équipes chargées des applications et fournit des exemples.
****
| Step (Étape) | Action | Exemple |
| --- | --- | --- |
| 1 | Définissez vos exigences en matière de sécurité — Quel est votre objectif ? Cela peut être dû à une norme de sécurité ou à une exigence de conformité. | Un exemple d'exigence de sécurité est l'accès au moindre privilège pour les identités d'applications. |
| 2 | Énumérer les contrôles pour une exigence de sécurité — Que signifie réellement cette exigence du point de vue du contrôle ? Que dois-je faire pour y parvenir ? | Pour obtenir le moindre privilège pour les identités d'applications, voici deux exemples de contrôles :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) |
| 3 | Documenter les directives relatives aux contrôles — Avec ces contrôles, quels conseils pouvez-vous fournir à un développeur pour l'aider à se conformer au contrôle ? | Dans un premier temps, vous pouvez commencer par documenter des exemples de politiques simples, notamment des politiques IAM sécurisées et non sécurisées et des politiques de compartiment Amazon Simple Storage Service (Amazon S3). Vous pouvez ensuite intégrer des solutions d'analyse des politiques dans des pipelines d'intégration continue et de livraison continue (CI/CD), par exemple en utilisant des [AWS Config règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html) pour une évaluation proactive. |
| 4 | Développez des artefacts réutilisables — Avec ces conseils, pouvez-vous rendre les choses encore plus faciles et développer des artefacts réutilisables pour les développeurs ? | Vous pouvez créer une infrastructure sous forme de code (IaC) pour déployer des politiques IAM conformes au principe du moindre privilège. Vous pouvez stocker ces artefacts réutilisables dans un référentiel de code. |
Le libre-service peut ne pas répondre à toutes les exigences de sécurité, mais il peut fonctionner pour les scénarios standard. En suivant ces étapes, les entreprises peuvent donner à leurs équipes d'application les moyens de gérer une plus grande partie de leurs propres responsabilités en matière de sécurité de manière évolutive. Dans l'ensemble, le modèle de responsabilité distribuée conduit à des pratiques de sécurité plus collaboratives au sein de nombreuses organisations.
# Élaboration d'un programme de divulgation des vulnérabilités
Pour une [defense-in-depth](apg-gloss.md#glossary-defense-in-depth)approche de gestion des vulnérabilités, créez un programme de divulgation des vulnérabilités afin que les personnes internes ou externes à votre organisation puissent signaler les vulnérabilités ou les risques de sécurité.
Pour les membres de votre organisation, établissez un processus pour signaler les risques ou les vulnérabilités. Cela peut se faire par le biais d'un système de billetterie ou par e-mail. Quel que soit le processus que vous choisissez, il est essentiel que vos employés soient au courant du processus et puissent facilement signaler les vulnérabilités ou les risques qu'ils rencontrent.
Pour les personnes extérieures à votre organisation, créez une page Web externe pour signaler les vulnérabilités de sécurité potentielles. À titre d'exemple, consultez la page Web sur les [rapports de AWS vulnérabilité](https://aws.amazon.com/security/vulnerability-reporting/). Cette page Web doit également contenir des directives de divulgation visant à protéger les données et les actifs de votre organisation. Un programme de divulgation des vulnérabilités ne doit pas encourager les activités potentiellement dangereuses. Il est donc essentiel que vous disposiez d'une politique claire et de directives. L'élaboration d'un programme de divulgation mature et responsable est un objectif à atteindre au fur et à mesure que vous développez votre programme. La plupart ne commencent pas par un programme de divulgation externe, et il faut du temps pour bien faire les choses.
# Préparez votre AWS environnement
Avant de mettre en œuvre un outil de gestion des vulnérabilités, assurez-vous que votre AWS environnement est conçu pour prendre en charge un programme de gestion des vulnérabilités évolutif. La structure de vos politiques de balisage Comptes AWS et de celles de votre entreprise peut simplifier le processus de création d'un programme de gestion des vulnérabilités évolutif.
## Développement d'une Compte AWS structure
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)permet de gérer et de gouverner de manière centralisée un AWS environnement au fur et à mesure que votre entreprise se développe et fait évoluer ses AWS ressources. Une *organisation* vous AWS Organizations consolide Comptes AWS en groupes logiques, ou *unités organisationnelles*, afin que vous puissiez les administrer en tant qu'unité unique. Vous gérez AWS Organizations à partir d'un compte dédié, appelé *compte de gestion*. Pour plus d'informations, veuillez consulter la rubrique [Terminologie et concepts AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
Nous vous recommandons de gérer votre environnement AWS multi-comptes dans AWS Organizations. Cela permet de créer un inventaire complet des comptes et des ressources de votre entreprise. Cet inventaire complet des actifs est un aspect essentiel de la gestion des vulnérabilités. Les équipes de candidature ne doivent pas utiliser de comptes extérieurs à l'organisation.
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)vous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives. Si vous n'avez pas encore créé d'environnement multi-comptes, AWS Control Tower c'est un bon point de départ.
Nous vous recommandons d'utiliser la [structure de compte dédiée](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html) et les meilleures pratiques décrites dans l'[architecture AWS de référence de sécurité (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/) Le [compte Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) doit servir d'administrateur délégué pour vos services de sécurité. Plus d'informations sur la configuration de vos outils de gestion des vulnérabilités dans ce compte sont fournies plus loin dans ce guide. Hébergez les applications dans des comptes dédiés au sein de l'[unité organisationnelle (UO) des charges de](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html) travail. Cela permet d'établir une forte isolation au niveau de la charge de travail et des limites de sécurité explicites pour chaque application. Pour plus d'informations sur les principes de conception et les avantages de l'utilisation d'une approche multi-comptes, voir [Organiser votre AWS environnement à l'aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) (AWS livre blanc).
Disposer d'une structure de compte intentionnelle et gérer de manière centralisée les services de sécurité à partir d'un compte dédié sont des aspects essentiels d'un programme de gestion des vulnérabilités évolutif.
## Définition, mise en œuvre et application des balises
Les *balises* sont des paires clé-valeur qui agissent comme des métadonnées pour organiser vos AWS ressources. Pour plus d’informations, veuillez consulter la rubrique [Balisage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Vous pouvez utiliser des balises pour fournir un contexte métier, tel que l'unité commerciale, le propriétaire de l'application, l'environnement et le centre de coûts. Le tableau suivant présente un ensemble d'exemples de balises.
****
| Clé | Valeur |
| --- | --- |
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| Environnement | Production |
Les balises peuvent vous aider à hiérarchiser les résultats. Par exemple, cela peut vous aider à :
+ Identifier le propriétaire d'une ressource chargé de corriger une vulnérabilité
+ Suivez les applications ou les unités commerciales contenant un grand nombre de résultats
+ Accroître la sévérité des résultats pour certaines classifications de données, telles que les informations personnelles identifiables (PII) ou les données du secteur des cartes de paiement (PCI)
+ Identifiez le type de données dans l'environnement, telles que les données de test dans un environnement de développement de niveau inférieur ou les données de production
Pour vous aider à obtenir un balisage efficace à grande échelle, suivez les instructions de la section [Élaborer votre stratégie de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html) dans *Meilleures pratiques pour les AWS ressources de balisage* (AWS livre blanc).
# Surveillez les bulletins AWS de sécurité
Nous vous recommandons vivement [AWS de consulter régulièrement et fréquemment les bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all). Les bulletins de sécurité peuvent vous informer de toute nouvelle vulnérabilité liée à la sécurité, des services concernés et des mises à jour applicables. Vous pouvez également vous abonner à un [flux RSS](https://aws.amazon.com/security/security-bulletins/rss/feed/) pour les bulletins de sécurité et créer un processus pour intégrer et traiter ces bulletins dans le cadre de votre programme de gestion des vulnérabilités.
# Configuration des services AWS de sécurité
AWS propose une variété de services de sécurité conçus pour protéger votre AWS environnement. Pour votre programme de gestion des vulnérabilités, nous vous recommandons d'activer les éléments suivants Services AWS dans chaque compte :
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) aide à détecter les menaces actives dans votre environnement. Une GuardDuty découverte pourrait vous aider à identifier une vulnérabilité inconnue qui a été exploitée dans votre environnement. Cela peut également vous aider à comprendre les effets d'une vulnérabilité non corrigée.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos comptes Services AWS et de vos comptes.
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)analyse les politiques basées sur les ressources de votre AWS environnement afin d'identifier les ressources partagées avec une entité externe. Cela peut vous aider à identifier les vulnérabilités associées à un accès involontaire à vos ressources et à vos données. Pour chaque instance d'une ressource qui est partagée en dehors de votre compte, l’IAM Access Analyzer génère un résultat.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités logicielles et les risques d'exposition involontaire au réseau.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)vous permet de vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et d'identifier les risques liés à la configuration du cloud. Il fournit également une vue complète de votre état de AWS sécurité en agrégeant les résultats d'autres services de AWS sécurité et d'outils de sécurité tiers.
Cette section explique comment activer et configurer Amazon Inspector et Security Hub CSPM pour vous aider à établir un programme de gestion des vulnérabilités évolutif.
# Utilisation d'Amazon Inspector dans votre programme de gestion des vulnérabilités
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) est un service de gestion des vulnérabilités qui analyse en permanence vos instances Amazon Elastic Compute Cloud (Amazon EC2), les images de conteneur Amazon Elastic Container Registry (Amazon ECR) et les fonctions pour détecter les vulnérabilités logicielles et les expositions AWS Lambda involontaires au réseau. Vous pouvez utiliser Amazon Inspector pour gagner en visibilité et prioriser la résolution des vulnérabilités logicielles dans vos AWS environnements.
Amazon Inspector évalue en permanence votre environnement tout au long du cycle de vie de vos ressources. Il réanalyse automatiquement les ressources en réponse aux modifications susceptibles d'introduire une nouvelle vulnérabilité. Par exemple, il effectue une nouvelle analyse lorsque vous installez un nouveau package sur une instance EC2, lorsque vous installez un correctif ou lorsqu'un nouveau code CVE (Common Vulnerabilities and Exposures) affectant la ressource est publié. Lorsqu'Amazon Inspector identifie une vulnérabilité ou un chemin réseau ouvert, il produit un résultat que vous pouvez examiner. Le résultat fournit des informations complètes sur la vulnérabilité, notamment les suivantes :
+ [Score de risque d'Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Score du Common Vulnerability Scoring System (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Ressource affectée
+ données de renseignement sur les vulnérabilités concernant le CVE fournies par Amazon [https://www.recordedfuture.com/](https://www.recordedfuture.com/), et [https://www.cisa.gov/](https://www.cisa.gov/)
+ Recommandations en matière de mesures correctives
Pour obtenir des instructions sur la configuration d'Amazon Inspector, consultez [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). L'étape *Activer Amazon Inspector* de ce didacticiel propose deux options de configuration : un environnement de compte autonome et un environnement multi-comptes. Nous vous recommandons d'utiliser l'option d'environnement multi-comptes si vous souhaitez surveiller plusieurs Comptes AWS membres d'une organisation dans AWS Organizations.
Lorsque vous configurez Amazon Inspector pour un environnement multi-comptes, vous désignez un compte de l'organisation comme administrateur délégué d'Amazon Inspector. L'administrateur délégué peut gérer les résultats et certains paramètres pour les membres de l'organisation. Par exemple, l'administrateur délégué peut consulter le détail des résultats agrégés pour tous les comptes des membres, activer ou désactiver les scans pour les comptes des membres et examiner les ressources numérisées. La AWS SRA vous recommande de créer un [compte Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) et de l'utiliser en tant qu'administrateur délégué d'Amazon Inspector.
# Utilisation AWS Security Hub CSPM dans votre programme de gestion des vulnérabilités
L'élaboration d'un programme de gestion des vulnérabilités évolutif AWS implique de gérer les vulnérabilités logicielles et réseau traditionnelles, en plus des risques liés à la configuration du cloud. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)vous permet de vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et d'identifier les risques liés à la configuration du cloud. Security Hub CSPM fournit également une vue complète de votre état de sécurité en AWS agrégeant les résultats de sécurité provenant d'autres services de sécurité et d'outils de AWS sécurité tiers.
Dans les sections suivantes, nous présentons les meilleures pratiques et les recommandations pour configurer Security Hub CSPM afin de soutenir votre programme de gestion des vulnérabilités :
+ [Configuration du Security Hub CSPM](#setting-up-security-hub)
+ [Activation des normes CSPM du Security Hub](#enabling-security-hub-standards)
+ [Gestion des résultats du Security Hub CSPM](#managing-security-hub-findings)
+ [Agrégation des résultats provenant d'autres services et outils de sécurité](#aggregating-findings-from-other-security-services-and-tools)
## Configuration du Security Hub CSPM
Pour les instructions de configuration, voir [Configuration AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Pour utiliser Security Hub CSPM, vous devez l'activer. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Pour plus d'informations, consultez la section [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) dans la documentation Security Hub CSPM.
Si vous êtes intégré à AWS Organizations, depuis le compte de gestion de l'organisation, vous désignez un compte comme administrateur délégué du Security Hub CSPM. Pour obtenir des instructions, consultez la section [Désignation de l'administrateur délégué du Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). La AWS SRA vous recommande de créer un [compte Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) et de l'utiliser en tant qu'administrateur délégué du Security Hub CSPM.
L'administrateur délégué a automatiquement accès à la configuration du Security Hub CSPM pour tous les comptes membres de l'organisation et à la consultation des résultats associés à ces comptes. Nous vous recommandons d'activer AWS Config Security Hub CSPM dans tous Régions AWS vos. Comptes AWS Vous pouvez configurer Security Hub CSPM pour traiter automatiquement les nouveaux comptes d'organisation comme des comptes membres du Security Hub CSPM. Pour obtenir des instructions, voir [Gestion des comptes de membres appartenant à une organisation](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).
## Activation des normes CSPM du Security Hub
Security Hub CSPM génère des résultats en effectuant des contrôles de sécurité automatisés et continus par rapport aux contrôles *de sécurité*. Les commandes sont associées à une ou plusieurs *normes de sécurité*. Les contrôles vous aident à déterminer si les exigences d'une norme sont respectées.
Lorsque vous activez une norme dans Security Hub CSPM, Security Hub CSPM active automatiquement les contrôles qui s'appliquent à la norme. Security Hub CSPM utilise des AWS Config [règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour effectuer la plupart de ses contrôles de sécurité. Vous pouvez activer ou désactiver les normes Security Hub CSPM à tout moment. Pour plus d'informations, consultez [la section Contrôles et normes de sécurité dans AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Pour une liste complète des normes, consultez la référence des [normes Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).
Si votre organisation n'a pas encore de norme de sécurité préférée, nous vous recommandons d'utiliser la norme [AWS Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Cette norme est conçue pour détecter quand Comptes AWS et quand les ressources s'écartent des meilleures pratiques de sécurité. AWS organise cette norme et la met régulièrement à jour pour couvrir les nouvelles fonctionnalités et les nouveaux services. Après avoir trié les résultats du FSBP, envisagez d'activer d'autres normes.
## Gestion des résultats du Security Hub CSPM
Security Hub CSPM propose plusieurs fonctionnalités qui vous aident à traiter un grand nombre de résultats provenant de l'ensemble de votre organisation et à comprendre l'état de sécurité de votre AWS environnement. Pour vous aider à gérer les résultats, nous vous recommandons d'activer les deux fonctionnalités suivantes du Security Hub CSPM :
+ Utilisez l'[agrégation entre régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) pour agréger les résultats, trouver des mises à jour, des informations, contrôler les statuts de conformité et les scores de sécurité de plusieurs régions d'agrégation Régions AWS à une seule.
+ Utilisez les [résultats de contrôle consolidés](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) pour réduire le bruit de recherche en supprimant les résultats dupliqués. Lorsque les résultats de contrôle consolidés sont activés dans votre compte, Security Hub CSPM génère une seule nouvelle découverte ou mise à jour pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées.
## Agrégation des résultats provenant d'autres services et outils de sécurité
Outre la génération de résultats de sécurité, vous pouvez utiliser Security Hub CSPM pour agréger les données de recherche provenant de plusieurs Services AWS solutions de sécurité tierces prises en charge. Cette section se concentre sur l'envoi de résultats de sécurité à Security Hub CSPM. La section suivante explique comment intégrer Security Hub CSPM à des produits qui peuvent recevoir les résultats de Security Hub CSPM. [Préparez-vous à attribuer les résultats de sécurité](prepare-finding-assignments.md)
Il existe de nombreux Services AWS produits tiers et solutions open source que vous pouvez intégrer à Security Hub CSPM. Si vous ne faites que commencer, nous vous recommandons de procéder comme suit :
1. **Activer l'intégration Services AWS** : la plupart Service AWS des intégrations qui envoient des résultats à Security Hub CSPM sont automatiquement activées une fois que vous avez activé Security Hub CSPM et le service intégré. Pour votre programme de gestion des vulnérabilités, nous vous recommandons d'activer Amazon Inspector GuardDuty AWS Health, Amazon et IAM Access Analyzer dans chaque compte. Ces services envoient automatiquement leurs résultats à Security Hub CSPM. Pour obtenir la liste complète des Service AWS intégrations prises en charge, consultez la section [Services AWS qui envoie les résultats à Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**Note**
AWS Health envoie les résultats au Security Hub CSPM si l'une des conditions suivantes est remplie :
La découverte est associée à un service AWS de sécurité
Le **code de type de** recherche contient les mots`security`, ou `abuse` `certificate`
Le AWS Health service de recherche est `risk` ou `abuse`
1. **Configurer des intégrations tierces** : pour obtenir la liste des intégrations actuellement prises en charge, voir Intégrations de [produits partenaires tiers disponibles](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Sélectionnez les outils supplémentaires qui peuvent envoyer des résultats à Security Hub CSPM ou en recevoir. Il se peut que vous disposiez déjà de certains de ces outils tiers. Suivez les instructions du produit pour configurer l'intégration avec Security Hub CSPM.
# Préparez-vous à attribuer les résultats de sécurité
Dans cette section, vous configurez les outils que vos équipes utilisent pour gérer et attribuer les résultats de sécurité. Cette section inclut les options suivantes :
+ [Gérez les résultats dans les outils et les flux de travail existants](existing-tools.md)— Cette option s'intègre AWS Security Hub CSPM aux systèmes existants que vos équipes utilisent pour gérer leurs tâches quotidiennes, tels que le carnet de produits. Cette option est recommandée pour les équipes qui ont mis en place des outils pour gérer leurs flux de travail.
+ [Gérez les résultats dans Security Hub CSPM](manage-findings-in-security-hub.md)— Cette option configure les notifications relatives aux événements Security Hub CSPM afin que l'équipe appropriée reçoive une alerte et puisse traiter la découverte dans Security Hub CSPM.
Décidez quel flux de travail convient le mieux à vos équipes et assurez-vous que les résultats de sécurité peuvent être transmis rapidement à leurs propriétaires respectifs.
# Gérez les résultats dans les outils et les flux de travail existants
Nous recommandons des intégrations supplémentaires avec Security Hub CSPM pour les entreprises qui disposent d'outils établis que les équipes utilisent pour gérer ou effectuer leurs tâches quotidiennes. Vous pouvez importer les données de recherche CSPM de Security Hub sur plusieurs plateformes technologiques. En voici quelques exemples :
+ Les [systèmes de gestion des informations et des événements de sécurité (SIEM) aident les](apg-gloss.md#glossary-siem) équipes de sécurité à trier les événements de sécurité opérationnels. Les systèmes SIEM fournissent une analyse en temps réel des alertes de sécurité générées par les applications et le matériel réseau.
+ Les systèmes de [gouvernance, de gestion des risques et de conformité (GRC)](https://aws.amazon.com/what-is/grc/) aident les équipes chargées de la conformité et de la gouvernance à surveiller les données de gestion des risques et à établir des rapports à ce sujet. Les outils GRC sont des applications logicielles que les entreprises peuvent utiliser pour gérer les politiques, évaluer les risques, contrôler l'accès des utilisateurs et rationaliser la conformité. Vous pouvez utiliser les outils GRC pour intégrer les processus métier, réduire les coûts et améliorer l'efficacité.
+ Les systèmes de gestion des carnets de produits et de billetterie aident les équipes chargées des applications et du cloud à gérer les fonctionnalités et à hiérarchiser les tâches de développement. [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira)et [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops)sont des exemples de ces systèmes.
L'intégration directe des résultats du Security Hub CSPM à ces systèmes d'entreprise existants peut améliorer le temps moyen de restauration (MTTR) et les résultats en matière de sécurité, car le flux de travail opérationnel quotidien n'a pas à changer. Les équipes peuvent réagir et tirer des enseignements des résultats de sécurité beaucoup plus rapidement, car elles n'ont pas à utiliser des flux de travail et des outils distincts. Grâce à l'intégration, le traitement des problèmes de sécurité fait partie du flux de travail standard normal.
Security Hub CSPM s'intègre à plusieurs produits partenaires tiers. Pour obtenir une liste complète et des instructions, consultez la section [Intégrations de produits partenaires tiers disponibles](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html) dans la documentation Security Hub CSPM. Les intégrations courantes incluent [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management), l'[intégration bidirectionnelle AWS Security Hub CSPM avec le Jira logiciel](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html), et. [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm) Le schéma suivant montre comment configurer Amazon Inspector pour envoyer les résultats à Security Hub CSPM, puis configurer Security Hub CSPM pour envoyer tous les résultats. Jira
![\[Envoyez Amazon Inspector et AWS Security Hub CSPM ses résultats à Jira\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)
# Gérez les résultats dans Security Hub CSPM
Vous pouvez créer un système de notification basé sur le cloud pour les résultats du Security Hub CSPM en utilisant EventBridge les règles [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) et les rubriques Amazon Simple Notification Service (Amazon SNS). Ce système informe l'équipe appropriée d'une découverte lors de sa création. Pour cette approche, la stratégie multi-comptes décrite dans le présent document [Développement d'une Compte AWS structure](prepare-environment.md#account-structure) est essentielle, car les applications sont séparées en comptes dédiés. Cela vous permet d'informer les bonnes équipes pour chaque résultat.
Les équipes chargées de la sécurité ou du cloud peuvent choisir de recevoir des événements de la part de tous Comptes AWS. Dans ce cas, créez une EventBridge règle dans le compte administrateur délégué du Security Hub CSPM et abonnez-vous à une rubrique Amazon SNS qui informe ces équipes. Pour les équipes chargées des applications, configurez une EventBridge règle et une rubrique SNS dans leurs comptes d'application respectifs. Lorsqu'une découverte du Security Hub CSPM est détectée dans un compte d'application, l'équipe responsable en est informée.
Security Hub CSPM envoie déjà automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme d'événements **Security Hub CSPM Findings - Imported**. Chaque événement **Security Hub CSPM Findings - Imported contient une seule constatation**. Vous pouvez appliquer des filtres aux EventBridge règles afin qu'une recherche ne déclenche la règle que si la recherche correspond aux filtres. Pour obtenir des instructions, voir [Configuration d'une EventBridge règle pour l'envoi automatique des résultats](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html). Pour plus d'informations sur la création et l'abonnement à des rubriques Amazon SNS, [consultez Configuration d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html).
Tenez compte des éléments suivants lorsque vous adoptez cette approche :
+ Pour les équipes chargées des applications, créez des EventBridge règles au sein de chacune d'elles Compte AWS et à l' Région AWS endroit où l'application est hébergée.
+ Pour les équipes chargées de la sécurité et du cloud, créez des EventBridge règles dans le compte d'administrateur délégué Security Hub CSPM. Les équipes sont ainsi informées de toutes les découvertes enregistrées dans les comptes des membres.
+ Amazon SNS envoie une notification chaque jour si le statut de la constatation de sécurité est. `NEW` Si vous souhaitez désactiver les notifications quotidiennes, vous pouvez créer une AWS Lambda fonction personnalisée qui change le statut de la recherche de `NEW` à une `NOTIFIED` fois que l'abonné Amazon SNS a reçu la notification.