Inspector

Le service Amazon Inspector est basé sur un agent, ce qui signifie qu'il nécessite des agents logiciels à installer sur toutes les instances EC2 que vous souhaitez évaluer. Cela en fait un service facile à configurer et à ajouter à tout moment aux ressources existantes déjà en cours d'exécution dans votre infrastructure AWS. Cela permet à Amazon Inspector de devenir une intégration transparente avec l'ensemble de vos processus de sécurité existants et de vos procédures en tant qu'autre niveau de sécurité.

Voici les tests que AWS Inspector vous permet d'effectuer :

• CVEs

• Benchmarks CIS

• Meilleures pratiques de sécurité

• Accessibilité réseau

Vous pouvez exécuter n'importe lequel de ces tests sur les machines EC2 que vous décidez.

Élément d'AWS Inspector

Rôle : Créez ou sélectionnez un rôle pour permettre à Amazon Inspector d'avoir un accès en lecture seule aux instances EC2 (DescribeInstances) Cibles d'évaluation : Groupe d'instances EC2 sur lesquelles vous souhaitez exécuter une évaluation Agents AWS : Agents logiciels qui doivent être installés sur les instances EC2 pour surveiller. Les données sont envoyées à Amazon Inspector via un canal TLS. Un battement régulier est envoyé de l'agent à l'inspecteur demandant des instructions. Il peut se mettre à jour automatiquement Modèles d'évaluation : Définissez des configurations spécifiques pour exécuter une évaluation sur vos instances EC2. Un modèle d'évaluation ne peut pas être modifié après sa création.

• Packages de règles à utiliser

• Durée de l'exécution de l'évaluation 15min/1heure/8heures

• Sujets SNS, sélectionnez quand notifier : Début, fin, changement d'état, signalement d'une découverte

• Attributs à attribuer aux découvertes

Package de règles : Contient un certain nombre de règles individuelles qui sont vérifiées contre une EC2 lorsqu'une évaluation est exécutée. Chacune a également une gravité (élevée, moyenne, faible, informationnelle). Les possibilités sont :

• Vulnérabilités et Expositions Courantes (CVEs)

• Benchmark du Center for Internet Security (CIS)

• Meilleures pratiques de sécurité

Une fois que vous avez configuré le rôle Amazon Inspector, installé les agents AWS, configuré la cible et configuré le modèle, vous pourrez l'exécuter. Une évaluation peut être arrêtée, reprise ou supprimée.

Amazon Inspector a un ensemble prédéfini de règles, regroupées en packages. Chaque modèle d'évaluation définit quels packages de règles doivent être inclus dans le test. Les instances sont évaluées par rapport aux packages de règles inclus dans le modèle d'évaluation.

Rapports

Télémétrie : données collectées à partir d'une instance, détaillant sa configuration, son comportement et ses processus lors d'une exécution d'évaluation. Une fois collectées, les données sont ensuite renvoyées à Amazon Inspector en quasi temps réel via TLS où elles sont ensuite stockées et chiffrées sur S3 via une clé KMS éphémère. Amazon Inspector accède ensuite au compartiment S3, déchiffre les données en mémoire et les analyse par rapport à tout package de règles utilisé pour cette évaluation afin de générer les découvertes.

Rapport d'évaluation : Fournit des détails sur ce qui a été évalué et les résultats de l'évaluation.

• Le rapport des découvertes contient le résumé de l'évaluation, des informations sur l'EC2 et les règles et les découvertes qui se sont produites.

• Le rapport complet est le rapport des découvertes + une liste des règles qui ont été validées.

Énumération

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post Exploitation

TODO: Les PR sont les bienvenues