Inspector

El servicio Amazon Inspector es basado en agentes, lo que significa que requiere que se instalen agentes de software en cualquier instancia EC2 que desee evaluar. Esto hace que sea un servicio fácil de configurar y agregar en cualquier momento a los recursos existentes que ya se ejecutan dentro de su infraestructura de AWS. Esto ayuda a que Amazon Inspector se convierta en una integración perfecta con cualquiera de sus procesos de seguridad existentes y procedimientos como otro nivel de seguridad.

Estas son las pruebas que AWS Inspector te permite realizar:

• CVEs

• CIS Benchmarks

• Mejores prácticas de seguridad

• Alcance de red

Puedes ejecutar cualquiera de estas pruebas en las máquinas EC2 que decidas.

Elemento de AWS Inspector

Rol: Crea o selecciona un rol para permitir que Amazon Inspector tenga acceso de solo lectura a las instancias EC2 (DescribeInstances) Objetivos de evaluación: Grupo de instancias EC2 en las que deseas ejecutar una evaluación Agentes de AWS: Agentes de software que deben instalarse en las instancias EC2 para monitorear. Los datos se envían a Amazon Inspector utilizando un canal TLS. Se envía un latido regular desde el agente al inspector solicitando instrucciones. Puede actualizarse automáticamente Plantillas de evaluación: Define configuraciones específicas sobre cómo se ejecuta una evaluación en sus instancias EC2. Una plantilla de evaluación no se puede modificar después de la creación.

• Paquetes de reglas a utilizar

• Duración de la ejecución de la evaluación 15min/1hora/8horas

• Temas de SNS, seleccionar cuándo notificar: Inicio, finalización, cambio de estado, informar un hallazgo

• Atributos a asignar a los hallazgos

Paquete de reglas: Contiene varias reglas individuales que se verifican en una instancia EC2 cuando se ejecuta una evaluación. Cada una también tiene una gravedad (alta, media, baja, informativa). Las posibilidades son:

• Vulnerabilidades y Exposiciones Comunes (CVEs)

• Centro de Seguridad de Internet (CIS) Benchmark

• Mejores prácticas de seguridad

Una vez que haya configurado el Rol de Amazon Inspector, se hayan instalado los Agentes de AWS, se haya configurado el objetivo y la plantilla, podrá ejecutarlo. Una ejecución de evaluación se puede detener, reanudar o eliminar.

Amazon Inspector tiene un conjunto predefinido de reglas, agrupadas en paquetes. Cada Plantilla de Evaluación define qué paquetes de reglas se incluirán en la prueba. Las instancias se evalúan con respecto a los paquetes de reglas incluidos en la plantilla de evaluación.

Reporte

Telemetría: datos recopilados de una instancia, detallando su configuración, comportamiento y procesos durante una ejecución de evaluación. Una vez recopilados, los datos se envían de vuelta a Amazon Inspector en tiempo casi real a través de TLS, donde se almacenan y cifran en S3 a través de una clave KMS efímera. Luego, Amazon Inspector accede al Bucket de S3, descifra los datos en memoria y los analiza con respecto a cualquier paquete de reglas utilizado para esa evaluación para generar los hallazgos.

Informe de Evaluación: Proporciona detalles sobre lo que se evaluó y los resultados de la evaluación.

• El informe de hallazgos contiene el resumen de la evaluación, información sobre la EC2 y las reglas y los hallazgos que ocurrieron.

• El informe completo es el informe de hallazgos + una lista de reglas que se aprobaron.

Enumeración

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post Explotación

TODO: Se aceptan solicitudes de extracción