Modelos de avaliação e execuções de avaliação do Amazon Inspector Classic - Amazon Inspector Classic
Modelos de avaliação do Amazon Inspector ClassicLimites dos modelos de avaliação do Amazon Inspector Classic Como criar um modelo de avaliaçãoComo excluir um modelo de avaliaçãoExecuções de avaliaçãoLimites de execução da avaliação do Amazon Inspector Classic Configurar execuções de avaliação automáticas por meio de uma função do LambdaConfigurar um tópico do SNS para as notificações do Amazon Inspector Classic

Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em e, https://console.aws.amazon.com/inspector/em seguida, escolha Amazon Inspector Classic no painel de navegação.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Modelos de avaliação e execuções de avaliação do Amazon Inspector Classic

O Amazon Inspector Classic ajuda você a descobrir possíveis problemas de segurança usando regras de segurança para analisar seus AWS recursos. O Amazon Inspector Classic monitora e coleta dados comportamentais (telemetria) sobre seus recursos. Os dados incluem informações sobre o uso de canais seguros, tráfego de rede entre processos em execução e detalhes da comunicação com AWS os serviços. Em seguida, o Amazon Inspector Classic analisa e compara os dados em relação a um conjunto de pacotes de regras de segurança. Por fim, o Amazon Inspector Classic produz uma lista de descobertas que identificam possíveis problemas de segurança com diferentes graus de severidade.

Para começar, crie um destino de avaliação (uma coleção de recursos da AWS que você deseja que o Amazon Inspector Classic analise). Depois, crie um modelo de avaliação (um esquema que você usa para configurar sua avaliação). Você pode usar o modelo para iniciar uma execução de avaliação, que é o processo de monitoramento e análise que resulta em um conjunto de descobertas.

Modelos de avaliação do Amazon Inspector Classic

Um modelo de avaliação permite que você especifique uma configuração para sua execução de avaliação, incluindo o seguinte:

  • Pacote de regras que o Amazon Inspector Classic usa para avaliar o destino de avaliação

  • Duração da execução da avaliação - é possível definir a duração de uma execução de avaliação entre 3 minutos e 24 horas. Recomendamos definir a duração das execuções de avaliação como 1 hora.

  • Os tópicos do Amazon SNS para os quais o Amazon Inspector Classic envia notificações sobre as descobertas e os estados da execução de avaliação

  • Atributos específicos do Amazon Inspector Classic (pares de chave-valor) que você pode atribuir a descobertas que são geradas pela execução da avaliação que usa esse modelo de avaliação

Quando o Amazon Inspector Classic criar o modelo de avaliação, ele poderá ser marcado como qualquer outro recurso AWS . Para obter mais informações, consulte o Tag Editor. Marcar modelos de avaliação permite que você organize-os e supervisione melhor sua estratégia de segurança. Por exemplo, o Amazon Inspector Classic oferece um grande número de regras que você pode usar para avaliar seus destinos de avaliação. Você pode querer incluir vários subconjuntos das regras disponíveis em seus modelos de avaliação para áreas específicas que causam preocupação ou para descobrir problemas de segurança específicos. Marcar modelos de avaliação permite que você localize-os e execute-os rapidamente a qualquer momento, de acordo com sua estratégia de segurança e objetivos.

Importante

Depois que criar um modelo de avaliação, você não poderá modificá-lo.

Limites dos modelos de avaliação do Amazon Inspector Classic

Você pode criar até 500 modelos de avaliação para cada AWS conta.

Para ter mais informações, consulte Limites do serviço do Amazon Inspector Classic.

Como criar um modelo de avaliação

Para criar um modelo de avaliação

  1. Faça login AWS Management Console e abra o console do Amazon Inspector Classic em https://console.aws.amazon.com/inspector/.

  2. No painel de navegação, escolha Assessment Templates (Modelos de avaliação) e, depois, escolha Create (Criar).

  3. Em Name (Nome), insira um nome para o seu modelo de avaliação.

  4. Em Nome do destino, selecione um destino de avaliação para analisar.

    nota

    Ao criar um modelo de avaliação, é possível usar o botão Visualizar destino na página Modelos de avaliação para analisar todas as instâncias do EC2 incluídas no destino de avaliação. Para cada instância do EC2, você pode analisar o nome do host, o ID da instância, o endereço IP e, se aplicável, o status do agente. O status do agente pode ter os seguintes valores: SAUDÁVEL, POUCO SAUDÁVEL e DESCONHECIDO. O Amazon Inspector Classic exibe um status DESCONHECIDO quando não consegue determinar se há um agente em execução na instância do EC2.

    Você também pode usar o botão Visualizar destino na página Modelos de avaliação para revisar as instâncias do EC2 que compõem os destinos de avaliação incluídos em modelos criados anteriormente.

  5. Em Pacotes de regras, escolha um ou mais pacotes de regras para incluir no modelo de avaliação.

  6. Em Duração, especifique a duração do modelo de avaliação.

  7. (Opcional) Em Tópicos do SNS, especifique um tópico do SNS para o qual você deseja que o Amazon Inspector Classic envie notificações sobre estados de execução de avaliação e descobertas. O Amazon Inspector Classic pode enviar notificações do SNS sobre os seguintes eventos:

    • Uma execução de avaliação foi iniciada

    • Uma execução de avaliação foi concluída

    • O status de uma execução de avaliação foi alterado

    • Uma descoberta foi gerada

    Para obter mais informações sobre a configuração de um tópico do SNS, consulte Configurar um tópico do SNS para as notificações do Amazon Inspector Classic.

  8. (Opcional) Em Tag, insira valores para Key (Chave) e Value (Valor). Você pode adicionar várias tags ao modelo de avaliação.

  9. (Opcional) Em Atributos adicionados aos resultados, digite valores para Chave e Valor. O Amazon Inspector Classic aplica os atributos a todas as descobertas geradas pelo modelo de avaliação. Você pode adicionar vários atributos ao modelo de avaliação. Para obter mais informações sobre as descobertas e a marcação das descobertas, consulte Descobertas do Amazon Inspector Classic.

  10. (Opcional) Para configurar uma programação para as execuções de avaliação usando esse modelo, marque a caixa de seleção Set up recurring assessment runs once every <number_of_days>, starting now (Configurar execuções de avaliação recorrentes uma vez a cada <number_of_days>, a partir de agora) e especifique o padrão de recorrência (número de dias) usando as setas para cima e para baixo.

    nota

    Quando você usa essa caixa de seleção, o Amazon Inspector Classic cria automaticamente uma regra do Amazon CloudWatch Events para o cronograma de execuções de avaliação que você está configurando. Em seguida, o Amazon Inspector Classic também cria automaticamente uma função do IAM chamada. AWS_InspectorEvents_Invoke_Assessment_Template Essa função permite que CloudWatch os Eventos façam chamadas de API para os recursos do Amazon Inspector Classic. Para obter mais informações, consulte O que é Amazon CloudWatch Events? e usando políticas baseadas em recursos para CloudWatch eventos.

    nota

    Você também pode configurar execuções de avaliação automáticas por meio de uma função do AWS Lambda . Para ter mais informações, consulte Configurar execuções de avaliação automáticas por meio de uma função do Lambda.

  11. Escolha Criar e executar ou Criar.

Como excluir um modelo de avaliação

Para excluir um modelo de avaliação, siga o procedimento a seguir.

Para excluir um modelo de avaliação

  • Na página Modelos de avaliação, selecione o modelo que você deseja excluir e selecione Excluir. Quando a confirmação for solicitada, selecione Sim.

    Importante

    Ao excluir um modelo de avaliação, todas as execuções de avaliação, descobertas e versões dos relatórios associados a esse modelo também são excluídas.

Você também pode excluir um modelo de avaliação usando a API DeleteAssessmentTemplate.

Execuções de avaliação

Depois que criar um modelo de avaliação, você poderá usá-lo para iniciar execuções de avaliação. Você pode iniciar várias execuções usando o mesmo modelo, desde que permaneça dentro do limite de execuções de cada AWS conta. Para ter mais informações, consulte Limites de execução da avaliação do Amazon Inspector Classic .

Se você usar o console do Amazon Inspector Classic, deverá iniciar a primeira execução do novo modelo de avaliação na página Modelos de avaliação. Depois de iniciada, você pode usar a página Execuções de avaliação para monitorar o progresso da execução. Use os botões Executar, Cancelar e Excluir para iniciar, cancelar ou excluir uma execução. É possível também visualizar os detalhes da execução, incluindo o ARN da execução, os pacotes de regras selecionados, as tags, os atributos que você aplicou e muito mais.

Para execuções subsequentes do modelo de avaliação, use os botões Executar, Cancelar e Excluir em uma das páginas Modelos de avaliação ou Execuções de avaliação.

Como excluir uma execução de avaliação

Para excluir uma execução de avaliação, siga o procedimento a seguir.

Para excluir uma execução

  • Na página Assessment runs (Execuções de avaliação), selecione a execução que você deseja excluir e selecione Delete (Excluir). Quando a confirmação for solicitada, selecione Sim.

    Importante

    Ao excluir uma execução, todas as descobertas e todas as versões do relatório dessa execução também são excluídas.

Você também pode excluir uma execução usando a API DeleteAssessmentRun.

Limites de execução da avaliação do Amazon Inspector Classic

Você pode criar até 50.000 execuções de avaliação para cada AWS conta.

Você pode ter várias execuções ocorrendo ao mesmo tempo, desde que as metas usadas para as execuções não contenham sobreposição de instâncias do EC2.

Para ter mais informações, consulte Limites do serviço do Amazon Inspector Classic.

Configurar execuções de avaliação automáticas por meio de uma função do Lambda

Se deseja configurar uma programação recorrente para a avaliação, você pode configurar o modelo de avaliação para executar automaticamente, criando uma função do Lambda por meio do console do AWS Lambda . Para obter mais informações, consulte Funções do Lambda.

Para configurar execuções automáticas de avaliação usando o AWS Lambda console, execute o procedimento a seguir.

Para configurar execuções automáticas por meio da função do Lambda

  1. Faça login no AWS Management Console e abra o AWS Lambda console.

  2. No painel de navegação, escolha Painel ou Funções e, em seguida, escolha Criar uma função do Lambda.

  3. Na página Create function (Criar função), selecione Browse serverless app repository (Pesquisar no repositório de aplicativos sem servidor) e insira inspector no campo de busca.

  4. Escolha o esquema inspector-scheduled-run.

  5. Na página Revisar, configurar e implantar, configure uma programação recorrente para execuções automatizadas especificando um CloudWatch evento que aciona sua função. Para fazer isso, insira um nome e descrição da regra e selecione uma expressão de programação. A expressão de programação determina a frequência com que a execução ocorrerá, por exemplo, a cada 15 minutos ou uma vez por dia. Para obter mais informações sobre CloudWatch eventos e conceitos, consulte O que é Amazon CloudWatch Events?

    Se você marcar a caixa de seleção Enable trigger (Habilitar gatilho), a execução começará imediatamente depois que você concluir a criação da função. Execuções automatizadas subsequentes seguirão o padrão de recorrência especificado no campo Schedule expression (Expressão da programação). Se você não marcar a caixa de seleção Enable trigger ao criar a função, poderá editar a função mais tarde para ativar esse acionador.

  6. Na página Configurar função, especifique o seguinte:

    • Em Name (Nome), insira um nome para a função.

    • (Opcional) Em Description (Descrição), insira uma descrição que ajudará você a identificar a função mais tarde.

    • Para o tempo de execução, mantenha o valor padrão deNode.js 8.10. AWS Lambda suporta o inspector-scheduled-runblueprint somente para o Node.js 8.10 tempo de execução.

    • O modelo de avaliação que você deseja executar automaticamente usando essa função. Você faz isso fornecendo o valor para a variável de ambiente chamada assessmentTemplateArn.

    • Mantenha o handler definido como o valor padrão do index.handler.

    • As permissões para a função usando o campo Função. Para obter mais informações, consulte Modelo de permissões do AWS Lambda.

      Para executar essa função, você precisa de uma função do IAM que permita AWS Lambda iniciar as execuções e gravar mensagens de log sobre as execuções, incluindo quaisquer erros, no Amazon CloudWatch Logs. AWS Lambda assume essa função para cada execução automatizada recorrente. Por exemplo, você pode anexar o seguinte exemplo de política a essa função do IAM:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. Verifique suas seleções e, em seguida, escolha Create function.

Configurar um tópico do SNS para as notificações do Amazon Inspector Classic

O Amazon Simple Notification Service (Amazon SNS) é um serviço da Web que envia mensagens a endpoints ou clientes assinantes do serviço. Você pode usar o Amazon SNS para configurar notificações para o Amazon Inspector Classic.

Para configurar um tópico do SNS para notificações

  1. Criar um tópico do SNS. Consulte Tutorial: como criar um tópico do Amazon SNS. Ao criar o tópico, expanda a seção Access policy - optional (Política de acesso – opcional). Em seguida, faça o seguinte para permitir que a avaliação envie mensagens ao tópico:

    1. Em Choose method (Escolher método), selecione Basic (Básico).

    2. Em Definir quem pode publicar mensagens no tópico, escolha Somente as AWS contas especificadas e, em seguida, insira o ARN da conta na região em que você está criando o tópico:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)- executou: :iam: :206278770380: root aws-us-gov

      • AWS GovCloud (US-West)- executou: :iam: :850862329162:root aws-us-gov

    3. Em Definir quem pode se inscrever neste tópico, escolha Somente as AWS contas especificadas e, em seguida, insira o ARN da conta na região em que você está criando o tópico.

    4. Para se proteger contra o uso do Inspector como substituto confuso, conforme detalhado em Problema do substituto confuso no Guia do Usuário do IAM, faça o seguinte:

      1. Escolha Advanced (Avançado). Isso levará você ao editor JSON.

      2. Adicione a seguinte condição:

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (Opcional) Para obter informações adicionais sobre aws: SourceAccount e aws:SourceArn, consulte Chaves de contexto de condição global no Guia do usuário do IAM.

    6. Atualize outras configurações para o tópico, conforme necessário, e selecione Create topic (Criar tópico).

  2. (Opcional) Para criar um tópico de SNS criptografado, consulte Criptografia em repouso no Guia do desenvolvedor do SNS.

  3. Para se proteger contra o Inspector ser usado como um substituto confuso para sua chave KMS, siga as etapas adicionais abaixo:

    1. Acesse sua CMK no console KMS.

    2. Escolha Editar.

    3. Adicione a seguinte condição:

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. Crie uma inscrição no tópico que você criou. Para obter mais informações, consulte Tutorial: como inscrever um endpoint em um tópico do Amazon SNS.

  5. Para verificar se a inscrição está configurada corretamente, publique uma mensagem no tópico. Para obter mais informações, consulte Tutorial: como publicar uma mensagem em um tópico do Amazon SNS.