AWS - Inspector Enum
Inspector
El servicio Amazon Inspector es basado en agentes, lo que significa que requiere que se instalen agentes de software en cualquier instancia EC2 que desee evaluar. Esto hace que sea un servicio fácil de configurar y agregar en cualquier momento a los recursos existentes que ya se ejecutan dentro de su infraestructura de AWS. Esto ayuda a que Amazon Inspector se convierta en una integración perfecta con cualquiera de sus procesos de seguridad existentes y procedimientos como otro nivel de seguridad.
Estas son las pruebas que AWS Inspector te permite realizar:
CVEs
CIS Benchmarks
Mejores prácticas de seguridad
Alcance de red
Puedes ejecutar cualquiera de estas pruebas en las máquinas EC2 que decidas.
Elemento de AWS Inspector
Rol: Crea o selecciona un rol para permitir que Amazon Inspector tenga acceso de solo lectura a las instancias EC2 (DescribeInstances) Objetivos de evaluación: Grupo de instancias EC2 en las que deseas ejecutar una evaluación Agentes de AWS: Agentes de software que deben instalarse en las instancias EC2 para monitorear. Los datos se envían a Amazon Inspector utilizando un canal TLS. Se envía un latido regular desde el agente al inspector solicitando instrucciones. Puede actualizarse automáticamente Plantillas de evaluación: Define configuraciones específicas sobre cómo se ejecuta una evaluación en sus instancias EC2. Una plantilla de evaluación no se puede modificar después de la creación.
Paquetes de reglas a utilizar
Duración de la ejecución de la evaluación 15min/1hora/8horas
Temas de SNS, seleccionar cuándo notificar: Inicio, finalización, cambio de estado, informar un hallazgo
Atributos a asignar a los hallazgos
Paquete de reglas: Contiene varias reglas individuales que se verifican en una instancia EC2 cuando se ejecuta una evaluación. Cada una también tiene una gravedad (alta, media, baja, informativa). Las posibilidades son:
Vulnerabilidades y Exposiciones Comunes (CVEs)
Centro de Seguridad de Internet (CIS) Benchmark
Mejores prácticas de seguridad
Una vez que haya configurado el Rol de Amazon Inspector, se hayan instalado los Agentes de AWS, se haya configurado el objetivo y la plantilla, podrá ejecutarlo. Una ejecución de evaluación se puede detener, reanudar o eliminar.
Amazon Inspector tiene un conjunto predefinido de reglas, agrupadas en paquetes. Cada Plantilla de Evaluación define qué paquetes de reglas se incluirán en la prueba. Las instancias se evalúan con respecto a los paquetes de reglas incluidos en la plantilla de evaluación.
Ten en cuenta que hoy en día AWS ya te permite autocrear todas las configuraciones necesarias e incluso instalar automáticamente los agentes dentro de las instancias EC2.
Reporte
Telemetría: datos recopilados de una instancia, detallando su configuración, comportamiento y procesos durante una ejecución de evaluación. Una vez recopilados, los datos se envían de vuelta a Amazon Inspector en tiempo casi real a través de TLS, donde se almacenan y cifran en S3 a través de una clave KMS efímera. Luego, Amazon Inspector accede al Bucket de S3, descifra los datos en memoria y los analiza con respecto a cualquier paquete de reglas utilizado para esa evaluación para generar los hallazgos.
Informe de Evaluación: Proporciona detalles sobre lo que se evaluó y los resultados de la evaluación.
El informe de hallazgos contiene el resumen de la evaluación, información sobre la EC2 y las reglas y los hallazgos que ocurrieron.
El informe completo es el informe de hallazgos + una lista de reglas que se aprobaron.
Enumeración
Post Explotación
Desde la perspectiva de un atacante, este servicio puede ayudar al atacante a encontrar vulnerabilidades y exposiciones de red que podrían ayudarlo a comprometer otras instancias/contenedores.
Sin embargo, un atacante también podría estar interesado en interrumpir este servicio para que la víctima no pueda ver vulnerabilidades (todas o específicas).
TODO: Se aceptan solicitudes de extracción
Última actualización