Inspector

Der Amazon Inspector-Dienst ist agentenbasiert, was bedeutet, dass Software-Agenten auf allen EC2-Instanzen installiert werden müssen, die Sie bewerten möchten. Dies macht es einfach, den Dienst zu konfigurieren und zu jedem Zeitpunkt zu den bereits in Ihrer AWS-Infrastruktur ausgeführten Ressourcen hinzuzufügen. Dies hilft Amazon Inspector, sich nahtlos in Ihre bestehenden Sicherheitsprozesse und -verfahren als eine weitere Sicherheitsebene zu integrieren.

Dies sind die Tests, die AWS Inspector Ihnen ermöglicht durchzuführen:

• CVEs

• CIS-Benchmarks

• Sicherheitsbewährte Verfahren

• Netzwerkzugänglichkeit

Sie können beliebige dieser Tests auf den von Ihnen ausgewählten EC2-Maschinen durchführen.

Element von AWS Inspector

Rolle: Erstellen oder wählen Sie eine Rolle, um Amazon Inspector Lesezugriff auf die EC2-Instanzen zu gewähren (DescribeInstances) Bewertungsziele: Gruppe von EC2-Instanzen, gegen die Sie eine Bewertung durchführen möchten AWS-Agenten: Software-Agenten, die auf EC2-Instanzen installiert werden müssen, um zu überwachen. Daten werden über einen TLS-Kanal an Amazon Inspector gesendet. Ein regelmäßiger Herzschlag wird vom Agenten an den Inspector gesendet, um Anweisungen anzufordern. Er kann sich selbst aktualisieren Bewertungsvorlagen: Definieren Sie spezifische Konfigurationen, wie eine Bewertung auf Ihren EC2-Instanzen durchgeführt wird. Eine Bewertungsvorlage kann nach der Erstellung nicht geändert werden.

• Zu verwendende Regel-Pakete

• Dauer des Bewertungslaufs 15 Minuten/1 Stunde/8 Stunden

• SNS-Themen, wählen Sie, wann benachrichtigt werden soll: Start, Abschluss, Zustandsänderung, Bericht eines Ergebnisses

• Attribute, die den Ergebnissen zugewiesen werden sollen

Regelpaket: Enthält eine Reihe einzelner Regeln, die gegen eine EC2 überprüft werden, wenn eine Bewertung durchgeführt wird. Jede hat auch eine Schwere (hoch, mittel, niedrig, informativ). Die Möglichkeiten sind:

• Allgemeine Schwachstellen und Expositionen (CVEs)

• Center for Internet Security (CIS) Benchmark

• Sicherheitsbewährte Verfahren

Sobald Sie die Amazon Inspector-Rolle konfiguriert, die AWS-Agenten installiert, das Ziel konfiguriert und die Vorlage konfiguriert haben, können Sie sie ausführen. Ein Bewertungslauf kann gestoppt, fortgesetzt oder gelöscht werden.

Amazon Inspector verfügt über eine vordefinierte Reihe von Regeln, die in Pakete gruppiert sind. Jede Bewertungsvorlage legt fest, welche Regelpakete im Test enthalten sein sollen. Instanzen werden gegen die im Bewertungsvorlage enthaltenen Regelpakete bewertet.

Berichterstattung

Telemetrie: Daten, die von einer Instanz gesammelt werden, die ihre Konfiguration, Verhalten und Prozesse während eines Bewertungslaufs detaillieren. Sobald die Daten gesammelt wurden, werden sie in Echtzeit über TLS an Amazon Inspector zurückgesendet, wo sie dann über einen flüchtigen KMS-Schlüssel verschlüsselt im S3 gespeichert werden. Amazon Inspector greift dann auf den S3-Bucket zu, entschlüsselt die Daten im Speicher und analysiert sie gegen die für diese Bewertung verwendeten Regelpakete, um die Ergebnisse zu generieren.

Bewertungsbericht: Bietet Details darüber, was bewertet wurde und die Ergebnisse der Bewertung.

• Der Ergebnisbericht enthält die Zusammenfassung der Bewertung, Informationen über die EC2 und Regeln sowie die aufgetretenen Ergebnisse.

• Der vollständige Bericht ist der Ergebnisbericht + eine Liste der bestandenen Regeln.

Enumeration

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post-Exploitation

TODO: Pull Requests sind willkommen