Amazon Inspector 經典評估範本和評估執行 - Amazon Inspector Classic
Amazon Inspector 經典評估模板Amazon Inspector 經典評估範本限制 建立評估範本刪除評估範本評估執行Amazon Inspector 經典評估運行限制 透過 Lambda 函數設定自動評估執行為 Amazon Inspector 經典通知設定 SNS 主題

這是 Amazon Inspector Classic 的使用者指南。如需新 Amazon Inspector 的相關資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector Classic 主控台,請在 開啟 Amazon Inspector 主控台https://console.aws.amazon.com/inspector/,然後在導覽窗格中選擇 Amazon Inspector Classic

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Inspector 經典評估範本和評估執行

Amazon Inspector 經典版可透過使用安全規則來分析 AWS 資源,協助您發現潛在的安全問題。Amazon Inspector 經典版會監控並收集有關您資源的行為資料 (遙測)。這些資料包括安全通道的使用、執行中程序之間的網路流量,以及與 AWS 服務通訊的詳細資訊的相關資訊。接下來,Amazon Inspector 經典版會分析資料,並與一組安全規則套件進行比較。最後,Amazon Inspector 經典版會產生一份發現項目清單,以識別各種嚴重程度的潛在安全問題。

若要開始使用,請建立評估目標 (您希望 Amazon Inspector 經典版分析的 AWS 資源集合)。接著,請建立評估範本 (用來設定評估的藍圖)。您可使用範本來啟動評估執行,這項監控與分析程序會產生一組調查結果。

Amazon Inspector 經典評估模板

評估範本可讓您為評估執行指定組態,包括下列項目:

  • Amazon Inspector 經典版用來評估您的評估目標的規則套件

  • 評估執行的持續時間 — 您可以將評估執行的持續時間設定為 3 分鐘到 24 小時之間。我們建議將評估執行的持續時間設定為 1 小時。

  • 亞馬 Amazon Inspector 經典版會傳送有關您的評估執行狀態和發現項目的通知的 Amazon SNS 主題

  • Amazon Inspector 經典屬性 (鍵值對),您可以指派給使用此評估範本的評估執行所產生的發現項目

Amazon Inspector 經典版建立評估範本之後,您就可以像任何其他 AWS 資源一樣標記該範本。如需詳細資訊,請參閱標籤編輯器。為評估範本加上標籤可讓您組織他們並能更佳地監管您的安全策略。例如,Amazon Inspector 經典版提供了大量規則,您可以根據評估目標來評估您的評估目標。您可能需要將各種可用規則子集納入評估範本中,將目標鎖定在特定的關注領域,或找出特定的安全問題。為評估範本加上標籤可讓您隨時根據您的安全策略與目標來快速尋找和執行它們。

重要

在您建立評估範本後,即無法進行修改。

Amazon Inspector 經典評估範本限制

您最多可以為每個 AWS 帳戶建立 500 個評估範本。

如需詳細資訊,請參閱 Amazon Inspector 經典服務限制

建立評估範本

建立評估範本

  1. 登錄到 AWS Management Console 並打開 Amazon Inspector 經典控制台 https://console.aws.amazon.com/inspector/.

  2. 在導覽窗格中,選擇 Assessment Templates (評估範本),然後選擇 Create (建立)

  3. Name (名稱) 中,輸入評估範本的名稱。

  4. 對於 Target name (目標名稱),選擇要分析的評估目標。

    注意

    建立評估範本時,您可以使用評估範本頁面上的預覽目標按鈕來檢閱評估目標中包含的所有 EC2 執行個體。對於每個 EC2 執行個體,您都可以檢閱主機名稱、執行個體 ID、IP 地址,以及代理程式的狀態 (如果適用)。代理程式狀態可以具有下列值:「狀況好」、「不健康」和「未知」。當 Amazon Inspector 經典版無法判斷 EC2 執行個體上是否有代理程式執行時,會顯示「知」狀態。

    您也可以使用 Assessment Templates (評估範本) 頁面上的 Preview Target (預覽目標) 按鈕,以檢閱您在之前建立範本中包含之評估目標的組成 EC2 執行個體。

  5. 對於 Rules packages (規則套件),請選擇要包含在評估範本的一或多個規則套件。

  6. Duration (持續時間),指定評估範本的持續時間。

  7. (選擇性) 對於 SNS 主題,請指定您希望 Amazon Inspector 典型傳送有關評估執行狀態和發現項目的通知的 SNS 主題。Amazon Inspector 經典版可以傳送有關下列事件的 SNS 通知:

    • 評估執行已開始

    • 評估執行已結束

    • 評估執行狀態已變更

    • 發現項目已產生

    如需設定 SNS 主題的詳細資訊,請參閱為 Amazon Inspector 經典通知設定 SNS 主題

  8. (選用) 在 Tag (標記) 中,輸入 Key (金鑰)Value (值) 的值。您可以將多個標籤新增到評估範本。

  9. (選擇性) 針對新增至發現項目的屬性,輸入「索引鍵」與「值」的。Amazon Inspector 經典版會將這些屬性套用至評估範本所產生的所有發現項目。您可以將多個屬性新增到評估範本。如需發現項目和標記發現項目的詳細資訊,請參閱 Amazon Inspector 經典發現

  10. (選用) 如果要使用此範本設定執行評估的排程,請選取 Set up recurring assessment runs once every <number_of_days>, starting now (設定從現在開始,每 <number_of_days> 天執行一次重複評估) 核取方塊,並使用上下箭頭指定週期模式 (天數)。

    注意

    使用此核取方塊時,Amazon Inspector 經典版會自動為您正在設定的評估執行排程建立 Amazon CloudWatch 事件規則。然後 Amazon Inspector 經典版也會自動建立名為的 IAM 角色AWS_InspectorEvents_Invoke_Assessment_Template。此角色可讓 CloudWatch 事件對 Amazon Inspector 經典資源進行 API 呼叫。如需詳細資訊,請參閱什麼是 Amazon CloudWatch 活動?使用以資源為基礎的策略 CloudWatch 事件

    注意

    您也可以透過 AWS Lambda 函數設定自動評估執行。如需詳細資訊,請參閱 透過 Lambda 函數設定自動評估執行

  11. 選擇 Create and run (建立和執行) 或 Create (建立)。

刪除評估範本

若要刪除評估範本,請執行以下程序。

刪除評估範本

  • Assessment Templates (評估範本) 頁面,選擇您要刪除的範本,然後選擇 Delete (刪除)。出現確認提示時,請選擇 Yes (是)。

    重要

    當您刪除評估範本時,與此範本相關的所有評估執行、發現項目與報告版本也會刪除。

您也可以使用 DeleteAssessmentTemplate API 來刪除評估範本。

評估執行

在建立評估範本後,您可以使用它來開始評估執行。只要您維持在每個帳戶的執行限制範圍內,就可以使用相同的範本開始多次執 AWS 行。如需詳細資訊,請參閱 Amazon Inspector 經典評估運行限制

如果您使用 Amazon Inspector 傳統主控台,則必須從評估範本頁面開始第一次執行新的評估範本。開始執行後,您可以使用 Assessment runs (評估執行) 頁面來監控執行的進度。使用 Run (執行)、Cancel (取消) 和 Delete (刪除) 按鈕來開始、取消或刪除執行。您也可以檢視執行的詳細資訊,包括執行的 ARN、為執行所選取的規則套件、您套用至執行的標記和屬性等等。

對於評估範本的後續執行,您可以使用 Run (執行)、Cancel (取消) 和 Delete (刪除) 按鈕或 Assessment templates (評估範本) 頁面或 Assessment runs (評估執行) 頁面。

刪除評估執行

若要刪除評估執行,請執行以下程序。

刪除執行

  • Assessment runs (評估執行) 頁面,選擇您要刪除的執行,然後選擇 Delete (刪除)。出現確認提示時,請選擇 Yes (是)。

    重要

    刪除執行時,該執行的所有調查結果和所有報告版本也會一併刪除。

您亦可使用 DeleteAssessmentRun API 來刪除執行。

Amazon Inspector 經典評估運行限制

您最多可以為每個 AWS 帳戶建立 50,000 次評估執行。

只要用於運行的目標不包含重疊的 EC2 實例,您就可以同時發生多個運行。

如需詳細資訊,請參閱 Amazon Inspector 經典服務限制

透過 Lambda 函數設定自動評估執行

如果您想為評估設定週期性排程,可以使用 AWS Lambda 主控台建立 Lambda 函數,將評估範本設定為自動執行。如需詳細資訊,請參閱 Lambda 函數

若要使用 AWS Lambda 主控台設定自動評估執行,請執行下列程序。

若要透過 Lambda 函數設定自動執行

  1. 登入 AWS Management Console,然後開啟AWS Lambda 主控台

  2. 在導覽窗格中,選擇 [儀表板] 或 [數],然後選擇 [建立 Lambda 函數]。

  3. Create function (建立函數) 頁面上,選擇 Browse serverless app repository (瀏覽無伺服器應用程式儲存庫),然後在搜尋欄位中輸入 inspector

  4. 選擇inspector-scheduled-run藍圖。

  5. [檢閱、設定和部署] 頁面上,透過指定觸發函數的 CloudWatch 事件,為自動執行設定週期性排程。方法是輸入規則名稱和描述,然後選擇排程表達式。排程表達式決定執行的發生頻率,如每 15 分鐘或每天一次。如需有關 CloudWatch 事件和概念的詳細資訊,請參閱什麼是 Amazon CloudWatch 活動?

    如果您選取 Enable trigger (啟用觸發條件) 核取方塊,則函數建立完成後,執行就會立即開始。後續自動化執行會依照您在 Schedule expression (排程表達式) 欄位中指定的週期模式。如果在建立函數時不選擇 Enable trigger (啟用觸發) 核取方塊,您可以在稍後編輯該函數以啟用此觸發。

  6. Configure function (設定函數) 頁面上,指定下列:

    • Name (名稱) 中,輸入函數的名稱。

    • (選用) 在 Description (描述) 中,輸入可協助您稍後辨識函數的描述。

    • 對於執行階段,請保留的預設值Node.js 8.10。 AWS Lambda 僅支援Node.js 8.10執行階段的inspector-scheduled-run藍圖。

    • 您想要使用此函數自動執行的評估範本。您可以透過為呼叫的環境變數提供值來執行此操作assessmentTemplateArn

    • 維持處理常式的預設值 index.handler 設定。

    • 使用 Role (角色) 欄位的函數許可。如需詳細資訊,請參閱 AWS Lambda 許可模型

      若要執行此函數,您需要 IAM 角色,以 AWS Lambda 便開始執行,並將有關執行的日誌訊息 (包括任何錯誤) 寫入 Amazon CloudWatch Logs。 AWS Lambda 每次循環自動執行都會採用此角色。例如,您可以將以下範例政策附加到這個 IAM 角色:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. 檢閱您的選項,然後選擇 Create function (建立函數)。

為 Amazon Inspector 經典通知設定 SNS 主題

Amazon Simple Notification Service (Amazon SNS) 是一項 Web 服務,用於將訊息傳送到訂閱的端點或者用戶端。您可以使用 Amazon SNS 來設置 Amazon Inspector 經典的通知。

若要為通知設定 SNS 主題

  1. 建立 SNS 主題。請參閱 教學課程:建立 Amazon SNS 主題。建立主題時,請展開 Access policy - optional (存取政策 - 選用) 區段。然後執行下列操作來允許評估,以傳送訊息至主題:

    1. Choose method (選擇方法) 中,選擇 Basic (基本)

    2. 針對 [定義誰可以將郵件發佈到主題] 中,選擇 [僅指定的 AWS 帳戶],然後在您要在其中建立主題的區域中輸入帳戶的 ARN:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)-骨架::我::206278770380:aws-us-gov

      • AWS GovCloud (US-West)-骨架::我::850862329162:aws-us-gov

    3. 針對 [定義誰可以訂閱此主題],選擇 [僅指定的 AWS 帳戶],然後在您要建立主題的地區中輸入帳戶的 ARN。

    4. 若要保護自己免受 IAM 使用者指南中所述的混淆副問題所述的 Inspector 被用作混淆的副手,請執行下列動作:

      1. 選擇 Advanced (進階)。這將導航到 JSON 編輯器。

      2. 新增下列條件:

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (可選)有關 aws: SourceAccount 和 aws 的其他資訊SourceArn,請參閱 IAM 使用者指南中的全域條件上下文金鑰

    6. 視需要更新主題的其他設定,然後選擇 Create topic (建立主題)

  2. (選擇性) 若要建立加密的 SNS 主題,請參閱 SNS 開發人員指南中的靜態加密。

  3. 為了保護自己免受 Inspector 被用作 KMS 密鑰的混淆副手,請按照以下其他步驟操作:

    1. 前往 KMS 主控台中的 CMK。

    2. 選擇編輯

    3. 新增下列條件:

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. 為您所建立的主題建立訂閱。如需詳細資訊,請參閱 教學課程:讓端點訂閱 Amazon SNS 主題

  5. 若要確認是否正確設定訂閱,請將訊息發佈到主題。如需更多資訊,請參閱 教學課程:將訊息發佈到 Amazon SNS 主題