Modelli di valutazione ed esecuzioni di valutazione di Amazon Inspector Classic - Amazon Inspector Classic
Modelli di valutazione Amazon Inspector ClassicLimiti dei modelli di valutazione Amazon Inspector Classic Creazione di un modello di valutazioneEliminazione di un modello di valutazioneEsecuzioni di valutazioniLimiti dei cicli di valutazione di Amazon Inspector Classic L'impostazione della valutazione automatica avviene tramite una funzione LambdaConfigurazione di un argomento SNS per le notifiche di Amazon Inspector Classic

Questa è la guida per l'utente di Amazon Inspector Classic. Per informazioni sul nuovo Amazon Inspector, consulta la Amazon Inspector User Guide. Per accedere alla console Amazon Inspector Classic, apri la console Amazon Inspector https://console.aws.amazon.com/inspector/all'indirizzo, quindi scegli Amazon Inspector Classic nel pannello di navigazione.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modelli di valutazione ed esecuzioni di valutazione di Amazon Inspector Classic

Amazon Inspector Classic ti aiuta a scoprire potenziali problemi di sicurezza utilizzando regole di sicurezza per analizzare le tue AWS risorse. Amazon Inspector Classic monitora e raccoglie dati comportamentali (telemetria) sulle tue risorse. I dati includono informazioni sull'uso di canali sicuri, sul traffico di rete tra i processi in esecuzione e dettagli sulla comunicazione con i servizi. AWS Successivamente, Amazon Inspector Classic analizza e confronta i dati con una serie di pacchetti di regole di sicurezza. Infine, Amazon Inspector Classic produce un elenco di risultati che identificano potenziali problemi di sicurezza di vari livelli di gravità.

Per iniziare, crei un obiettivo di valutazione (una raccolta di AWS risorse che desideri che Amazon Inspector Classic analizzi). Crea quindi un modello di valutazione (un modello usato per configurare la valutazione). Il modello consente di avviare un'esecuzione di valutazioni, ovvero il processo di monitoraggio e analisi che restituirà un set di risultati.

Modelli di valutazione Amazon Inspector Classic

Un modello di valutazione consente di specificare una configurazione per le esecuzioni di valutazioni, inclusi i seguenti elementi:

  • Pacchetti di regole utilizzati da Amazon Inspector Classic per valutare l'obiettivo di valutazione

  • Durata dell'esecuzione della valutazione: puoi impostare la durata di un'esecuzione di valutazione compresa tra 3 minuti e 24 ore. Ti consigliamo di impostare la durata delle esecuzioni di valutazioni su 1 ora.

  • Argomenti di Amazon SNS a cui Amazon Inspector Classic invia notifiche sugli stati e sui risultati dell'esecuzione della valutazione

  • Attributi di Amazon Inspector Classic (coppie chiave-valore) che puoi assegnare ai risultati generati dall'esecuzione di valutazione che utilizza questo modello di valutazione

Dopo che Amazon Inspector Classic ha creato il modello di valutazione, puoi etichettarlo come qualsiasi altra AWS risorsa. Per ulteriori informazioni, consulta Editor di tag. Il tagging dei modelli di valutazione consente di organizzarli e ottenere una panoramica più precisa sulla strategia di sicurezza adottata. Ad esempio, Amazon Inspector Classic offre un gran numero di regole in base alle quali puoi valutare i tuoi obiettivi di valutazione. Puoi decidere di includere vari sottoinsiemi di regole nei tuoi modelli di valutazione per gestire specifiche aree problematiche o per far emergere determinati problemi di sicurezza. Il tagging dei modelli di valutazione consente di individuare ed eseguire rapidamente i modelli in qualsiasi momento in modo conforme con le strategie e gli obiettivi di sicurezza correnti.

Importante

Dopo aver creato un modello di valutazione, non puoi più modificarlo.

Limiti dei modelli di valutazione Amazon Inspector Classic

Puoi creare fino a 500 modelli di valutazione per ogni AWS account.

Per ulteriori informazioni, consulta Limiti del servizio Amazon Inspector Classic.

Creazione di un modello di valutazione

Per creare un modello di valutazione

  1. Accedi AWS Management Console e apri la console Amazon Inspector Classic all'indirizzo https://console.aws.amazon.com/inspector/.

  2. Nel riquadro di navigazione selezionare Assessment templates (Modelli di valutazione), quindi Create (Crea).

  3. In Name (Nome) immettere un nome per il modello di valutazione.

  4. In Target name (Nome destinazione), scegliere il target di valutazione da analizzare.

    Nota

    Quando crei un modello di valutazione, puoi utilizzare il pulsante Preview Target nella pagina Assessment Templates per esaminare tutte le istanze EC2 incluse nell'obiettivo di valutazione. Per ogni istanza EC2, puoi esaminare il nome host, l'ID dell'istanza, l'indirizzo IP e, se applicabile, lo stato dell'agente. Lo stato dell'agente può avere i seguenti valori: HEALTHY, UNHEALTHY e UNKNOWN. Amazon Inspector Classic mostra uno stato UNKNOWN quando non è in grado di determinare se c'è un agente in esecuzione sull'istanza EC2.

    Puoi usare il pulsante Preview Target (Anteprima target) nella pagina Assessment Templates (Modelli di valutazione) anche per rivedere le istanze EC2 che compongono i target di valutazione inclusi nei modelli precedentemente creati.

  5. In Rules packages (Pacchetti di regole), scegliere uno o più pacchetti di regole da includere nel modello di valutazione.

  6. Nel campo Duration (Durata) specifica la durata del modello di valutazione.

  7. (Facoltativo) Per gli argomenti relativi a SNS, specifica un argomento SNS a cui desideri che Amazon Inspector Classic invii notifiche sugli stati e sui risultati delle esecuzioni di valutazione. Amazon Inspector Classic può inviare notifiche SNS sui seguenti eventi:

    • Avvio di un'esecuzione di valutazioni

    • Completamento di un'esecuzione di valutazioni

    • Modifica dello stato di un'esecuzione di valutazioni

    • Generazione di un risultato

    Per ulteriori informazioni sulla configurazione di un argomento SNS, consulta Configurazione di un argomento SNS per le notifiche di Amazon Inspector Classic.

  8. (Opzionale) In Tag inserire i valori per Key (Chiave) e Value (Valore). Al modello di valutazione puoi aggiungere più tag.

  9. (Facoltativo) Per gli attributi aggiunti ai risultati, inserisci i valori per Chiave e Valore. Amazon Inspector Classic applica gli attributi a tutti i risultati generati dal modello di valutazione. Al modello di valutazione puoi aggiungere più attributi. Per ulteriori informazioni sui risultati e sul relativo tagging, consulta Risultati di Amazon Inspector Classic.

  10. (Facoltativo) Per impostare una pianificazione per le esecuzioni di valutazioni utilizzando questo modello, selezionare la casella di controllo Set up recurring assessment runs once every <number_of_days>, starting now (Configura esecuzioni di valutazioni ricorrenti ogni <numero_di_giorni> a partire da adesso) e specificare la frequenza (numero di giorni) usando i tasti freccia su e freccia giù della tastiera.

    Nota

    Quando utilizzi questa casella di controllo, Amazon Inspector Classic crea automaticamente una regola Amazon CloudWatch Events per la pianificazione delle esecuzioni di valutazione che stai configurando. Amazon Inspector Classic crea quindi automaticamente anche un ruolo IAM denominato. AWS_InspectorEvents_Invoke_Assessment_Template Questo ruolo consente a CloudWatch Events di effettuare chiamate API contro le risorse Amazon Inspector Classic. Per ulteriori informazioni, consulta Che cos'è Amazon CloudWatch Events? e utilizzo di politiche basate sulle risorse per gli eventi. CloudWatch

    Nota

    È anche possibile configurare esecuzioni di valutazioni automatiche tramite una funzione AWS Lambda . Per ulteriori informazioni, consulta L'impostazione della valutazione automatica avviene tramite una funzione Lambda.

  11. Scegli Create and run (Crea ed esegui) o Create (Crea).

Eliminazione di un modello di valutazione

Per eliminare un modello di valutazione, esegui questa procedura.

Per eliminare un modello di valutazione

  • Nella pagina Assessment Templates (Modelli di valutazione) scegliere il modello da eliminare, quindi Delete (Elimina). Quando viene richiesta la conferma, scegli .

    Importante

    Quando elimini un modello di valutazione, verranno eliminati anche tutti i modelli di valutazione, tutte le valutazioni eseguite, tutti i risultati e tutte le versioni dei report associati al modello.

Puoi eliminare un modello di valutazione anche usando l'API DeleteAssessmentTemplate.

Esecuzioni di valutazioni

Dopo aver creato un modello di valutazione, puoi utilizzarlo per avviare le esecuzioni di valutazioni. Puoi avviare più esecuzioni utilizzando lo stesso modello purché rimanga entro il limite di esecuzioni per ogni account. AWS Per ulteriori informazioni, consulta Limiti dei cicli di valutazione di Amazon Inspector Classic .

Se utilizzi la console Amazon Inspector Classic, devi avviare la prima esecuzione del nuovo modello di valutazione dalla pagina dei modelli di valutazione. Una volta avviata l'esecuzione, puoi usare la pagina Assessment runs (Esecuzioni di valutazioni) per monitorare l'avanzamento del processo. Usa i pulsanti Run (Esegui), Cancel (Annulla) e Delete (Elimina) per avviare, annullare o eliminare un'esecuzione. Puoi anche visualizzare i dettagli dell'esecuzione, tra cui l'ARN dell'esecuzione, i pacchetti di regole selezionati per l'esecuzione, i tag e gli attributi applicati all'esecuzione e così via.

Per le successive esecuzioni del modello di valutazione, puoi usare i pulsanti Run (Esegui), Cancel (Annulla) e Delete (Elimina) nella pagina Assessment templates (Modelli di valutazione) oppure nella pagina Assessment runs (Esecuzioni di valutazioni).

Eliminazione di un'esecuzione di valutazioni

Per eliminare un'esecuzione di valutazioni, esegui questa procedura.

Per eliminare un'esecuzione

  • Nella pagina Assessment runs (Esecuzioni di valutazioni) scegliere l'esecuzione da eliminare, quindi Delete (Elimina). Quando viene richiesta la conferma, scegli .

    Importante

    Quando elimini un'esecuzione, verranno eliminati anche tutti i risultati e tutte le versioni del report a essa associati.

Puoi anche eliminare un'esecuzione utilizzando l'API DeleteAssessmentRun.

Limiti dei cicli di valutazione di Amazon Inspector Classic

Puoi creare fino a 50.000 esecuzioni di valutazione per ogni AWS account.

Puoi eseguire più esecuzioni contemporaneamente purché i target utilizzati per le esecuzioni non contengano istanze EC2 sovrapposte.

Per ulteriori informazioni, consulta Limiti del servizio Amazon Inspector Classic.

L'impostazione della valutazione automatica avviene tramite una funzione Lambda

Se desideri impostare una pianificazione ricorrente per la tua valutazione, puoi configurare il modello di valutazione in modo che venga eseguito automaticamente creando una funzione Lambda utilizzando la console. AWS Lambda Per ulteriori informazioni, consulta la sezione relativa alle funzioni Lambda.

Per configurare le esecuzioni di valutazione automatiche utilizzando la AWS Lambda console, esegui la procedura seguente.

Per configurare esecuzioni automatiche tramite una funzione Lambda

  1. Accedi a e apri la AWS Lambda console. AWS Management Console

  2. Nel riquadro di navigazione, scegli Dashboard o Funzioni, quindi scegli Crea una funzione Lambda.

  3. Nella pagina Crea funzione scegliere Sfoglia repository app serverless, quindi immettere inspector nel campo di ricerca.

  4. Scegli il inspector-scheduled-runblueprint.

  5. Nella pagina Rivedi, configura e distribuisci, imposta una pianificazione ricorrente per le esecuzioni automatiche specificando un CloudWatch evento che attiva la tua funzione. Per eseguire questa operazione, inserire un nome e una descrizione per la regola e quindi scegliere un'espressione di pianificazione. L'espressione di pianificazione determina la frequenza dell'esecuzione, ad esempio ogni 15 minuti o una volta al giorno. Per ulteriori informazioni su CloudWatch eventi e concetti, consulta What is Amazon CloudWatch Events?

    Se si seleziona la casella di controllo Enable trigger (Abilita trigger), l'esecuzione viene avviata subito dopo aver creato la funzione. Le esecuzioni automatiche successive seguiranno il modello di ricorrenza specificato nel campo Schedule expression (Espressione di pianificazione). Se non selezioni la casella di controllo Enable trigger (Abilita trigger) durante la creazione della funzione, puoi modificare la funzione in un secondo momento per abilitare il trigger.

  6. Nella pagina Configure function (Configura funzione) specifica le informazioni seguenti:

    • In Name (Nome) immettere un nome per la funzione.

    • (Facoltativo) In Description (Descrizione) immettere una descrizione per semplificare l'identificazione della funzione in un secondo momento.

    • Per il runtime, mantieni il valore predefinito diNode.js 8.10. AWS Lambda supporta il inspector-scheduled-runblueprint solo per il Node.js 8.10 runtime.

    • Il modello di valutazione che desideri eseguire automaticamente usando questa funzione. A tale scopo, è necessario fornire il valore per la variabile di ambiente chiamata assessmentTemplateArn.

    • Per il set di gestori lascia invariato il valore predefinito index.handler.

    • Le autorizzazioni per la funzione mediante il campo Role (Ruolo). Per ulteriori informazioni, consulta la pagina relativa al modello di autorizzazioni di AWS Lambda.

      Per eseguire questa funzione, è necessario un ruolo IAM che AWS Lambda consenta di avviare le esecuzioni e scrivere messaggi di log sulle esecuzioni, inclusi eventuali errori, su Amazon CloudWatch Logs. AWS Lambda assume questo ruolo per ogni esecuzione automatica ricorrente. Ad esempio, puoi associare la seguente policy di esempio a questo ruolo IAM:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. Rivedere le selezioni effettuate, quindi scegliere Create function (Crea funzione).

Configurazione di un argomento SNS per le notifiche di Amazon Inspector Classic

Amazon Simple Notification Service (Amazon SNS) è un servizio Web che invia messaggi a endpoint o client che hanno effettuato la sottoscrizione. Puoi utilizzare Amazon SNS per configurare le notifiche per Amazon Inspector Classic.

Per configurare un argomento SNS per le notifiche

  1. Creare un argomento SNS. Consulta Tutorial: creazione di un argomento Amazon SNS. Quando si crea l'argomento, espandere la sezione Access policy - optional (Policy di accesso - opzionale). Quindi, procedere come segue per consentire la valutazione per l'invio di messaggi all'argomento:

    1. Per Choose method (Scegli metodo), selezionare Basic.

    2. Per Definire chi può pubblicare messaggi sull'argomento, scegli Solo gli AWS account specificati, quindi inserisci l'ARN per l'account nella regione in cui stai creando l'argomento:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)- arn ::iam: :206278770380:root aws-us-gov

      • AWS GovCloud (US-West)- arn: :iamaws-us-gov: :850862329162:root

    3. Per Definire chi può sottoscrivere questo argomento, scegli Solo gli AWS account specificati, quindi inserisci l'ARN per l'account nella regione in cui stai creando l'argomento.

    4. Per proteggerti dall'uso di Inspector come agente confuso, come descritto in dettaglio in Confused vice problem nella IAM User Guide, procedi come segue:

      1. Scegli Advanced (Avanzato). In questo modo accederai all'editor JSON.

      2. Aggiungi la seguente condizione:

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (Facoltativo) Per ulteriori informazioni su aws: SourceAccount e aws:SourceArn, consulta Global condition context keys nella IAM User Guide.

    6. Aggiornare altre impostazioni per l'argomento in base alle esigenze, quindi scegliere Create topic (Crea argomento).

  2. (Facoltativo) Per creare un argomento SNS crittografato, consulta Encryption at rest nella SNS Developer Guide.

  3. Per proteggerti dal fatto che Inspector venga usato come sostituto confuso della tua chiave KMS, segui i passaggi aggiuntivi seguenti:

    1. Accedi alla tua CMK nella console KMS.

    2. Scegli Modifica.

    3. Aggiungi la seguente condizione:

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. Creare una sottoscrizione all'argomento creato. Per ulteriori informazioni, consulta Tutorial: iscrizione di un endpoint a un argomento Amazon SNS.

  5. Per confermare che l'abbonamento è configurato correttamente, pubblicare un messaggio nell'argomento. Per ulteriori informazioni, consulta Tutorial: pubblicazione di un messaggio in un argomento Amazon SNS.