AWS - Inspector Enum
インスペクター
Amazon Inspectorサービスはエージェントベースであり、評価したいEC2インスタンスにソフトウェアエージェントをインストールする必要があります。これにより、既存のAWSインフラ内で実行中のリソースにいつでも簡単に構成および追加できるサービスとなります。これにより、Amazon Inspectorは既存のセキュリティプロセスや手順にシームレスに統合され、セキュリティの別レベルとして機能します。
AWS Inspectorで実行できるテストは次のとおりです:
CVE
CISベンチマーク
セキュリティベストプラクティス
ネットワーク到達性
これらのいずれかをEC2マシンで実行できます。
AWS Inspectorの要素
ロール:Amazon InspectorがEC2インスタンスに対して読み取り専用アクセス権を持つためのロールを作成または選択します(DescribeInstances) 評価対象:評価を実行したいEC2インスタンスのグループ AWSエージェント:監視するためにEC2インスタンスにインストールする必要のあるソフトウェアエージェント。データはTLSチャネルを使用してAmazon Inspectorに送信されます。エージェントからインスペクターに定期的なハートビートが送信され、指示を要求します。自動更新できます 評価テンプレート:EC2インスタンスで評価が実行される方法を特定の構成で定義します。評価テンプレートは作成後に変更できません。
使用するルールパッケージ
評価実行の期間 15分/1時間/8時間
SNSトピック、通知するタイミングを選択:開始、完了、状態の変更、結果の報告
見つけた結果に割り当てる属性
ルールパッケージ:評価が実行されるときにEC2に対してチェックされる個々のルールが含まれています。それぞれに重要度(高、中、低、情報)があります。可能なものは次のとおりです:
一般的な脆弱性と露出(CVE)
インターネットセキュリティセンター(CIS)ベンチマーク
セキュリティベストプラクティス
Amazon Inspectorロールを構成し、AWSエージェントをインストールし、ターゲットを構成し、テンプレートを構成したら、実行できるようになります。評価実行は停止、再開、または削除できます。
Amazon Inspectorには、パッケージにグループ化された事前定義済みのルールがあります。各評価テンプレートは、テストに含めるルールパッケージを定義します。インスタンスは、評価テンプレートに含まれるルールパッケージに対して評価されます。
現在、AWSはすでに必要なすべての構成を自動作成し、さらにEC2インスタンス内にエージェントを自動的にインストールすることを許可しています。
レポート
テレメトリ:インスタンスから収集されたデータで、評価実行中の構成、動作、プロセスの詳細を示します。データが収集されると、TLSを介してAmazon Inspectorにほぼリアルタイムで送信され、そこで一時的なKMSキーを介してS3に暗号化されて保存されます。 Amazon InspectorはS3バケットにアクセスし、データをメモリ内で復号化し、その評価に使用されるルールパッケージに対して分析して結果を生成します。
評価レポート:評価された内容と評価の結果に関する詳細を提供します。
調査結果レポートには、評価の概要、EC2およびルールに関する情報、発生した結果が含まれます。
完全なレポートは、調査結果レポート+合格したルールのリストです。
列挙
ポストエクスプロイテーション
攻撃者の視点から、このサービスは攻撃者が他のインスタンス/コンテナを侵害するのに役立つ脆弱性やネットワーク露出を見つけるのに役立ちます。
ただし、攻撃者はこのサービスを妨害して、被害者が脆弱性(すべてまたは特定のもの)を見ることができないようにすることにも興味を持つかもしれません。
TODO: PRs are welcome
最終更新