Inspector

Il servizio Amazon Inspector è basato su agenti, il che significa che richiede l'installazione di agenti software su qualsiasi istanza EC2 che si desidera valutare. Ciò rende il servizio facile da configurare e aggiungere in qualsiasi momento alle risorse esistenti già in esecuzione all'interno della tua infrastruttura AWS. Questo aiuta Amazon Inspector a diventare un'integrazione senza soluzione di continuità con qualsiasi dei tuoi processi e procedure di sicurezza esistenti come ulteriore livello di sicurezza.

Questi sono i test che AWS Inspector ti consente di eseguire:

• CVE

• CIS Benchmarks

• Best practice di sicurezza

• Raggiungibilità di rete

Puoi eseguire uno qualsiasi di questi test sulle macchine EC2 che decidi.

Elemento di AWS Inspector

Ruolo: Crea o seleziona un ruolo per consentire ad Amazon Inspector di avere accesso in sola lettura alle istanze EC2 (DescribeInstances) Obiettivi di valutazione: Gruppo di istanze EC2 su cui si desidera eseguire una valutazione Agenti AWS: Agenti software che devono essere installati sulle istanze EC2 per il monitoraggio. I dati vengono inviati ad Amazon Inspector tramite un canale TLS. Viene inviato un battito cardiaco regolare dall'agente all'ispettore per richiedere istruzioni. Può aggiornarsi automaticamente Modelli di valutazione: Definiscono configurazioni specifiche per l'esecuzione di una valutazione sulle tue istanze EC2. Un modello di valutazione non può essere modificato dopo la creazione.

• Pacchetti di regole da utilizzare

• Durata dell'esecuzione della valutazione 15 minuti/1 ora/8 ore

• Argomenti SNS, seleziona quando notificare: Inizio, completamento, cambio stato, segnala un risultato

• Attributi da assegnare ai risultati

Pacchetto di regole: Contiene una serie di regole individuali che vengono controllate su un'istanza EC2 quando viene eseguita una valutazione. Ognuna ha anche una gravità (alta, media, bassa, informativa). Le possibilità sono:

• Vulnerabilità e esposizioni comuni (CVE)

• Center for Internet Security (CIS) Benchmark

• Best practice di sicurezza

Una volta configurato il Ruolo di Amazon Inspector, installati gli Agenti AWS, configurato il target e configurato il modello, sarai in grado di eseguirlo. Un'esecuzione di valutazione può essere interrotta, ripresa o eliminata.

Amazon Inspector ha un insieme predefinito di regole, raggruppate in pacchetti. Ogni modello di valutazione definisce quali pacchetti di regole includere nel test. Le istanze vengono valutate rispetto ai pacchetti di regole inclusi nel modello di valutazione.

Reporting

Telemetria: dati raccolti da un'istanza, dettagliando la sua configurazione, comportamento e processi durante l'esecuzione di una valutazione. Una volta raccolti, i dati vengono quindi inviati a Amazon Inspector in tempo quasi reale tramite TLS, dove vengono archiviati e crittografati su S3 tramite una chiave KMS effimera. Amazon Inspector accede quindi al bucket S3, decrittografa i dati in memoria e li analizza rispetto a eventuali pacchetti di regole utilizzati per quella valutazione al fine di generare i risultati.

Rapporto di valutazione: Fornisce dettagli su ciò che è stato valutato e i risultati della valutazione.

• Il rapporto dei risultati contiene il riepilogo della valutazione, informazioni sull'EC2 e sulle regole e i risultati che si sono verificati.

• Il rapporto completo è il rapporto dei risultati + un elenco di regole che sono state superate.

Enumerazione

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post Esploitation

TODO: I PR sono benvenuti