インスペクター

Amazon Inspectorサービスはエージェントベースであり、評価したいEC2インスタンスにソフトウェアエージェントをインストールする必要があります。これにより、既存のAWSインフラ内で実行中のリソースにいつでも簡単に構成および追加できるサービスとなります。これにより、Amazon Inspectorは既存のセキュリティプロセスや手順にシームレスに統合され、セキュリティの別レベルとして機能します。

AWS Inspectorで実行できるテストは次のとおりです：

• CVE

• CISベンチマーク

• セキュリティベストプラクティス

• ネットワーク到達性

これらのいずれかをEC2マシンで実行できます。

AWS Inspectorの要素

ロール：Amazon InspectorがEC2インスタンスに対して読み取り専用アクセス権を持つためのロールを作成または選択します（DescribeInstances） 評価対象：評価を実行したいEC2インスタンスのグループ AWSエージェント：監視するためにEC2インスタンスにインストールする必要のあるソフトウェアエージェント。データはTLSチャネルを使用してAmazon Inspectorに送信されます。エージェントからインスペクターに定期的なハートビートが送信され、指示を要求します。自動更新できます 評価テンプレート：EC2インスタンスで評価が実行される方法を特定の構成で定義します。評価テンプレートは作成後に変更できません。

• 使用するルールパッケージ

• 評価実行の期間 15分/1時間/8時間

• SNSトピック、通知するタイミングを選択：開始、完了、状態の変更、結果の報告

• 見つけた結果に割り当てる属性

ルールパッケージ：評価が実行されるときにEC2に対してチェックされる個々のルールが含まれています。それぞれに重要度（高、中、低、情報）があります。可能なものは次のとおりです：

• 一般的な脆弱性と露出（CVE）

• インターネットセキュリティセンター（CIS）ベンチマーク

• セキュリティベストプラクティス

Amazon Inspectorロールを構成し、AWSエージェントをインストールし、ターゲットを構成し、テンプレートを構成したら、実行できるようになります。評価実行は停止、再開、または削除できます。

Amazon Inspectorには、パッケージにグループ化された事前定義済みのルールがあります。各評価テンプレートは、テストに含めるルールパッケージを定義します。インスタンスは、評価テンプレートに含まれるルールパッケージに対して評価されます。

レポート

テレメトリ：インスタンスから収集されたデータで、評価実行中の構成、動作、プロセスの詳細を示します。データが収集されると、TLSを介してAmazon Inspectorにほぼリアルタイムで送信され、そこで一時的なKMSキーを介してS3に暗号化されて保存されます。 Amazon InspectorはS3バケットにアクセスし、データをメモリ内で復号化し、その評価に使用されるルールパッケージに対して分析して結果を生成します。

評価レポート：評価された内容と評価の結果に関する詳細を提供します。

• 調査結果レポートには、評価の概要、EC2およびルールに関する情報、発生した結果が含まれます。

• 完全なレポートは、調査結果レポート+合格したルールのリストです。

列挙

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

ポストエクスプロイテーション

TODO: PRs are welcome