Avaliar a cobertura do Amazon Inspector sobre seu ambiente da AWS - Amazon Inspector
Avaliar a cobertura em nível de contaAvaliar a cobertura das instâncias do Amazon EC2Avaliar a cobertura dos repositórios do Amazon ECRAvaliar a cobertura de imagens de contêiner do Amazon ECRAvaliar a cobertura das funções do AWS Lambda

Avaliar a cobertura do Amazon Inspector sobre seu ambiente da AWS

Você pode avaliar a cobertura do Amazon Inspector para o ambiente da AWS na tela Gerenciamento de contas no console do Amazon Inspector, que mostra detalhes e estatísticas sobre o status das verificações do Amazon Inspector em suas contas e recursos.

nota

Se você for o administrador delegado de uma organização, poderá visualizar detalhes e estatísticas de todas as contas na organização.

O procedimento a seguir descreve como avaliar a cobertura do ambiente do Amazon Inspector.

Para avaliar a cobertura do Amazon Inspector sobre seu ambiente da AWS

  1. Faça login usando suas credenciais e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. No painel de navegação, escolha Gerenciamento de contas.

  3. Para revisar a cobertura, selecione uma das seguintes guias:

    • Selecione Contas para analisar a cobertura ao nível da conta.

    • Selecione Instâncias para analisar a cobertura de instâncias do Amazon Elastic Compute Cloud (Amazon EC2).

    • Selecione Repositórios de contêiner para analisar a cobertura de repositórios do Amazon Elastic Container Registry (Amazon ECR).

    • Selecione Imagens de contêiner para analisar a cobertura das imagens de contêiner do Amazon ECR.

    • Selecione Funções do Lambda para analisar a cobertura das funções do Lambda.

Os tópicos a seguir descrevem as informações que cada uma dessas guias fornece.

Avaliar a cobertura em nível de conta

Se sua conta não faz parte de uma organização ou não é a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece informações sobre sua conta e o status da verificação de recursos para sua conta. Nesse guia, você poderá ativar ou desativar a verificação de todos ou somente tipos específicos de recursos da sua conta. Para ter mais informações, consulte Tipos de verificação automatizada no Amazon Inspector.

Se sua conta for a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece configurações de ativação automática para contas em sua organização e lista todas as contas em sua organização. Para cada conta, a lista indica se o Amazon Inspector está ativado para a conta e, em caso afirmativo, os tipos de verificação de recursos que estão ativados para a conta. Como administrador delegado, use essa guia para alterar as configurações de ativação automática da sua organização. Você também poderá ativar ou desativar tipos específicos de verificação de recursos para contas de membros individuais. Para ter mais informações, consulte Habilitar verificações de contas-membro do Amazon Inspector.

Avaliar a cobertura das instâncias do Amazon EC2

O guia Instâncias mostra instâncias do Amazon EC2 em seu ambiente AWS. As listas são organizadas em grupos nos seguintes guias:

  • Tudo: mostra todas as instâncias em seu ambiente. A coluna Status indica o status atual da verificação de uma instância.

  • Verificação: mostra todas as instâncias que o Amazon Inspector está monitorando e verificando ativamente em seu ambiente.

  • Sem verificação: mostra todas as instâncias que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma instância.

    Uma instância do EC2 pode aparecer no guia Não verificar por vários motivos. O Amazon Inspector usa o AWS Systems Manager (SSM) e o atendente do SSM para monitorar e verificar automaticamente suas instâncias do EC2 em busca de vulnerabilidades. Se uma instância não tiver o atendente do SSM em execução, não tiver um perfil do AWS Identity and Access Management (IAM) com suporte pelo Gerenciador de Sistemas ou não estiver executando um sistema operacional ou uma arquitetura compatível, o Amazon Inspector não poderá monitorar e verificar a instância. Para ter mais informações, consulte Verificar as instâncias do Amazon EC2.

Em cada guia, a coluna Conta especifica o proprietário de uma instância da Conta da AWS.

Tags de instância do EC2 — Esta coluna mostra as tags associadas à instância e pode ser usada para determinar se a instância foi excluída das verificações por tags.

Sistema operacional — Esta coluna mostra o tipo de sistema operacional, que pode ser WINDOWS, MAC, LINUX ou UNKNOWN.

Monitorado usando: esta coluna mostra se o Amazon Inspector está usando o método de verificação baseado em agente ou sem agente na instância.

Última verificação — Esta coluna mostra quando o Amazon Inspector verificou pela última vez vulnerabilidades nesse recurso. A frequência com que o Amazon Inspector executa verificações depende do método de verificação usado para verificar a instância.

Para analisar detalhes adicionais sobre uma instância do EC2, escolha o link na coluna da instância do EC2. Em seguida, o Amazon Inspector exibe detalhes sobre a instância e as descobertas atuais da instância. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizar detalhes das descobertas do Amazon Inspector.

Valores de status de verificação para instâncias do Amazon EC2

Para uma instância do Amazon Elastic Compute Cloud (Amazon EC2), os possíveis valores de Status são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente a instância.

  • Limite de armazenamento de instância sem agente excedido: o Amazon Inspector usa esse status quando o tamanho combinado de todos os volumes anexados a uma instância é maior que 1.200 GB, ou quando uma instância tem mais de 8 volumes anexados a ela.

  • Limite de tempo de coleta de instância sem agente excedido: o Amazon Inspector atinge o tempo limite ao tentar executar uma verificação sem agente em uma instância.

  • Instância do EC2 interrompida: o Amazon Inspector pausou a verificação da instância porque ela está em um estado interrompido. Todas as descobertas existentes persistirão até que a instância seja encerrada. Se a instância for reiniciada, o Amazon Inspector retomará automaticamente a verificação da instância.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a instância. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Sem inventário: o Amazon Inspector não conseguiu encontrar o inventário do aplicativo de software para verificar a instância. As associações do Amazon Inspector para a instância podem ter sido excluídas ou podem ter falhado na execução.

    Para corrigir esse problema, use o AWS Systems Manager para garantir que a associação do InspectorInventoryCollection-do-not-delete exista e que seu status de associação seja bem-sucedido. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • Desativação pendente: o Amazon Inspector parou de verificar a instância. A instância está sendo desativada, aguardando a conclusão das tarefas de limpeza.

  • Verificação inicial pendente: o Amazon Inspector colocou a instância em fila para uma verificação inicial.

  • Recurso encerrado: a instância foi encerrada. No momento, o Amazon Inspector está limpando as descobertas existentes e os dados de cobertura da instância.

  • Inventário obsoleto: o Amazon Inspector não conseguiu coletar um inventário atualizado de aplicativos de software que foi capturado nos últimos 7 dias para a instância.

    Para corrigir esse problema, use o AWS Systems Manager para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • Instância EC2 não gerenciada: o Amazon Inspector não está monitorando ou verificando a instância. A instância não é gerenciada pelo AWS Systems Manager.

    Para remediar esse problema, você pode usar o AWSSupport-TroubleshootManagedInstance runbook possibilitado pela Automação AWS Systems Manager. Depois de configurar o AWS Systems Manager para gerenciar a instância, o Amazon Inspector começará automaticamente a monitorar e verificar a instância de forma contínua.

  • Sistema operacional não compatível: o Amazon Inspector não está monitorando nem verificando a instância. A instância usa um sistema operacional ou arquitetura que o Amazon Inspector não dá suporte. Para obter uma lista dos sistemas operacionais que o Amazon Inspector com suporte, consulte Valores de status para instâncias do Amazon EC2.

  • Monitoramento ativo com erros parciais: esse status significa que a verificação do EC2 está ativa, mas há erros associados com Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux. Os possíveis erros das inspeções profundas são:

    • Limite de coleta de pacotes de inspeção profunda excedido: a instância excedeu o limite de 5.000 pacotes para a inspeção profunda do Amazon Inspector. Para retomar a inspeção profunda para a instância, você pode tentar ajustar os caminhos personalizados associados à conta.

    • Limite diário de inventário do SSM de inspeção profunda excedido: o agente do SSM não conseguiu enviar inventário para o Amazon Inspector porque a cota do SSM para dados de inventário coletados por instância por dia já foi atingida para esta instância. Para obter mais informações, consulte os Endpoints e cotas do Gerenciador de Sistemas do Amazon EC2.

    • Limite de tempo de coleta de inspeção profunda excedido: o Amazon Inspector não conseguiu extrair o inventário de pacotes porque o tempo de coleta de pacotes excedeu o limite máximo de 15 minutos.

    • A inspeção detalhada não tem inventário — O plug-in Amazon Inspector SSM ainda não conseguiu coletar um inventário de pacotes para esta instância. Isso geralmente é o resultado de uma verificação pendente, no entanto, se esse status persistir após 6 horas, use o Gerenciador de sistemas do Amazon EC2 para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância.

Para obter detalhes sobre como definir as configurações de verificação para uma instância do EC2, consulte Verificar as instâncias do Amazon EC2.

Avaliar a cobertura dos repositórios do Amazon ECR

O guia Repositórios mostra os repositórios do Amazon ECR em seu ambiente da AWS. As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todos os repositórios em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Ativado: mostra todos os repositórios que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Não ativado: mostra todos os repositórios que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando um repositório.

Em cada guia, a coluna Conta especifica quem possui um repositório da Conta da AWS.

Para revisar detalhes adicionais sobre um repositório, escolha o nome do repositório. Em seguida, o Amazon Inspector exibe uma lista de imagens de contêineres no repositório e detalhes de cada imagem. Os detalhes incluem a etiqueta da imagem, o resumo da imagem e o status da verificação. Eles também incluem estatísticas de descobertas importantes, como o número de descobertas críticas da imagem. Para detalhar e revisar os dados de suporte de estatísticas de descobertas, escolha a tag de imagem para a imagem.

Valores de status de verificação para repositórios do Amazon ECR

Para um repositório do Amazon Elastic Container Registry (Amazon ECR), os possíveis valores de Status são:

  • Ativado (contínuo): para um repositório, o Amazon Inspector monitora e verifica continuamente as imagens no repositório. A configuração de escaneamento avançado para o repositório está definida como verificação contínua. O Amazon Inspector verifica inicialmente novas imagens quando elas são enviadas e as verifica novamente se uma nova CVE relevante para essa imagem for publicada. O Amazon Inspector continuará monitorando imagens nesse repositório pela duração da nova verificação do Amazon ECR que você configurar.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente imagens de contêiner individuais no repositório quando uma nova imagem é enviada. A verificação avançada é habilitada para o repositório e definida para verificar por envio.

  • Acesso negado: o Amazon Inspector não tem permissão para acessar o repositório ou qualquer imagem de contêiner no repositório.

    Para corrigir esse problema, certifique-se de que as políticas do AWS Identity and Access Management (IAM) para o repositório permitam que o Amazon Inspector acesse o repositório.

  • Desativado (Manual): o Amazon Inspector não está monitorando nem verificando nenhuma imagem de contêiner no repositório. A configuração de escaneamento do Amazon ECR para o repositório está definida como verificação manual básica.

    Para começar a verificar imagens no repositório com o Amazon Inspector, altere a configuração de verificação do repositório para escaneamento avançado e, em seguida, escolha se deseja verificar imagens continuamente ou somente quando uma nova imagem for enviada.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente imagens de contêiner individuais no repositório quando uma nova imagem é enviada. A configuração de escaneamento avançado do repositório está definida para verifcar por push.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar o repositório. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

Para conferir detalhes sobre como definir as configurações de verificação para repositórios, consulte Verificar imagens de contêiner do Amazon ECR.

Avaliar a cobertura de imagens de contêiner do Amazon ECR

O guia Imagens mostra imagens de contêineres do Amazon ECR em seu ambiente da AWS. As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todas as imagens de contêineres em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Verificação: mostra todas as imagens de contêineres que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Sem verificação: mostra todas as imagens de contêineres que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma imagem.

    Uma imagem de contêiner pode aparecer no guia Não ativada por vários motivos. A imagem pode ser armazenada em um repositório para o qual as verificações do Amazon Inspector não estão ativadas, ou as regras de filtragem do Amazon ECR impedem que esse repositório seja verificado. Ou a imagem não foi enviada ou extraída dentro do número de dias que você configurou para a Duração da nova verificação do ECR. Para ter mais informações, consulte Configuring the Amazon ECR re-scan duration.

Em cada guia, a coluna Nome do repositório especifica o nome do repositório que armazena uma imagem de contêiner. A coluna Conta especifica quem é o proprietário do repositório da Conta da AWS. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na descoberta de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova CVE. Para ter mais informações, consulte Comportamentos de verificação para o escaneamento do Amazon ECR.

Para revisar detalhes adicionais sobre uma imagem de contêiner, escolha o link na coluna de Imagem de contêiner do ECR. Em seguida, o Amazon Inspector exibe detalhes sobre a imagem e as descobertas atuais da imagem. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizar detalhes das descobertas do Amazon Inspector.

Valores de status de verificação para imagens de contêiner do Amazon ECR

Para uma imagem de contêiner do Amazon Elastic Container Registry, os possíveis valores de Status são:

  • Monitoramento ativo (contínuo): o Amazon Inspector monitora continuamente a imagem e novas verificações são realizadas sempre que uma nova CVE relevante é publicada. A duração da nova verificação do Amazon ECR para a imagem é atualizada sempre que a imagem é enviada ou extraída. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de verificação avançada para o repositório está definida como verificação contínua.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente a imagem sempre que uma nova imagem é enviada. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de escaneamento avançado do repositório está definida para verificar por push.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a imagem de contêiner. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Verificação inicial pendente: o Amazon Inspector colocou a imagem em fila para uma verificação inicial.

  • Qualificação para verificação expirada (contínua): o Amazon Inspector suspendeu a verificação da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. É possível enviar ou extrair a imagem para continuar a verificação.

  • Qualificação para verificação expirada (por envio): o Amazon Inspector suspendeu a verificação da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. É possível enviar a imagem para retomar a verificação.

  • Manual de frequência de verificação (Manual): o Amazon Inspector não verifica a imagem do contêiner Amazon ECR. A configuração de escaneamento do Amazon ECR para o repositório que armazena a imagem está definida como verificação manual básica. Para começar a verificar a imagem automaticamente com o Amazon Inspector, altere a configuração do repositório para o escaneamento avançado e, em seguida, escolha se deseja verificar imagens de maneira contínua ou somente quando uma nova imagem for enviada.

  • SO incompatível: o Amazon Inspector não está monitorando nem verificando a imagem. A imagem é baseada em um sistema operacional não compatível com o Amazon Inspector ou contém um tipo de mídia não compatível com o Amazon Inspector.

    Para ver uma lista de sistemas operacionais compatíveis com o Amazon Inspector, consulte Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector. Para ver uma lista dos tipos de mídia compatíveis com o Amazon Inspector, consulte Tipos de mídia compatíveis.

Para obter detalhes sobre como definir as configurações de verificação para repositórios e imagens, consulte Verificar imagens de contêiner do Amazon ECR.

Avaliar a cobertura das funções do AWS Lambda

O guia Lambda mostra as funções do Lambda em seu ambiente da AWS. Nesta página, duas tabelas, uma que mostra detalhes da cobertura da função para o escaneamento padrão do Lambda e outra para o escaneamento de código do Lambda. Agrupe funções com base nos seguintes guias:

  • Tudo: mostra todas as funções do Lambda em seu ambiente. A coluna Status indica o status atual da verificação de uma função do Lambda.

  • Verificação: mostra as funções do Lambda que o Amazon Inspector está configurado para verificar. A coluna Status indica o status atual da verificação de cada função do Lambda.

  • Sem verificação: mostra as funções do Lambda que o Amazon Inspector não está configurado para verificar. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma função.

    Uma função do Lambda pode aparecer no guia Sem verificação por vários motivos. A função do Lambda pode pertencer a uma conta que não foi adicionada ao Amazon Inspector ou as regras de filtragem impedem que essa função seja verificada. Para ter mais informações, consulte Verificar funções do Lambda.

Em cada guia, a coluna Nome da função especifica o nome da função do Lambda. A coluna Conta especifica quem é o proprietário da função da Conta da AWS. O identificador do runtime da função. A coluna Status indica o status atual da verificação de cada função do Lambda. Tags de recursos mostram as tags que foram aplicadas à função. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na descoberta de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova CVE. Para ter mais informações, consulte Comportamentos de verificação para escaneamento de funções do Lambda.

Valores de status de verificação para funções do AWS Lambda

Para uma função do Lambda, os valores de Status possíveis são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente as funções do Lambda. A verificação contínua inclui uma verificação inicial de novas funções quando são enviadas para o repositório e novas verificações automatizadas de funções quando atualizadas ou quando novas CVEs (vulnerabilidades e exposições comuns) são lançadas.

  • Excluído por tag: o Amazon Inspector não está verificando essa função porque ela foi excluída dos verificações por tags.

  • A elegibilidade da verificação expirou: o Amazon Inspector não está monitorando essa função porque já passaram 90 dias ou mais desde a última vez que ela foi invocada ou atualizada.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a função. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Verificação inicial pendente: o Amazon Inspector colocou a função em fila para um verificação inicial.

  • Sem suporte: a função do Lambda tem um runtime incompatível.