O que é o Amazon Inspector? - Amazon Inspector
AtributosAcessar o Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é o Amazon Inspector?

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades de software e exposição não intencional na rede. O Amazon Inspector descobre e escaneia automaticamente instâncias do Amazon EC2 em execução, imagens de contêineres no Amazon Elastic Container Registry (Amazon ECR) AWS Lambda e funciona em busca de vulnerabilidades conhecidas de software e exposição não intencional na rede.

O Amazon Inspector cria uma descoberta quando descobre uma vulnerabilidade de software ou um problema de configuração de rede. Uma descoberta descreve a vulnerabilidade, identifica o recurso afetado, avalia a gravidade da vulnerabilidade e fornece orientação para correção. Analise as descobertas usando o console do Amazon Inspector ou visualize e processe as descobertas por meio de outros do Serviços da AWS. Para ter mais informações, consulte Noções básicas sobre descobertas no Amazon Inspector.

Características do Amazon Inspector Classic

Gerencie centralmente várias contas do Amazon Inspector

Se seu AWS ambiente tiver várias contas, você poderá gerenciar centralmente seu ambiente por meio de uma única conta usando AWS Organizations. Usando essa abordagem, é possível designar uma conta como conta do administrador delegado do Amazon Inspector.

O Amazon Inspector pode ser ativado para toda a sua organização com um único clique. Além disso, você poderá automatizar a ativação do serviço para futuros membros sempre que eles ingressarem na sua organização. A conta de administrador delegado do Amazon Inspector pode gerenciar descobertas, dados e determinadas configurações para membros da organização. Isso inclui a visualização de detalhes agregados das descobertas de todas as contas dos membros, a ativação ou desativação das verificações das contas dos membros e a revisão dos recursos escaneados dentro da organização. AWS

Analise continuamente seu ambiente em busca de vulnerabilidades e exposição à rede

Com o Amazon Inspector, você não precisará programar manualmente ou configurar verificações de avaliação. O Amazon Inspector descobre e começa automaticamente a verificar seus recursos elegíveis. O Amazon Inspector continua a avaliar seu ambiente durante todo o ciclo de vida de seus recursos, verificando novamente os recursos de maneira automática em resposta a mudanças que poderiam introduzir uma nova vulnerabilidade, como: instalar um novo pacote em uma instância do EC2, instalar um patch e quando uma nova CVE (vulnerabilidade e exposição comum) que afeta o recurso é publicada. Ao contrário do software tradicional de verificação de segurança, o Amazon Inspector tem um impacto mínimo no desempenho da sua frota.

Quando vulnerabilidades ou caminhos de rede abertos são identificados, o Amazon Inspector produz uma descoberta que é possível investigar. A descoberta inclui detalhes abrangentes sobre a vulnerabilidade, o recurso afetado e recomendações de correção. Se corrigir adequadamente uma descoberta, o Amazon Inspector detecta automaticamente a correção e fecha a descoberta.

Avaliar as vulnerabilidades com precisão com a pontuação de risco do Amazon Inspector

Como o Amazon Inspector coleta informações sobre seu ambiente por meio de verificações, ele fornece pontuações de severidade especificamente adaptadas ao seu ambiente. O Amazon Inspector examina as métricas de segurança que compõem a pontuação base do NVD (Banco de dados nacional de vulnerabilidades) para uma vulnerabilidade e as ajusta de acordo com seu ambiente de computação. Por exemplo, o serviço pode diminuir a pontuação do Amazon Inspector de uma descoberta para uma instância do Amazon EC2 se a vulnerabilidade for explorável pela rede, mas nenhum caminho de rede aberto para a internet estiver disponível na instância. Essa pontuação está no formato CVSS e é uma modificação da pontuação básica do CVSS (Sistema comum de pontuação de vulnerabilidade) fornecida pelo NVD.

Identifique descobertas de alto impacto com o painel do Amazon Inspector

O painel do Amazon Inspector oferece uma visão de alto nível das descobertas de todo o seu ambiente. No painel, é possível acessar detalhes granulares de uma descoberta. O painel contém informações simplificadas sobre a cobertura de verificação em seu ambiente, suas descobertas mais importantes e quais recursos têm mais descobertas. O painel de correção baseado em riscos no painel do Amazon Inspector apresenta as descobertas que afetam o maior número de instâncias e imagens. Esse painel facilita a identificação das descobertas com maior impacto em seu ambiente, a análise dos detalhes das descobertas e a análise das soluções sugeridas.

Gerencie suas descobertas usando visualizações personalizáveis

Além do painel, o console do Amazon Inspector oferece uma visualização das Descobertas. Esta página lista todas as descobertas do seu ambiente e fornece os detalhes das descobertas individuais. Visualize as descobertas agrupadas por categoria ou tipo de vulnerabilidade. Em cada visualização, personalize ainda mais seus resultados usando filtros. Você também poderá usar filtros para criar regras de supressão que ocultem descobertas indesejadas de suas visualizações.

Use os filtros e regras de supressão para gerar relatórios de descobertas que mostrem todas as descobertas ou uma seleção personalizada das descobertas. Os relatórios podem ser gerados nos formatos CSV ou JSON.

Monitore e processe as descobertas com outros serviços e sistemas

Para apoiar a integração com outros serviços e sistemas, o Amazon Inspector publica descobertas na Amazon EventBridge como eventos de descoberta. EventBridge é um serviço de barramento de eventos sem servidor que pode encaminhar dados de descobertas para destinos como AWS Lambda funções e tópicos do Amazon Simple Notification Service (Amazon SNS). Com EventBridge, você pode monitorar e processar as descobertas quase em tempo real como parte de seus fluxos de trabalho existentes de segurança e conformidade.

Se você tiver ativado AWS Security Hub, o Amazon Inspector também publicará as descobertas no Security Hub. O Security Hub é um serviço que fornece uma visão abrangente de sua postura de segurança em todo o AWS ambiente e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Com o Security Hub, é possível monitorar e processar com mais facilidade as descobertas como parte de uma análise mais ampla do procedimento de segurança da organização na AWS.

Acessar o Amazon Inspector

O Amazon Inspector está disponível na maioria. Regiões da AWS Para obter uma lista de regiões onde o Amazon Inspector está disponível atualmente, consulte os Endpoints e cotas do Amazon Inspector na Referência geral do Amazon Web Services. Para saber mais sobre as Regiões da AWS, consulte Gerenciamento das Regiões da AWS na Referência geral da Amazon Web Services. É possível trabalhar com o Amazon Inspector das seguintes maneiras indicadas a seguir em cada região.

AWS Console de Gerenciamento

AWS Management Console É uma interface baseada em navegador que você pode usar para criar e gerenciar AWS recursos. Como parte desse console, o console do Amazon Inspector fornece acesso à sua conta e recursos do Amazon Inspector. Execute as tarefas do Amazon Inspector no console do Amazon Inspector.

AWS ferramentas de linha de comando

Com as ferramentas de linha de AWS comando, você pode emitir comandos na linha de comando do seu sistema para realizar tarefas do Amazon Inspector. Usar a linha de comando pode ser mais rápido e mais conveniente do que usar o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas.

AWS fornece dois conjuntos de ferramentas de linha de comando: o AWS Command Line Interface (AWS CLI) e AWS Tools for PowerShell o. Para obter informações sobre como instalar e usar o AWS CLI, consulte o Guia do usuário da interface de linha de AWS comando. Para obter informações sobre como instalar e usar as Ferramentas para PowerShell, consulte o Guia AWS Tools for PowerShell do usuário.

AWS SDKs

AWS fornece SDKs que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas de programação, incluindo Java, Go, Python, C++ e .NET. Os SDKs fornecem acesso conveniente e programático ao Amazon Inspector e outros Serviços da AWS. Eles também incluem tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre como instalar e usar os AWS SDKs, consulte Ferramentas para criar. AWS

API REST do Amazon Inspector

A API REST do Amazon Inspector oferece acesso abrangente e programático à sua conta e recursos do Amazon Inspector. Com essa API, envie solicitações de HTTPS diretamente para o Amazon Inspector. No entanto, diferentemente das ferramentas de linha de AWS comando e dos SDKs, o uso dessa API exige que seu aplicativo gerencie detalhes de baixo nível, como gerar um hash para assinar uma solicitação.