Les failles logicielles sont des vulnérabilités pouvant entraîner une défaillance accidentelle du système ou faciliter une activité malveillante. Pour en savoir plus, consultez Rapports de failles.
Ce document explique comment configurer vos VM à l'aide de VM Manager et comment afficher les rapports de failles pour vos systèmes d'exploitation.
Avant de commencer
- Consultez les quotas d'OS Config.
- Configurez VM Manager.
-
Si ce n'est pas déjà fait, configurez l'authentification.
L'authentification permet de valider votre identité pour accéder aux services et aux API Google Cloud . Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine en sélectionnant l'une des options suivantes :
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
- Set a default region and zone.
REST
Pour utiliser les exemples API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à la gcloud CLI.
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud .
Systèmes d'exploitation compatibles
Pour obtenir la liste complète des versions et systèmes d'exploitation pour lesquels vous pouvez obtenir des rapports de failles à l'aide de VM Manager, consultez la section Détails des systèmes d'exploitation.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour afficher les rapports de failles, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :
- Pour afficher les rapports de failles à l'aide de la gcloud CLI ou de l'API : Lecteur de rapport de failles d'OS Config (
roles/osconfig.vulnerabilityReportViewer) -
Pour afficher les rapports de failles à l'aide de la console Google Cloud :
-
Lecteur de rapports de failles d'OS Config (
roles/osconfig.vulnerabilityReportViewer) - Lecteur d'inventaire d'OS (
roles/osconfig.inventoryViewer)
-
Lecteur de rapports de failles d'OS Config (
-
Pour afficher les informations CVE dans la boîte de dialogue Détails de l'instance de VM de la page "Patch" :
- Lecteur de ressources PatchDeployment (
roles/osconfig.patchDeploymentViewer) - Lecteur de jobs d'application de correctifs (
roles/osconfig.patchJobViewer)
- Lecteur de ressources PatchDeployment (
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Outre ces rôles, pour accéder aux ressources Compute Engine à l'aide de la console Google Cloud , vous devez disposer d'un rôle comportant l'autorisation
compute.projects.getsur le projet.Afficher les rapports sur les failles
Pour afficher les rapports de failles, vous pouvez utiliser l'une des options suivantes :
- Utilisez la consoleGoogle Cloud , la gcloud CLI ou l'API.
- Si vous êtes un utilisateur de niveau Security Command Center Premium, utilisez le tableau de bord Security Command Center.
- Utilisez l'inventaire des éléments cloud.
Afficher un rapport de faille à l'aide de la gcloud CLI ou de l'API
Utilisez l'une des méthodes suivantes pour afficher les rapports de failles concernant vos VM.
Console
Pour afficher les rapports de failles d'OS concernant une VM à l'aide de la console Google Cloud :
- Dans la console Google Cloud , accédez à la page Instances de VM.
- Cliquez sur le nom de l'instance pour laquelle vous souhaitez afficher les informations sur le système d'exploitation. La page Détails de l'instance s'affiche.
- Cliquez sur l'onglet Informations sur l'OS.
Pour afficher les données d'inventaire du système d'exploitation, vous devez activer VM Manager. Si la console Google Cloud vous invite à activer VM Manager, sélectionnez l'une des options suivantes :- Activer pour le projet en cours : active VM Manager pour toutes les VM du projet sélectionné
- Activer pour cette VM : active VM Manager uniquement pour la VM sélectionnée
- Consultez la liste des failles de l'OS dans l'onglet Informations sur l'OS.
gcloud
Pour afficher les rapports de failles pour les VM d'une zone spécifique, utilisez la commande
os-config vulnerability-reports list.Par exemple, pour lister toutes les instances comportant des données d'inventaire, exécutez la commande suivante :
gcloud compute os-config vulnerability-reports list \ --location=ZONE
Remplacez
ZONEpar la zone où se trouve la VM.Exemple
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
Exemple de résultat :
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
Pour afficher le rapport de failles concernant une VM spécifique, exécutez la commande
os-config vulnerability-reports describeen spécifiant leINSTANCE_IDrenvoyé à l'étape précédente ou leINSTANCE_NAME.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
Remplacez les éléments suivants :
VM_NAME: nom de votre VMZONE: zone où se trouve l'instance de VM
Exemple
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
Exemple de résultat :
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
REST
Pour afficher les rapports de faille concernant les VM d'une zone spécifique, envoyez une requête
GETà la méthodeprojects.locations.instances.vulnerabilityReports.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projetZONE: zone où se trouvent les VM
Pour afficher le rapport de faille concernant une VM spécifique, envoyez une requête
GETà la méthodeprojects.locations.instances.getVulnerabilityReport.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projetZONE: zone où se trouve l'instance de VMINSTANCE: spécifiez l'ID d'instance ou le nom de votre VM
Afficher les rapports de faille en utilisant le tableau de bord Security Command Center
Security Command Center est le service centralisé de signalement des failles et des menaces de Google Cloud.
Si vous êtes un utilisateur de niveau Premium de Security Command Center, vous pouvez accéder aux données de rapport de failles pour les systèmes d'exploitation qui s'exécutent sur des VM dans votre organisation. Sur la page Résultats du tableau de bord Security Command Center, vous pouvez consulter les ID d'analyse de failles CVE (Common Vulnerabilities and Exposures) pour les failles classées comme étant de gravité
HIGHouCRITICAL.Pour savoir comment utiliser le tableau de bord Security Command Center pour accéder aux données de failles du système d'exploitation et les examiner, consultez VM Manager.
Afficher les données des rapports de faille depuis l'inventaire des éléments cloud
OS Inventory Management stocke les données des rapports d'inventaire et de failles et les transfère vers l'inventaire des éléments cloud. Ce dernier est un service d'inventaire de métadonnées qui vous permet d'afficher, de surveiller et d'analyser les éléments pour l'ensemble de votre solution Google Cloud. Depuis l'inventaire des éléments cloud, vous pouvez interroger les informations et visualiser les modifications dans les données.
Pour accéder aux données des rapports de failles et d'inventaire du système d'exploitation à partir de l'inventaire des éléments cloud, vous devez effectuer la configuration suivante :
- Configurez VM Manager.
- Dans votre projet Google Cloud , activez l'API Cloud Asset Inventory ainsi que la Google Cloud CLI, et attribuez des autorisations.
Pour en savoir plus, consultez Afficher les données VM Manager.
Étapes suivantes
- Obtenez plus d'informations sur OS Inventory Management.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/11/21 (UTC).
-