Inspector

Die Amazon Inspector-diens is agent-gebaseerd, wat beteken dat dit sagteware-agente vereis om geïnstalleer te word op enige EC2-instanties wat jy wil assesseer. Dit maak dit 'n maklike diens om te konfigureer en by te voeg op enige punt aan bestaande hulpbronne wat reeds in jou AWS-infrastruktuur loop. Dit help Amazon Inspector om 'n naadlose integrasie te word met enige van jou bestaande sekuriteitsprosesse en -prosedures as 'n verdere vlak van sekuriteit.

Dit is die toetse wat AWS Inspector jou toelaat om uit te voer:

• CVE's

• CIS Benchmarks

• Sekuriteitsbestuurspraktyke

• Netwerk bereikbaarheid

Jy kan enige van hierdie toetse uitvoer op die EC2-masjiene wat jy kies.

Element van AWS Inspector

Rol: Skep of kies 'n rol om Amazon Inspector leesnetwerktoegang tot die EC2-instanties te gee (DescribeInstances) Assessment Targets: Groep EC2-instanties wat jy wil assesseer AWS-agente: Sagteware-agente wat op EC2-instanties geïnstalleer moet word om te monitor. Data word na Amazon Inspector gestuur deur middel van 'n TLS-kanaal. 'n Gereelde hartklop word van die agent na die inspector gestuur om vir instruksies te vra. Dit kan outomaties opdateer word Assessment Templates: Definieer spesifieke konfigurasies vir hoe 'n assessering op jou EC2-instanties uitgevoer word. 'n Assesseringstemplate kan nie gewysig word nadat dit geskep is nie.

• Reëlspakkette wat gebruik moet word

• Duur van die assessering 15min/1uur/8ure

• SNS-onderwerpe, kies wanneer om kennisgewing te stuur: Begin, klaar, verander toestand, vind 'n bevinding

• Kenmerke wat aan bevindinge toegewys moet word

Reëlspakket: Bevat 'n aantal individuele reëls wat teen 'n EC2 nagegaan word wanneer 'n assessering uitgevoer word. Elkeen het ook 'n erns (hoog, medium, laag, inligting). Die moontlikhede is:

• Algemene kwesbaarhede en blootstelling (CVE's)

• Sentrum vir Internet-sekuriteit (CIS) Benchmark

• Sekuriteitsbestuurspraktyke

Sodra jy die Amazon Inspector-rol gekonfigureer het, die AWS-agente geïnstalleer het, die teiken gekonfigureer het en die sjabloon gekonfigureer het, sal jy dit kan uitvoer. 'n Assessering kan gestop, hervat of uitgevee word.

Amazon Inspector het 'n vooraf gedefinieerde stel reëls wat in pakkette gegroepeer is. Elke assesseringstemplate bepaal watter reëlspakkette in die toets ingesluit moet word. Instansies word geëvalueer teen reëlspakkette wat in die assesseringstemplate ingesluit is.

Verslagdoening

Telemetrie: Data wat versamel word van 'n instantie, wat sy konfigurasie, gedrag en prosesse tydens 'n assessering aandui. Sodra die data versamel is, word dit dan in byna-ware tyd oor TLS teruggestuur na Amazon Inspector, waar dit dan gestoor en versleutel word op S3 deur middel van 'n tydelike KMS-sleutel. Amazon Inspector het dan toegang tot die S3-emmer, ontsluit die data in die geheue, en analiseer dit teen enige reëlspakkette wat vir daardie assessering gebruik word om die bevindinge te genereer.

Assesseringverslag: Verskaf besonderhede oor wat geassesseer is en die resultate van die assessering.

• Die bevindingverslag bevat 'n opsomming van die assessering, inligting oor die EC2 en reëls, en die bevindinge wat voorgekom het.

• Die volledige verslag is die bevindingverslag + 'n lys van reëls wat geslaag is.

Enumerasie

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post Exploitasie

TODO: PR's is welkom