Evaluación de la cobertura de Amazon Inspector para el entorno de AWS - Amazon Inspector
Evaluación de la cobertura a nivel de cuentaEvaluación de la cobertura de instancias de Amazon EC2Evaluación de la cobertura de repositorios de Amazon ECREvaluación de la cobertura de imágenes de contenedores de Amazon ECREvaluación de la cobertura de las funciones de AWS Lambda

Evaluación de la cobertura de Amazon Inspector para el entorno de AWS

Puede evaluar la cobertura de Amazon Inspector del entorno de AWS desde la pantalla de Administración de cuentas de la consola de Amazon Inspector, que muestra detalles y estadísticas acerca del estado del análisis de Amazon Inspector para las cuentas y recursos.

nota

Si es el administrador delegado de una organización, puede ver los detalles y las estadísticas de todas las cuentas de la organización.

El siguiente procedimiento describe cómo evaluar la cobertura del entorno de Amazon Inspector.

Evaluación de la cobertura de Amazon Inspector para el entorno de AWS

  1. Inicie sesión con las credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. Del panel de navegación, elija Administración de cuentas.

  3. Para revisar la cobertura, elija una de las siguientes pestañas:

    • Elija Cuentas para revisar la cobertura a nivel de cuenta.

    • Elija Instancias para revisar la cobertura de instancias de Amazon Elastic Compute Cloud (Amazon EC2).

    • Elija Repositorios de contenedor para revisar la cobertura de los repositorios de Amazon Elastic Container Registry (Amazon ECR).

    • Elija Imágenes de contenedores para revisar la cobertura de las imágenes de contenedores de Amazon ECR.

    • Elija funciones de Lambda para revisar la cobertura de las funciones de Lambda.

En los siguientes temas se describe la información que proporciona cada una de estas pestañas.

Evaluación de la cobertura a nivel de cuenta

Si su cuenta no forma parte de una organización o no es la cuenta de administrador delegado de Amazon Inspector de una organización, la pestaña Cuentas proporciona información acerca de la cuenta y el estado del análisis de recursos de la cuenta. En esta pestaña, puede activar o desactivar los análisis para todos los tipos de recursos de la cuenta o solo para algunos. Para obtener más información, consulte Tipos de análisis automatizado en Amazon Inspector.

Si su cuenta es la cuenta de administrador delegado de Amazon Inspector de una organización, la pestaña Cuentas proporciona la configuración de activación automática de las cuentas de la organización y enumera todas las cuentas de la organización. Para cada cuenta, en la lista se indica si Amazon Inspector está activado en la cuenta y, si lo está, los tipos de análisis de recursos activados en la cuenta. Como administrador delegado, puede utilizar esta pestaña para modificar la configuración de activación automática de la organización. También puede activar o desactivar tipos de análisis de recursos específicos de algunas cuentas de miembros. Para obtener más información, consulte Activación de los análisis de Amazon Inspector para cuentas de miembros.

Evaluación de la cobertura de instancias de Amazon EC2

En la pestaña Instancias, se muestran las instancias de Amazon EC2 del entorno de AWS. Las listas se agrupan en las siguientes pestañas:

  • Todos: muestra todas las instancias del entorno. En la columna Estado, se indica el estado de análisis actual de una instancia.

  • Analizar: muestra todas las instancias que Amazon Inspector supervisa y analiza activamente en el entorno.

  • Sin analizar: muestra todas las instancias que Amazon Inspector no supervisa y analiza activamente en el entorno. En la columna Motivo, se indica por qué Amazon Inspector no supervisa y analiza una instancia.

    Una instancia de EC2 puede aparecer en la pestaña Sin analizar por muchos motivos. Amazon Inspector utiliza AWS Systems Manager (SSM) y el agente de SSM para supervisar y analizar automáticamente las instancias de EC2 en busca de vulnerabilidades. Si en una instancia no se está ejecutando el agente de SSM, no tiene el rol de AWS Identity and Access Management (IAM) que admite Systems Manager o está ejecutando un sistema operativo o arquitectura compatible, Amazon Inspector no puede supervisar y analizar la instancia. Para obtener más información, consulte Análisis de instancias de Amazon EC2.

En cada pestaña, la columna Cuenta especifica la Cuenta de AWS propietaria de una instancia.

Etiquetas de instancias de EC2: esta columna muestra las etiquetas asociadas a la instancia y se puede utilizar para determinar si la instancia se han excluido de los análisis mediante etiquetas.

Sistema operativo: en esta columna se muestra el tipo de sistema operativo, que puede ser WINDOWS, MAC, LINUX o UNKNOWN.

Supervisado mediante: en esta columna se muestra si Amazon Inspector utiliza el método de análisis basado en agentes o sin agente en esta instancia.

Último análisis: en esta columna se muestra la última vez que Amazon Inspector comprobó el recurso en busca de vulnerabilidades. La frecuencia con la que Amazon Inspector realiza análisis depende del método que utilice para analizar la instancia.

Para revisar detalles adicionales acerca de una instancia de EC2, siga el enlace de la columna Instancia de EC2. A continuación, Amazon Inspector muestra los detalles sobre la instancia y los resultados de esta. Para revisar los detalles de un resultado, siga el enlace de la columna Título. Para obtener información acerca de estos detalles, consulte Visualización de los detalles de los resultados de Amazon Inspector.

Análisis de valores de estado para las instancias de Amazon EC2

En el caso de las instancias de Amazon Elastic Compute Cloud (Amazon EC2), los valores de Estado posibles son los siguientes:

  • Supervisión activa: Amazon Inspector supervisa y analiza continuamente la instancia.

  • Se ha superado el límite de almacenamiento de las instancias sin agente: Amazon Inspector utiliza este estado cuando el tamaño combinado de todos los volúmenes adjuntos a una instancia supera los 1200 GB o cuando una instancia tiene más de 8 volúmenes adjuntos.

  • Se ha superado el límite de tiempo de recopilación de instancias sin agente: Amazon Inspector agota el tiempo de espera al intentar ejecutar un análisis sin agente en una instancia.

  • Instancia de EC2 detenida: Amazon Inspector ha detenido el análisis de la instancia porque se ha detenido la instancia. Los resultados se mantendrán hasta que se finalice la instancia. Si se reinicia la instancia, Amazon Inspector reanudará automáticamente el análisis de la instancia.

  • Error interno: se ha producido un error interno cuando Amazon Inspector ha intentado analizar la instancia. Amazon Inspector solucionará automáticamente el error y reanudará el análisis lo antes posible.

  • Sin inventario: Amazon Inspector no ha encontrado el inventario de aplicaciones de software necesario para analizar la instancia. Es posible que las asociaciones de Amazon Inspector relacionadas con la instancia se hayan eliminado o que no se hayan ejecutado correctamente.

    Para corregir este problema, utilice AWS Systems Manager, que comprobará si la asociación InspectorInventoryCollection-do-not-delete existe y si el estado de la asociación es correcto. También puede utilizar AWS Systems Manager Fleet Manager para verificar el inventario de aplicaciones de software de la instancia.

  • Pendiente desactivado: Amazon Inspector ha dejado de analizar la instancia. La instancia se está deshabilitando, pendiente de la finalización de tareas de limpieza.

  • Pendiente de análisis inicial: Amazon Inspector ha añadido la instancia a la cola para realizar un análisis inicial.

  • Recurso finalizado: la instancia ha finalizado. Amazon Inspector está limpiando los resultados existentes y los datos de cobertura de la instancia.

  • Inventario obsoleto: Amazon Inspector no ha podido recopilar un inventario de aplicaciones de software actualizado para la instancia que se haya capturado durante los últimos siete días.

    Para corregir este problema, utilice AWS Systems Manager, que comprobará si las asociaciones de Amazon Inspector necesarias existen y si están ejecutando la instancia. También puede utilizar AWS Systems Manager Fleet Manager para verificar el inventario de aplicaciones de software de la instancia.

  • Instancia de EC2 no administrada: Amazon Inspector no está supervisando ni analizando la instancia. AWS Systems Manager no administra la instancia.

    Para solucionar este problema, puede utilizar el AWSSupport-TroubleshootManagedInstance runbook proporcionado por AWS Systems Manager Automation. Una vez que haya configurado AWS Systems Manager para administrar la instancia, Amazon Inspector comenzará al instante a supervisar y a analizar continuamente la instancia.

  • SO no compatible Amazon Inspector no supervisa ni analiza la instancia. La instancia utiliza un sistema operativo o una arquitectura no compatible con Amazon Inspector. Para obtener información sobre los sistemas operativos compatibles con Amazon Inspector, consulte Valores de estado de instancias de Amazon EC2.

  • Supervisión activa con errores parciales: si se muestra este estado, significa que el análisis de EC2 está activado, aunque hay errores relacionados con la Inspección profunda de Amazon Inspector para instancias de Amazon EC2 basadas en Linux. Los posibles errores de inspecciones profundas son:

    • Se ha superado el límite de recopilación de paquetes de inspección profunda: la instancia ha superado el límite de 5000 paquetes para la inspección profunda de Amazon Inspector. Si desea reanudar la inspección profunda para esta instancia, puede modificar las rutas personalizadas que están asociadas a la cuenta.

    • Se ha superado el límite de inventario de SSM diario de inspección profunda: el agente de SSM no podía enviar el inventario a Amazon Inspector porque ya se ha alcanzado la cuota de SSM de datos de inventario recopilados por instancia y por día para esta instancia. Para obtener más información, consulte Puntos de conexión y cuotas de Amazon EC2 Systems Manager.

    • Se ha superado el límite de tiempo de recopilación de inspección profunda: Amazon Inspector no ha podido extraer el inventario de paquetes porque se ha sobrepasado el límite máximo de 15 minutos para la recopilación de paquetes.

    • La inspección profunda no tiene inventario: el complemento de SSM de Amazon Inspector todavía no ha recopilado un inventario de paquetes para esta instancia. Suele pasar porque hay un análisis pendiente. No obstante, si el estado persiste durante 6 horas, utilice Amazon EC2 Systems Manager, que comprobará si las asociaciones de Amazon Inspector necesarias existen y si se están ejecutando para la instancia.

Para obtener información acerca de la configuración de análisis para una instancia de EC2, consulte Análisis de instancias de Amazon EC2.

Evaluación de la cobertura de repositorios de Amazon ECR

En la pestaña Repositorios se muestran los repositorios de Amazon ECR en su entorno de AWS. Las listas se agrupan en las siguientes pestañas:

  • Todos: muestra todos los repositorios del entorno. En la columna Estado, se indica el estado de análisis actual de un repositorio.

  • Activado: muestra todos los repositorios del entorno en los que se ha configurado Amazon Inspector para supervisarlos y analizarlos. En la columna Estado, se indica el estado de análisis actual de un repositorio.

  • No activado: muestra todos los repositorios del entorno que Amazon Inspector no está supervisando ni analizando. En la columna Motivo, se indica por qué Amazon Inspector no supervisa y analiza un repositorio.

En cada pestaña, la columna Cuenta especifica la Cuenta de AWS propietaria de un repositorio.

Para revisar detalles adicionales acerca de un repositorio, elija el nombre de un repositorio. A continuación, Amazon Inspector muestra una lista de las imágenes de contenedores del repositorio y detalles de cada imagen. Algunos de los detalles que se muestran son la etiqueta de la imagen, un resumen de la imagen y el estado de análisis. También se incluyen estadísticas importantes sobre resultados como, por ejemplo, el número de resultados críticos de la imagen. Para revisar detenidamente los datos de soporte relacionados con estadísticas de resultados, elija la etiqueta de una imagen.

Análisis de valores de estado para repositorios de Amazon ECR

Para un repositorio de Amazon Elastic Container Registry (Amazon ECR), los valores de Estado posibles son los siguientes:

  • Activado (continuo): para un repositorio, Amazon Inspector supervisa continuamente las imágenes en este repositorio. Los análisis mejorados del repositorio se establecen en análisis continuo. Amazon Inspector analiza inicialmente las imágenes nuevas cuando se insertan y las vuelve a analizar si se publica una nueva CVE relevante para esa imagen. Amazon Inspector seguirá supervisando las imágenes de este repositorio durante el tiempo que haya configurado para la repetición del análisis de Amazon ECR.

  • Activado (al enviar): Amazon Inspector analiza automáticamente las imagen de contenedor individuales del repositorio cuando se inserta una imagen nueva. El análisis mejorado se activa para el repositorio y se establece en analizar al enviar.

  • Acceso denegado: Amazon Inspector no puede acceder al repositorio ni a ninguna de las imágenes de contenedores del repositorio.

    Para corregir este problema, compruebe que las políticas de AWS Identity and Access Management (IAM) del repositorio permitan a Amazon Inspector acceder al repositorio.

  • Desactivado (manual): Amazon Inspector no supervisa ni analiza las imágenes de contenedor del repositorio. Los análisis de Amazon ECR del repositorio se establecen en análisis manuales y básicos.

    Para comenzar a analizar imágenes del repositorio con Amazon Inspector, establezca el parámetro de análisis del repositorio en análisis mejorado y, a continuación, elija si desea analizar las imágenes continuamente o solo cuando se inserte una nueva imagen.

  • Activado (al enviar): Amazon Inspector analiza automáticamente las imagen de contenedor individuales del repositorio cuando se inserta una imagen nueva. Los análisis mejorados del repositorio se establecen en analizar al enviar.

  • Error interno: se ha producido un error interno cuando Amazon Inspector ha intentado analizar el repositorio. Amazon Inspector solucionará automáticamente el error y reanudará el análisis lo antes posible.

Para obtener información acerca de la configuración de análisis para repositorios Análisis de imágenes de contenedores de Amazon ECR.

Evaluación de la cobertura de imágenes de contenedores de Amazon ECR

En la pestaña Imágenes se muestran las imágenes de contenedores de Amazon ECR del entorno de AWS. Las listas se agrupan en las siguientes pestañas:

  • Todos: muestra todas las imágenes de contenedores del entorno. En la columna Estado, se indica el estado de análisis actual de una imagen.

  • Analizar: muestra todas las imágenes de contenedores en las que se ha configurado Amazon Inspector para supervisarlas y analizarlas. En la columna Estado, se indica el estado de análisis actual de una imagen.

  • Sin analizar: muestra todas las imágenes de contenedores que Amazon Inspector no supervisa y analiza en el entorno. En la columna Motivo, se indica por qué Amazon Inspector no supervisa y analiza una imagen.

    Una imagen de contenedor puede aparecer en la pestaña No activado por muchos motivos. Es posible que la imagen esté almacenada en un repositorio para el que no están activados los análisis de Amazon Inspector o que las reglas de filtrado de Amazon ECR eviten que el repositorio pueda analizarse. O bien, la imagen no se ha insertado o extraído en el número de días que configuró para la repetición del análisis de ECR. Para obtener más información, consulte Configuración de la duración de la repetición del análisis de Amazon ECR.

En cada pestaña, la columna Nombre del repositorio especifica el nombre del repositorio que almacena la imagen de contenedor. La columna Cuenta especifica la Cuenta de AWS propietaria del repositorio. En la columna Último análisis se muestra la última vez que Amazon Inspector comprobó el recurso en busca de vulnerabilidades. Estas comprobaciones pueden ser por motivo de una actualización de metadatos de los resultados, de una actualización del inventario de aplicaciones del recurso o de un análisis repetido en respuesta a una nueva lista de CVE. Para obtener más información, consulte Comportamientos de los análisis de Amazon ECR.

Si desea revisar detalles adicionales sobre una imagen de contenedor, siga el enlace de la columna Imagen de contenedor de ECR. A continuación, Amazon Inspector muestra los detalles sobre la imagen y los resultados de esta. Para revisar los detalles de un resultado, siga el enlace de la columna Título. Para obtener información acerca de estos detalles, consulte Visualización de los detalles de los resultados de Amazon Inspector.

Análisis de valores de estado de imágenes de contenedores de Amazon ECR

Para una imagen de contenedor de Amazon Elastic Container Registry, los valores de Estado posibles son los siguientes:

  • Supervisión activa (continua): Amazon Inspector supervisa de forma continua y la imagen y los nuevos análisis se realizan en ella cada vez que se publica una nueva CVE relevante. La duración de la repetición del análisis de Amazon ECR de la imagen se actualiza cada vez que se inserta o extrae la imagen. Los análisis mejorados están habilitados para el repositorio que almacena la imagen y se establecen en análisis continuo para el repositorio.

  • Activado (al enviar): Amazon Inspector analiza automáticamente la imagen cada vez que se inserta una nueva imagen. Los análisis mejorados están activados para el repositorio que almacena la imagen y se establecen en analizar al enviar para el repositorio.

  • Error interno: se ha producido un error interno cuando Amazon Inspector ha intentado analizar la imagen de contenedor. Amazon Inspector solucionará automáticamente el error y reanudará el análisis lo antes posible.

  • Pendiente de análisis inicial: Amazon Inspector ha agregado la imagen a la cola para realizar un análisis inicial.

  • La elegibilidad del análisis ha caducado (continuo): Amazon Inspector suspendió el análisis de la imagen. La imagen no se ha actualizado durante el período que ha especificado para los análisis repetidos y automatizados de imágenes en el repositorio. Puede insertar o extraer la imagen para reanudar el análisis.

  • La elegibilidad del análisis ha caducado (al enviar): Amazon Inspector suspendió el análisis de la imagen. La imagen no se ha actualizado durante el período que ha especificado para los análisis repetidos y automatizados de imágenes en el repositorio. Puede insertar la imagen para reanudar el análisis.

  • Analizar frecuencia de manera manual (manual): Amazon Inspector no analiza la imagen de contenedor de Amazon ECR. Los análisis de Amazon ECR del repositorio que almacena la imagen se establecen en análisis manuales y básicos. Para comenzar a analizar la imagen automáticamente con Amazon Inspector, establezca el parámetro del repositorio en análisis mejorado y, a continuación, elija si desea analizar las imágenes continuamente o solo cuando se inserte una nueva imagen.

  • Sistema operativo no compatible: Amazon Inspector no supervisa ni analiza la imagen. La imagen se basa en un sistema operativo no compatible con Amazon Inspector o utiliza un tipo de medio no compatible con Amazon Inspector.

    Para obtener información sobre los sistemas operativos compatibles con Amazon Inspector, consulte Sistemas operativos admitidos: análisis de Amazon ECR con Amazon Inspector. Para ver una lista de los tipos de medios compatibles con Amazon Inspector, consulte Tipos de medios compatibles.

Para obtener información acerca de la configuración de análisis para repositorios e imágenes, consulte Análisis de imágenes de contenedores de Amazon ECR.

Evaluación de la cobertura de las funciones de AWS Lambda

En la pestaña Lambda se muestran las funciones de Lambda del entorno de AWS. En esta página aparecen dos tablas: en la primera se muestran los detalles de cobertura de la función para el análisis estándar de Lambda, mientras que en la segunda se describe el análisis de código de Lambda. Las funciones se agrupan en las siguientes pestañas:

  • Todos: muestra todas las funciones de Lambda del entorno. En la columna Estado, se indica el estado de análisis actual de una función de Lambda.

  • Analizar: muestra las funciones de Lambda para las que se han configurado análisis de Amazon Inspector. En la columna Estado, se indica el estado de análisis actual de cada función de Lambda.

  • Sin analizar: muestra las funciones de Lambda para las que no se han configurado análisis de Amazon Inspector. En la columna Motivo, se indica por qué Amazon Inspector no supervisa y analiza una función.

    Una función de Lambda puede aparecer en la pestaña Sin analizar por muchos motivos. Es posible que la función de Lambda pertenezca a una cuenta que no se ha añadido a Amazon Inspector o que las reglas de filtrado eviten que se pueda analizar la función. Para obtener más información, consulte Análisis de funciones de Lambda.

En cada pestaña, la columna Nombre de la función especifica el nombre de la función de Lambda. La columna Cuenta especifica la Cuenta de AWS propietaria de la función. En Tiempo de ejecución, se especifica el tiempo de ejecución de la función. En la columna Estado, se indica el estado de análisis actual de cada función de Lambda. En Etiquetas de recursos, se muestran las etiquetas que se han aplicado a la función. En la columna Último análisis se muestra la última vez que Amazon Inspector comprobó el recurso en busca de vulnerabilidades. Estas comprobaciones pueden ser por motivo de una actualización de metadatos de los resultados, de una actualización del inventario de aplicaciones del recurso o de un análisis repetido en respuesta a una nueva lista de CVE. Para obtener más información, consulte Comportamientos de los análisis de funciones de Lambda.

Análisis de los valores de estado para funciones de AWS Lambda

En el caso de una función de Lambda, los valores de Estado posibles son los siguientes:

  • Supervisión activa: Amazon Inspector supervisa y analiza continuamente las funciones de Lambda. El análisis continuo incluye un análisis inicial de las nuevas funciones cuando se insertan en el repositorio y de los análisis repetidos y automatizados de funciones cuando se actualizan o cuando se publican nuevas listas de vulnerabilidades y riesgos comunes (CVE).

  • Excluido por etiqueta: Amazon Inspector no analiza esta función porque se ha excluido de los análisis con etiquetas.

  • La elegibilidad del análisis ha caducado: Amazon Inspector no supervisa esta función porque han transcurrido 90 días o más desde que se invocó o actualizó por última vez.

  • Error interno: se ha producido un error interno cuando Amazon Inspector ha intentado analizar la función. Amazon Inspector solucionará automáticamente el error y reanudará el análisis lo antes posible.

  • Pendiente de análisis inicial: Amazon Inspector ha añadido la función a la cola para realizar un análisis inicial.

  • No compatible: la función de Lambda tiene un tiempo de ejecución no compatible.