Plantillas de evaluación y sesiones de evaluación de Amazon Inspector Classic - Amazon Inspector Classic
Plantillas de evaluación de Amazon Inspector ClassicLímites de las plantillas de evaluación de Amazon Inspector Classic Creación de una plantilla de evaluaciónEliminación de una plantilla de evaluaciónEjecuciones de evaluaciónLímites de las sesiones de evaluación de Amazon Inspector Classic Configuración de ejecuciones de evaluación automáticas a través de una función de LambdaConfigurar un tema de SNS para las notificaciones de Amazon Inspector Classic

Esta es la guía del usuario de Amazon Inspector Classic. Para obtener más información acerca de Amazon Inspector, consulte la Guía del usuario de Amazon Inspector. Para acceder a la consola de Amazon Inspector Classic, abra la consola de Amazon Inspector en y https://console.aws.amazon.com/inspector/, a continuación, seleccione Amazon Inspector Classic en el panel de navegación.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Plantillas de evaluación y sesiones de evaluación de Amazon Inspector Classic

Amazon Inspector Classic le ayuda a detectar posibles problemas de seguridad mediante el uso de reglas de seguridad para analizar sus AWS recursos. Amazon Inspector Classic monitorea y recopila datos de comportamiento (telemetría) sobre sus recursos. Los datos incluyen información sobre el uso de canales seguros, el tráfico de red entre los procesos en ejecución y los detalles de la comunicación con AWS los servicios. A continuación, Amazon Inspector Classic analiza y compara los datos con un conjunto de paquetes de reglas de seguridad. Por último, Amazon Inspector Classic genera una lista de resultados que identifican posibles problemas de seguridad con distintos niveles de gravedad.

Para empezar, debe crear un objetivo de evaluación (una colección de recursos de AWS que desea que Amazon Inspector Classic analice). A continuación, cree una plantilla de evaluación (un proyecto que se utiliza para configurar una evaluación). Puede utilizar la plantilla para iniciar una ejecución de evaluación, que es el proceso de análisis y monitorización que produce un conjunto de hallazgos.

Plantillas de evaluación de Amazon Inspector Classic

Una plantilla de evaluación le permite especificar una configuración para sus ejecuciones de evaluación, entre las que se incluyen las siguientes:

  • Paquetes de reglas que Amazon Inspector Classic utiliza para valorar el objetivo de evaluación

  • La duración de la sesión de evaluación: puede establecerse entre 3 minutos y 24 horas. Le recomendamos que establezca la duración de las ejecuciones de evaluación en 1 hora.

  • Los temas de Amazon SNS a los que Amazon Inspector Classic envía notificaciones sobre los estados y los resultados de las ejecuciones de evaluación

  • Los atributos específicos de Amazon Inspector Classic (pares clave-valor) que puede asignar a los resultados generados por la ejecución de evaluación que utiliza esta plantilla de evaluación

Después de que Amazon Inspector Classic cree la plantilla de evaluación, puede etiquetarla como cualquier otro recurso de AWS . Para obtener más información, consulte Editor de etiquetas. El etiquetado de las plantillas de evaluación le permite organizarlas y obtener una mejor vista general de su estrategia de seguridad. Por ejemplo, Amazon Inspector Classic cuenta con una gran cantidad de reglas con las que puede evaluar los objetivos de evaluación. Es posible que desee incluir varios subconjuntos de las reglas disponibles en sus plantillas de evaluación para acotar áreas específicas que le preocupen o para descubrir problemas de seguridad específicos. El etiquetado de las plantillas de evaluación le permite localizarlas y ejecutarlas rápidamente y en cualquier momento, de acuerdo con su estrategia y sus objetivos de seguridad.

importante

Después de crear una plantilla de evaluación, no podrá modificarla.

Límites de las plantillas de evaluación de Amazon Inspector Classic

Puede crear hasta 500 plantillas de evaluación para cada AWS cuenta.

Para obtener más información, consulte Límites de servicio de Amazon Inspector Classic.

Creación de una plantilla de evaluación

Para crear una plantilla de evaluación

  1. Inicie sesión en la consola de Amazon Inspector Classic AWS Management Console y ábrala en https://console.aws.amazon.com/inspector/.

  2. En el panel de navegación, elija Assessment templates (Plantillas de evaluación) y, a continuación, elija Create (Crear).

  3. En Name (Nombre), escriba un nombre para la plantilla de evaluación.

  4. En Target name, seleccione un objetivo de evaluación para analizar.

    nota

    Cuando cree una plantilla de evaluación, puede utilizar el botón Vista previa del objetivo de la página Plantillas de evaluación para revisar todas las instancias de EC2 incluidas en el objetivo de evaluación. Para cada instancia de EC2, puede revisar el nombre del host, el ID de instancia, la dirección IP y, si procede, el estado del agente. El estado del agente puede tener los siguientes valores: EN BUEN ESTADO, EN MAL ESTADO y DESCONOCIDO. Amazon Inspector Classic muestra el estado DESCONOCIDO cuando no puede determinar si hay un agente ejecutándose en la instancia de EC2.

    También puede usar el botón Preview Target de la página Assessment Templates para revisar las instancias EC2 que conforman los objetivos de evaluación incluidos en las plantillas creadas previamente.

  5. En Rules packages, seleccione uno o varios paquetes de reglas para incluir en su plantilla de evaluación.

  6. En Duration, especifique la duración de la plantilla de evaluación.

  7. (Opcional) En temas de SNS, especifique un tema de SNS al que desee que Amazon Inspector Classic envíe notificaciones sobre los estados y los resultados de las ejecuciones de evaluación. Amazon Inspector Classic puede enviar notificaciones de SNS sobre los siguientes eventos:

    • Ha comenzado una ejecución de evaluación

    • Ha finalizado una ejecución de evaluación

    • Ha cambiado el estado de una ejecución de evaluación

    • Se ha generado un hallazgo

    Para obtener más información sobre la configuración de un tema de SNS, consulte Configurar un tema de SNS para las notificaciones de Amazon Inspector Classic.

  8. (Opcional) En Tag (Etiqueta), escriba los valores de Key (Clave) y Value (Valor). Puede agregar varias etiquetas a la plantilla de evaluación.

  9. (Opcional) En Atributos agregados a resultados, escriba los valores Clave y Valor. Amazon Inspector Classic aplica los atributos a todos los resultados generados por la plantilla de evaluación. Puede agregar varios atributos a la plantilla de evaluación. Para obtener más información sobre los hallazgos y el etiquetado de hallazgos, consulte Resultados de Amazon Inspector Classic.

  10. (Opcional) Si desea configurar una programación para las ejecuciones de evaluación con esta plantilla, seleccione la casilla Set up recurring assessment runs once every <number_of_days >, starting now (Configurar ejecuciones de evaluación recurrentes una vez cada <número_de_días>, a partir de ahora) y especifique el patrón de recurrencia (número de días) mediante las flechas arriba y abajo.

    nota

    Al utilizar esta casilla de verificación, Amazon Inspector Classic crea automáticamente una regla de Amazon CloudWatch Events para el programa de ejecución de evaluaciones que esté configurando. A continuación, Amazon Inspector Classic también crea automáticamente un rol de IAM denominado “AWS_InspectorEvents_Invoke_Assessment_Template”. Esta función permite a CloudWatch Events realizar llamadas a la API contra los recursos de Amazon Inspector Classic. Para obtener más información, consulta ¿Qué es Amazon CloudWatch Events? y el uso de políticas basadas en recursos para los CloudWatch eventos.

    nota

    También puede configurar ejecuciones de evaluación automáticas a través de una función de AWS Lambda . Para obtener más información, consulte Configuración de ejecuciones de evaluación automáticas a través de una función de Lambda.

  11. Elija Create and run o Create.

Eliminación de una plantilla de evaluación

Para eliminar una plantilla de evaluación, realice el procedimiento siguiente.

Para eliminar una plantilla de evaluación

  • En la página Assessment Templates (Plantillas de evaluación), elija la plantilla que desea eliminar y, a continuación, elija Delete (Eliminar). Cuando se le pida confirmación, elija Yes (Sí).

    importante

    Cuando se elimina una plantilla de evaluación, también se eliminan todas las ejecuciones de evaluación, los hallazgos y las versiones de los informes relacionados la plantilla.

También se puede eliminar una plantilla de evaluación utilizando la API DeleteAssessmentTemplate.

Ejecuciones de evaluación

Después de crear una plantilla de evaluación, puede utilizarla para iniciar ejecuciones de evaluación. Puedes iniciar varias ejecuciones con la misma plantilla siempre y cuando te mantengas dentro del límite de ejecuciones de cada AWS cuenta. Para obtener más información, consulte Límites de las sesiones de evaluación de Amazon Inspector Classic .

Si utiliza la consola de Amazon Inspector Classic, deberá iniciar la primera ejecución de su nueva plantilla de evaluación desde la página Plantillas de evaluación. Después de iniciar la ejecución, puede usar la página Assessment runs para monitorizar el progreso de la ejecución. Utilice los botones Run, Cancel y Delete para iniciar, cancelar o eliminar una ejecución. También puede consultar los detalles de la misma, incluido el ARN, los paquetes de reglas seleccionados, las etiquetas y los atributos aplicados, etc.

Para las posteriores ejecuciones de la plantilla de evaluación, puede usar los botones Run, Cancel y Delete que se encuentran en la página Assessment templates o en la página Assessment runs.

Eliminación de una ejecución de evaluación

Para eliminar una ejecución de evaluación, realice el procedimiento siguiente.

Para eliminar una ejecución

  • En la página Assessment runs (Ejecuciones de evaluación), elija la ejecución que desea eliminar y, a continuación, elija Delete (Eliminar). Cuando se le pida confirmación, elija Yes (Sí).

    importante

    Cuando se elimina una ejecución, también se eliminan todos los hallazgos y todas las versiones del informe para esa ejecución.

También puede eliminar una ejecución con la API DeleteAssessmentRun.

Límites de las sesiones de evaluación de Amazon Inspector Classic

Puede crear hasta 50 000 ejecuciones de evaluación para cada AWS cuenta.

Puede ejecutar varias ejecuciones al mismo tiempo, siempre y cuando los objetivos empleados para las ejecuciones no contengan instancias de EC2 que se solapen.

Para obtener más información, consulte Límites de servicio de Amazon Inspector Classic.

Configuración de ejecuciones de evaluación automáticas a través de una función de Lambda

Si desea configurar una programación recurrente para una evaluación, puede configurar la plantilla de evaluación para que se ejecute automáticamente mediante la creación de una función de Lambda en la consola de AWS Lambda . Para obtener más información, consulte Funciones de Lambda.

Para configurar las evaluaciones automáticas mediante la AWS Lambda consola, lleve a cabo el siguiente procedimiento.

Para configurar ejecuciones automáticas a través de una función de Lambda

  1. Inicie sesión en la AWS Management ConsoleAWS Lambda consola y ábrala.

  2. En el panel de navegación, elija Panel o Funciones y, a continuación, elija Crear una función de Lambda.

  3. En la página Create function (Crear función), elija Browse serverless app repository (Examinar el repositorios de aplicación sin servidor) e introduzca inspector en el campo de búsqueda.

  4. Elija el proyecto inspector-scheduled-run.

  5. En la página Revisar, configurar e implementar, configure un programa periódico para las ejecuciones automatizadas especificando un CloudWatch evento que active su función. Para ello, escriba un nombre y una descripción para la regla y elija una expresión para la programación. La expresión de la programación determina la frecuencia con la que se efectúa la ejecución, por ejemplo, cada 15 minutos o una vez al día. Para obtener más información sobre CloudWatch eventos y conceptos, consulte ¿Qué es Amazon CloudWatch Events?

    Si activa la casilla Enable trigger (Activar disparador), comenzará la ejecución inmediatamente después de finalizar la creación de la función. Las ejecuciones automatizadas subsiguiente siguen el patrón de recurrencia que especifique en el campo Schedule expression (Programar expresión). Si no activa la casilla de verificación Enable trigger al crear la función, podrá editar la función más adelante para habilitar este activador.

  6. En la página Configure function, especifique lo siguiente:

    • En Name (Nombre), escriba un nombre para la función.

    • (Opcional) En Description (Descripción), escriba una descripción que le ayude a identificar la función posteriormente.

    • Para el tiempo de ejecución, mantenga el valor predeterminado deNode.js 8.10. AWS Lambda solo admite el inspector-scheduled-runblueprint durante el Node.js 8.10 tiempo de ejecución.

    • La plantilla de evaluación que quiera ejecutar automáticamente con esta función. Para ello, debe proporcionar el valor de la variable de entorno llamada assessmentTemplateArn.

    • Deje el controlador en el valor predeterminado, index.handler.

    • Los permisos para su función se configuran con el campo Role. Para obtener más información, consulte Modelo de permisos de AWS Lambda.

      Para ejecutar esta función, necesita un rol de IAM que le permita AWS Lambda iniciar las ejecuciones y escribir mensajes de registro sobre las ejecuciones, incluidos los errores, en Amazon CloudWatch Logs. AWS Lambda asume esta función para cada ejecución automática periódica. Por ejemplo, puede adjuntar la siguiente muestra de política a este rol de IAM:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. Revise la selección y, a continuación, elija Create function.

Configurar un tema de SNS para las notificaciones de Amazon Inspector Classic

Amazon Simple Notification Service (Amazon SNS) es un servicio web que envía mensajes a los puntos de enlace o clientes suscritos. Puede usar Amazon SNS para configurar notificaciones de Amazon Inspector. Classic.

Para configurar un tema de SNS con relación a las notificaciones

  1. Cree un tema de SNS. Consulte Tutorial: Creación de un tema de Amazon SNS. Al crear el tema, expanda la sección Access policy - optional (Política de acceso: opcional). Haga lo siguiente para permitir que la evaluación envíe mensajes al tema:

    1. Para Seleccionar método, escoja Basic (Básico).

    2. En Definir quién puede publicar mensajes en el tema, selecciona Solo las AWS cuentas especificadas y, a continuación, introduce el ARN de la cuenta de la región en la que vas a crear el tema:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)- arn ::iam: :206278770380:root aws-us-gov

      • AWS GovCloud (US-West)- ran ::iamaws-us-gov: :850862329162:root

    3. En Definir quién puede suscribirse a este tema, selecciona Solo las AWS cuentas especificadas y, a continuación, introduce el ARN de la cuenta de la región en la que vas a crear el tema.

    4. Para evitar que Inspector sea utilizado como un suplente confuso, según se detalla en el Problema del suplente confuso de la Guía del usuario de IAM, haga lo siguiente:

      1. Seleccione Avanzado. Esto lo llevará al editor de JSON.

      2. Agregue la siguiente condición:

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (Opcional) Para obtener información adicional sobre aws: SourceAccount y aws:SourceArn, consulte las claves de contexto de condición globales en la Guía del usuario de IAM.

    6. Actualice otras configuraciones para el tema según sea necesario y, a continuación, seleccione Create topic (Seleccionar tema).

  2. (Opcional) Para crear un tema de SNS cifrado, consulte Cifrado en reposo en la Guía para desarrolladores de SNS.

  3. Para evitar que Inspector sea utilizado como un suplente confuso para su clave KMS, siga los pasos que se indican a continuación:

    1. Vaya a su CMK en la consola de KMS.

    2. Elija Editar.

    3. Agregue la siguiente condición:

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. Cree una suscripción para el tema que ha creado. Para obtener más información, consulte Tutorial: suscripción de un punto de enlace a un tema de Amazon SNS.

  5. Para confirmar que la suscripción se ha configurado de forma correcta, publique un mensaje para el tema. Para obtener más información, consulte Tutorial: publicación de un mensaje a un tema de Amazon SNS.