Valutazione della copertura di Amazon Inspector del tuo ambiente AWS - Amazon Inspector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valutazione della copertura di Amazon Inspector del tuo ambiente AWS

Puoi valutare la copertura di Amazon Inspector del tuo AWS ambiente dalla schermata di gestione dell'account nella console Amazon Inspector, che mostra dettagli e statistiche sullo stato delle scansioni di Amazon Inspector per i tuoi account e le tue risorse.

Nota

Se sei l'amministratore delegato di un'organizzazione, puoi visualizzare dettagli e statistiche per tutti gli account dell'organizzazione.

La procedura seguente descrive come valutare la copertura del tuo ambiente Amazon Inspector.

Per valutare la copertura di Amazon Inspector del tuo ambiente AWS
  1. Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.

  2. Dal pannello di navigazione, scegli Gestione dell'account.

  3. Per rivedere la copertura, scegli una delle seguenti schede:

    • Scegli Account per esaminare la copertura a livello di account.

    • Scegli Istanze per esaminare la copertura delle istanze Amazon Elastic Compute Cloud EC2 (Amazon).

    • Scegli i repository Container per esaminare la copertura dei repository Amazon Elastic Container Registry (AmazonECR).

    • Scegli Immagini dei container per esaminare la copertura delle immagini dei ECR container Amazon.

    • Scegli le funzioni Lambda per esaminare la copertura delle funzioni Lambda.

I seguenti argomenti descrivono le informazioni fornite da ciascuna di queste schede.

Valutazione della copertura a livello di account

Se il tuo account non fa parte di un'organizzazione o non è l'account amministratore delegato di Amazon Inspector di un'organizzazione, la scheda Account fornisce informazioni sul tuo account e sullo stato della scansione delle risorse per il tuo account. In questa scheda, puoi attivare o disattivare la scansione di tutti o solo tipi specifici di risorse per il tuo account. Per ulteriori informazioni, consulta Tipi di scansione automatizzati in Amazon Inspector.

Se il tuo account è l'account amministratore delegato di Amazon Inspector per un'organizzazione, la scheda Account fornisce le impostazioni di attivazione automatica per gli account della tua organizzazione ed elenca tutti gli account dell'organizzazione. Per ogni account, l'elenco indica se Amazon Inspector è attivato per l'account e, in caso affermativo, i tipi di scansione delle risorse attivati per l'account. In qualità di amministratore delegato, puoi utilizzare questa scheda per modificare le impostazioni di attivazione automatica per la tua organizzazione. È inoltre possibile attivare o disattivare tipi specifici di scansione delle risorse per gli account dei singoli membri. Per ulteriori informazioni, consulta Attivazione delle scansioni Amazon Inspector per gli account dei membri.

Valutazione della copertura delle istanze Amazon EC2

La scheda Istanze mostra le EC2 istanze Amazon presenti nel tuo AWS ambiente. Gli elenchi sono organizzati in gruppi nelle seguenti schede:

  • Tutto: mostra tutte le istanze presenti nell'ambiente. La colonna Stato indica lo stato di scansione corrente di un'istanza.

  • Scansione: mostra tutte le istanze che Amazon Inspector monitora e analizza attivamente nel tuo ambiente.

  • Nessuna scansione: mostra tutte le istanze che Amazon Inspector non monitora e non analizza nel tuo ambiente. La colonna Reason indica perché Amazon Inspector non monitora e analizza un'istanza.

    Un'EC2istanza può apparire nella scheda Not scanning per diversi motivi. Amazon Inspector utilizza AWS Systems Manager (SSM) e l'SSMagente per monitorare e scansionare automaticamente EC2 le istanze alla ricerca di vulnerabilità. Se un'istanza non ha l'SSMagente in esecuzione, non ha un ruolo AWS Identity and Access Management (IAM) che supporti Systems Manager o non esegue un sistema operativo o un'architettura supportati, Amazon Inspector non può monitorare e scansionare l'istanza. Per ulteriori informazioni, consulta Scansione delle EC2 istanze Amazon.

In ogni scheda, la colonna Account specifica l'istanza Account AWS che possiede un'istanza.

EC2tag di istanza: questa colonna mostra i tag associati all'istanza e può essere utilizzata per determinare se l'istanza è stata esclusa dalle scansioni per tag.

Sistema operativo: questa colonna mostra il tipo di sistema operativo, che può essereWINDOWS, MACLINUX, oUNKNOWN.

Utilizzo monitorato: questa colonna mostra se Amazon Inspector utilizza il metodo di scansione basato su agenti o senza agente su questa istanza.

Ultima scansione: questa colonna mostra l'ultima volta che Amazon Inspector ha verificato la presenza di vulnerabilità nella risorsa. La frequenza con cui Amazon Inspector esegue le scansioni dipende dal metodo di scansione utilizzato per scansionare l'istanza.

Per visualizzare ulteriori dettagli su un'EC2istanza, scegli il link nella colonna dell'EC2istanza. Amazon Inspector visualizza quindi i dettagli sull'istanza e i risultati correnti relativi all'istanza. Per esaminare i dettagli di un risultato, scegli il link nella colonna Titolo. Per informazioni su questi dettagli, consultaVisualizzazione dei dettagli relativi ai risultati di Amazon Inspector.

Valori dello stato di scansione per le EC2 istanze Amazon

Per un'istanza Amazon Elastic Compute Cloud (AmazonEC2), i possibili valori Status sono:

  • Monitoraggio attivo: Amazon Inspector monitora e analizza continuamente l'istanza.

  • Limite di storage dell'istanza senza agente superato: Amazon Inspector utilizza questo stato quando la dimensione combinata di tutti i volumi collegati a un'istanza è superiore a 1200 GB o un'istanza ha più di 8 volumi collegati.

  • Limite di tempo di raccolta delle istanze senza agente superato: Amazon Inspector si verifica un timeout durante il tentativo di eseguire una scansione senza agente su un'istanza.

  • EC2istanza interrotta: Amazon Inspector ha sospeso la scansione dell'istanza perché l'istanza si trova in uno stato interrotto. Tutti i risultati esistenti persisteranno fino alla chiusura dell'istanza. Se l'istanza viene riavviata, Amazon Inspector riprenderà automaticamente la scansione dell'istanza.

  • Errore interno: si è verificato un errore interno quando Amazon Inspector ha tentato di scansionare l'istanza. Amazon Inspector risolverà automaticamente l'errore e riprenderà la scansione il prima possibile.

  • Nessun inventario: Amazon Inspector non è riuscito a trovare l'inventario delle applicazioni software da scansionare per l'istanza. Le associazioni Amazon Inspector per l'istanza potrebbero essere state eliminate o potrebbero non essere state eseguite.

    Per risolvere questo problema, usa AWS Systems Manager per assicurarti che l'InspectorInventoryCollection-do-not-deleteassociazione esista e che il suo stato di associazione abbia esito positivo. Inoltre, utilizzate AWS Systems Manager Fleet Manager per verificare l'inventario delle applicazioni software per l'istanza.

  • Disattivazione in sospeso: Amazon Inspector ha interrotto la scansione dell'istanza. L'istanza viene disabilitata, in attesa del completamento delle attività di pulizia.

  • Scansione iniziale in sospeso: Amazon Inspector ha messo in coda l'istanza per una scansione iniziale.

  • Risorsa terminata: l'istanza è stata terminata. Amazon Inspector sta attualmente ripulendo i risultati e i dati di copertura esistenti per l'istanza.

  • Inventario obsoleto: Amazon Inspector non è stato in grado di raccogliere un inventario aggiornato delle applicazioni software acquisito negli ultimi 7 giorni per l'istanza.

    Per risolvere questo problema, assicurati che AWS Systems Manager le associazioni Amazon Inspector richieste esistano e siano in esecuzione per l'istanza. Inoltre, utilizza AWS Systems Manager Fleet Manager per verificare l'inventario delle applicazioni software per l'istanza.

  • EC2Istanza non gestita: Amazon Inspector non monitora o analizza l'istanza. L'istanza non è gestita da. AWS Systems Manager

    Per risolvere questo problema, puoi utilizzare il AWSSupport-TroubleshootManagedInstance runbookfornito da AWS Systems Manager Automation. Dopo la configurazione AWS Systems Manager per la gestione dell'istanza, Amazon Inspector inizierà automaticamente a monitorare e scansionare continuamente l'istanza.

  • Sistema operativo non supportato: Amazon Inspector non monitora o scansiona l'istanza. L'istanza utilizza un sistema operativo o un'architettura che Amazon Inspector non supporta. Per un elenco dei sistemi operativi supportati da Amazon Inspector, consulta. Valori di stato EC2 delle istanze Amazon

  • Monitoraggio attivo con errori parziali: questo stato indica che EC2 la scansione è attiva, ma sono presenti errori associatiIspezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2. I possibili errori di ispezione approfondita sono:

    • Limite di raccolta dei pacchetti con ispezione approfondita superato: l'istanza ha superato il limite di 5000 pacchetti per l'ispezione approfondita di Amazon Inspector. Per riprendere l'ispezione approfondita per questa istanza, puoi provare a modificare i percorsi personalizzati associati all'account.

    • Superato il limite di inventario ssm giornaliero di Deep Inspector: l'SSMagente non è riuscito a inviare l'inventario ad Amazon Inspector perché SSM la quota di dati di inventario raccolti per istanza al giorno per questa istanza è già stata raggiunta. Per ulteriori informazioni, consulta Endpoint e quote di Amazon EC2 Systems Manager.

    • Superato il limite di ritiro per l'ispezione approfondita: Amazon Inspector non è riuscito a estrarre l'inventario del pacco perché il tempo di ritiro del pacco ha superato la soglia massima di 15 minuti.

    • L'ispezione approfondita non ha un inventario: il SSMplug-in Amazon Inspector non è ancora stato in grado di raccogliere un inventario dei pacchetti per questo caso. Di solito è il risultato di una scansione in sospeso, tuttavia, se questo stato persiste dopo 6 ore, usa Amazon EC2 Systems Manager per assicurarti che le associazioni Amazon Inspector richieste esistano e siano in esecuzione per l'istanza.

Per dettagli sulla configurazione delle impostazioni di scansione per un'EC2istanza, consulta. Scansione delle EC2 istanze Amazon

Valutazione della copertura dei repository Amazon ECR

La scheda Repositories mostra i ECR repository Amazon nel tuo AWS ambiente. Gli elenchi sono organizzati in gruppi nelle seguenti schede:

  • Tutti: mostra tutti i repository presenti nell'ambiente. La colonna Stato indica lo stato di scansione corrente di un repository.

  • Attivato: mostra tutti i repository che Amazon Inspector è configurato per monitorare e scansionare nel tuo ambiente. La colonna Status indica lo stato di scansione corrente di un repository.

  • Non attivato: mostra tutti i repository che Amazon Inspector non monitora e non analizza nel tuo ambiente. La colonna Reason indica perché Amazon Inspector non monitora e scansiona un repository.

In ogni scheda, la colonna Account specifica il Account AWS proprietario di un repository.

Per esaminare ulteriori dettagli su un repository, scegli il nome del repository. Amazon Inspector visualizza quindi un elenco di immagini dei container nel repository e i dettagli per ogni immagine. I dettagli includono il tag dell'immagine, l'image digest e lo stato della scansione. Includono anche statistiche chiave sui risultati, come il numero di risultati critici per l'immagine. Per approfondire ed esaminare i dati di supporto per la ricerca di statistiche, scegli il tag dell'immagine.

Valori dello stato di scansione per i ECR repository Amazon

Per un repository Amazon Elastic Container Registry (AmazonECR), i valori Status possibili sono:

  • Attivato (continuo): per un repository, Amazon Inspector monitora continuamente le immagini in questo repository. L'impostazione di scansione avanzata per il repository è impostata sulla scansione continua. Amazon Inspector esegue inizialmente la scansione di nuove immagini quando vengono inviate e scansiona nuovamente le immagini se ne viene pubblicata una nuova CVE pertinente. Amazon Inspector continuerà a monitorare le immagini in questo repository per la durata della ECRnuova scansione di Amazon configurata.

  • Attivato (in modalità push): Amazon Inspector analizza automaticamente le immagini dei singoli container nel repository quando viene inviata una nuova immagine. La scansione avanzata è attivata per il repository e impostata per la scansione in modalità push.

  • Accesso negato: Amazon Inspector non è autorizzato ad accedere al repository o alle immagini dei container in esso contenute.

    Per risolvere questo problema, assicurati che le politiche AWS Identity and Access Management (IAM) per il repository consentano ad Amazon Inspector di accedere al repository.

  • Disattivato (manuale): Amazon Inspector non monitora o scansiona le immagini dei container nel repository. L'impostazione di ECR scansione Amazon per il repository è impostata sulla scansione manuale di base.

    Per iniziare a scansionare le immagini nel repository con Amazon Inspector, modifica l'impostazione di scansione del repository su Scansione avanzata, quindi scegli se scansionare le immagini in modo continuo o solo quando viene inviata una nuova immagine.

  • Attivato (in modalità push): Amazon Inspector analizza automaticamente le immagini dei singoli container nel repository quando viene inviata una nuova immagine. L'impostazione di scansione avanzata per il repository è impostata per la scansione in modalità push.

  • Errore interno: si è verificato un errore interno quando Amazon Inspector ha tentato di scansionare il repository. Amazon Inspector risolverà automaticamente l'errore e riprenderà la scansione il prima possibile.

Per informazioni dettagliate sulla configurazione delle impostazioni di scansione per gli archivi. Scansione delle immagini dei ECR container Amazon

Valutazione della copertura delle immagini dei ECR container Amazon

La scheda Immagini mostra le immagini dei ECR container Amazon nel tuo AWS ambiente. Gli elenchi sono organizzati in gruppi nelle seguenti schede:

  • Tutto: mostra tutte le immagini dei contenitori presenti nell'ambiente. La colonna Stato indica lo stato di scansione corrente di un'immagine.

  • Scansione: mostra tutte le immagini dei container che Amazon Inspector è configurato per monitorare e scansionare nel tuo ambiente. La colonna Status indica lo stato di scansione corrente di un'immagine.

  • Nessuna scansione: mostra tutte le immagini dei container che Amazon Inspector non monitora e non analizza nel tuo ambiente. La colonna Reason indica perché Amazon Inspector non monitora e scansiona un'immagine.

    L'immagine di un contenitore può apparire nella scheda Non attivato per diversi motivi. L'immagine potrebbe essere archiviata in un repository per il quale le scansioni di Amazon Inspector non sono attivate oppure le regole di filtro di ECR Amazon impediscono la scansione di tale repository. Oppure l'immagine non è stata inserita o recuperata entro il numero di giorni configurato per la durata della nuova scansione. ECR Per ulteriori informazioni, consulta Configurazione della durata della ECR nuova scansione di Amazon.

In ogni scheda, la colonna Repository name specifica il nome del repository che memorizza l'immagine del contenitore. La colonna Account specifica il proprietario del Account AWS repository. La colonna Ultima scansione mostra quando Amazon Inspector ha controllato l'ultima volta la risorsa per individuare eventuali vulnerabilità. Ciò può includere controlli in caso di aggiornamento della ricerca dei metadati, di aggiornamento dell'inventario delle applicazioni della risorsa o di esecuzione di una nuova scansione in risposta a una nuova scansione. CVE Per ulteriori informazioni, consulta Comportamenti di scansione per Amazon ECR scan.

Per visualizzare ulteriori dettagli sull'immagine di un contenitore, scegliete il link nella colonna dell'immagine del ECR contenitore. Amazon Inspector visualizza quindi i dettagli sull'immagine e i risultati attuali relativi all'immagine. Per esaminare i dettagli di un risultato, scegli il link nella colonna Titolo. Per informazioni su questi dettagli, consultaVisualizzazione dei dettagli relativi ai risultati di Amazon Inspector.

Valori dello stato di scansione per le immagini dei ECR container Amazon

Per un'immagine del contenitore Amazon Elastic Container Registry, i possibili valori Status sono:

  • Monitoraggio attivo (continuo): Amazon Inspector monitora continuamente e l'immagine e le nuove scansioni vengono eseguite su di essa ogni volta che viene pubblicata una nuova pertinenteCVE. La durata della ECR nuova scansione di Amazon per l'immagine viene aggiornata ogni volta che l'immagine viene spinta o estratta. La scansione avanzata è abilitata per l'archivio che memorizza l'immagine e l'impostazione di scansione avanzata per l'archivio è impostata sulla scansione continua.

  • Attivato (in modalità push): Amazon Inspector esegue automaticamente la scansione dell'immagine ogni volta che viene inviata una nuova immagine. La scansione avanzata è attivata per l'archivio che memorizza l'immagine e l'impostazione di scansione avanzata per il repository è impostata per la scansione in modalità push.

  • Errore interno: si è verificato un errore interno quando Amazon Inspector ha tentato di scansionare l'immagine del contenitore. Amazon Inspector risolverà automaticamente l'errore e riprenderà la scansione il prima possibile.

  • Scansione iniziale in sospeso: Amazon Inspector ha messo in coda l'immagine per una scansione iniziale.

  • Idoneità alla scansione scaduta (continua): Amazon Inspector ha sospeso la scansione dell'immagine. L'immagine non è stata aggiornata entro la durata specificata per le scansioni automatiche delle immagini nel repository. È possibile premere o tirare l'immagine per riprendere la scansione.

  • Idoneità alla scansione scaduta (in fase di invio): Amazon Inspector ha sospeso la scansione dell'immagine. L'immagine non è stata aggiornata entro la durata specificata per le scansioni automatiche delle immagini nel repository. È possibile premere l'immagine per riprendere la scansione.

  • Frequenza di scansione manuale (manuale): Amazon Inspector non esegue la scansione dell'immagine del ECR contenitore Amazon. L'impostazione di ECR scansione Amazon per il repository che memorizza l'immagine è impostata sulla scansione manuale di base. Per avviare la scansione automatica dell'immagine con Amazon Inspector, modifica l'impostazione del repository su Enhanced Scanning, quindi scegli se scansionare le immagini in modo continuo o solo quando viene inviata una nuova immagine.

  • Sistema operativo non supportato: Amazon Inspector non monitora o scansiona l'immagine. L'immagine è basata su un sistema operativo non supportato da Amazon Inspector o utilizza un tipo di supporto non supportato da Amazon Inspector.

    Per un elenco dei sistemi operativi supportati da Amazon Inspector, consulta. Sistemi operativi supportati: Amazon ECR scan con Amazon Inspector Per un elenco dei tipi di file multimediali supportati da Amazon Inspector, consulta Tipi di file multimediali supportati.

Per dettagli sulla configurazione delle impostazioni di scansione per archivi e immagini, consulta. Scansione delle immagini dei ECR container Amazon

Valutazione della copertura delle funzioni AWS Lambda

La scheda Lambda mostra le funzioni Lambda nel tuo ambiente. AWS Questa pagina contiene due tabelle, una che mostra i dettagli della copertura delle funzioni per la scansione standard Lambda e l'altra per la scansione del codice Lambda. È possibile raggruppare le funzioni in base alle seguenti schede:

  • Tutte: mostra tutte le funzioni Lambda nel tuo ambiente. La colonna Status indica lo stato di scansione corrente per una funzione Lambda.

  • Scansione: mostra le funzioni Lambda che Amazon Inspector è configurato per scansionare. La colonna Status indica lo stato di scansione corrente per ogni funzione Lambda.

  • Nessuna scansione: mostra le funzioni Lambda che Amazon Inspector non è configurato per scansionare. La colonna Reason indica perché Amazon Inspector non monitora e analizza una funzione.

    Una funzione Lambda può apparire nella scheda Not scanning per diversi motivi. La funzione Lambda potrebbe appartenere a un account che non è stato aggiunto ad Amazon Inspector o le regole di filtro impediscono la scansione di questa funzione. Per ulteriori informazioni, consulta Funzioni di scansione Lambda.

In ogni scheda, la colonna Nome funzione specifica il nome della funzione Lambda. La colonna Account specifica il proprietario della Account AWS funzione. Runtime specifica il runtime della funzione. La colonna Status indica lo stato di scansione corrente per ogni funzione Lambda. I tag delle risorse mostrano i tag che sono stati applicati alla funzione. La colonna Ultima scansione mostra quando Amazon Inspector ha controllato l'ultima volta la risorsa per individuare eventuali vulnerabilità. Ciò può includere controlli in caso di aggiornamento della ricerca dei metadati, di aggiornamento dell'inventario delle applicazioni della risorsa o di esecuzione di una nuova scansione in risposta a una nuova scansione. CVE Per ulteriori informazioni, consulta Comportamenti di scansione per la scansione della funzione Lambda.

Scansione dei valori di stato delle funzioni AWS Lambda

Per una funzione Lambda, i possibili valori Status sono:

  • Monitoraggio attivo: Amazon Inspector monitora e analizza continuamente le funzioni Lambda. La scansione continua include una scansione iniziale delle nuove funzioni quando vengono inserite nell'archivio e una nuova scansione automatica delle funzioni quando vengono aggiornate o quando vengono rilasciate nuove vulnerabilità ed esposizioni comuni (). CVEs

  • Esclusa per tag: Amazon Inspector non analizza questa funzione perché è stata esclusa dalle scansioni tramite tag.

  • Idoneità alla scansione scaduta: Amazon Inspector non monitora questa funzione perché sono trascorsi 90 giorni o più dall'ultima volta che è stata richiamata o aggiornata.

  • Errore interno: si è verificato un errore interno quando Amazon Inspector ha tentato di scansionare la funzione. Amazon Inspector risolverà automaticamente l'errore e riprenderà la scansione il prima possibile.

  • Scansione iniziale in sospeso: Amazon Inspector ha messo in coda la funzione per una scansione iniziale.

  • Non supportato: la funzione Lambda ha un runtime non supportato.