Inspector

O serviço Amazon Inspector é baseado em agente, o que significa que requer agentes de software para serem instalados em quaisquer instâncias EC2 que você deseja avaliar. Isso torna o serviço fácil de ser configurado e adicionado a qualquer momento aos recursos existentes já em execução dentro de sua infraestrutura AWS. Isso ajuda o Amazon Inspector a se tornar uma integração perfeita com quaisquer processos e procedimentos de segurança existentes como outro nível de segurança.

Estes são os testes que o AWS Inspector permite que você execute:

• CVEs

• CIS Benchmarks

• Melhores práticas de segurança

• Alcance de rede

Você pode executar qualquer um desses testes nas máquinas EC2 que você decidir.

Elemento do AWS Inspector

Função: Criar ou selecionar uma função para permitir que o Amazon Inspector tenha acesso somente leitura às instâncias EC2 (DescribeInstances) Alvos de Avaliação: Grupo de instâncias EC2 nas quais você deseja executar uma avaliação Agentes AWS: Agentes de software que devem ser instalados nas instâncias EC2 para monitoramento. Os dados são enviados para o Amazon Inspector usando um canal TLS. Um batimento cardíaco regular é enviado do agente para o inspector solicitando instruções. Ele pode se autatualizar Modelos de Avaliação: Definem configurações específicas sobre como uma avaliação é executada em suas instâncias EC2. Um modelo de avaliação não pode ser modificado após a criação.

• Pacotes de regras a serem usados

• Duração da execução da avaliação 15min/1hora/8horas

• Tópicos SNS, selecione quando notificar: Início, finalizado, mudança de estado, relata uma descoberta

• Atributos a serem atribuídos às descobertas

Pacote de regras: Contém um número de regras individuais que são verificadas em uma EC2 quando uma avaliação é executada. Cada uma também tem uma severidade (alta, média, baixa, informativa). As possibilidades são:

• Vulnerabilidades e Exposições Comuns (CVEs)

• Centro de Segurança da Internet (CIS) Benchmark

• Melhores práticas de segurança

Depois de configurar a Função do Amazon Inspector, instalar os Agentes AWS, configurar o alvo e o modelo, você poderá executá-lo. Uma execução de avaliação pode ser interrompida, retomada ou excluída.

O Amazon Inspector possui um conjunto predefinido de regras, agrupadas em pacotes. Cada Modelo de Avaliação define quais pacotes de regras devem ser incluídos no teste. As instâncias são avaliadas em relação aos pacotes de regras incluídos no modelo de avaliação.

Relatórios

Telemetria: dados coletados de uma instância, detalhando sua configuração, comportamento e processos durante uma execução de avaliação. Uma vez coletados, os dados são enviados de volta para o Amazon Inspector em tempo quase real por TLS, onde são então armazenados e criptografados no S3 via uma chave KMS efêmera. O Amazon Inspector acessa então o Bucket S3, descriptografa os dados na memória e os analisa em relação a quaisquer pacotes de regras usados para essa avaliação para gerar as descobertas.

Relatório de Avaliação: Fornece detalhes sobre o que foi avaliado e os resultados da avaliação.

• O relatório de descobertas contém o resumo da avaliação, informações sobre a EC2 e regras e as descobertas que ocorreram.

• O relatório completo é o relatório de descobertas + uma lista de regras que foram aprovadas.

Enumeração

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Pós Exploração

TODO: Pull Requests são bem-vindos