guia do usuário versão mais recente - … · (opcional) verifique a assinatura do script de...
TRANSCRIPT
Amazon InspectorGuia do usuário
Versão Mais recente
Amazon Inspector Guia do usuário
Amazon Inspector: Guia do usuárioCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
Amazon Inspector Guia do usuário
Table of ContentsO que é o Amazon Inspector? ............................................................................................................. 1
Benefícios do Amazon Inspector ................................................................................................... 1Recursos do Amazon Inspector .................................................................................................... 1Definição de preço do Amazon Inspector ....................................................................................... 2Acesso ao Amazon Inspector ....................................................................................................... 2
Terminologia e conceitos do Amazon Inspector ....................................................................................... 3Limites de serviço do Amazon Inspector ................................................................................................ 5Sistemas operacionais compatíveis com o Amazon Inspector e regiões ...................................................... 7
Sistemas operacionais Linux compatíveis ....................................................................................... 7Sistemas operacionais Windows compatíveis .................................................................................. 8Regiões compatíveis ................................................................................................................... 8
Configuração do Amazon Inspector ....................................................................................................... 9Criar execuções de avaliação com tags de EC2 instance ................................................................. 9Instalar o agente do Amazon Inspector ........................................................................................ 10Criar automaticamente uma função vinculada ao serviço para conceder ao Amazon Inspector acessoa sua conta da AWS ................................................................................................................. 10
Se você estiver começando a usar o Amazon Inspector pela primeira vez .................................. 11Se você já tem o Amazon Inspector em execução na sua conta da AWS ................................... 11
Uso de funções vinculadas a serviço ........................................................................................... 12Permissões da função vinculada ao serviço do Amazon Inspector ............................................ 12Criação de uma função vinculada ao serviço do Amazon Inspector ........................................... 13Edição de uma função vinculada ao serviço do Amazon Inspector ............................................ 14Exclusão de uma função vinculada ao serviço do Amazon Inspector ......................................... 14
Demonstração para o início rápido do Amazon Inspector - Red Hat Enterprise Linux ................................... 15Configurar o Amazon Inspector ................................................................................................... 15Preparar o destino de avaliação para a execução da avaliação ........................................................ 16Criar um destino de avaliação .................................................................................................... 16Criar e executar um modelo de avaliação ..................................................................................... 16Localizar e analisar as descobertas geradas ................................................................................. 17Aplicar a correção recomendada ao destino de avaliação ............................................................... 18
Demonstração para o início rápido do Amazon Inspector – Ubuntu Server ................................................. 19Configurar o Amazon Inspector ................................................................................................... 19Preparar o destino de avaliação para a execução da avaliação ........................................................ 20Criar um destino de avaliação .................................................................................................... 20Criar e executar um modelo de avaliação ..................................................................................... 20Localizar e analisar as descobertas geradas ................................................................................. 21Aplicar a correção recomendada ao destino de avaliação ............................................................... 22
Agentes do Amazon Inspector ............................................................................................................ 23Privilégios do agente do Amazon Inspector ................................................................................... 23Segurança da rede e do agente do Amazon Inspector .................................................................... 24Atualizações do agente do Amazon Inspector ............................................................................... 24Ciclo de vida dos dados de telemetria ......................................................................................... 25Controle de acesso do Amazon Inspector em contas da AWS ......................................................... 25Limites do agente do Amazon Inspector ....................................................................................... 25Licenciamento público do agente do Amazon Inspector .................................................................. 25Instalação de agentes do Amazon Inspector ................................................................................. 26
AMI do Amazon Linux com o agente do Amazon Inspector ..................................................... 26Para instalar o agente do Amazon Inspector em várias instâncias do EC2 usando o comando deexecução Systems Manager ............................................................................................... 26Para instalar o agente do Amazon Inspector em uma instância do EC2 baseada em Linux ............ 27Para instalar o agente do Amazon Inspector em uma instância do EC2 baseada em Windows ....... 28
Trabalho com agentes do Amazon Inspector em sistemas operacionais baseados em Linux .................. 28Para verificar se o agente do Amazon Inspector está em execução .......................................... 29Para interromper o agente do Amazon Inspector ................................................................... 29
Versão Mais recenteiii
Amazon Inspector Guia do usuário
Para iniciar o agente do Amazon Inspector ........................................................................... 29Para configurar o suporte de proxy dos agentes do Amazon Inspector ...................................... 29Para desinstalar o agente do Amazon Inspector .................................................................... 30
Trabalho com agentes do Amazon Inspector em sistemas operacionais baseados em Windows ............. 31Para interromper ou iniciar o agente do Amazon Inspector ou verificar se o agente está emexecução ......................................................................................................................... 31Para modificar as configurações do agente do Amazon Inspector ............................................. 31Para configurar o suporte de proxy dos agentes do Amazon Inspector ...................................... 32Para desinstalar o agente do Amazon Inspector .................................................................... 32
(Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector em sistemasoperacionais baseados em Linux ................................................................................................ 33
Instalar as ferramentas do GPG .......................................................................................... 33Autenticar e importar a chave pública .................................................................................. 34Verificar a assinatura do pacote .......................................................................................... 35
(Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector em sistemasoperacionais baseados em Windows ........................................................................................... 36
Destinos de avaliação do Amazon Inspector ......................................................................................... 37Recursos de marcação para criar um destino de avaliação ............................................................. 37Limites dos destinos de avaliação do Amazon Inspector ................................................................. 38Criação de um destino de avaliação (Console) .............................................................................. 38Exclusão de um destino de avaliação (console) ............................................................................. 39
Execuções de avaliação e modelos de avaliação do Amazon Inspector ..................................................... 40Modelos de avaliação do Amazon Inspector ................................................................................. 40Limites de modelos de avaliação do Amazon Inspector .................................................................. 41Criação de um modelo de avaliação (Console) .............................................................................. 41Exclusão de um modelo de avaliação (console) ............................................................................ 42Execuções de avaliação ............................................................................................................ 43
Exclusão de uma execução de avaliação (console) ................................................................ 43Limites de execuções de avaliação do Amazon Inspector ............................................................... 43Configuração de execuções de avaliação automáticas por meio de uma função Lambda ...................... 43Configuração de um tópico do SNS para as notificações do Amazon Inspector (Console) ..................... 45
Descobertas do Amazon Inspector ...................................................................................................... 46Trabalho com as descobertas ..................................................................................................... 46
Relatórios de avaliação ...................................................................................................................... 48Exclusões no Amazon Inspector ......................................................................................................... 50
Tipos de exclusão ..................................................................................................................... 50Visualização de exclusões ......................................................................................................... 53Visualização de exclusões pós-avaliação ...................................................................................... 54
Pacotes de regras e regras do Amazon Inspector .................................................................................. 55Níveis de severidade para as regras no Amazon Inspector .............................................................. 55Pacotes de regras no Amazon Inspector ...................................................................................... 56Vulnerabilidades e exposições comuns ........................................................................................ 56Referências de segurança da CIS (Center for Internet Security) ....................................................... 56Práticas recomendadas de segurança .......................................................................................... 57
Desativar login-raiz via SSH ............................................................................................... 57Suporte somente ao SSH Versão 2 ..................................................................................... 58Desativar a autenticação de senha via SSH .......................................................................... 58Configurar a duração máxima da senha ............................................................................... 58Configurar o tamanho mínimo da senha ............................................................................... 59Configurar a complexidade da senha ................................................................................... 59Habilitar o ASLR ............................................................................................................... 59Habilitar a DEP ................................................................................................................ 60Configurar permissões para os diretórios do sistema .............................................................. 60
Análise de comportamento do tempo de execução ........................................................................ 60Protocolos de cliente inseguros (Login) ................................................................................ 61Protocolos de cliente inseguros (Geral) ................................................................................ 61Portas TCP de escuta não utilizadas ................................................................................... 62
Versão Mais recenteiv
Amazon Inspector Guia do usuário
Protocolos de servidor inseguros ......................................................................................... 62Software sem DEP ............................................................................................................ 63Processo raiz com permissões inseguras ............................................................................. 63
Disponibilidade de pacotes de regras em sistemas operacionais compatíveis ............................................. 65Log de chamadas de API do Amazon Inspector com AWS CloudTrail ....................................................... 68
Informações sobre o Amazon Inspector no CloudTrail .................................................................... 68Noções básicas sobre as entradas de arquivos de log do Amazon Inspector ...................................... 69
Monitoramento do Amazon Inspector usando o CloudWatch .................................................................... 72Métricas do CloudWatch para o Amazon Inspector ........................................................................ 72
Configurar o Amazon Inspector usando AWS CloudFormation ................................................................. 74Controle de acesso e autenticação do Amazon Inspector ........................................................................ 75
Autenticação ............................................................................................................................ 75Controle de acesso ................................................................................................................... 76Visão geral do gerenciamento de permissões de acesso aos seus recursos do Amazon Inspector .......... 76
Recursos e operações do Amazon Inspector ........................................................................ 77Entender a propriedade de recursos .................................................................................... 77Gerenciar o acesso aos recursos ........................................................................................ 77Especificação de elementos da política: ações, efeitos, recursos e principais .............................. 79Especificação de condições em uma política ......................................................................... 79
Usar políticas baseadas em identidade (políticas do IAM) para Amazon Inspector ............................... 80Permissões obrigatórias para usar o console do Amazon Inspector ........................................... 80Políticas gerenciadas (predefinidas) da AWS para Amazon Inspector ........................................ 81Exemplos de política gerenciada pelo cliente ........................................................................ 81
Permissões da API do Amazon Inspector: referência de ações, recursos e condições .......................... 82Apêndice – ARNs de pacotes de regras do Amazon Inspector ................................................................. 83
Oeste dos EUA (Oregon) ........................................................................................................... 83Leste dos EUA (Norte da Virgínia) .............................................................................................. 83Leste dos EUA (Ohio) ............................................................................................................... 84Oeste dos EUA (Norte da Califórnia) ........................................................................................... 84Ásia Pacífico (Mumbai) ............................................................................................................. 85Ásia-Pacífico (Sydney) ............................................................................................................... 85Ásia-Pacífico (Seul) ................................................................................................................... 85Ásia-Pacífico (Tóquio) ................................................................................................................ 86UE (Irlanda) ............................................................................................................................. 86UE (Frankfurt) .......................................................................................................................... 87AWS GovCloud (EUA) ............................................................................................................... 87
Histórico do documento ..................................................................................................................... 88
Versão Mais recentev
Amazon Inspector Guia do usuárioBenefícios do Amazon Inspector
O que é o Amazon Inspector?O Amazon Inspector permite que você analise o comportamento de seus recursos da AWS e ajuda aidentificar possíveis problemas de segurança. Usando o Amazon Inspector, você pode definir um conjuntode recursos da AWS que deseja incluir em um destino de avaliação. Em seguida, você pode criar ummodelo de avaliação e iniciar uma avaliação de segurança desse destino.
Durante a execução da avaliação, a rede, o sistema de arquivos e a atividade do processo dentro dodestino especificado são monitorados e um grande conjunto de dados de atividade e de configuraçãosão coletados. Esses dados incluem detalhes de comunicação com os serviços da AWS, o uso de canaisseguros, detalhes dos processos em execução, o tráfego de rede entre os processos em execução e muitomais. Os dados coletados são correlacionados, analisados e comparados com um conjunto de regras desegurança especificadas no modelo de avaliação. Uma execução de avaliação completa gera uma lista dedescobertas, possíveis problemas de segurança com diferentes graus de severidade.
Important
A AWS não garante que as recomendações fornecidas a seguir resolverão todos os possíveisproblemas de segurança. As descobertas geradas pelo Amazon Inspector dependem dasua escolha dos pacotes de regras incluídos em cada modelo de avaliação, da presença decomponentes que não sejam da AWS no sistema e de outros fatores. Você é responsável pelasegurança de ferramentas, aplicativos e processos executados nos serviços da AWS. Paraobter mais informações, consulte o Modelo de responsabilidade compartilhada da AWS para asegurança.Note
A AWS é responsável pela proteção da infraestrutura global que executa todos os serviçosoferecidos na Nuvem AWS. Essa infraestrutura abrange o hardware, o software, a rede e asinstalações que operam os serviços da AWS. A AWS fornece vários relatórios de auditoresindependentes que verificaram nossa conformidade com diversas normas e padrões desegurança em computação. Para obter mais informações, consulte Conformidade da NuvemAWS.
Para obter mais informações, consulte Terminologia e conceitos do Amazon Inspector (p. 3).
Benefícios do Amazon Inspector• O Amazon Inspector permite que você, de forma rápida e fácil, avalie a segurança de seus recursos da
AWS para fins forenses, de solução de problemas ou de auditorias ativas no seu próprio ritmo, conformeo progresso por meio do desenvolvimento de suas infraestruturas ou regularmente, em um ambiente deprodução estável.
• O Amazon Inspector permite que você se concentre em problemas de segurança mais complexos,transferindo a avaliação geral da segurança de sua infraestrutura para esse serviço automatizado.
• Ao usar o Amazon Inspector, você pode ter um melhor entendimento de seus recursos da AWS, pois asdescobertas do Amazon Inspector são produzidas por meio da análise dos dados reais de atividade e deconfiguração dos recursos da AWS.
Recursos do Amazon Inspector• Mecanismo de verificação de configuração e monitoramento de atividade – o Amazon Inspector fornece
um mecanismo que analisa a configuração dos recursos e do sistema e monitora a atividade para
Versão Mais recente1
Amazon Inspector Guia do usuárioDefinição de preço do Amazon Inspector
determinar a aparência de um destino, como ele se comporta e seus componentes dependentes. Acombinação dessa telemetria fornece uma visão completa do destino de avaliação e seus possíveisproblemas de segurança ou de conformidade.
• Biblioteca de conteúdo integrada – o Amazon Inspector tem uma biblioteca integrada de regras erelatórios. Isso inclui verificações com base em melhores práticas, padrões comuns de conformidade evulnerabilidades. Essas verificações incluem etapas recomendadas detalhadas para resolver potenciaisproblemas de segurança.
• Automatizável via API – o Amazon Inspector é totalmente automatizável por meio de uma API. Issopermite que as organizações incorporem testes de segurança no processo de desenvolvimento edesign, incluindo a seleção de relatórios, a execução e o fornecimento dos resultados desses testes.
Definição de preço do Amazon InspectorO Amazon Inspector tem um preço definido por agente por avaliação (agente-avaliação) por mês. Paraobter informações detalhadas sobre o Amazon Inspector, consulte Definição de preço do AmazonInspector.
Acesso ao Amazon InspectorVocê pode trabalhar com o serviço Amazon Inspector de qualquer uma das seguintes formas:
Console do Amazon Inspector
Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
O console é uma interface baseada em navegador para acessar e usar o serviço Amazon Inspector.AWS SDKs
A AWS fornece SDKs (kits de desenvolvimento de software) que consistem em bibliotecas e códigosde exemplo para várias linguagens de programação e plataformas (Java, Python, Ruby, .NET, iOS,Android, entre outras). Os SDKs oferecem uma forma conveniente para criar acesso programático aoserviço Amazon Inspector. Para obter informações sobre os SDKs do AWS, incluindo como baixá-lose instalá-los, consulte Ferramentas da Amazon Web Services.
API de HTTPS do Amazon Inspector
Você pode acessar o Amazon Inspector e a AWS de forma programática usando a API de HTTPS doAmazon Inspector, que permite que você atribua solicitações HTTPS diretamente ao serviço. Paraobter mais informações, consulte a Referência de APIs do Amazon Inspector.
Ferramentas de linha de comando da AWS
É possível usar as ferramentas da linha de comando da &AWS para executar comandos na linha decomando de seu sistema para executar tarefas do Amazon Inspector. Isso pode ser mais rápido econveniente do que usar o console. As ferramentas da linha de comando também são úteis se vocêquiser criar scripts que realizam tarefas da AWS. Para obter mais informações, consulte a Interface delinha de comando da AWS do Amazon Inspector.
Versão Mais recente2
Amazon Inspector Guia do usuário
Terminologia e conceitos do AmazonInspector
Conforme começa a usar o Amazon Inspector, você pode se beneficiar ao aprender sobre seus conceitosprincipais.
Agente do Amazon Inspector
Um agente de software que você deve instalar em todas as instâncias do Amazon Elastic ComputeCloud () que estão incluídas no destino de avaliação, a segurança que você deseja avaliar com oAmazon Inspector. O agente do Amazon Inspector monitora o comportamento da EC2 instance ondeele se encontra instalado, incluindo a rede, o sistema de arquivos e as atividades do processo e coletaum amplo conjunto de dados de comportamento e dados de configuração (telemetria), os quais eletransfere para o serviço do Amazon Inspector. Para obter mais informações, consulte Agentes doAmazon Inspector (p. 23).
Execução de avaliação
O processo de descoberta de possíveis problemas de segurança por meio de análise da configuraçãoe do comportamento de seu destino de avaliação em relação a pacotes de regras especificados.Durante uma execução de avaliação, o agente monitora, coleta e analisa dados comportamentais(telemetria) dentro do destino específico, como o uso de canais seguros, o tráfego de rede entreos processos em execução e detalhes de comunicação com os serviços da AWS. Em seguida, oAmazon Inspector analisa os dados e compara-os em relação a um conjunto de pacotes de regras desegurança especificados no modelo de avaliação durante a execução da avaliação. Uma execução deavaliação completa gera uma lista de descobertas, possíveis problemas de segurança com diferentesgraus de severidade. Para obter mais informações, consulte Execuções de avaliação e modelos deavaliação do Amazon Inspector (p. 40).
Destino de avaliação
No contexto do Amazon Inspector, um conjunto de recursos da AWS que funcionam juntos como umaunidade para ajudar você a atingir seus objetivos empresariais. O Amazon Inspector avalia o estadoda segurança dos recursos que constituem o destino de avaliação.
Important
No momento, os destinos de avaliação do Amazon Inspector podem consistir somente eminstâncias do EC2. Para obter mais informações, consulte Limites de serviço do AmazonInspector (p. 5)
Para criar um destino de avaliação do Amazon Inspector, você deve primeiro marcar as com paresde chave/valor de sua escolha e, em seguida, criar uma exibição dessas marcadas que têm chavesou valores comuns. Para obter mais informações, consulte Destinos de avaliação do AmazonInspector (p. 37).
Modelo de avaliação
A configuração que é usada durante a execução da avaliação, incluindo os pacotes de regras quevocê deseja usar para que o Amazon Inspector avalie o destino de avaliação, a duração da execuçãoda avaliação, os tópicos do SNS (Amazon Simple Notification Service) para os quais você quer queo Amazon Inspector envie notificações sobre os estados e as descobertas da execução da avaliaçãoe os atributos específicos do Amazon Inspector (pares de chave-valor) que você pode atribuir àsdescobertas geradas pela execução da avaliação que usa esse modelo de avaliação.
Versão Mais recente3
Amazon Inspector Guia do usuário
Descoberta
Um possível problema de segurança descoberto durante a execução da avaliação do AmazonInspector do destino especificado. As descobertas são exibidas no console do Amazon Inspector ourecuperadas por meio da API e contêm uma descrição detalhada do problema de segurança e umarecomendação sobre como corrigi-lo. Para obter mais informações, consulte Descobertas do AmazonInspector (p. 46).
Rule
No contexto do Amazon Inspector, uma verificação de segurança que o agente executa durante umaexecução de avaliação. Quando uma regra detecta um possível problema de segurança, o AmazonInspector gera uma descoberta que descreve o problema.
Pacote de regras
No contexto do Amazon Inspector, um conjunto de regras. Um pacote de regras corresponde aum objetivo de segurança que você possa ter. Você pode especificar o objetivo de segurançaselecionando o pacote de regras apropriado ao criar um modelo de avaliação do Amazon Inspector.Para obter mais informações, consulte Pacotes de regras e regras do Amazon Inspector (p. 55).
Telemetria
Dados (de comportamento, configuração, etc.) como registros de conexões de rede e criações deprocessos, coletados pelo agente do Amazon Inspector nas durante uma execução de avaliação epassados ao serviço do Amazon Inspector para análise.
Versão Mais recente4
Amazon Inspector Guia do usuário
Limites de serviço do AmazonInspector
O Amazon Inspector avalia o estado da segurança dos recursos que constituem o destino de avaliação.
Important
No momento, os destinos de avaliação do Amazon Inspector podem consistir somente eminstâncias do EC2.
A seguir estão os limites do Amazon Inspector por conta da AWS:
Recurso Limite padrão Comentários
Agentes por avaliação 500 O número máximo deagentes que podemser incluídos no destinode avaliação de umaexecução de avaliação.
Você pode solicitar umaumento de limite deagentes por avaliaçãoentrando em contatocom o atendimento aocliente da AWS.
Execuções de avaliação 50000 O número máximo deexecuções de avaliaçãoque podem ser criadaspor conta da AWS.Você pode ter váriasexecuções de avaliaçãoacontecendo ao mesmotempo, desde que osdestinos de avaliaçãousados para essesexecuções não tenhamsobreposição deinstâncias do EC2.
Você pode solicitar umaumento de limite deexecuções de avaliaçãoentrando em contatocom o atendimento aocliente da AWS.
Modelos de avaliação 500 O número máximo demodelos de avaliaçãoque você pode terem um determinado
Versão Mais recente5
Amazon Inspector Guia do usuário
Recurso Limite padrão Comentáriosmomento em uma contada AWS.
Você pode solicitar umaumento de limite demodelos de avaliaçãoentrando em contatocom o atendimento aocliente da AWS.
Destinos de avaliação 50 O número máximo dedestinos de avaliaçãoque você pode terem um determinadomomento em uma contada AWS.
Você pode solicitar umaumento de limite dedestinos de avaliaçãoentrando em contatocom o atendimento aocliente da AWS.
Versão Mais recente6
Amazon Inspector Guia do usuárioSistemas operacionais Linux compatíveis
Sistemas operacionais compatíveiscom o Amazon Inspector e regiões
O Amazon Inspector avalia o estado da segurança dos recursos que constituem o destino de avaliação.
Important
No momento, os destinos de avaliação do Amazon Inspector podem consistir somente eminstâncias do EC2.
Note
Para obter informações sobre como os pacotes de regras do Amazon Inspector estão disponíveisem sistemas operacionais compatíveis que você pode executar nas instâncias do EC2 incluídasnos destinos de avaliação, consulte Disponibilidade de pacotes de regras em sistemasoperacionais compatíveis (p. 65).
Tópicos• Sistemas operacionais Linux compatíveis (p. 7)• Sistemas operacionais Windows compatíveis (p. 8)• Regiões compatíveis (p. 8)
Sistemas operacionais Linux compatíveisNesta versão do Amazon Inspector, os destinos de avaliação podem consistir somente em instâncias doEC2 que executam a versão de 64 bits dos seguintes sistemas operacionais Linux:
• Amazon Linux 2 (2017.12)• Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03,
2013.09, 2013.03, 2012.09, 2012.03)• Ubuntu (18.04 LTS, 16.04 LTS, 14.04 LTS)• Debian (9.0 - 9.4)• Red Hat Enterprise Linux (7.2 - 7.5, 6.2 - 6.9)• CentOS (7.2 - 7.5, 6.2 - 6.9)
Important
A lista a seguir contém todas as versões do kernel que são compatíveis com o agente doAmazon Inspector em execução no Linux, Ubuntu, Red Hat Enterprise Linux e CentOS: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json.Você pode executar uma avaliação bem-sucedida do Amazon Inspector de uma instância do EC2com um sistema operacional baseado em Linux usando os pacotes de regras CVE, CIS ou demelhores práticas de segurança, mesmo se sua instância não tiver uma versão de kernel incluídanessa lista.Para executar uma avaliação bem-sucedida do Amazon Inspector de uma instância do EC2 comum sistema operacional baseado em Linux usando o pacote de regras Análise de comportamentodo tempo de execução (p. 60), sua instância deve ter uma versão do kernel que esteja incluídanessa lista. Se sua instância tem uma versão do kernel que não é compatível com o agente do
Versão Mais recente7
Amazon Inspector Guia do usuárioSistemas operacionais Windows compatíveis
Amazon Inspector, o pacote de regras de análise de comportamento do tempo de execução queavalia a instância do EC2 resulta em apenas uma descoberta informativa que diz que a versão dokernel da sua instância do EC2 não é compatível.
Sistemas operacionais Windows compatíveisNesta versão do Amazon Inspector, os destinos de avaliação podem consistir somente em instâncias doEC2 que executam a versão de 64 bits dos seguintes sistemas operacionais Windows:
• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2• Windows Server 2016 Base
Regiões compatíveis• Ásia Pacífico (Mumbai)• Ásia-Pacífico (Seul)• Ásia-Pacífico (Sydney)• Ásia-Pacífico (Tóquio)• UE (Frankfurt)• UE (Irlanda)• Leste dos EUA (Norte da Virgínia)• Leste dos EUA (Ohio)• Oeste dos EUA (Norte da Califórnia)• Oeste dos EUA (Oregon)• AWS GovCloud (EUA)
Versão Mais recente8
Amazon Inspector Guia do usuárioCriar execuções de avaliação com tags de EC2 instance
Configuração do Amazon InspectorQuando você se cadastra no Amazon Web Services (AWS), sua conta da AWS é automaticamentehabilitada para todos os serviços da AWS, incluindo o Amazon Inspector. Se você ainda não possui umaconta da AWS, use o procedimento a seguir para criar uma.
Para cadastrar-se no AWS
1. Abra o https://aws.amazon.com/ e escolha em Criar uma conta da AWS.
Note
Isso pode estar indisponível no seu navegador se, anteriormente, você iniciou a sessãono Console de gerenciamento da AWS. Nesse caso, escolha Fazer login com uma contadiferente e, em seguida, Criar uma nova conta da AWS.
2. Siga as instruções online.
Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um PIN usandoo teclado do telefone.
Ao iniciar o console do Amazon Inspector pela primeira vez, selecione Get Started e conclua as seguintestarefas necessárias. Você deve concluir essas tarefas antes que possa criar, iniciar e concluir umaexecução de avaliação do Amazon Inspector:
• Marcar todas as que você deseja incluir em seu destino de avaliação (p. 9)• Instalar o agente do Amazon Inspector em todas as que você deseja incluir em seu destino de
avaliação (p. 10)
Important
O acesso aos seus recursos é concedido ao Amazon Inspector por meio de uma função do IAMvinculada ao serviço chamada AWSServiceRoleForAmazonInspector. Para obter maisinformações, consulte Criar automaticamente uma função vinculada ao serviço para conceder aoAmazon Inspector acesso a sua conta da AWS (p. 10).
Criar execuções de avaliação com tags de EC2instance
O Amazon Inspector avalia se os destinos de avaliação (coleções de recursos da AWS) têm possíveisproblemas de segurança.
Important
Nesta versão do Amazon Inspector, os destinos de avaliação podem consistir somente eminstâncias do EC2 executadas em uma série de sistemas operacionais compatíveis. Para obtermais informações sobre os sistemas operacionais Linux e Windows e as regiões da AWS comsuporte, consulte Sistemas operacionais compatíveis com o Amazon Inspector e regiões (p. 7).
Versão Mais recente9
Amazon Inspector Guia do usuárioInstalar o agente do Amazon Inspector
Para obter mais informações sobre a execução de , consulte a documentação do Amazon ElasticCompute Cloud.
O Amazon Inspector usa as tags aplicadas às para selecionar esses recursos como parte de seu modelode avaliação definido. Ao configurar os destinos de avaliação, você pode utilizar as tags que você játenha definido nas ou criar tags totalmente novas especificamente para as avaliações. Para obter maisinformações sobre a marcação, consulte Trabalho com o Tag Editor and Marcação de recursos doAmazon EC2.
Para obter mais informações sobre a marcação de a serem incluídas nos destinos de avaliação doAmazon Inspector, consulte Destinos de avaliação do Amazon Inspector (p. 37).
Instalar o agente do Amazon InspectorVocê deve instalar o agente do Amazon Inspector em cada EC2 instance no destino de avaliação. Oagente monitora o comportamento das nas quais está instalado, incluindo a rede, o sistema de arquivose as atividade do processo, coleta um amplo conjunto de dados de comportamento e de configuração(telemetria) e, em seguida, transfere os dados para o serviço Amazon Inspector. Para obter maisinformações sobre privilégios, segurança, atualizações, dados de telemetria e controle de acesso doagente do Amazon Inspector, consulte Agentes do Amazon Inspector (p. 23).
Para obter mais informações sobre como instalar o agente do Amazon Inspector, consulte Instalação deagentes do Amazon Inspector (p. 26). Para obter mais informações sobre como desinstalar o agenteou como verificar se o agente instalado está em execução, consulte Trabalho com agentes do AmazonInspector em sistemas operacionais baseados em Linux (p. 28) e Trabalho com agentes do AmazonInspector em sistemas operacionais baseados em Windows (p. 31).
Important
Para ignorar a instalação manual do agente do Amazon Inspector nas do Amazon Linux que vocêquer incluir em seus destinos de avaliação, use o Amazon Linux AMI with Amazon InspectorAgent. Essa AMI vem com o agente do Amazon Inspector pré-instalado e não requer etapasadicionais para instalar ou configurar o agente. Para começar a usar o Amazon Inspector comessas , basta marcá-las de acordo com o destino de avaliação desejado. A configuração do Amazon Linux AMI with Amazon Inspector Agent aprimora a segurança ao se concentrar em duasmetas de segurança principais: limitar o acesso e reduzir as vulnerabilidades do software.Esta é a única AMI de EC2 instance disponível atualmente com o agente do Amazon Inspectorpré-instalado. Para as que executam o Ubuntu Server ou o Windows Server, você deve concluiras etapas de instalação manual do agente do Amazon Inspector.O Amazon Linux AMI with Amazon Inspector Agent está disponível no console do EC2 e tambémno AWS Marketplace.
Criar automaticamente uma função vinculada aoserviço para conceder ao Amazon Inspector acessoa sua conta da AWS
O Amazon Inspector precisa enumerar suas e tags para identificar as especificadas nos destinos deavaliação. O acesso a esses recursos é concedido ao Amazon Inspector na sua conta da AWS por meiode uma função vinculada ao serviço chamada AWSServiceRoleForAmazonInspector. A funçãovinculada ao serviço é um tipo exclusivo de função do IAM que é vinculada diretamente a um serviço daAWS (nesse caso, Amazon Inspector). As funções vinculadas a serviços são predefinidas pelo serviço eincluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Versão Mais recente10
Amazon Inspector Guia do usuárioSe você estiver começando a usar oAmazon Inspector pela primeira vez
O serviço vinculado (nesse caso, Amazon Inspector) também define como criar, modificar e excluir umafunção vinculada a serviço. Para obter mais informações sobre funções vinculadas a um serviço, consulteUso de funções vinculadas ao serviço do Amazon Inspector (p. 12) e Como usar funções vinculadas aserviços.
Para que a função vinculada ao serviço AWSServiceRoleForAmazonInspector seja criada comêxito, a identidade do IAM (usuário, função ou grupo) com a qual você usa o Amazon Inspector deveter as permissões necessárias. Para conceder as permissões necessárias, anexe a política gerenciadaAmazonInspectorFullAccess a esse usuário, grupo ou função do IAM. Para obter mais informações,consulte Políticas gerenciadas (predefinidas) da AWS para Amazon Inspector (p. 81).
A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente.As seções a seguir descrevem os detalhes de geração automática e uso da função vinculada ao serviçoAWSServiceRoleForAmazonInspector ao começar a usar o Amazon Inspector pela primeira vez ouquando você já tem o Amazon Inspector em execução em sua conta da AWS.
Se você estiver começando a usar o AmazonInspector pela primeira vez• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente
quando você usa o assistente Get Started with Amazon Inspector no console ou quando executa aoperação da API CreateAssessmentTarget.
• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada para sua conta daAWS somente na região na qual você está atualmente conectado. Ela concede ao Amazon Inspectoracesso aos recursos em sua conta da AWS somente nessa região. Se você usar a mesma conta daAWS para realizar o assistente do console Get Started with Amazon Inspector ou executar a operaçãoda API CreateAssessmentTarget em outras regiões, a mesma função vinculada ao serviço já criada emsua conta da AWS será aplicada às outras regiões e oferece ao Amazon Inspector acesso aos recursosna sua conta da AWS nas outras regiões.
Se você já tem o Amazon Inspector em execução nasua conta da AWS• Se você já tem o Amazon Inspector em execução na sua conta da AWS, a função do IAM que concede
ao Amazon Inspector acesso aos seus recursos já existe na sua conta da AWS. Nesse caso, a funçãovinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente quando vocêcria um novo destino de avaliação ou modelo de avaliação (por meio do console do Amazon Inspectorou das operações de API). Essa função vinculada ao serviço recém-criada substitui a função do IAMque, até agora, concedia ao Amazon Inspector acesso aos seus recursos.
Você também pode criar a função vinculada ao serviço AWSServiceRoleForAmazonInspectormanualmente escolhendo o link Manage Amazon Inspector service-linked role na seção AccountsSetting na página Dashboard do Inspector. Essa função vinculada ao serviço recém-criada substitui afunção do IAM que, até agora, concedia ao Amazon Inspector acesso aos seus recursos.
Note
Essa função do IAM criada anteriormente não é excluída. Ela permanece intacta, mas não émais usada para conceder ao Amazon Inspector acesso aos seus recursos. Você pode usar oconsole do IAM para gerenciar ou excluir essa função do IAM.
• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada para sua conta daAWS somente na região na qual você está atualmente conectado. Ela concede ao Amazon Inspectoracesso aos recursos em sua conta da AWS somente nessa região. Se você usar a mesma conta daAWS para criar o novo destino de avaliação ou modelo de avaliação para o serviço do Amazon Inspector
Versão Mais recente11
Amazon Inspector Guia do usuárioUso de funções vinculadas a serviço
em execução em outras regiões, a mesma função vinculada ao serviço já criada em sua conta da AWS éaplicada e concede ao Amazon Inspector acesso aos recursos na sua conta da AWS nas outras regiões.
Para excluir a função vinculada ao serviço AWSServiceRoleForAmazonInspector, vocêdeve excluir todos os destinos de avaliação desta conta da AWS em todas as regiões em que oAmazon Inspector está em execução. Você também pode excluir a função vinculada ao serviçoAWSServiceRoleForAmazonInspector por meio do console do IAM. Para obter mais informações,consulte Usar funções vinculadas a serviços.
Uso de funções vinculadas ao serviço do AmazonInspector
O Amazon Inspector usa funções vinculadas ao serviço do AWS Identity and Access Management (IAM).Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao AmazonInspector. As funções vinculadas a serviços são predefinidas pelo Amazon Inspector e incluem todas aspermissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Uma função vinculada a serviço facilita a configuração do Amazon Inspector porque você não precisaadicionar as permissões necessárias manualmente. O Amazon Inspector define as permissões dasfunções vinculadas a serviços e, exceto se definido de outra forma, somente o Amazon Inspector podeassumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões,e essa política não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir uma função vinculada a serviço somente após excluir os destinos de avaliação de umaconta da AWS em todas as regiões em que você tem o Amazon Inspector em execução.
Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviço,consulte Serviços da AWS compatíveis com o IAM e procure os serviços que apresentam Sim na colunaFunção vinculada a serviços. Escolha um Sim com um link para exibir a documentação da funçãovinculada a serviço desse serviço.
Para obter mais informações, consulte Criar automaticamente uma função vinculada ao serviço paraconceder ao Amazon Inspector acesso a sua conta da AWS (p. 10).
Permissões da função vinculada ao serviço doAmazon InspectorO Amazon Inspector usa a função vinculada a serviço denominada AWSServiceRoleForAmazonInspector.
A função vinculada ao serviço AWSServiceRoleForAmazonInspector confia nos seguintes serviços paraassumir a função:
• Amazon Inspector
A política de permissões da função permite que o Amazon Inspector conclua as seguintes ações nosrecursos especificados:
• Ação: iam:CreateServiceLinkedRole em arn:aws:iam::*:role/aws-service-role/inspector.amazonaws.com/AWSServiceRoleForAmazonInspector
Para que a função vinculada ao serviço AWSServiceRoleForAmazonInspector seja criada comêxito, a identidade do IAM (usuário, função ou grupo) com a qual você usa o Amazon Inspector deve
Versão Mais recente12
Amazon Inspector Guia do usuárioCriação de uma função vinculadaao serviço do Amazon Inspector
ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política gerenciadaAmazonInspectorFullAccess a esse usuário, grupo ou função do IAM. Para obter mais informações,consulte Políticas gerenciadas (predefinidas) da AWS para Amazon Inspector (p. 81).
Para obter mais informações, consulte Permissões da função vinculada ao serviço no Guia do usuário doIAM.
Criação de uma função vinculada ao serviço doAmazon InspectorVocê não precisa criar manualmente a função vinculada a serviçoAWSServiceRoleForAmazonInspector.
A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente.As seções a seguir descrevem os detalhes de geração automática e uso da função vinculada ao serviçoAWSServiceRoleForAmazonInspector ao começar a usar o Amazon Inspector pela primeira vez ouquando você já tem o Amazon Inspector em execução em sua conta da AWS.
Se você estiver começando a usar o Amazon Inspector pelaprimeira vez• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente
quando você usa o assistente Get Started with Amazon Inspector no console ou quando executa aoperação da API CreateAssessmentTarget.
• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada para sua conta daAWS somente na região na qual você está atualmente conectado. Ela concede ao Amazon Inspectoracesso aos recursos em sua conta da AWS somente nessa região. Se você usar a mesma conta daAWS para realizar o assistente do console Get Started with Amazon Inspector ou executar a operaçãoda API CreateAssessmentTarget em outras regiões, a mesma função vinculada ao serviço já criada emsua conta da AWS será aplicada às outras regiões e oferece ao Amazon Inspector acesso aos recursosna sua conta da AWS nas outras regiões.
Se você já tem o Amazon Inspector em execução na sua contada AWS• Se você já tem o Amazon Inspector em execução na sua conta da AWS, a função do IAM que concede
ao Amazon Inspector acesso aos seus recursos já existe na sua conta da AWS. Nesse caso, a funçãovinculada ao serviço AWSServiceRoleForAmazonInspector é criada automaticamente quando vocêcria um novo destino de avaliação ou modelo de avaliação (por meio do console do Amazon Inspectorou das operações de API). Essa função vinculada ao serviço recém-criada substitui a função do IAMque, até agora, concedia ao Amazon Inspector acesso aos seus recursos.
Você também pode criar a função vinculada ao serviço AWSServiceRoleForAmazonInspectormanualmente escolhendo o link Manage Amazon Inspector service-linked role na seção AccountsSetting na página Dashboard do Inspector. Essa função vinculada ao serviço recém-criada substitui afunção do IAM que, até agora, concedia ao Amazon Inspector acesso aos seus recursos.
Note
Essa função do IAM criada anteriormente não é excluída. Ela permanece intacta, mas não émais usada para conceder ao Amazon Inspector acesso aos seus recursos. Você pode usar oconsole do IAM para gerenciar ou excluir essa função do IAM.
• A função vinculada ao serviço AWSServiceRoleForAmazonInspector é criada para sua conta daAWS somente na região na qual você está atualmente conectado. Ela concede ao Amazon Inspector
Versão Mais recente13
Amazon Inspector Guia do usuárioEdição de uma função vinculadaao serviço do Amazon Inspector
acesso aos recursos em sua conta da AWS somente nessa região. Se você usar a mesma conta daAWS para criar o novo destino de avaliação ou modelo de avaliação para o serviço do Amazon Inspectorem execução em outras regiões, a mesma função vinculada ao serviço já criada em sua conta da AWS éaplicada e concede ao Amazon Inspector acesso aos recursos na sua conta da AWS nas outras regiões.
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de usoInspector. Na CLI do IAM ou na API do IAM, crie uma função vinculada ao serviço com o nome de serviçoAmazon Inspector. Para obter mais informações, consulte Criar uma função vinculada ao serviço noGuia do usuário do IAM.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmoprocesso para recriar a função em sua conta. Quando você executa Get started with Amazon Inspectoragain, a função vinculada ao serviço é recriada automaticamente para você.
Edição de uma função vinculada ao serviço doAmazon InspectorO Amazon Inspector não permite que você edite a função vinculada a serviçoAWSServiceRoleForAmazonInspector. Depois que criar uma função vinculada ao serviço, você não poderáalterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderáeditar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma funçãovinculada ao serviço no Guia do usuário do IAM.
Exclusão de uma função vinculada ao serviço doAmazon InspectorSe você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, érecomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitoradaativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviçoantes de exclui-la manualmente.
Note
Se o serviço Amazon Inspector estiver usando a função quando você tenta excluir os recursos, aexclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir recursos do Amazon Inspector usados pelo AWSServiceRoleForAmazonInspector
• Exclua os destinos de avaliação desta conta da AWS em todas as regiões em que você tem o AmazonInspector em execução. Para obter mais informações, consulte Destinos de avaliação do AmazonInspector (p. 37).
Para excluir manualmente a função vinculada ao serviço usando o IAM
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada a serviçoAWSServiceRoleForAmazonInspector. Para obter mais informações, consulte Excluir uma funçãovinculada ao serviço no Guia do usuário do IAM.
Versão Mais recente14
Amazon Inspector Guia do usuárioConfigurar o Amazon Inspector
Demonstração para o início rápidodo Amazon Inspector - Red HatEnterprise Linux
Antes que você siga as instruções nesta demonstração, recomendamos que você se familiarize com osTerminologia e conceitos do Amazon Inspector (p. 3).
Esta demonstração foi criada para um usuário novato e inclui todas as tarefas, incluindo as tarefas de pré-requisito, para a criação de um destino de avaliação, modelo de avaliação e execução de avaliação.
Esta demonstração foi criada para mostrar como usar o Amazon Inspector para analisar o comportamentodas que executam o sistema operacional Red Hat Enterprise Linux 7.5.
• Configurar o Amazon Inspector (p. 15). É a primeira experiência de execução, incluindo a conclusãode todas as tarefas de pré-requisito por meio do console do Amazon Inspector.
• Preparar o destino de avaliação para a execução da avaliação (p. 16)• Criar um destino de avaliação (p. 16)• Criar e executar um modelo de avaliação (p. 16)• Localizar e analisar as descobertas geradas (p. 17)• Aplicar a correção recomendada ao destino de avaliação (p. 18)
Configurar o Amazon Inspector1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. Escolha Get started para iniciar o Assistente Get started e, na página Step 1: Prerequisites, faça o
seguinte:
a. Marque as que você deseja incluir no destino de avaliação do Amazon Inspector.
Para esta demonstração, crie uma EC2 instance executando o Red Hat Enterprise Linux 7.5 emarque-a usando a chave Name (Nome) e um valor de InspectorEC2InstanceLinux.
Note
Para mais informações sobre a marcação de , consulte Recursos e tags.b. Instale o agente do Amazon Inspector na instância marcada do EC2.
Note
Você pode instalar o agente do Amazon Inspector em várias instâncias (baseadas emLinux e em Windows com o mesmo comando) de uma só vez usando o comando deexecução Systems Manager. Para instalar o agente em todas as instâncias no destinode avaliação, você pode especificar as mesmas tags usadas para a criação do destino
Versão Mais recente15
Amazon Inspector Guia do usuárioPreparar o destino de avaliaçãopara a execução da avaliação
de avaliação. Ou você pode instalar o agente do Amazon Inspector em sua instânciado EC2 manualmente. Para obter mais informações, consulte Instalação de agentes doAmazon Inspector (p. 26).
c. Escolha Next.
Note
Nesse ponto, uma função vinculada ao serviço chamadaAWSServiceRoleForAmazonInspector é criada para fornecer ao Amazon Inspector acessoaos seus recursos. Para obter mais informações, consulte Criar automaticamente uma funçãovinculada ao serviço para conceder ao Amazon Inspector acesso a sua conta da AWS (p. 10).
Preparar o destino de avaliação para a execuçãoda avaliação
Para esta demonstração, você modifica o destino de avaliação para expô-lo ao possível problemade segurança CVE-2018-1111. Para obter mais informações, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1111. Para obter mais informações, consulte também Vulnerabilidades eexposições comuns (p. 56).
Conecte-se à instância InspectorEC2InstanceLinux que você criou na seção anterior e execute oseguinte comando:
sudo yum install dhclient-12:4.2.5-68.el7
Criar um destino de avaliaçãoNa página Amazon Inspector - Assessment Targets , escolha Create e faça o seguinte:
1. Em Name, digite o nome de seu destino de avaliação.
Para esta demonstração, digite MyTargetLinux.2. Use os campos Tags, Key (Chave) e Value (Valor) para digitar o nome da chave e os pares de chave/
valor, a fim de selecionar as que você deseja incluir no destino de avaliação.
Para esta demonstração, use a instância do EC2 que você criou na etapa anterior, digite Nome nocampo Key e InspectorEC2InstanceLinux no campo Value e, em seguida, escolha Save.
Criar e executar um modelo de avaliaçãoNa página Amazon Inspector - Assessment Templates , escolha Create e faça o seguinte:
1. Em Name, digite o nome de seu modelo de avaliação. Para esta demonstração, digiteMyFirstTemplateLinux.
2. Em Target name, escolha o destino de avaliação que você criou acima - MyTargetLinux.3. Em Rules packages, use o menu suspenso para selecionar os pacotes de regras que você deseja
usar neste modelo de avaliação.
Versão Mais recente16
Amazon Inspector Guia do usuárioLocalizar e analisar as descobertas geradas
Para esta demonstração, escolha Common Vulnerabilities and Exposures-1.1.4. Em Duration, especifique a duração do modelo de avaliação.
Para esta demonstração, selecione 15 minutos.5. Escolha Create and run.
Localizar e analisar as descobertas geradasUma execução de avaliação concluída produz um conjunto de descobertas ou possíveis problemas desegurança que o Amazon Inspector descobriu do destino de avaliação. Você pode analisar as descobertase seguir as etapas recomendadas para solucionar os possíveis problemas de segurança.
Nesta demonstração, se você concluir as etapas anteriores, a execução da avaliação produzirá adescoberta sobre a vulnerabilidade comum CVE-2018-1111.
1. Navegue até a página Amazon Inspector - Assessment Runs no console do Amazon Inspector everifique se o status da execução do modelo de avaliação chamado MyFirstTemplateLinux que vocêcriou na etapa anterior está definido como Collecting data. Isso indica que a execução da avaliaçãoestá atualmente em andamento e os dados da telemetria para seu destino estão sendo coletados eanalisados em relação aos pacotes de regras selecionados.
2. Não é possível visualizar as descobertas geradas pela execução da avaliação enquanto ela aindaestiver em andamento. Deixe a demonstração executar totalmente por toda a duração. No entanto,para esta demonstração, você pode interromper a execução após alguns minutos.
Observe que o status de MyFirstTemplateLinux muda primeiro para Stopping, para Analyzing depoisde alguns minutos e, finalmente, Analysis complete. Para ver essas alterações no status, selecione oícone Refresh.
3. No console do Amazon Inspector, navegue até a página Amazon Inspector - Findings.
Uma nova descoberta de severidade Alta será exibida com a mensagem "A instânciaInspectorEC2InstanceLinux está vulnerável a CVE-2018-1111".
Note
Se a nova descoberta não for exibida, selecione o ícone Refresh.
Para expandir a exibição e ver os detalhes dessa descoberta, selecione a seta à esquerda dadescoberta. Os detalhes da descoberta incluem o seguinte:
• O ARN da descoberta• O nome da execução da avaliação que produziu a descoberta• O nome do destino de avaliação que produziu a descoberta• O nome do modelo de avaliação que produziu a descoberta• O horário de início da execução da avaliação• O horário de término da execução da avaliação• O status da execução da avaliação• O nome do pacote de regras que inclui a regra que acionou a descoberta• O ID do agente do Amazon Inspector• O nome da descoberta• A severidade da descoberta• A descrição da descoberta• As etapas de solução recomendadas que você pode concluir para corrigir o possível problema de
segurança descrito pela descoberta
Versão Mais recente17
Amazon Inspector Guia do usuárioAplicar a correção recomendada ao destino de avaliação
Aplicar a correção recomendada ao destino deavaliação
Para esta demonstração, você modificou o destino de avaliação para expô-lo a um possível problema desegurança CVE-2018-1111. Neste procedimento, você pode aplicar a correção recomendada para esseproblema.
1. Conecte-se à instância InspectorEC2InstanceLinux que você criou na seção anterior e executeo seguinte comando:
sudo yum update dhclient-12:4.2.5-68.el7
2. Na página Amazon Inspector - Assessment Templates, escolha MyFirstTemplateLinux e, em seguida,escolha Run para iniciar uma nova execução de avaliação usando este modelo.
3. Siga as etapas em Localizar e analisar as descobertas geradas (p. 17) para ver as descobertasresultantes dessa execução subsequente do modelo MyFirstTemplateLinux.
Por ter solucionado o problema de segurança CVE-2018-1111 encontrado, uma descoberta indicando-o não será mais exibida.
Versão Mais recente18
Amazon Inspector Guia do usuárioConfigurar o Amazon Inspector
Demonstração para o início rápido doAmazon Inspector – Ubuntu Server
Antes que você siga as instruções nesta demonstração, recomendamos que você se familiarize com osTerminologia e conceitos do Amazon Inspector (p. 3).
Esta demonstração foi criada para um usuário novato e inclui todas as tarefas, incluindo as tarefas de pré-requisito, para a criação de um destino de avaliação, modelo de avaliação e execução de avaliação.
Esta demonstração foi criada para mostrar como usar o Amazon Inspector para analisar o comportamentodas que executam o sistema operacional Ubuntu Server 16.04 LTS.
• Configurar o Amazon Inspector (p. 15). É a primeira experiência de execução, incluindo a conclusão detodas as tarefas de pré-requisito por meio do console do Amazon Inspector.
• Preparar o destino de avaliação para a execução da avaliação (p. 20)• Criar um destino de avaliação (p. 20)• Criar e executar um modelo de avaliação (p. 20)• Localizar e analisar as descobertas geradas (p. 21)• Aplicar a correção recomendada ao destino de avaliação (p. 22)
Configurar o Amazon Inspector1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. Escolha Get started para iniciar o Assistente Get started e, na página Step 1: Prerequisites, faça o
seguinte:
a. Marque as que você deseja incluir no destino de avaliação do Amazon Inspector.
Para esta demonstração, crie uma EC2 instance executando o Ubuntu Server 16.04 LTS emarque-a usando a chave Name e um valor de InspectorEC2InstanceUbuntu.
Note
Para mais informações sobre a marcação de , consulte Recursos e tags.b. Instale o agente do Amazon Inspector na EC2 instance marcada.
Note
Você pode instalar o agente do Amazon Inspector em várias instâncias (baseadas emLinux e em Windows com o mesmo comando) de uma só vez usando o comando deexecução Systems Manager. Para instalar o agente em todas as instâncias no destino deavaliação, você pode especificar as mesmas tags usadas para a criação do destino deavaliação. Ou você pode instalar manualmente o agente do Amazon Inspector em suaEC2 instance. Para obter mais informações, consulte Instalação de agentes do AmazonInspector (p. 26).
c. Escolha Next.Versão Mais recente
19
Amazon Inspector Guia do usuárioPreparar o destino de avaliaçãopara a execução da avaliação
Note
Nesse ponto, uma função vinculada ao serviço chamadaAWSServiceRoleForAmazonInspector é criada para fornecer ao Amazon Inspector acessoaos seus recursos. Para obter mais informações, consulte Criar automaticamente uma funçãovinculada ao serviço para conceder ao Amazon Inspector acesso a sua conta da AWS (p. 10).
Preparar o destino de avaliação para a execuçãoda avaliação
Para esta demonstração, você modifica o destino de avaliação para expô-lo ao possível problemade segurança CVE-2017-6507. Para obter mais informações, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6507. Para obter mais informações, consulte também Vulnerabilidades eexposições comuns (p. 56).
Conecte-se à instância InspectorEC2InstanceUbuntu que você criou na seção anterior e execute oseguinte comando:
sudo apt-get install apparmor=2.10.95-0ubuntu2.5
Criar um destino de avaliaçãoNa página Amazon Inspector - Assessment Targets , escolha Create e faça o seguinte:
1. Em Name, digite o nome de seu destino de avaliação.
Para esta demonstração, digite MyTargetUbuntu.2. Use os campos Tags, Key (Chave) e Value (Valor) para digitar o nome da chave e os pares de chave/
valor, a fim de selecionar as que você deseja incluir no destino de avaliação.
Para esta demonstração, use a EC2 instance que você criou na etapa anterior, digite Name (Nome)no campo Key (Chave) e InspectorEC2InstanceUbuntu no campo Value (Valor) e, em seguida,escolha Save (Salvar).
Criar e executar um modelo de avaliaçãoNa página Amazon Inspector - Assessment Templates , escolha Create e faça o seguinte:
1. Em Name, digite o nome de seu modelo de avaliação. Para esta demonstração, digiteMyFirstTemplateUbuntu.
2. Em Target name, escolha o destino de avaliação que você criou acima - MyTargetUbuntu.3. Em Rules packages, use o menu suspenso para selecionar os pacotes de regras que você deseja
usar neste modelo de avaliação.
Para esta demonstração, escolha Common Vulnerabilities and Exposures-1.1.4. Em Duration, especifique a duração do modelo de avaliação.
Para esta demonstração, selecione 15 minutos.5. Escolha Create and run.
Versão Mais recente20
Amazon Inspector Guia do usuárioLocalizar e analisar as descobertas geradas
Localizar e analisar as descobertas geradasUma execução de avaliação concluída produz um conjunto de descobertas ou possíveis problemas desegurança que o Amazon Inspector descobriu do destino de avaliação. Você pode analisar as descobertase seguir as etapas recomendadas para solucionar os possíveis problemas de segurança.
Nesta demonstração, se você concluir as etapas anteriores, a execução da avaliação produzirá adescoberta sobre a vulnerabilidade comum CVE-2017-6507.
1. Navegue até a página Amazon Inspector - Assessment Runs no console do Amazon Inspector everifique se o status da execução do modelo de avaliação chamado MyFirstTemplateUbuntu que vocêcriou na etapa anterior está definido como Collecting data. Isso indica que a execução da avaliaçãoestá atualmente em andamento e os dados da telemetria para seu destino estão sendo coletados eanalisados em relação aos pacotes de regras selecionados.
2. Não é possível visualizar as descobertas geradas pela execução da avaliação enquanto ela aindaestiver em andamento. Deixe a demonstração executar totalmente por toda a duração.
Observe que o status de MyFirstTemplateUbuntu muda primeiro para Stopping, para Analyzing depoisde alguns minutos e, finalmente, Analysis complete. Para ver essas alterações no status, selecione oícone Refresh.
3. No console do Amazon Inspector, navegue até a página Amazon Inspector - Findings.
Uma nova descoberta de severidade Alta será exibida com a mensagem "A instânciaInspectorEC2InstanceLinux está vulnerável a CVE-2017-6507".
Note
Se a nova descoberta não for exibida, selecione o ícone Refresh.
Para expandir a exibição e ver os detalhes dessa descoberta, selecione a seta à esquerda dadescoberta. Os detalhes da descoberta incluem o seguinte:
• O ARN da descoberta• O nome da execução da avaliação que produziu a descoberta• O nome do destino de avaliação que produziu a descoberta• O nome do modelo de avaliação que produziu a descoberta• O horário de início da execução da avaliação• O horário de término da execução da avaliação• O status da execução da avaliação• O nome do pacote de regras que inclui a regra que acionou a descoberta• O ID do agente do Amazon Inspector• O nome da descoberta• A severidade da descoberta• A descrição da descoberta• As etapas de solução recomendadas que você pode concluir para corrigir o possível problema de
segurança descrito pela descoberta
Versão Mais recente21
Amazon Inspector Guia do usuárioAplicar a correção recomendada ao destino de avaliação
Aplicar a correção recomendada ao destino deavaliação
Para esta demonstração, você modificou o destino de avaliação para expô-lo a um possível problema desegurança CVE-2017-6507. Neste procedimento, você pode aplicar a correção recomendada para esseproblema.
1. Conecte-se à instância InspectorEC2InstanceLinux que você criou na seção anterior e executeo seguinte comando:
sudo apt-get install apparmor=2.10.95-0ubuntu2.6
2. Na página Amazon Inspector - Assessment Templates, escolha MyFirstTemplateUbuntu e, emseguida, escolha Run para iniciar uma nova execução de avaliação usando esse modelo.
3. Siga as etapas em Localizar e analisar as descobertas geradas (p. 21) para ver as descobertasresultantes dessa execução subsequente do modelo MyFirstTemplateUbuntu.
Por ter solucionado o problema de segurança CVE-2017-6507 encontrado, uma descoberta indicando-o não será mais exibida.
Versão Mais recente22
Amazon Inspector Guia do usuárioPrivilégios do agente do Amazon Inspector
Agentes do Amazon InspectorPara avaliar a segurança das que fazem parte de seus destinos de avaliação do Amazon Inspector, vocêdeve instalar o agente do Amazon Inspector em cada instância. O agente monitora o comportamento(incluindo a rede, o sistema de arquivos e as atividade do processo) da EC2 instance na qual estáinstalado, coleta de dados de comportamento e de configuração (telemetria) e, em seguida, transfere osdados para o serviço Amazon Inspector.
Para obter mais informações sobre como instalar, desinstalar e reinstalar o agente do Amazon Inspector,como verificar se o agente instalado está em execução e como configurar o suporte de proxy dos agentesdo Amazon Inspector, consulte Trabalho com agentes do Amazon Inspector em sistemas operacionaisbaseados em Linux (p. 28) e Trabalho com agentes do Amazon Inspector em sistemas operacionaisbaseados em Windows (p. 31).
Tópicos• Privilégios do agente do Amazon Inspector (p. 23)• Segurança da rede e do agente do Amazon Inspector (p. 24)• Atualizações do agente do Amazon Inspector (p. 24)• Ciclo de vida dos dados de telemetria (p. 25)• Controle de acesso do Amazon Inspector em contas da AWS (p. 25)• Limites do agente do Amazon Inspector (p. 25)• Licenciamento público do agente do Amazon Inspector (p. 25)• Instalação de agentes do Amazon Inspector (p. 26)• Trabalho com agentes do Amazon Inspector em sistemas operacionais baseados em Linux (p. 28)• Trabalho com agentes do Amazon Inspector em sistemas operacionais baseados em
Windows (p. 31)• (Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector em sistemas
operacionais baseados em Linux (p. 33)• (Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector em sistemas
operacionais baseados em Windows (p. 36)
Privilégios do agente do Amazon InspectorSão necessárias permissões de administrador ou de raiz para instalar o agente do Amazon Inspector. Emsistemas operacionais baseados em Linux, o agente do Amazon Inspector consiste em um executável emmodo de usuário com acesso raiz e um módulo do kernel que é necessário para o agente funcionar. Emsistemas operacionais Windows compatíveis, o agente consiste em um serviço atualizador e um serviço deagente, cada um em execução no modo de usuário com privilégios de LocalSystem e um driver de modokernel que é necessário para o agente funcionar.
Important
A lista a seguir contém todas as versões do kernel que são compatíveis com o agente doAmazon Inspector em execução no Linux, Ubuntu, Red Hat Enterprise Linux e CentOS: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json.Você pode executar uma avaliação bem-sucedida do Amazon Inspector de uma EC2 instancecom sistema operacional Linux usando os pacotes de regras CVE, CIS ou de melhores práticasde segurança, mesmo se sua instância não tiver uma versão de kernel incluída nessa lista.
Versão Mais recente23
Amazon Inspector Guia do usuárioSegurança da rede e do agente do Amazon Inspector
Para executar uma avaliação bem-sucedida do Amazon Inspector de uma EC2 instance comsistema operacional Linux usando o pacote de regras Análise de comportamento do tempo deexecução (p. 60), sua instância deve ter uma versão do kernel que esteja incluída nessa lista.Se sua instância tiver uma versão do kernel não compatível com o agente do Amazon Inspector, opacote de regras de análise de comportamento do tempo de execução que avalia a EC2 instancegerará somente uma descoberta informativa com a instrução de que a versão do kernel da EC2instance não é compatível.
Segurança da rede e do agente do AmazonInspector
Toda a comunicação entre o agente do Amazon Inspector e o Amazon Inspector é iniciada pelo agentedo Amazon Inspector. Portanto, o agente deve ter um caminho de rede de saída para o endpoint públicopara enviar dados de telemetria do agente do Amazon Inspector (arsenal.<region>.amazonaws.com) ede serviços do Amazon S3 (s3.dualstack.aws-region.amazonaws.com). (Não se esqueça de substituir<region> com a região da AWS em que você executa o Amazon Inspector.) Para obter mais informações,consulte Intervalos de endereço IP da AWS. Além disso, como todas as conexões do agente são de saída,não é necessário abrir portas em seus grupos de segurança para permitir comunicações de entrada para oagente do Amazon Inspector.
O agente do Amazon Inspector comunica-se periodicamente com o Amazon Inspector por meio de umcanal protegido por TLS que é autenticado usando a identidade da AWS associada à função da EC2instance, se estiver presente, ou ao documento de metadados da instância, se nenhuma função foratribuída à instância. Uma vez autenticado, o agente envia mensagens de pulsação para o serviço erecebe instruções do serviço como respostas às mensagens de pulsação. Se uma avaliação tiver sidoprogramada, o agente receberá as instruções para essa avaliação. Essas instruções são arquivos JSONestruturados e informam o agente para habilitar ou desabilitar sensores pré-configurados específicosno agente. Cada ação da instrução é predefinida no agente e as instruções arbitrárias não podem serexecutadas.
Durante uma avaliação, o agente reúne os dados de telemetria do sistema para enviá-los de volta aoAmazon Inspector por meio de um canal protegido por TLS. O agente não faz alterações ao sistema doqual ele coleta dados. Uma vez coletados, o agente envia os dados de telemetria de volta ao AmazonInspector para o processamento. Além dos dados de telemetria que ele gera, o agente não é capazde coletar ou transmitir quaisquer outros dados sobre o sistema ou os destinos de avaliação que eleesteja avaliando. No momento, não há nenhum método exposto para interceptar e examinar os dados detelemetria no agente.
Atualizações do agente do Amazon InspectorÀ medida que as atualizações do agente do Amazon Inspector são disponibilizadas, elas sãoautomaticamente obtidas por download do Amazon S3 e aplicadas. Isso também atualiza quaisquerdependências necessárias. O recurso de atualização automática elimina a necessidade de rastrear emanter manualmente o versionamento dos agentes que você instalou em suas . Todas as atualizaçõesestão sujeitas aos processos auditados de controle de alterações da Amazon para garantir a conformidadecom as normas de segurança aplicáveis. Para garantir ainda mais a segurança do agente, todas ascomunicações entre o agente e o site de liberação de atualizações automáticas (S3) são realizadas pormeio de uma conexão TLS e o servidor é autenticado. Todos os binários envolvidos no processo deatualização automática são assinados digitalmente e as assinaturas são verificadas pelo atualizador antesda instalação. O processo de atualização automática é executado somente durante períodos em quenão há avaliação. Ele tem a possibilidade de ser revertido e a atualização poderá ser feita novamentese erros forem detectados. Por fim, o processo de atualização do agente serve somente para atualizar
Versão Mais recente24
Amazon Inspector Guia do usuárioCiclo de vida dos dados de telemetria
os recursos do agente e nenhuma de suas informações específicas é enviada do agente para o AmazonInspector como parte do fluxo de trabalho da atualização. A única informação comunicada como parte doprocesso de atualização é a telemetria básica de sucesso/falha da instalação e, se aplicável, informaçõesde diagnóstico de falha da atualização.
Ciclo de vida dos dados de telemetriaOs dados de telemetria gerados pelo agente do Amazon Inspector durante a execução das avaliaçõessão formatados em arquivos JSON e fornecidos quase que em tempo real por meio do TLS ao AmazonInspector, onde são criptografados com uma chave de ativação efêmera derivada de KMS para cadaexecução da avaliação e armazenados de forma segura em um bucket do S3 dedicado ao AmazonInspector. O mecanismo de regras do Amazon Inspector acessa os dados de telemetria criptografadosno bucket do S3, descriptografa-os na memória e processa-os com base nas regras de avaliaçãoconfiguradas para gerar descobertas. Os dados de telemetria armazenados no S3 são retidos somentepara permitir a assistência a solicitações de suporte e não são usado ou agregados pela Amazon paraqualquer outra finalidade. Após 30 dias, os dados de telemetria são excluídos permanentemente pelapolítica de ciclo de vida padrão de um bucket do S3 dedicado do Amazon Inspector. No momento, oAmazon Inspector não fornece uma API ou um mecanismo de acesso ao bucket do S3 para a telemetriacoletada.
Controle de acesso do Amazon Inspector emcontas da AWS
Como serviço de segurança, o Amazon Inspector acessa contas e recursos da AWS somente quandoprecisa encontrar para avaliar consultando tags. Isso é feito por meio do acesso padrão do IAM, pelafunção criada durante a configuração inicial do serviço Amazon Inspector. Durante uma avaliação, todasas comunicações com seu ambiente são iniciadas pelo agente do Amazon Inspector que está instaladolocalmente nas . Os objetos do serviço Amazon Inspector que são criados, como os destinos de avaliação,os modelos de avaliação e as descobertas geradas pelo serviço, são armazenados em um banco dedados gerenciado pelo Amazon Inspector e acessível somente por ele.
Limites do agente do Amazon InspectorPara obter mais informações sobre os limites do agente do Amazon Inspector, consulte Limites de serviçodo Amazon Inspector (p. 5).
Licenciamento público do agente do AmazonInspector
O agente do Amazon Inspector, usado em conjunto com o Amazon Inspector, utiliza um módulo dekernel (amznmon64) como um componente do agente em geral. Esse módulo de kernel usa uma licençapública geral (GPLv2). O código-fonte e as informações de licenciamento do módulo estão publicamentedisponíveis e podem ser acessados em:
• Código-fonte: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/AwsAgentKernelModule.tar.gz
Versão Mais recente25
Amazon Inspector Guia do usuárioInstalação de agentes do Amazon Inspector
• Arquivo Signature: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/AwsAgentKernelModule.tar.gz.sig
Instalação de agentes do Amazon InspectorO agente do Amazon Inspector pode ser instalado usando o Run Command do Systems Manager emvárias instâncias (incluindo instâncias baseadas em Linux e Windows), ou individualmente, conectando-sea cada EC2 instance. Os procedimentos a seguir fornecem instruções para ambos os métodos.
Tópicos• AMI do Amazon Linux com o agente do Amazon Inspector (p. 26)• Para instalar o agente do Amazon Inspector em várias instâncias do EC2 usando o comando de
execução Systems Manager (p. 26)• Para instalar o agente do Amazon Inspector em uma instância do EC2 baseada em Linux (p. 27)• Para instalar o agente do Amazon Inspector em uma instância do EC2 baseada em
Windows (p. 28)
Note
Os procedimentos a seguir são funcionais em todas as regiões compatíveis com o AmazonInspector.
AMI do Amazon Linux com o agente do AmazonInspectorPara ignorar a instalação manual do agente do Amazon Inspector nas do Amazon Linux que você querincluir em seus destinos de avaliação, use o Amazon Linux AMI with Amazon Inspector Agent. Essa AMIvem com o agente do Amazon Inspector pré-instalado e não requer etapas adicionais para instalar ouconfigurar o agente. Para começar a usar o Amazon Inspector com essas , basta marcá-las de acordocom o destino de avaliação desejado. A configuração do Amazon Linux AMI with Amazon Inspector Agentaprimora a segurança ao se concentrar em duas metas de segurança principais: limitar o acesso e reduziras vulnerabilidades do software.
Esta é a única AMI de EC2 instance disponível atualmente com o agente do Amazon Inspector pré-instalado. Para as que executam o Ubuntu Server ou o Windows Server, você deve concluir as etapas deinstalação manual do agente do Amazon Inspector.
O Amazon Linux AMI with Amazon Inspector Agent está disponível no console do EC2 e também no AWSMarketplace.
Para instalar o agente do Amazon Inspector em váriasinstâncias do EC2 usando o comando de execuçãoSystems ManagerVocê pode instalar o agente do Amazon Inspector em suas usando o Run Command do Systems Manager.Isso possibilita instalar o agente remotamente em várias instâncias (instâncias baseadas em Linux e emWindows com o mesmo comando) de uma só vez.
Important
A instalação do agente usando o Run Command do Systems Manager atualmente não écompatível com o sistema operacional Debian.
Versão Mais recente26
Amazon Inspector Guia do usuárioPara instalar o agente do Amazon Inspectorem uma instância do EC2 baseada em Linux
Important
Para utilizar essa opção, certifique-se de que sua EC2 instance tem o SSM Agent instalado e umafunção do IAM que aceita o comando de execução. O SSM Agent é instalado, por padrão, eminstâncias do Windows no Amazon EC2 e do Amazon Linux. O Amazon EC2 Systems Managerrequer uma função do IAM para que processarão comandos e uma função diferente para usuáriosque executam comandos. Para obter mais informações, consulte Instalação e Configuração doSSM Agente Configuração de funções de segurança para System Manager.
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, em Systems Manager Services, escolha Comando Executar.3. Escolha Run a command.4. Para Documento de comando, selecione o documento nomeado
AmazonInspector-ManageAWSAgent de propriedade da Amazon. Esse documento contém o script deinstalação do agente do Amazon Inspector em .
5. Especifique suas escolhendo a opção Specifying a Tag (Especificar uma tag) ou selecionandomanualmente instâncias e, em seguida, a opção Select instances (Selecionar instâncias). Para instalaro agente em todas as instâncias no destino de avaliação, você pode especificar as mesmas tagsusadas para a criação do destino de avaliação.
6. Forneça suas opções para as demais opções disponíveis usando as instruções em Executarcomandos do console do EC2 e, em seguida, selecione Executar.
Note
Você também pode instalar o agente do Amazon Inspector em várias (baseadas no Linux eno Windows) ao criar um novo destino de avaliação ou usar o botão Install Agents with RunCommand (Instalar agentes com o Run Command) em um destino existente. Para obter maisinformações, consulte Criação de um destino de avaliação (Console) (p. 38).
Para instalar o agente do Amazon Inspector em umainstância do EC2 baseada em Linux1. Conecte-se à EC2 instance que está executando um sistema operacional Linux em que você deseja
instalar o agente do Amazon Inspector.Note
Para obter mais informações sobre sistemas operacionais compatíveis com o AmazonInspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector eregiões (p. 7).
2. Baixe o script de instalação do agente executando um dos comandos a seguir:
• wget https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install• curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install
3. (Opcional) Verifique se o script de instalação do agente do Amazon Inspector não foi alterado oucorrompido. Para obter mais informações, consulte (Opcional) Verifique a assinatura do script deinstalação do agente do Amazon Inspector em sistemas operacionais baseados em Linux (p. 33).
4. Para instalar o agente, execute sudo bash install.Note
À medida que as atualizações do agente do Amazon Inspector são disponibilizadas, elassão automaticamente obtidas por download do Amazon S3 e aplicadas. Para obter maisinformações, consulte Atualizações do agente do Amazon Inspector (p. 24).
Versão Mais recente27
Amazon Inspector Guia do usuárioPara instalar o agente do Amazon Inspector em
uma instância do EC2 baseada em Windows
Se você deseja ignorar esse processo de atualização automática, certifique-se de executareste comando ao instalar o agente:sudo bash install -u false
Note
(Opcional) Para remover o script de instalação do agente, execute rm install.5. Verifique se os seguintes arquivos necessários para o agente ser instalado com êxito e funcionar
corretamente estão instalados:
• libcurl4 (necessário para instalar o agente no Ubuntu 18.04)• libcurl3• libgcc1• libc6• libstdc++6• libssl1.0.1• libssl1.0.2 (necessário para instalar o agente no Debian 9)• libpcap0.8
Para instalar o agente do Amazon Inspector em umainstância do EC2 baseada em Windows1. Conecte-se à EC2 instance que está executando um sistema operacional Windows em que você
deseja instalar o agente do Amazon Inspector.
Note
Para obter mais informações sobre sistemas operacionais compatíveis com o AmazonInspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector eregiões (p. 7).
2. Baixe o arquivo .exe a seguir: https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/AWSAgentInstall.exe
3. Abra uma janela de prompt de comando (com permissões de administrador), navegue até o local ondevocê salvou o arquivo AWSAgentInstall.exe obtido por download e execute o AWSAgentInstall.exepara instalar o agente do Amazon Inspector.
Note
À medida que as atualizações do agente do Amazon Inspector são disponibilizadas, elassão automaticamente obtidas por download do Amazon S3 e aplicadas. Para obter maisinformações, consulte Atualizações do agente do Amazon Inspector (p. 24).Se você deseja ignorar esse processo de atualização automática, certifique-se de executareste comando para instalar o agente do Amazon Inspector.AWSAgentInstall.exe AUTOUPDATE=No
Trabalho com agentes do Amazon Inspector emsistemas operacionais baseados em Linux
Conecte-se à sua instância do EC2 com um sistema operacional Linux e execute um dos seguintesprocedimentos. Para obter mais informações sobre sistemas operacionais compatíveis com o AmazonInspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector e regiões (p. 7).
Versão Mais recente28
Amazon Inspector Guia do usuárioPara verificar se o agente do
Amazon Inspector está em execução
Note
Os comandos a seguir são funcionais em todas as regiões compatíveis com o Amazon Inspector.
Tópicos• Para verificar se o agente do Amazon Inspector está em execução (p. 29)• Para interromper o agente do Amazon Inspector (p. 29)• Para iniciar o agente do Amazon Inspector (p. 29)• Para configurar o suporte de proxy dos agentes do Amazon Inspector (p. 29)• Para desinstalar o agente do Amazon Inspector (p. 30)
Para verificar se o agente do Amazon Inspector estáem execução• Para verificar se o agente do Amazon Inspector está instalado e em execução, conecte-se à sua EC2
instance e execute o seguinte comando:
sudo /opt/aws/awsagent/bin/awsagent status
Esse comando retornará o status do agente em execução no momento ou um erro indicando que oagente não pode ser contatado.
Para interromper o agente do Amazon Inspector• Para interromper o agente, execute sudo /etc/init.d/awsagent stop
Para iniciar o agente do Amazon Inspector• Para iniciar o agente, execute sudo /etc/init.d/awsagent start
Para configurar o suporte de proxy dos agentes doAmazon InspectorO suporte de proxy a agentes do Amazon Inspector em sistemas operacionais baseados em Linux éobtido com o uso de um arquivo de configuração específico do agente do Amazon Inspector com variáveisde ambiente específicas. Para obter mais informações, consulte https://wiki.archlinux.org/index.php/proxy_settings.
Conclua um dos seguintes procedimentos:
Para instalar um agente do Amazon Inspector em uma instância do EC2 que usa um servidor deproxy
1. Crie um arquivo chamado awsagent.env e salve-o no diretório /etc/init.d/.2. Edite awsagent.env para incluir essas variáveis de ambiente no seguinte formato:
• export https_proxy=hostname:port• export http_proxy=hostname:port
Versão Mais recente29
Amazon Inspector Guia do usuárioPara desinstalar o agente do Amazon Inspector
• export no_proxy=169.254.169.254
Note
Substitua os valores de exemplo acima somente por combinações válidas do nome do host edo número da porta. Você deve especificar o endereço IP do endpoint (169.254.169.254) dosmetadados da instância para a variável no_proxy.
3. Instale o agente do Amazon Inspector concluindo as etapas no procedimento Para instalar o agentedo Amazon Inspector em uma instância do EC2 baseada em Linux (p. 27).
Para configurar o suporte de proxy em uma instância do EC2 com um agente do AmazonInspector em execução
1. Para configurar o suporte de proxy, a versão do agente do Amazon Inspector que está em execuçãoem sua instância do EC2 deve ser a 1.0.800.1 ou posterior. Se o processo de atualização automáticapara o agente do Amazon Inspector estiver habilitado, você poderá verificar se a versão do agente doAmazon Inspector é a versão 1.0.800.1 ou posterior usando o procedimento Para verificar se o agentedo Amazon Inspector está em execução (p. 29). Se o processo de atualização automática para oagente do Amazon Inspector não estiver habilitado, você deve instalar o agente na instância do EC2novamente seguindo o procedimento Para instalar o agente do Amazon Inspector em uma instânciado EC2 baseada em Linux (p. 27).
2. Crie um arquivo chamado awsagent.env e salve-o no diretório /etc/init.d/.3. Edite awsagent.env para incluir essas variáveis de ambiente no seguinte formato:
• export https_proxy=hostname:port• export http_proxy=hostname:port• export no_proxy=169.254.169.254
Note
Substitua os valores de exemplo acima somente por combinações válidas do nome do host edo número da porta. Você deve especificar o endereço IP do endpoint (169.254.169.254) dosmetadados da instância para a variável no_proxy.
4. Reinicie o agente do Amazon Inspector primeiramente interrompendo-o usando sudo /etc/init.d/awsagent restart.
As configurações de proxy são selecionadas e usadas pelo agente do Amazon Inspector e peloprocesso de atualização automática.
Para desinstalar o agente do Amazon Inspector1. Conecte-se à sua instância do EC2, que está executando um sistema operacional baseado em Linux,
da qual você deseja desinstalar o agente do Amazon Inspector.
Note
Para obter mais informações sobre sistemas operacionais compatíveis com o AmazonInspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector eregiões (p. 7).
2. Para desinstalar o agente, use um dos seguintes comandos:
• No Amazon Linux, CentOS e Red Hat, execute sudo yum remove 'AwsAgent*'Versão Mais recente
30
Amazon Inspector Guia do usuárioTrabalho com agentes do Amazon Inspector emsistemas operacionais baseados em Windows
• No Ubuntu Server, execute sudo apt-get purge 'awsagent*'
Trabalho com agentes do Amazon Inspector emsistemas operacionais baseados em Windows
Conecte-se à sua instância do EC2 com um sistema operacional Windows e execute qualquer um dosseguintes procedimentos. Para obter mais informações sobre sistemas operacionais compatíveis com oAmazon Inspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector e regiões (p. 7).
Note
Os comandos a seguir são funcionais em todas as regiões compatíveis com o Amazon Inspector.
Tópicos• Para interromper ou iniciar o agente do Amazon Inspector ou verificar se o agente está em
execução (p. 31)• Para modificar as configurações do agente do Amazon Inspector (p. 31)• Para configurar o suporte de proxy dos agentes do Amazon Inspector (p. 32)• Para desinstalar o agente do Amazon Inspector (p. 32)
Para interromper ou iniciar o agente do AmazonInspector ou verificar se o agente está em execução1. Na sua instância do EC2, selecione Iniciare Executar. Em seguida, digite services.msc.2. Se o agente estiver sendo executado com êxito, dois serviços serão listados com os status definidos
como Iniciado ou Em execução na Janela Serviços: o AWS Agent Service e o AWS Agent UpdaterService.
3. Para iniciar o agente, clique com o botão direito do mouse em AWS Agent Service e selecione Iniciar.Se o serviço for iniciado com êxito, o status será atualizado para Iniciado ou Em execução.
4. Para interromper o agente, clique com o botão direito do mouse em AWS Agent Service e selecioneEncerrar. Se o serviço for interrompido com êxito, o status será limpo (aparecerá em branco). Nãorecomendamos interromper o AWS Agent Updater Service, pois ele poderá desabilitar a instalação detodos os futuros aprimoramentos e correções do agente do Amazon Inspector.
5. Para verificar se o agente do Amazon Inspector está instalado e em execução, conecte-se à sua EC2instance, abra um prompt de comando com permissões de administrador, navegue até C:/Arquivos deProgramas/Amazon Web Services/AWS Agent e, em seguida, execute o seguinte comando:
AWSAgentStatus.exe
Esse comando retornará o status do agente em execução no momento ou um erro indicando que oagente não pode ser contatado.
Para modificar as configurações do agente do AmazonInspectorAssim que o agente do Amazon Inspector estiver instalado e em execução na EC2 instance, você poderámodificar as configurações no arquivo agent.cfg para alterar o comportamento do agente. O arquivoagent.cfg está localizado no diretório /opt/aws/awsagent/etc em sistemas operacionais baseados em Linuxe no diretório C:\ProgramData\Amazon Web Services\AWS Agent em sistemas operacionais baseados em
Versão Mais recente31
Amazon Inspector Guia do usuárioPara configurar o suporte de proxydos agentes do Amazon Inspector
Windows Depois de modificar e salvar o arquivo agent.cfg, você deve interromper e iniciar o agente paraque as alterações entrem em vigor.
Important
É altamente recomendável que você modifique o arquivo agent.cfg somente com a orientação doAWS Support.
Para configurar o suporte de proxy dos agentes doAmazon InspectorO suporte de proxy para agentes do Amazon Inspector é obtido por meio do uso do proxy WinHTTP. Paraconfigurar o proxy WinHTTP usando o utilitário netsh, consulte: https://technet.microsoft.com/en-us/library/cc731131%28v=ws.10%29.aspx.
Conclua um dos seguintes procedimentos:
Para instalar um agente do Amazon Inspector em uma instância do EC2 que usa um servidor deproxy
1. Baixe o arquivo .exe a seguir: https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/AWSAgentInstall.exe
2. Abra uma janela de prompt de comando ou uma janela do PowerShell (com permissões deadministrador), navegue até o local onde você salvou o AWSAgentInstall.exe baixado e execute oseguinte comando:
./AWSAgentInstall.exe \install USEPROXY=1
Para configurar o suporte de proxy em uma instância do EC2 com um agente do AmazonInspector em execução
1. Para configurar o suporte de proxy, a versão do agente do Amazon Inspector que está em execuçãoem sua instância do EC2 deve ser a 1.0.0.59 ou posterior. Se o processo de atualização automáticapara o agente do Amazon Inspector estiver habilitado, você poderá verificar se a versão do agente doAmazon Inspector é a versão 1.0.0.59 ou posterior usando o procedimento Para interromper ou iniciaro agente do Amazon Inspector ou verificar se o agente está em execução (p. 31). Se o processo deatualização automática para o agente do Amazon Inspector não estiver habilitado, você deve instalaro agente na instância do EC2 novamente seguindo o procedimento Para instalar o agente do AmazonInspector em uma instância do EC2 baseada em Windows (p. 28).
2. Abra o editor de registro (regedit.exe).3. Navegue até a seguinte chave de registro: "HKEY_LOCAL_MACHINE/SOFTWARE/Amazon Web
Services/AWS Agent Updater".4. Dentro dessa chave de registro, crie um valor de registro DWORD (32 bits) chamado "UseProxy".5. Clique duas vezes no valor e defina-o como 1.6. Digite services.msc, localize o AWS Agent Service e o AWS Agent Updater Service na janela de
Serviços e reinicie cada processo. Após a reinicialização com êxito de ambos os processos, executeAWSAgentStatus.exe (consulte a Etapa 5 em Para interromper ou iniciar o agente do AmazonInspector ou verificar se o agente está em execução (p. 31)) para visualizar o status do agente doAmazon Inspector e verificar se ele está usando o proxy configurado.
Para desinstalar o agente do Amazon Inspector1. Conecte-se à instância do EC2, que está executando um sistema operacional baseado em Windows,
da qual você deseja desinstalar o agente do Amazon Inspector.
Versão Mais recente32
Amazon Inspector Guia do usuário(Opcional) Verifique a assinatura do script deinstalação do agente do Amazon Inspector
em sistemas operacionais baseados em LinuxNote
Para obter mais informações sobre sistemas operacionais compatíveis com o AmazonInspector, consulte Sistemas operacionais compatíveis com o Amazon Inspector eregiões (p. 7).
2. Na sua instância do EC2, navegue até Painel de controle, Adicionar ou remover programas.3. Na lista de programas instalados, selecione Agente da AWS e, em seguida, selecione Desinstalar.
(Opcional) Verifique a assinatura do script deinstalação do agente do Amazon Inspector emsistemas operacionais baseados em Linux
Este tópico descreve o processo recomendado de verificação da validade do script de instalação doagente do Amazon Inspector para sistemas operacionais baseados em Linux.
Sempre que baixar um aplicativo da Internet, recomendamos que você autentique a identidade dofornecedor do software e verifique se o aplicativo não foi alterado ou corrompido desde que foi publicado.Isso protege você contra a instalação de uma versão do aplicativo que contenha um vírus ou outro códigomal-intencionado.
Se depois de executar as etapas neste tópico, você determinar que o software do agente do AmazonInspector está alterado ou corrompido, NÃO execute o arquivo de instalação. Em vez disso, entre emcontato com o Amazon Web Services.
Os arquivos do agente do Amazon Inspector para os sistemas operacionais baseados em Linux sãoassinados usando o GnuPG, uma implementação de código aberto do padrão OpenPGP (Pretty GoodPrivacy) para assinaturas digitais seguras. GnuPG (também conhecido como GPG) fornece autenticação everificação de integridade por meio de uma assinatura digital. O Amazon EC2 publica uma chave pública eassinaturas que você pode usar para verificar as ferramentas da CLI do Amazon EC2 baixadas. Para obtermais informações sobre PGP e GnuPG (GPG), consulte http://www.gnupg.org.
A primeira etapa é estabelecer confiança com o fornecedor do software: baixe a chave pública dofornecedor do software, verifique se o proprietário da chave pública é quem afirma ser e, em seguida,adicione a chave pública ao seu keyring. O keyring é um conjunto de chaves públicas conhecidas. Apósestabelecer a autenticidade da chave pública, você pode usá-la para verificar a assinatura do aplicativo.
Tópicos• Instalar as ferramentas do GPG (p. 33)• Autenticar e importar a chave pública (p. 34)• Verificar a assinatura do pacote (p. 35)
Instalar as ferramentas do GPGSe o seu sistema operacional for Linux ou Unix, as ferramentas do GPG já estarão instaladas. Para testarse as ferramentas estão instaladas no sistema, digite gpg em um prompt de comando. Se as ferramentasdo GPG estiverem instaladas, um prompt de comando do GPG será exibido. Se as ferramentas do GPGnão estiverem instaladas, uma mensagem de erro será exibida informando que o comando não pode serencontrado. Você pode instalar o pacote GnuPG a partir de um repositório.
Para instalar as ferramentas do GPG no Linux baseado em Debian
• A partir de um terminal, execute o seguinte comando: apt-get install gnupg.
Versão Mais recente33
Amazon Inspector Guia do usuárioAutenticar e importar a chave pública
Para instalar as ferramentas do GPG no Linux baseado em Red Hat
• A partir de um terminal, execute o seguinte comando: yum install gnupg.
Autenticar e importar a chave públicaA próxima etapa do processo é autenticar a chave pública do Amazon Inspector e adicioná-la como umachave confiável ao seu keyring do GPG.
Para autenticar e importar a chave pública do Amazon Inspector
1. Obtenha uma cópia de nossa compilação de chave pública do GPG de uma das seguintes maneiras:
• Baixe de https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg.• Copie a chave do texto abaixo e cole-a em um arquivo chamado inspector.key. Certifique-se de
incluir tudo o que está a seguir:
-----BEGIN PGP PUBLIC KEY BLOCK-----Version: GnuPG v2.0.18 (GNU/Linux)
mQINBFYDlfEBEADFpfNt/mdCtsmfDoga+PfHY9bdXAD68yhp2m9NyH3BOzle/MXI8siNfoRgzDwuWnIaezHwwLWkDw2paRxp1NMQ9qRe8Phq0ewheLrQu95dwDgMcw90gf9m1iKVHjdVQ9qNHlB2OFknPDxMDRHcrmlJYDKYCX3+MODEHnlK25tIH2KWezXPFPSU+TkwjLRzSMYH1L8IwjFUIIi78jQS9a31R/cOl4zuC5fOVghYlSomLI8irfoDJSa3csVRujSmOAf9o3beiMR/kNDMpgDOxgiQTu/Kh39cl6o8AKe+QKK48kqO7hrah1dpzLbfeZEVU6dWMZtlUksG/zKxuzD6d8vXYH7Z+x09POPFALQCQQMC3WisIKgjzJEFhXMCCQ3NLC3CeyMq3vP7MbVRBYE7t3d2uDREkZBgIf+mbUYfYPhrzy0qT9TrPgwcnUvDZuazxuuPzucZGOJ5kbptat3DcUpstjdkMGAId3JawBbps77qRZdA+swro9o3jbowgmf0y5ZS6KwvZnC6XyTAkXy2io7mSrAIRECrANrzYzfp5v7uD7w8Dk0X1OrfOm1VufMzAyTu0YQGBWaQKzSB8tCkvFw54PrRuUTcV826XU7SIJNzmNQo58uLbKyLVBSCVabfs0lkECIesq8PT9xMYfQJ421uATHyYUnFTU2TYrCQEab7oQARAQABtCdBbWF6b24gSW5zcGVjdG9yIDxpbnNwZWN0b3JAYW1hem9uLmNvbT6JAjgEEwECACIFAlYDlfECGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJECR0CWBYNgQY8yUP/2GpIl40f3mKBUiSTe0XQLvwiBCHmY+V9fOuKqDTinxssjEMCnz0vsKeCZF/L35pwNa/oW0OJa8D7sCkKG+8LuyMpcPDyqptLrYPprUWtz2+qLCHgpWsrku7ateFx4hWS0jUVeHPaBzI9V1NTHsCx9+nbpWQ5Fk+7VJI8hbMDY7NQx6fcse8WTlP/0r/HIkKzzqQQaaOf5t9zc5DKwi+dFmJbRUyaq22xs8C81UODjHunhjHdZ21cnsgk91Sfviuaum9aR4/uVIYOTVWnjC5J3+VlczyUt5FaYrrQ5ov0dM+biTUXwve3X8Q85NuDPnO/+zxb7Jz3QCHXnuTbxZTjvvl60Oi8//uRTnPXjz4wZLwQfibgHmk1++hzND7wOYA02Js6v5FZQlLQAod7q2wuA1pq4MroLXzziDfy/9ea8B+tzyxlmNVRpVZY4LlDOHyqGQhpkyV3drjjNZlEofwbfu7m6ODwsgMl5ynzhKklJzwPJFfB3mMc7qLi+qXMJtEX8KJ/iVUQStHHAG7daL1bxpWSI3BRuaHsWbBGQ/mcHBgUUOQJyEp5LAdg9FsVP55gWtF7pIqifiqlcfgG0Ov+A3NmVbmiGKSZvfrc5KsF/k43rCGqDx1RV6gZvyILfO9+3sEIlNrsMib0KRLDeBt3EuDsaBZgOkqjDhgJUesqiCy=iEhB-----END PGP PUBLIC KEY BLOCK-----
2. Em um prompt de comando no diretório onde você salvou inspector.key, use o comando a seguir paraimportar a chave pública do Amazon Inspector para seu keyring:
gpg --import inspector.key
O comando retorna resultados semelhantes a:
gpg: key 58360418: public key "Amazon Inspector <[email protected]>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
Versão Mais recente34
Amazon Inspector Guia do usuárioVerificar a assinatura do pacote
Anote o valor da chave, ele será necessário na próxima etapa. No exemplo anterior, o valor da chaveé 58360418.
3. Verifique a impressão digital, executando o comando a seguir, substituindo chave-valor pelo valor daetapa anterior:
gpg --fingerprint key-value
Esse comando retorna resultados semelhantes a:
pub 4096R/58360418 2015-09-24 Key fingerprint = DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418 uid Amazon Inspector <[email protected]>
Além disso, a cadeia de caracteres da impressão digital deve ser idêntica a DDA0 D4C5 10AE 3C206F46 6DC0 2474 0960 5836 0418 mostrado acima. Compare a impressão digital da chaveretornada à publicada nesta página. Elas devem corresponder. Se elas não corresponderem, nãoinstale o script de instalação do agente do Amazon Inspector e entre em contato com a Amazon WebServices.
Verificar a assinatura do pacoteDepois que tiver instalado as ferramentas do GPG, autenticado e importado a chave pública do AmazonInspector e verificado se a chave pública do Amazon Inspector é confiável, você estará pronto paraverificar a assinatura do script de instalação do Amazon Inspector.
Para verificar o script de instalação da assinatura do Amazon Inspector
1. Em um prompt de comando, execute o comando a seguir para baixar o arquivo de assinatura para oscript de instalação:
curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install.sig
2. Verifique a assinatura executando comando a seguir em um prompt de comando no diretório ondevocê salvou o install.sig e o arquivo de instalação do Amazon Inspector. Ambos os arquivosdevem estar presentes.
gpg --verify ./install.sig
A saída deve parecer com algo semelhante ao seguinte:
gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418gpg: Good signature from "Amazon Inspector <[email protected]>" [unknown]gpg: WARNING: This key is not certified with a trusted signature!gpg: There is no indication that the signature belongs to the owner.Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418
Se a saída contém a frase Good signature from "Amazon Inspector<[email protected]>", isso significa que a assinatura foi confirmada com êxito e você podecontinuar a executar o script de instalação do Amazon Inspector.
Se a saída inclui a frase BAD signature, verifique se você executou o procedimento corretamente.Se você continuar a receber essa resposta, entre em contato com o Amazon Web Services e nãoexecute o arquivo de instalação que baixou anteriormente.
Versão Mais recente35
Amazon Inspector Guia do usuário(Opcional) Verifique a assinatura do script de
instalação do agente do Amazon Inspector emsistemas operacionais baseados em Windows
Veja a seguir os detalhes sobre as advertências que talvez sejam exibidas:
• AVISO: esta chave não está certificada com uma assinatura confiável! Não há indicação de que aassinatura pertença ao proprietário. Isso se refere ao seu nível pessoal de confiança na crença quevocê tenha uma chave pública autêntica para o Amazon Inspector. A situação ideal seria você visitar umescritório do Amazon Web Services e receber uma chave em pessoa. No entanto, é mais frequente vocêbaixá-la de um site. Nesse caso, o site é o site da Amazon Web Services.
• gpg: nenhuma chave confiável, em última análise, encontrada. Isso significa que a chave específica nãoé "essencialmente confiável" (por você ou por outras pessoas que você confia).
Para obter mais informações, consulte http://www.gnupg.org.
(Opcional) Verifique a assinatura do script deinstalação do agente do Amazon Inspector emsistemas operacionais baseados em Windows
Este tópico descreve o processo recomendado de verificação da validade do script de instalação doagente do Amazon Inspector para sistemas operacionais baseados em Windows.
Sempre que baixar um aplicativo da Internet, recomendamos que você autentique a identidade dofornecedor do software e verifique se o aplicativo não foi alterado ou corrompido desde que foi publicado.Isso protege você contra a instalação de uma versão do aplicativo que contenha um vírus ou outro códigomal-intencionado.
Se depois de executar as etapas neste tópico, você determinar que o software do agente do AmazonInspector está alterado ou corrompido, NÃO execute o arquivo de instalação. Em vez disso, entre emcontato com o Amazon Web Services.
Para verificar a validade do script de instalação do agente do Amazon Inspector obtido por download emsistemas operacionais baseados em Windows, você deve certificar-se de que o thumbprint do certificadodo assinante do Amazon Services LLC seja igual a este valor:
5C 2C B5 5A 9A B9 B1 D6 3F F4 1B 0D A2 76 F2 A9 2B 09 A8 6A
Para verificar esse valor, execute o procedimento a seguir:
1. Clique com o botão direito do mouse no AWSAgentInstall.exe baixado e abra a janela Properties.2. Escolha a guia Digital Signatures.3. Em Signature List, escolha Amazon Services LLC e, em seguida, escolha Details.4. Escolha a guia General, se ainda não estiver selecionada, e escolha View Certificate.5. Escolha a guia Details e escolha All na lista suspensa Show:, se ela ainda não estiver selecionada.6. Role para baixo até ver o campo Thumbprint e, em seguida, escolha Thumbprint. Isso exibirá todo o
valor do thumbprint na janela inferior.
• Se o valor do thumbprint na janela inferior for idêntico a este valor:
5C 2C B5 5A 9A B9 B1 D6 3F F4 1B 0D A2 76 F2 A9 2B 09 A8 6A
, o script de instalação do agente do Amazon Inspector obtido por download é autêntico e poderáser instalado com segurança.
• Se o valor do thumbprint na janela de detalhes inferior NÃO for idêntico ao valor acima, NÃOexecute o AWSAgentInstall.exe.
Versão Mais recente36
Amazon Inspector Guia do usuárioRecursos de marcação para criar um destino de avaliação
Destinos de avaliação do AmazonInspector
Você pode usar o Amazon Inspector para avaliar se os destinos de avaliação da AWS (suas coleções derecursos da AWS) têm possíveis problemas de segurança que precisam ser resolvidos.
Important
Nesta versão do Amazon Inspector, os destinos de avaliação podem consistir somente eminstâncias do EC2 executadas em uma série de sistemas operacionais compatíveis. Para obtermais informações sobre os sistemas operacionais Linux e Windows e as regiões da AWS comsuporte, consulte Limites de serviço do Amazon Inspector (p. 5).
Note
Para obter mais informações sobre a execução de , consulte a documentação do Amazon ElasticCompute Cloud.
Tópicos• Recursos de marcação para criar um destino de avaliação (p. 37)• Limites dos destinos de avaliação do Amazon Inspector (p. 38)• Criação de um destino de avaliação (Console) (p. 38)• Exclusão de um destino de avaliação (console) (p. 39)
Recursos de marcação para criar um destino deavaliação
Para criar um destino de avaliação para ser avaliado pelo Amazon Inspector, comece marcando as quevocê deseja incluir no destino. As tags são palavras ou frases que atuam como metadados para identificare organizar as instâncias e outros recursos da AWS. O Amazon Inspector usa as tags que você cria paraidentificar as instâncias que pertencem ao seu destino.
Cada tag da AWS consiste em um par de chave e valor de sua escolha. Por exemplo, você pode escolhernomear sua chave "Nome" e seu valor "MinhaPrimeiraInstância". Depois de marcar as instâncias, vocêusa o console do Amazon Inspector para adicioná-las ao destino de avaliação. Não é necessário que asinstâncias correspondam a mais de um par de chave-valor da tag.
Quando você marca as para criar destinos de avaliação para serem avaliados pelo Amazon Inspector,você pode criar suas próprias chaves de tag personalizadas ou usar chaves de tags criadas poroutros usuários na mesma conta da AWS. Você também pode usar as chaves de tags que a AWS criaautomaticamente; por exemplo, a chave de tag Name, que é criada automaticamente para as que vocêexecutar.
Você pode adicionar tags às ao criá-las ou pode adicionar, alterar ou remover as tags uma de cada vezna página do console de cada EC2 instance. Você também pode adicionar tags a várias de uma só vezusando o Tag Editor.
Para obter mais informações, consulte Tag Editor. Para mais informações sobre a marcação de , consulteRecursos e tags.
Versão Mais recente37
Amazon Inspector Guia do usuárioLimites dos destinos de avaliação do Amazon Inspector
Limites dos destinos de avaliação do AmazonInspector
Você pode criar até 50 destinos de avaliação por conta da AWS. Para obter mais informações, consulteLimites de serviço do Amazon Inspector (p. 5).
Criação de um destino de avaliação (Console)Você pode usar o console do Amazon Inspector para criar destinos de avaliação.
Para criar um destino de avaliação
1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. No painel de navegação, escolha Assessment Targets e, em seguida, Create.3. Em Name, digite o nome de seu destino de avaliação.4. Faça uma das coisas a seguir:
• Marque a caixa de seleção All instances (Todas as instâncias) para incluir todas as na conta eregião da AWS e no destino dessa avaliação.
Note
O limite para o número máximo de agentes que podem ser incluídos em uma execução deavaliação se aplica quando você usa essa opção. Para obter mais informações, consulteLimites de serviço do Amazon Inspector (p. 5).
• Use os campos Tags, Key (Chave) e Value (Valor) para digitar o nome da chave e os pares dechave/valor, a fim de selecionar as que você deseja incluir no destino de avaliação.
5. (Opcional) Ao criar um novo destino, você pode marcar a caixa de seleção para instalar o agente doAmazon Inspector em todas as nesse destino. Para usar essa opção, as devem ter o agente de SSMinstalado e uma função do IAM que aceite o Run Command. O SSM Agent é instalado, por padrão,em instâncias do Windows no Amazon EC2 e do Amazon Linux. O Amazon EC2 Systems Managerrequer uma função do IAM para que processarão comandos e uma função diferente para usuáriosque executam comandos. Para obter mais informações, consulte Instalação e Configuração do SSMAgente Configuração de funções de segurança para System Manager.
Important
Se uma EC2 instance já tiver um agente em execução, o uso dessa opção substitui o agenteque está em execução atualmente na instância pela versão mais recente dele.
Note
Para os destinos de avaliação existentes, você pode selecionar o botão Install Agents withRun Command (Instalar agentes com o Run Command) para instalar o agente do AmazonInspector em todas as nesse destino.
Note
Você também pode instalar o agente do Amazon Inspector em várias (instâncias baseadasno Linux e no Windows com o mesmo comando) remotamente usando o Run Commanddo Systems Manager. Para obter mais informações, consulte Para instalar o agente doAmazon Inspector em várias instâncias do EC2 usando o comando de execução SystemsManager (p. 26).
Versão Mais recente38
Amazon Inspector Guia do usuárioExclusão de um destino de avaliação (console)
6. Escolha Salvar.
Note
Você pode usar o botão Preview Target (Visualizar destino) na página Assessment Targets(Destinos de avaliação) revisar todas as incluídas no destino de avaliação. Para cada EC2instance incluída, você pode revisar o nome do host, ID da instância, endereço IP e status doagente do Amazon Inspector em execução na EC2 instance. O status do agente pode ter osseguintes valores: HEALTHY, UNHEALTHY e UNKNOWN (exibido quando Amazon Inspector nãoé capaz de determinar se há um agente do Amazon Inspector em execução na EC2 instance).
Exclusão de um destino de avaliação (console)Para excluir um destino de avaliação, siga o procedimento a seguir:
• Na página Assessment targets (Destinos de avaliação), selecione o destino que você deseja excluir e,em seguida, selecione Delete (Excluir). Quando solicitado a confirmar, escolha Yes.
Important
Ao excluir um destino de avaliação, todos os modelos de avaliação, execuções de avaliação,descobertas e versões dos relatórios associados ao destino também são excluídos.
Você também pode excluir um destino de avaliação usando a API DeleteAssessmentTarget.
Versão Mais recente39
Amazon Inspector Guia do usuárioModelos de avaliação do Amazon Inspector
Execuções de avaliação e modelosde avaliação do Amazon Inspector
O Amazon Inspector ajuda você a descobrir possíveis problemas de segurança usando regrasde segurança para analisar seus recursos da AWS. O Amazon Inspector monitora e coleta dadoscomportamentais (telemetria) sobre os recursos, como o uso de canais seguros, o tráfego de rede entreos processos em execução e detalhes de comunicação com os serviços da AWS. Em seguida, o AmazonInspector analisa e compara os dados em relação a um conjunto de pacotes de regras de segurança.Por fim, o Amazon Inspector produz uma lista de descobertas que identificam possíveis problemas desegurança com diferentes graus de severidade.
Para começar, você cria um destino de avaliação (um conjunto de recursos da AWS que você desejaque o Amazon Inspector analise) e um modelo de avaliação (um esquema que você usa para configurara avaliação). Você pode usar o modelo para iniciar uma execução de avaliação, o processo demonitoramento e análise que resulta em um conjunto de descobertas.
Tópicos• Modelos de avaliação do Amazon Inspector (p. 40)• Limites de modelos de avaliação do Amazon Inspector (p. 41)• Criação de um modelo de avaliação (Console) (p. 41)• Exclusão de um modelo de avaliação (console) (p. 42)• Execuções de avaliação (p. 43)• Limites de execuções de avaliação do Amazon Inspector (p. 43)• Configuração de execuções de avaliação automáticas por meio de uma função Lambda (p. 43)• Configuração de um tópico do SNS para as notificações do Amazon Inspector (Console) (p. 45)
Modelos de avaliação do Amazon InspectorUm modelo de avaliação permite que você especifique uma configuração para sua execução de avaliação,incluindo o seguinte:
• Pacote de regras que o Amazon Inspector usa para avaliar o destino de avaliação• Duração da execução da avaliação
Note
Você pode definir a duração para qualquer um dos seguintes valores disponíveis:• 15 minutos• 1 hora (recomendado)• 8 horas• 12 horas• 24 horasQuanto mais longa for a duração do modelo de avaliação em execução, mais completo será oconjunto de telemetria que o Amazon Inspector poderá coletar e analisar. Em outras palavras, aanálise mais longa permite que o Amazon Inspector observe o comportamento de seu destino
Versão Mais recente40
Amazon Inspector Guia do usuárioLimites de modelos de avaliação do Amazon Inspector
de avaliação mais detalhadamente e produz conjuntos de descobertas mais completos. Damesma forma, quanto mais você usar os recursos da AWS que estão incluídos em seu destinodurante a execução da avaliação, mais amplo e completo será o conjunto de telemetria que oAmazon Inspector coleta e analisa.
• Tópicos do Amazon Simple Notification Service (SNS) para os quais você deseja que o AmazonInspector envie notificações sobre estados de execução de avaliação e descobertas
• Atributos específicos do Amazon Inspector (pares de chave-valor) que você pode atribuir a descobertasque são geradas pela execução da avaliação que usa esse modelo de avaliação
Depois que o Amazon Inspector criar o modelo de avaliação, ele pode ser marcado como qualqueroutro recurso da AWS. Para obter mais informações, consulte Tag Editor. Marcar modelos de avaliaçãopermite que você organize-os e supervisione melhor sua estratégia de segurança. Por exemplo, o AmazonInspector oferece um grande número de regras com as quais você pode avaliar os destinos de avaliação,mas você pode querer incluir vários subconjuntos de regras disponíveis em seus modelos de avaliaçãopara concentrar-se em áreas problemáticas específicas ou problemas de segurança específicos. Marcarmodelos de avaliação permite que você localize-os e execute-os rapidamente a qualquer momento, deacordo com sua estratégia de segurança e objetivos.
Important
Depois que criar um modelo de avaliação, você não poderá modificá-lo.
Limites de modelos de avaliação do AmazonInspector
Você pode criar até 500 modelos de avaliação por conta da AWS.
Para obter mais informações, consulte Limites de serviço do Amazon Inspector (p. 5).
Criação de um modelo de avaliação (Console)1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. No painel de navegação à esquerda, escolha Assessment Templates e, em seguida, escolha Create.3. Em Name, digite o nome de seu modelo de avaliação.4. Em Target name, selecione um destino de avaliação para analisar.
Note
Ao criar um novo modelo de avaliação, use o botão Preview Target na página AssessmentTemplates para revisar todas as instâncias do EC2 atualmente incluídas no destino deavaliação que você deseja incluir nesse modelo. Para cada instância do EC2 listada, vocêpode revisar o nome do host, ID da instância, endereço IP e status do agente do AmazonInspector em execução na instância do EC2. O status do agente pode ter os seguintesvalores: HEALTHY, UNHEALTHY (exibido quando o agente reporta que não está em umestado de integridade) e UNKNOWN (exibido quando Amazon Inspector não é capaz dedeterminar se há um agente do Amazon Inspector em execução na instância do EC2).Você também pode usar o botão Preview Target na página Assessment Templates pararevisar as instâncias do EC2 que compõem os destinos de avaliação incluídos em modeloscriados anteriormente.
Versão Mais recente41
Amazon Inspector Guia do usuárioExclusão de um modelo de avaliação (console)
5. Em Rules packages, escolha um ou mais pacotes de regras para incluir no modelo de avaliação.6. Em Duration, especifique a duração do modelo de avaliação.7. Em SNS topics, especifique um tópico do SNS para o qual você deseja que o Amazon Inspector envie
notificações sobre estados de execução de avaliação e descobertas. O Amazon Inspector pode enviarnotificações do SNS sobre os seguintes eventos:
• Uma execução de avaliação foi iniciada• Uma execução de avaliação foi concluída• O status de uma execução de avaliação foi alterado• Uma descoberta foi gerada
Para obter mais informações sobre a configuração de um tópico do SNS para o qual o AmazonInspector pode enviar notificações, consulte Configuração de um tópico do SNS para as notificaçõesdo Amazon Inspector (Console) (p. 45).
8. (Opcional) Em Tag, digite valores para Key e Value. Você pode adicionar várias tags ao modelo deavaliação.
9. (Opcional) Em Attributes added to findings, digite valores para Key e Value. O Amazon Inspectoraplica os atributos a todas as descobertas geradas pelo modelo de avaliação. Você pode adicionarvários atributos ao modelo de avaliação. Para obter mais informações sobre as descobertas e amarcação das descobertas, consulte Descobertas do Amazon Inspector (p. 46).
10. (Opcional) Para configurar um agendamento para as execuções de avaliação usando essemodelo, você pode marcar a caixa de seleção Set up recurring assessment runs once every<number_of_days>, starting now (Configurar execuções de avaliação recorrentes uma vez a cadanumber_of_days>, a partir de agora) e especificar o padrão de recorrência (número de dias) usandoas setas para cima e para baixo.
Note
Ao usar essa caixa de seleção, o Amazon Inspector cria automaticamente uma regrado CloudWatch Events para o agendamento das execuções de avaliação que você estáconfigurando. Em seguida, o Amazon Inspector também cria automaticamente uma funçãodo IAM chamada AWS_InspectorEvents_Invoke_Assessment_Template. Essa função permiteque o CloudWatch Events faça chamadas de API para os recursos do Amazon Inspector.Para obter mais informações, consulte O que é o Amazon CloudWatch Events? e Uso depolíticas baseadas em recursos para o CloudWatch Events.
Note
Você também pode configurar execuções de avaliação automáticas por meio de uma funçãoLambda. Para obter mais informações, consulte Configuração de execuções de avaliaçãoautomáticas por meio de uma função Lambda (p. 43).
11. Escolha Create and run ou Create.
Exclusão de um modelo de avaliação (console)Para excluir um modelo de avaliação, siga o procedimento a seguir:
• Na página Assessment Templates (Modelos de avaliação), selecione o modelo que você desejaexcluir e, em seguida, selecione Delete (Excluir). Quando solicitado a confirmar, escolha Yes.
Important
Ao excluir um modelo de avaliação, todas as execuções de avaliação, descobertas e versõesdos relatórios associados a esse modelo também são excluídas.
Versão Mais recente42
Amazon Inspector Guia do usuárioExecuções de avaliação
Você também pode excluir um modelo de avaliação usando a API DeleteAssessmentTemplate.
Execuções de avaliaçãoDepois que criar um modelo de avaliação, você poderá usá-lo para iniciar execuções de avaliação. Vocêpode iniciar várias execuções de avaliação usando o mesmo modelo, desde que esteja dentro do limite deexecuções de avaliação por conta da AWS. Para obter mais informações, consulte Limites de execuçõesde avaliação do Amazon Inspector (p. 43).
Se você usar o console do Amazon Inspector, deverá iniciar a primeira execução do novo modelo deavaliação na página Assessment templates. Depois de iniciada, você pode usar a página Assessment runspara monitorar o progresso da execução. Use os botões Executar, Cancelar e Excluir para iniciar, cancelarou excluir uma execução. Use o widget XYZ próximo ao Start time da execução para visualizar os detalhesda execução, incluindo o ARN da execução, os pacotes de regras selecionados, as tags e os atributosaplicados e muito mais.
Para execuções subsequentes do modelo de avaliação, use os botões Executar, Cancelar e Excluir emuma das páginas Modelos de avaliação ou Execuções de avaliação.
Exclusão de uma execução de avaliação (console)Para excluir uma execução de avaliação, siga o procedimento a seguir:
• Na página Assessment runs (Execuções de avaliação), selecione a execução que você deseja excluire, em seguida, selecione Delete (Excluir). Quando solicitado a confirmar, escolha Yes.
Important
Ao excluir uma execução de avaliação, todas as descobertas e todas as versões do relatóriodessa execução também são excluídas.
Você também pode excluir uma execução de avaliação usando a API DeleteAssessmentRun.
Limites de execuções de avaliação do AmazonInspector
Você pode criar até 50.000 execuções de avaliação por conta da AWS.
Você pode ter várias execuções de avaliação acontecendo ao mesmo tempo, desde que os destinos deavaliação usados para esses execuções não tenham sobreposição de instâncias do EC2.
Para obter mais informações, consulte Limites de serviço do Amazon Inspector (p. 5).
Configuração de execuções de avaliaçãoautomáticas por meio de uma função Lambda
Se deseja configurar um cronograma recorrente para a avaliação, você pode configurar o modelo deavaliação para fazer a execução automaticamente, criando uma função Lambda por meio do console doAWS Lambda. Para obter mais informações, consulte Funções Lambda.
Versão Mais recente43
Amazon Inspector Guia do usuárioConfiguração de execuções de avaliação
automáticas por meio de uma função Lambda
Para configurar execuções de avaliação automáticas usando o console do AWS Lambda, execute oprocedimento a seguir:
1. Faça login no Console de Gerenciamento da AWS e abra o console do AWS Lambda.2. No painel de navegação à esquerda, escolha Dashboard ou Functions e, em seguida, escolha Create
a Lambda Function.3. Na página Select blueprint, escolha o esquema inspector-scheduled-run. Você pode encontrar esse
esquema digitando inspector no campo Filter.4. Na página Configure triggers, configure um cronograma recorrente para execuções da avaliação
automatizadas especificando um evento do CloudWatch que acione a função. Para fazer isso,digite um nome e descrição de regra e, em seguida, selecione uma expressão de programação. Aexpressão de programação determina a frequência com que a execução ocorrerá, por exemplo, acada 15 minutos ou uma vez por dia. Para obter mais informações sobre eventos e os conceitos doCloudWatch, consulte O que são eventos do Amazon CloudWatch?
Se você marcar a caixa de seleção Enable trigger, a execução de avaliação começará imediatamentedepois que você concluir a criação da função. Execuções automatizadas subsequentes seguirão opadrão de recorrência especificado no campo Schedule expression. Se você não marcar a caixa deseleção Enable trigger ao criar a função, poderá editar a função mais tarde para ativar esse acionador.
5. Na página Configure function, especifique o seguinte:
• Em Name, digite um nome para a função.• (Opcional) Em Description, digite uma descrição que ajudará você a identificar a função mais tarde.• Em runtime, mantenha o valor padrão de Node.js 8.10. O AWS Lambda é compatível com o
esquema inspector-scheduled-run somente para o tempo de execução Node.js 8.10.• O modelo de avaliação que você deseja executar automaticamente usando essa função. Isso é feito
fornecendo o valor para a variável de ambiente chamada assessmentTemplateArn.• Mantenha o handler definido como o valor padrão do index.handler.• As permissões para a função usando o campo Role. Para obter mais informações, consulte Modelo
de permissões do AWS Lambda.
Para executar essa função, você precisa de uma função do IAM que permita que o AWS Lambdainicie execuções de avaliação e grave mensagens de log sobre as execuções de avaliação,incluindo erros, nos logs do Amazon CloudWatch. O AWS Lambda assume essa função para todasas execuções de avaliação automatizadas recorrentes. Por exemplo, você pode anexar o seguinteexemplo de política a essa função do IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ]}
6. Verifique suas seleções e, em seguida, escolha Create function.
Versão Mais recente44
Amazon Inspector Guia do usuárioConfiguração de um tópico do SNS para asnotificações do Amazon Inspector (Console)
Configuração de um tópico do SNS para asnotificações do Amazon Inspector (Console)
O Amazon Simple Notification Service (Amazon SNS) é um serviço da Web que envia mensagens aendpoints ou clientes assinantes do serviço. Você pode usar o Amazon SNS para configurar notificaçõespara o Amazon Inspector. Para obter mais informações, consulte O que é o Amazon Simple NotificationService?.
Para configurar um tópico do SNS para notificações
1. Crie um tópico do SNS. Para obter mais informações, consulte Criar um tópico.2. Inscreva-se no tópico do SNS que você criou. Para obter mais informações, consulte Inscrever-se em
um tópico.3. Publique no tópico do SNS. Para obter mais informações, consulte Publicar em um tópico.4. Ative o Amazon Inspector para publicar mensagens para o tópico:
a. Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/.b. Selecione seu tópico do SNS e em Ações, selecione Editar política do tópico.c. Em Allow these users to publish messages to this topic (Permitir que os usuários publiquem
mensagens neste tópico), escolha Only these AWS users (Somente esses usuários da AWS) e,em seguida, digite um dos seguintes ARNs, dependendo de sua região:
• para Ásia-Pacífico (Mumbai) – arn:aws:iam::162588757376:root• para Ásia-Pacífico (Seul) – arn:aws:iam::526946625049:root• para Ásia-Pacífico (Sydney) – arn:aws:iam::454640832652:root• para Ásia-Pacífico (Tóquio) – arn:aws:iam::406045910587:root• para UE (Frankfurt) – arn:aws:iam::537503971621:root• para UE (Irlanda) – arn:aws:iam::357557129151:root• para Leste dos EUA (Norte da Virgínia) – arn:aws:iam::316112463485:root• para Leste dos EUA (Ohio) – arn:aws:iam::646659390643:root• para Oeste dos EUA (Norte da Califórnia) – arn:aws:iam::166987590008:root• para Oeste dos EUA (Oregon) – arn:aws:iam::758058086616:root• para o AWS GovCloud (EUA) – arn:aws-us-gov:iam:: 850862329162:root
Versão Mais recente45
Amazon Inspector Guia do usuárioTrabalho com as descobertas
Descobertas do Amazon InspectorAs descobertas são possíveis problemas de segurança encontrados durante a avaliação do AmazonInspector do destino de avaliação selecionado. As descobertas são exibidas no console do AmazonInspector ou por meio da API, e contêm uma descrição detalhada dos problemas de segurança e asrecomendações para solucioná-los.
Uma vez que o Amazon Inspector gera as descobertas, você pode monitorá-las, conferindo atributosespecíficos do Amazon Inspector a elas. Esses atributos consistem em pares de chave-valor.
Monitorar as descobertas com atributos pode ser bastante útil para impulsionar o fluxo de trabalho desua estratégia de segurança. Por exemplo, assim que você criar e executar uma avaliação, ela gera umalista de descobertas com diferentes graus de severidade, urgência e interesse com base em suas metase abordagem de segurança. Talvez você queira seguir as etapas recomendadas de uma descobertaimediatamente para resolver um possível problema de segurança com urgência ou talvez queira adiar aresolução de outra descoberta até a próxima atualização do serviço. Por exemplo, para monitorar umadescoberta para resolver o problema imediatamente, você pode criar e conferir a um atributo a ela comum par de chave-valor de Status/Urgente. Você também pode usar atributos para distribuir a carga detrabalho da resolução dos possíveis problemas de segurança. Por exemplo, para oferecer a Pedro (que éum engenheiro de segurança em sua equipe) a tarefa de resolver uma descoberta, você pode conferir auma descoberta um atributo com um par de chave-valor Engenheiro atribuído/Pedro.
Trabalho com as descobertasConclua o procedimento a seguir gerado em qualquer uma das descobertas do Amazon Inspector:
Para localizar, analisar e conferir atributos à descobertas
1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. Depois de executar uma avaliação, navegue até a página Findings no console do Amazon Inspectorpara exibir as descobertas.
Você também pode visualizar suas descobertas na seção Notable Findings na página Dashboard noconsole do Amazon Inspector.
Note
Não é possível visualizar as descobertas geradas por uma execução da avaliação enquantoela ainda estiver em andamento. No entanto, você pode visualizar um subconjunto dedescobertas se interromper a avaliação antes que ela conclua sua duração. Em um ambientede produção, recomendamos que você deixe que cada avaliação seja executada em toda aduração para que ela possa produzir um conjunto completo de descobertas.
3. Para visualizar os detalhes de uma determinada descoberta, selecione o widget Expandir ao ladodessa descoberta. Os detalhes da descoberta incluem o seguinte:
• O nome do destino de avaliação que inclui a EC2 instance em que a descoberta foi registrada• O nome do modelo de avaliação que foi usado para produzir a descoberta• O horário de início da execução da avaliação• O horário de término da execução da avaliação• O status da execução da avaliação
Versão Mais recente46
Amazon Inspector Guia do usuárioTrabalho com as descobertas
• O nome do pacote de regras que inclui a regra que acionou a descoberta• O nome da descoberta• A severidade da descoberta• Detalhes de severidade nativos do Common Vulnerability Scoring System (CVSS - Sistema de
pontuação de vulnerabilidades comuns), incluindo vetores do CVSS e métricas de pontuação doCVSS (incluindo CVSS versão 2.0 e 3.0) para as descobertas acionadas pelas regras no pacote deregras de Vulnerabilidades e exposições comuns. Para obter mais detalhes sobre o CVSS, consultehttps://www.first.org/cvss/.
• Detalhes de severidade nativos do Center of Internet Security (CIS - Centro de segurança naInternet), incluindo a métrica de peso do CIS para as descobertas acionadas pelas regras do pacoteCIS Benchmarks. Para obter mais informações sobre métricas de peso do CIS, consulte https://www.cisecurity.org/.
• A descrição da descoberta• As etapas recomendadas que você pode concluir para corrigir o possível problema de segurança
descrito pela descoberta4. Para conferir atributos a uma descoberta, escolha a descoberta e, em seguida, escolha Add/Edit
Attributes.
Você também pode conferir atributos a descobertas conforme cria um novo modelo de avaliação aoconfigurar o novo modelo para conferir automaticamente atributos a todas as descobertas geradaspela execução da avaliação. Para fazer isso, use os campos Key e Value no campo Tags for findingsfrom this assessment. Para obter mais informações, consulte Execuções de avaliação e modelos deavaliação do Amazon Inspector (p. 40).
5. Para exportar as descobertas para uma planilha, clique no botão de seta para baixo localizado nocanto superior direito da página Amazon Inspector - Findings. Em seguida, na janela pop-up, escolhaExport all columns ou Export visible columns.
6. Para mostrar ou ocultar colunas das descobertas geradas e filtrá-las, clique no ícone de engrenagemde configurações localizado no canto superior direito da página Amazon Inspector - Findings.
7. Para excluir as descobertas, navegue até a página Assessment runs e selecione a execução quegerou as descobertas que você deseja excluir. Em seguida, selecione Excluir. Quando a confirmaçãofor solicitada, clique em Yes.
Important
Você não pode excluir descobertas individuais no Amazon Inspector. Ao excluir umaexecução de avaliação, todas as descobertas e todas as versões do relatório dessa execuçãotambém são excluídas.
Você também pode excluir uma execução de avaliação usando a API DeleteAssessmentRun.
Versão Mais recente47
Amazon Inspector Guia do usuário
Relatórios de avaliaçãoUm relatório de avaliação é um documento que explica o que foi testado em uma execução de avaliaçãoe os resultados da avaliação. Os resultados de sua avaliação são formatados em relatórios padrão,que podem ser gerados para compartilhar resultados com sua equipe para ações de remediação, paraenriquecer os dados de auditoria de conformidade ou para armazenamento para referência futura. Épossível gerar um relatório de avaliação do Amazon Inspector para uma execução de avaliação quandoela for concluída.
Note
Você pode gerar relatórios apenas para execuções de avaliação que foram ou serão executadasapós 25/04/2017, que é quando os relatórios de avaliação foram disponibilizados no AmazonInspector.
Você pode visualizar os seguintes tipos de relatórios de avaliação:
• Relatório de descobertas – esse relatório contém as seguintes informações:• Resumo executivo da avaliação• As instâncias do EC2 avaliadas durante a execução de avaliação• Os pacotes de regras incluídos na execução de avaliação• Informações detalhadas sobre cada descoberta, incluindo todas as instâncias do EC2 que tinham a
descoberta• Relatório completo – esse relatório contém todas as informações incluídas em um relatório de
descobertas, além de uma lista das regras que passaram em todas as instâncias no destino deavaliação.
Para gerar um relatório de avaliação
1. Na página Assessment runs, localize a execução de avaliação para a qual você quer gerar umrelatório e certifique-se de que seu status esteja definido como Analysis complete.
2. Escolha o ícone de relatórios dessa execução de avaliação na coluna Reports.
Important
O ícone de relatórios está presente na coluna Reports apenas para as execuções deavaliação que ocorreram ou vão ocorrer após 25/04/2017, que é quando os relatórios deavaliação foram disponibilizados no Amazon Inspector.
3. Na janela pop-up Assessment report, selecione o tipo de relatório que você deseja visualizar (escolhaentre um relatório de Descobertas ou um relatório Completo) e o formato do relatório (HTML ou PDF)e, em seguida, escolha Generate report.
Você também pode gerar relatórios de avaliação por meio da API GetAssessmentReport.
Para excluir um relatório de avaliação, siga o procedimento a seguir:
Para excluir um relatório de avaliação
• Na página Assessment runs (Execuções de avaliação), selecione a execução em que o relatório quevocê deseja excluir se baseia e, em seguida, selecione Delete (Excluir). Quando solicitado a confirmar,escolha Yes.
Versão Mais recente48
Amazon Inspector Guia do usuário
Important
No Amazon Inspector, você não pode excluir relatórios individuais. Ao excluir uma execuçãode avaliação, todas as versões do relatório dessa execução e todas as descobertas tambémsão excluídas.
Você também pode excluir uma execução de avaliação usando a API DeleteAssessmentRun.
Versão Mais recente49
Amazon Inspector Guia do usuárioTipos de exclusão
Exclusões no Amazon InspectorAs exclusões são uma saída de execuções de avaliação do Amazon Inspector. As exclusões mostramquais verificações de segurança não podem ser concluídas e como resolver esses erros. Esses problemaspodem ser causados por motivos como ausência de um agente do Amazon Inspector nas EC2 instancesdo destino especificado, uso de um sistema operacional não compatível ou erros inesperados. Você podevisualizar as exclusões na página Assessment runs (Execuções de avaliação) do console. Para obter maisinformações, consulte Visualização de exclusões pós-avaliação (p. 54).
Para evitar incorrer em taxas desnecessárias da AWS, o Amazon Inspector permite que você visualizeas exclusões antes de executar uma avaliação. Você pode encontras visualizações de exclusão napágina Assessment templates (Modelos de avaliação) do console. Para obter mais informações, consulteVisualização de exclusões (p. 53).
Note
Você só pode gerar relatórios para execuções de avaliação de exclusões pós-avaliação queforam ou serão executadas após 6/25/2018, que é quando as exclusões foram disponibilizadasno Amazon Inspector. No entanto, as visualizações de exclusão estão disponíveis para todos osmodelos de avaliação, independentemente da data de criação.
Tópicos• Tipos de exclusão (p. 50)• Visualização de exclusões (p. 53)• Visualização de exclusões pós-avaliação (p. 54)
Tipos de exclusãoO Amazon Inspector pode produzir os seguintes tipos de exclusão de avaliação.
Tipodeexclusão
Descrição Recomendação
Nenhumainstâncianodestino
Não háinstânciasdo EC2com as tagsespecificadasnodestino deavaliação.
Verifique seas tags emseu destinode avaliaçãocorrespondemàs tags dainstânciado EC2 dedestino.
Oagentejáestáemexecução
Umaexecuçãode avaliaçãojá está emandamentona instânciado EC2 dedestino.
Aguardeaté que aexecuçãode avaliaçãoatual nainstânciado EC2 dedestino sejaconcluída.
Versão Mais recente50
Amazon Inspector Guia do usuárioTipos de exclusão
Tipodeexclusão
Descrição Recomendação
Agentenãoencontrado
Um agentedo AmazonInspectornão foiencontradona instânciado EC2 dedestino.
Instale oureinstale oagente doAmazonInspectorna instânciado EC2 dedestino.Paraobter maisinformações,consulteInstalaçãode agentesdo AmazonInspector (p. 26)
Oagentenãoéíntegro
O agentedo AmazonInspectorna instânciado EC2de destinoencontra-se em umestado nãoíntegro.
Confirmese suasinstânciasdo AmazonEC2 estãofuncionandocorretamentee tenteiniciar einterromperou reinstalaro agentedo AmazonInspector.Se oproblemacontinuar,entre emcontatocom o AWSSupport.
Módulodekernelindisponível
O módulodo kernelnão estádisponívelpara oagente doAmazonInspectorna instânciado EC2 dedestino.
Para obteruma listade versõesde kernelcomportadas,consulteSistemasoperacionaiscompatíveiscom oAmazonInspector eregiões.
Versão Mais recente51
Amazon Inspector Guia do usuárioTipos de exclusão
Tipodeexclusão
Descrição Recomendação
Versãodesistemaoperacionalnãocompatível
O sistemaoperacionalda instânciado EC2 dedestino nãoé compatívelcom asavaliaçõesdo AmazonInspector.
Remova ainstânciado EC2 dedestino dodestino deavaliaçãoou crie umdestino deavaliaçãoque nãoinclua essainstância.Para obteruma listade sistemasoperacionaiscompatíveis,consulteSistemasoperacionaiscompatíveiscom oAmazonInspector eregiões.
Pacotederegrasobsoleto
O modelode avaliaçãoinclui umpacotede regrasobsoleto.
Crie ummodelo deavaliaçãosem opacotede regrasobsoletoe use-oem futurasexecuçõesdeavaliação.
Versão Mais recente52
Amazon Inspector Guia do usuárioVisualização de exclusões
Tipodeexclusão
Descrição Recomendação
Pacotederegrasnãocompatívelcomosistemaoperacional
O sistemaoperacionalda instânciado EC2 dedestino nãoé compatívelcom umpacotede regrasincluído nomodelo deavaliação.
Crie ummodelo deavaliaçãosem ospacotesde regrasconflitantesou removaa instânciado EC2 dedestino domodelo deavaliação.Para obteruma listade pacotesde regrascomportadospor cadasistemaoperacional,consulteDisponibilidadede pacotesde regrasem sistemasoperacionaiscompatíveis.
Errodeavaliaçãoderegrasdeumaúnicainstância
Um errointernoprovocouuma falhana avaliaçãode regraspara essainstância.
Tenteexecutar aavaliaçãonovamente.
Errodeavaliaçãoderegras
Um errointernoprovocouuma falhana avaliaçãode regrasde suaavaliação.
Tenteexecutar aavaliaçãonovamente.
Visualização de exclusõesO Amazon Inspector permite que você visualize possíveis exclusões antes de executar uma avaliação.
Versão Mais recente53
Amazon Inspector Guia do usuárioVisualização de exclusões pós-avaliação
Para visualizar exclusões de avaliação
1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. No painel de navegação, escolha Assessment templates (Modelos de avaliação).3. Expanda um modelo de avaliação e, na seção Assessment templates (Modelos de avaliação), escolha
Preview exclusions (Visualizar exclusões).4. Analise as descrições de todas as exclusões detectadas e as recomendações para solucioná-las.
Você também pode relacionar e descrever as exclusões usando as operações ListExclusions eDescribeExclusions, respectivamente.
Visualização de exclusões pós-avaliaçãoDepois de executar uma avaliação, você pode visualizar detalhes das exclusões.
Para visualizar exclusões pós-avaliação
1. Sign in to the Console de gerenciamento da AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. No painel de navegação, escolha Assessment runs (Execuções de avaliação).3. Na coluna Exclusions (Exclusões), escolha o link ativo associado a execução de avaliação.4. Analise as descrições de todas as exclusões detectadas e as recomendações para solucioná-las.
Você também pode relacionar e descrever as exclusões usando as operações ListExclusions eDescribeExclusions, respectivamente.
Versão Mais recente54
Amazon Inspector Guia do usuárioNíveis de severidade para as regras no Amazon Inspector
Pacotes de regras e regras doAmazon Inspector
Você pode usar Amazon Inspector para avaliar seus destinos de avaliação (coleções de recursos daAWS) para encontrar possíveis problemas de segurança e vulnerabilidades. O Amazon Inspector comparao comportamento e a configuração de segurança dos destinos de avaliação a pacotes de regras desegurança selecionados. No contexto do Amazon Inspector, uma regra é uma verificação de segurançaque o Amazon Inspector executa durante uma execução de avaliação.
No Amazon Inspector, as regras são agrupadas em pacotes de regras distintos por categoria, severidadeou definição de preço. Esse recurso oferece opções para os tipos de análises que você pode executar.Por exemplo, o Amazon Inspector oferece um grande número de regras que você pode usar para avaliarseus aplicativos. Mas você pode querer incluir um pequeno subconjunto das regras disponíveis paraconcentrar-se em uma área específica que causa preocupação ou para descobrir problemas de segurançaespecíficos. Empresas com grandes departamentos de TI podem querer determinar se os seus aplicativosestão expostos a alguma ameaça de segurança, ao passo que outras podem querer se concentrar apenasem problemas com o nível de severidade alta.
• Níveis de severidade para as regras no Amazon Inspector (p. 55)• Pacotes de regras no Amazon Inspector (p. 56)
Níveis de severidade para as regras no AmazonInspector
Cada regra do Amazon Inspector tem um nível de severidade atribuído a ela. Isso reduz a necessidadede priorizar uma regra sobre outra nas análises. Isso também pode ajudar você a determinar sua respostaquando uma regra destaca um potencial problema. Os níveis High, Medium e Low indicam um problemade segurança que pode resultar no comprometimento da confidencialidade, integridade e disponibilidadedas informações no destino de avaliação. O nível Informational simplesmente destaca detalhes dasconfigurações de segurança do destino de avaliação. Veja a seguir as maneiras recomendadas pararesponder a cada uma das severidades:
• Alta – descreve um problema de segurança que pode resultar em um comprometimento das informaçõesde confidencialidade, integridade e disponibilidade do destino de avaliação. Recomendamos que vocêtrate esse problema de segurança como uma emergência e implemente uma correção imediata.
• Média – descreve um problema de segurança que pode resultar em um comprometimentodas informações de confidencialidade, integridade e disponibilidade do destino de avaliação.Recomendamos que você corrija esse problema na próxima oportunidade possível, por exemplo,durante a próxima atualização de serviço.
• Baixa – descreve um problema de segurança que pode resultar em um comprometimentodas informações de confidencialidade, integridade e disponibilidade do destino de avaliação.Recomendamos que você corrija esse problema como parte de uma das futuras atualizações de serviço.
• Informativa – descreve os detalhes de determinada configuração de segurança do destino de avaliação.Com base nos objetivos da empresa e da organização, você pode simplesmente anotar essasinformações ou usá-las para melhorar a segurança do destino de avaliação.
Versão Mais recente55
Amazon Inspector Guia do usuárioPacotes de regras no Amazon Inspector
Pacotes de regras no Amazon InspectorVeja a seguir os pacotes de regras disponíveis no Amazon Inspector:
• Vulnerabilidades e exposições comuns (p. 56)• Referências de segurança da CIS (Center for Internet Security) (p. 56)• Práticas recomendadas de segurança (p. 57)• Análise de comportamento do tempo de execução (p. 60)
Vulnerabilidades e exposições comunsAs regras nesse pacote ajudam a verificar se as em seus destinos de avaliação estão expostas avulnerabilidades e exposições comuns (CVEs). Os ataques podem explorar vulnerabilidades semcorreção e comprometer a confidencialidade, a integridade ou a disponibilidade de seu serviço ou de seusdados. O sistema CVE fornece um método de referência a informações conhecidas publicamente sobrevulnerabilidades e exposições de segurança. Para obter mais informações, acesse https://cve.mitre.org/.
Se uma determinada CVE for exibida em uma descoberta produzida por uma avaliação do AmazonInspector, você pode pesquisar https://cve.mitre.org/ o ID do CVE (por exemplo, CVE-2009-0021). Osresultados da pesquisa podem fornecer informações detalhadas sobre o CVE, sua severidade e comoremediá-lo.
As regras incluídas nesse pacote ajudam você a avaliar se as estão expostas à CVEs que constam nalista a seguir: https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt. O pacote de regras de CVE éatualizado regularmente. Essa lista contém as CVEs que estão incluídas nas execuções de avaliação queocorrem ao mesmo tempo em que a lista é recuperada.
Para obter mais informações, consulte Disponibilidade de pacotes de regras em sistemas operacionaiscompatíveis (p. 65).
Referências de segurança da CIS (Center forInternet Security)
O programa de Referências de segurança da CIS fornece melhores práticas bem definidas, imparciaise com base no consenso do setor para ajudar as organizações a avaliar e melhorar sua segurança.A Amazon Web Services é uma empresa membro das Referências de segurança da CIS e a lista decertificações do Amazon Inspector pode ser visualizada aqui.
No momento, o Amazon Inspector oferece os seguintes pacotes de regras com certificação CIS paraajudar a estabelecer posturas de configuração seguras para os seguintes sistemas operacionais:
• Amazon Linux 2015.03 (Referência da CIS para o Amazon Linux 2014.09-2015.03, v1.1.0, perfil de nível1)
• Windows Server 2008 R2 (Referência da CIS para o Microsoft Windows 2008 R2 v3.0.0, controlador dedomínio de nível 1)
• Windows 2008 R2 (Referência da CIS para o Microsoft Windows Server 2008 R2 v3.0.0, perfil deservidor membro de nível 1)
• Windows Server 2012 R2 (Referência da CIS para o Microsoft Windows Server 2012 R2 v2.2.0, perfil deservidor membro de nível 1)
• Windows Server 2012 R2 (Referência da CIS para o Microsoft Windows Server 2012 R2 v2.2.0, perfil decontrolador de domínio de nível 1)
Versão Mais recente56
Amazon Inspector Guia do usuárioPráticas recomendadas de segurança
• Windows Server 2012 (Referência da CIS para o Microsoft Windows Server 2012 não R2 v2.0.0, perfilde servidor membro de nível 1)
• Windows Server 2012 (Referência da CIS para o Microsoft Windows Server 2012 não R2 v2.0.0, perfilde controlador de domínio de nível 1)
Se uma determinada referência da CIS for exibida em uma descoberta produzida por uma execução deavaliação do Amazon Inspector, você poderá baixar um PDF com a descrição detalhada da referência emhttps://benchmarks.cisecurity.org/ (é necessário fazer o registro gratuito). O documento de referência daCIS fornece informações detalhadas sobre ela, sua severidade e como remediá-la.
Para obter mais informações, consulte Disponibilidade de pacotes de regras em sistemas operacionaiscompatíveis (p. 65).
Práticas recomendadas de segurançaAs regras nesse pacote ajudam a determinar se os seus sistemas são configurados de forma segura.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Durante uma execução de avaliação, as regras em todos os pacotes descritos neste tópico geramdescobertas somente para as que estão executando sistemas operacionais Linux. As regrasnesses pacotes NÃO geram descobertas para que estão executando sistemas operacionaisWindows.Para obter mais informações, consulte Disponibilidade de pacotes de regras em sistemasoperacionais compatíveis (p. 65).
Tópicos• Desativar login-raiz via SSH (p. 57)• Suporte somente ao SSH Versão 2 (p. 58)• Desativar a autenticação de senha via SSH (p. 58)• Configurar a duração máxima da senha (p. 58)• Configurar o tamanho mínimo da senha (p. 59)• Configurar a complexidade da senha (p. 59)• Habilitar o ASLR (p. 59)• Habilitar a DEP (p. 60)• Configurar permissões para os diretórios do sistema (p. 60)
Desativar login-raiz via SSHEssa regra ajuda a determinar se o daemon do SSH está configurado para permitir login na EC2 instancecomo raiz .
Severidade: média (p. 55)
DescobertaHá uma instância em seu destino de avaliação que está configurada para permitir que os usuários façamlogin com credenciais raiz via SSH. Isso aumenta a probabilidade de êxito de um ataque de força bruta.
Versão Mais recente57
Amazon Inspector Guia do usuárioSuporte somente ao SSH Versão 2
ResoluçãoRecomendamos que você configure a EC2 instance para evitar logins na conta raiz via SSH. Em vezdisso, faça login como um usuário não raiz e use o sudo para aumentar privilégios quando necessário.Para desativar logins na conta raiz via SSH, defina PermitRootLogin como Não em /etc/ssh/sshd_config ereinicie o sshd.
Suporte somente ao SSH Versão 2Essa regra ajuda a determinar se as estão configuradas para oferecer suporte à versão 1 do protocoloSSH.
Severidade: média (p. 55)DescobertaUma EC2 instance em seu destino de avaliação está configurada para oferecer suporte ao SSH 1, quecontém falhas de design inerentes que reduzem significativamente a segurança.
ResoluçãoRecomendamos que você configure as no destino de avaliação para oferecer suporte somente ao SSH 2e superior. Para o OpenSSH, você pode fazer isso, definindo o Protocol 2 em /etc/ssh/sshd_config. Paraobter mais informações, consulte man sshd_config.
Desativar a autenticação de senha via SSHEssa regra ajuda a determinar se as estão configuradas para oferecer suporte à autenticação de senha viaprotocolo SSH.
Severidade: média (p. 55)DescobertaUma EC2 instance em seu destino de avaliação está configurada para oferecer suporte à autenticação desenha via SSH. A autenticação de senhas é suscetível a ataques de força bruta e deve ser desativada emfavor da autenticação baseada em chave sempre que possível.
ResoluçãoRecomendamos que você desative a autenticação de senha via SSH nas instâncias do EC2 e ative osuporte à autenticação baseada em chave em seu lugar. Isso reduz significativamente a probabilidadede êxito de um ataque de força bruta. Para obter mais informações, consulte https://aws.amazon.com/articles/1233/. Se a autenticação de senha tiver suporte, é importante restringir o acesso ao servidor SSH aendereços IP confiáveis.
Configurar a duração máxima da senhaEssa regra ajuda a determinar se a duração máxima das senhas está configurada nas .
Severidade: média (p. 55)DescobertaUma EC2 instance em seu destino de avaliação não está configurada para a duração máxima das senhas.
Versão Mais recente58
Amazon Inspector Guia do usuárioConfigurar o tamanho mínimo da senha
ResoluçãoSe estiver usando senhas, recomendamos que você configure uma idade máxima para as senhas emtodas as em seu destino de avaliação. Isso requer que os usuários alterem as senhas regularmentee reduz as chances de êxito de um ataque para adivinhá-las. Para corrigir o problema para usuáriosexistentes, use o comando chage. Para configurar a duração máxima das senhas para todos os usuários,edite o campo PASS_MAX_DAYS no arquivo /etc/login.defs.
Configurar o tamanho mínimo da senhaEssa regra ajuda a determinar se o tamanho mínimo das senhas está configurado nas .
Severidade: média (p. 55)
DescobertaUma EC2 instance em seu destino de avaliação não está configurada para o tamanho mínimo das senhas.
ResoluçãoSe estiver usando senhas, recomendamos que você configure um tamanho mínimo para as senhas emtodas as em seu destino de avaliação. Impor um tamanho mínimo de senha reduz o risco de êxito deum ataque para adivinhá-las. Para aplicar tamanhos mínimos de senha, defina o parâmetro minlen dopam_cracklib.so na configuração do PAM. Para obter mais informações, consulte man pam_cracklib.
Configurar a complexidade da senhaEssa regra ajuda a determinar se um mecanismo de complexidade de senha está configurado nas .
Severidade: média (p. 55)
DescobertaNenhum mecanismo de complexidade de senha ou de restrição está configurado nas em seu destino deavaliação. Isso permite que os usuários definam senhas simples, o que aumenta as chances de usuáriosnão autorizados obterem acesso às contas e usá-las indevidamente.
ResoluçãoSe estiver usando senhas, recomendamos que você configure todas as em seu destino de avaliaçãopara exigir um nível de complexidade de senha. Você pode fazer isso usando as configurações "lcredit","ucredit", "dcredit" e "ocredit" do pwquality.conf. Para obter mais informações, consulte https://linux.die.net/man/5/pwquality.conf . Se o pwquality.conf não está disponível na instância, você pode definir asconfigurações "lcredit", "ucredit", "dcredit" e "ocredit" usando o pam_cracklib.so. Para obter maisinformações, consulte man pam_cracklib.
Habilitar o ASLREssa regra ajuda a determinar se o ASLR (Address Space Layout Randomization) está ativado nossistemas operacionais das em seu destino de avaliação.
Versão Mais recente59
Amazon Inspector Guia do usuárioHabilitar a DEP
Severidade: média (p. 55)DescobertaUma EC2 instance em seu destino de avaliação não tem o ASLR ativado.
ResoluçãoPara melhorar a segurança do destino de avaliação, recomendamos que você habilite o ASLR nossistemas operacionais de todas as em seu destino de avaliação executando eco /proc/sys/kernel/randomize_va_space tee 2 | sudo.
Habilitar a DEPEssa regra ajuda a determinar se a DEP (Prevenção de Execução de Dados) está ativada nos sistemasoperacionais das em seu destino de avaliação.
Severidade: média (p. 55)DescobertaUma EC2 instance em seu destino de avaliação não tem a DEP ativada.
ResoluçãoRecomendamos que você ative a DEP nos sistemas operacionais de todas as em seu destino deavaliação. Habilitar a DEP protege as instâncias contra comprometimentos de segurança usando técnicasde estouro de buffer.
Configurar permissões para os diretórios do sistemaEssa regra verifica as permissões nos diretórios do sistema que contêm binários e informações deconfiguração do sistema para garantir que somente o usuário raiz (o usuário que faz login usando ascredenciais da conta raiz) tenha permissões de gravação para esses diretórios.
Severidade: alta (p. 55)DescobertaUma EC2 instance em seu destino de avaliação contém um diretório do sistema de destino que é gravávelpor usuários não raiz.
ResoluçãoPara melhorar a segurança de seu destino de avaliação e impedir o aumento de privilégios por usuárioslocais mal-intencionados, configure todos os diretórios do sistema em todas as instâncias do EC2 nodestino de avaliação para serem graváveis somente por usuários que fizerem login usando credenciais deconta raiz.
Análise de comportamento do tempo de execuçãoEssas regras analisam o comportamento das instâncias durante uma execução de avaliação e fornecemorientações sobre como tornar as mais seguras.
Versão Mais recente60
Amazon Inspector Guia do usuárioProtocolos de cliente inseguros (Login)
Para obter mais informações, consulte Disponibilidade de pacotes de regras em sistemas operacionaiscompatíveis (p. 65).
Tópicos• Protocolos de cliente inseguros (Login) (p. 61)• Protocolos de cliente inseguros (Geral) (p. 61)• Portas TCP de escuta não utilizadas (p. 62)• Protocolos de servidor inseguros (p. 62)• Software sem DEP (p. 63)• Processo raiz com permissões inseguras (p. 63)
Protocolos de cliente inseguros (Login)Essa regra detecta o uso de protocolos não seguros por um cliente para fazer login em máquinas remotas.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Essa regra gera descobertas para as que estão executando sistemas operacionais Linux ouWindows.
Severidade: média (p. 55)
DescobertaUma EC2 instance no destino de avaliação usa protocolos inseguros para se conectar a um hostremoto para fazer login. Esses protocolos passam credenciais isentas, aumentando o risco de roubo decredenciais.
ResoluçãoRecomendamos que você substitua esses protocolos inseguros por protocolos seguros, como o SSH.
Protocolos de cliente inseguros (Geral)Essa regra detecta o uso de protocolos inseguros por um cliente.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Essa regra gera descobertas para as que estão executando sistemas operacionais Linux ouWindows.
Severidade: baixa (p. 55)
DescobertaUma EC2 instance no destino de avaliação usa protocolos inseguros para se conectar a um host remoto.Esses protocolos passam o tráfego de forma isenta, aumentando o risco de êxito de um ataque deinterceptação de tráfego.
Versão Mais recente61
Amazon Inspector Guia do usuárioPortas TCP de escuta não utilizadas
ResoluçãoRecomendamos que você substitua esses protocolos inseguros por versões criptografadas.
Portas TCP de escuta não utilizadasEssa regra detecta portas TCP de escuta que podem não ser exigidas pelo destino de avaliação.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Essa regra gera descobertas para as que estão executando sistemas operacionais Linux ouWindows.
Severidade: Informativa (p. 55)
DescobertaUma EC2 instance no destino de avaliação está na escuta de portas TCP, mas nenhum tráfego para essasportas foi visto durante a execução da avaliação.
ResoluçãoPara reduzir a área da superfície de ataque de suas implementações, recomendamos que você desativeos serviços de rede que não usar. Onde os serviços de rede são necessários, recomendamos que vocêempregue mecanismos de controle de rede, como ACLs de VPC, grupos de segurança do EC2 e firewalls,para limitar a exposição desse serviço.
Protocolos de servidor insegurosEssa regra ajuda a determinar se as oferecem suporte a portas/serviços não criptografados inseguros,como FTP, Telnet, HTTP, IMAP, POP versão 3, SMTP, SNMP versões 1 e 2, rsh e rlogin.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Essa regra gera descobertas para as que estão executando sistemas operacionais Linux ouWindows.
Severidade: Informativa (p. 55)
DescobertaUma EC2 instance no destino de avaliação está configurada para oferecer suporte a protocolos inseguros.
ResoluçãoRecomendamos que você desative protocolos inseguros que têm suporte em uma EC2 instance nodestino de avaliação e substitua-os por alternativas seguras, conforme listado abaixo:
• Desative Telnet, rsh e rlogin e substitua-os pelo SSH. Quando isso não for possível, você deve garantirque o serviço inseguro esteja protegido por controles de acesso à rede apropriados, como network ACLsdo VPC e grupos de segurança do EC2.
Versão Mais recente62
Amazon Inspector Guia do usuárioSoftware sem DEP
• Substitua o FTP pelo SCP ou SFTP sempre que possível. Quando isso não for possível, você devegarantir que o servidor de FTP esteja protegido por controles de acesso de rede apropriados, comonetwork ACLs do VPC e grupos de segurança do EC2.
• Substitua HTTP por HTTPS sempre que possível. Para obter mais informações específicas sobre oservidor da Web em questão, consulte http://nginx.org/en/docs/http/configuring_https_servers.html andhttp://httpd.apache.org/docs/2.4/ssl/ssl_howto.html.
• Desative os serviços IMAP, POP3 e SMTP se não forem necessários. Se necessário, recomendamosque esses protocolos de e-mail sejam usados com protocolos criptografados, como TLS.
• Desativar o serviço SNMP se não for necessário. Se necessário, substitua SNMP v1 e v2 pelo SNMP v3mais seguro, que usa comunicação criptografada.
Software sem DEPEssa regra detecta a presença de software de terceiros que é compilado sem o suporte para DEP(Prevenção de Execução de Dados). A DEP aumenta a segurança do sistema defendendo-o contra oestouro de buffer baseado em pilha e outros ataques de corrupção de memória.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Durante uma execução de avaliação, essa regra gera descobertas somente para as que estãoexecutando sistemas operacionais Linux. Essa regra NÃO gera descobertas para que estãoexecutando sistemas operacionais Windows.
Severidade: média (p. 55)
DescobertaHá arquivos executáveis em uma EC2 instance no destino de avaliação que não comporta DEP.
ResoluçãoRecomendamos que você desinstale esse software do destino de avaliação se não estiver usando-o ouentre em contato com o fornecedor para obter uma versão atualizada desse software com habilitação paraa DEP.
Processo raiz com permissões insegurasEssa regra ajuda a detectar processos raiz que carregam módulos que podem ser modificados porusuários não autorizados.
Important
Nesta versão do Amazon Inspector, você pode incluir em seus destinos de avaliação as queexecutam sistemas operacionais Linux ou Windows.Durante uma execução de avaliação, essa regra gera descobertas somente para as que estãoexecutando sistemas operacionais Linux. Essa regra NÃO gera descobertas para que estãoexecutando sistemas operacionais Windows.
Versão Mais recente63
Amazon Inspector Guia do usuárioProcesso raiz com permissões inseguras
Severidade: alta (p. 55)
DescobertaHá uma instância no destino de avaliação com um ou mais processos pertencentes à raiz que fazemuso de objetos compartilhados que são vulneráveis à modificações não autorizadas. Esses objetoscompartilhados não têm as permissões/propriedade apropriadas e são, portanto, vulneráveis a violações.
ResoluçãoPara melhorar a segurança do destino de avaliação, é recomendável que você corrija as permissões nosmódulos relevantes para garantir que eles sejam graváveis somente pela raiz.
Versão Mais recente64
Amazon Inspector Guia do usuário
Disponibilidade de pacotes deregras em sistemas operacionaiscompatíveis
A tabela a seguir descreve a disponibilidade de pacotes de regras do Amazon Inspector em sistemasoperacionais compatíveis que você pode executar nas instâncias do EC2 incluídas em seu destino deavaliação.
Note
Para obter mais informações sobre os sistemas operacionais compatíveis, consulte Sistemasoperacionais compatíveis com o Amazon Inspector e regiões (p. 7).
Sistemasoperacionaiscompatíveis
Vulnerabilidadese exposiçõescomuns
Referências da CIS Práticas recomendadasde segurança
Análise decomportamento dotempo de execução
AmazonLinux22017.12
Compatível Compatível Compatível
AmazonLinux2018.03
Compatível Compatível Compatível
AmazonLinux2017.09
Compatível Compatível Compatível
AmazonLinux2017.03
Compatível Compatível Compatível
AmazonLinux2016.09
Compatível Compatível Compatível
AmazonLinux2016.03
Compatível Compatível Compatível
AmazonLinux2015.09
Compatível Compatível Compatível
AmazonLinux2015.03
Compatível Compatível Compatível Compatível
AmazonLinux2014.09
Compatível Compatível
Versão Mais recente65
Amazon Inspector Guia do usuário
Sistemasoperacionaiscompatíveis
Vulnerabilidadese exposiçõescomuns
Referências da CIS Práticas recomendadasde segurança
Análise decomportamento dotempo de execução
AmazonLinux2014.03
Compatível Compatível
AmazonLinux2013.09
Compatível Compatível
AmazonLinux2013.03
Compatível Compatível
AmazonLinux2012.09
Compatível Compatível
AmazonLinux2012.03
Compatível Compatível
Ubuntu18.04LTS
Compatível Compatível Compatível
Ubuntu16.04LTS
Compatível Compatível Compatível
Ubuntu14.04LTS
Compatível Compatível Compatível
Debian9.0 -9.4
Compatível Compatível
RHEL6.2 -6.9 e7.2 -7.5
Compatível Compatível Compatível
CentOS6.2 -6.9 e7.2 -7.5
Compatível Compatível Compatível
WindowsServer2012R2
Compatível Compatível Compatível
Versão Mais recente66
Amazon Inspector Guia do usuário
Sistemasoperacionaiscompatíveis
Vulnerabilidadese exposiçõescomuns
Referências da CIS Práticas recomendadasde segurança
Análise decomportamento dotempo de execução
WindowsServer2012
Compatível Compatível Compatível
WindowsServer2008R2
Compatível Compatível Compatível
WindowsServer2016Base
Compatível Compatível
Versão Mais recente67
Amazon Inspector Guia do usuárioInformações sobre o Amazon Inspector no CloudTrail
Log de chamadas de API do AmazonInspector com AWS CloudTrail
O Amazon Inspector é integrado ao CloudTrail, um serviço que captura todas as chamadas de API doAmazon Inspector e fornece os arquivos de log para o bucket do Amazon S3 que você especificar. OCloudTrail captura as chamadas da API do console do Amazon Inspector ou do código para as APIsdo Amazon Inspector. Usando as informações coletadas pelo CloudTrail, você pode determinar qualsolicitação foi feita ao Amazon Inspector, o endereço IP de origem a partir do qual a solicitação foi feita,quem fez a solicitação, quando ela foi feita, e assim por diante.
Para saber mais sobre o CloudTrail, incluindo como configurá-lo e habilitá-lo, consulte o AWS CloudTrailUser Guide.
Informações sobre o Amazon Inspector noCloudTrail
Quando o registro do CloudTrail está ativado em sua conta da AWS, as chamadas de API feitas paraações do Amazon Inspector são rastreadas em arquivos de log do CloudTrail, onde são gravadas comoutros registros de serviço da AWS. CloudTrail determina quando criar e gravar em um novo arquivo deacordo com o período de tempo e o tamanho do arquivo.
Todas as ações do Amazon Inspector são registradas em log pelo CloudTrail e são documentadas emReferência de API do Amazon Inspector.
Por exemplo, as chamadas para as seções CreateAssessmentTarget, CreateAssessmentTemplate eStartAssessmentRun geram entradas nos arquivos de log do CloudTrail.
Note
Para a integração do Amazon Inspector ao CloudTrail, para as APIs Listar* e Descrever*, porexemplo, ListAssessmentTargets ou DescribeAssessmentTargets, somente a solicitaçãode informações é registrada. Para as APIs Criar*, Iniciar*, Interromper*, e todas as outras, porexemplo, CreateResourceGroup, as informações da solicitação e da resposta são registradas.
Cada entrada de log contém informações sobre quem gerou a solicitação. As informações de identidade dousuário na entrada de log ajudam você a determinar o seguinte:
• Se a solicitação foi feita com credenciais de usuário raiz ou do IAM• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário
federado• Se a solicitação foi feita por outro serviço da AWS
Para obter mais informações, consulte o CloudTrail userIdentity Element.
É possível armazenar os arquivos de log em seu bucket do Amazon S3 pelo tempo que você desejar, mastambém é possível definir regras de ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de
Versão Mais recente68
Amazon Inspector Guia do usuárioNoções básicas sobre as entradas dearquivos de log do Amazon Inspector
log automaticamente. Por padrão, os arquivos de log são criptografados com server-side encryption (SSE –criptografia server-side) do Amazon S3.
Se você deseja ser notificado sobre o recebimento do arquivo de log, configure o CloudTrail parapublicar notificações do Amazon SNS quando novos arquivos de log forem entregues. Para obter maisinformações, consulte Configuração de notificações do Amazon SNS para o CloudTrail.
Também é possível agregar arquivos de log do Amazon Inspector de várias regiões e contas da AWS emum único bucket do Amazon S3.
Para obter mais informações, consulte Recebimento de arquivos de log do CloudTrail de várias regiões eRecebimento de arquivos de log do CloudTrail de várias contas.
Noções básicas sobre as entradas de arquivos delog do Amazon Inspector
Os arquivos de log do CloudTrail podem conter uma ou mais entradas de log. Cada entrada lista várioseventos com formatação JSON. Uma entrada de log representa uma única solicitação de qualquer origeme inclui informações sobre a ação solicitada, a data e hora da ação, parâmetros de solicitação, e assimpor diante. As entradas de log não são um rastreamento de pilha ordenada das chamadas de API pública.Assim, elas não são exibidas em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de log do CloudTrail que demonstra a açãoCreateResourceGroup do Amazon Inspector:
{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-14T17:05:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "userName": "Alice" } } }, "eventTime": "2016-04-14T17:12:34Z", "eventSource": "inspector.amazonaws.com", "eventName": "CreateResourceGroup", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "console.amazonaws.com", "requestParameters": { "resourceGroupTags": [ { "key": "Name", "value": "ExampleEC2Instance"
Versão Mais recente69
Amazon Inspector Guia do usuárioNoções básicas sobre as entradas dearquivos de log do Amazon Inspector
} ] }, "responseElements": { "resourceGroupArn": "arn:aws:inspector:us-west-2:444455556666:resourcegroup/0-oclRMp8B" }, "requestID": "148256d2-0264-11e6-a9b5-b98a7d3b840f", "eventID": "e5ea533e-eede-46cc-94f6-0d08e6306ff0", "eventType": "AwsApiCall", "apiVersion": "v20160216", "recipientAccountId": "444455556666"}
A partir dessas informações sobre o evento, você pode determinar que a solicitação foi feita para criarum novo grupo de recursos (usando a API CreateResourceGroup do Amazon Inspector) com o par dechave-valor das tags Name e ExampleEC2Instance para identificar a instância do EC2 a ser incluídano novo grupo de recursos. Você também pode ver que a solicitação foi feita por uma usuária do IAMchamada Alice em 14 de abril de 2016.
O exemplo a seguir mostra uma entrada de log do CloudTrail que demonstra a açãoDescribeAssessmentTargets do Amazon Inspector:
{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-14T17:05:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "userName": "Alice" } } }, "eventTime": "2016-04-14T17:30:49Z", "eventSource": "inspector.amazonaws.com", "eventName": "DescribeAssessmentTargets", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "console.amazonaws.com", "requestParameters": { "assessmentTargetArns": [ "arn:aws:inspector:us-west-2:444455556666:target/0-ABcQzlXc", "arn:aws:inspector:us-west-2:444455556666:target/0-nvgVhaxX" ] }, "responseElements": null, "requestID": "a103f654-0266-11e6-93e6-890abdd45f56", "eventID": "bd7de684-2b2f-4d45-8cef-d22bf17bcb13", "eventType": "AwsApiCall", "apiVersion": "v20160216", "recipientAccountId": "444455556666"
Versão Mais recente70
Amazon Inspector Guia do usuárioNoções básicas sobre as entradas dearquivos de log do Amazon Inspector
},
A partir dessas informações sobre o evento, você pode determinar que a solicitação foi feitapara descrever dois destinos de avaliação com ARNs correspondentes de arn:aws:inspector:us-west-2:444455556666:target/0-ABcQzlXc e arn:aws:inspector:us-west-2:444455556666:target/0-nvgVhaxX(usando a API DescribeAssessmentTargets do Amazon Inspector). Você também pode ver que asolicitação foi feita por uma usuária do IAM chamada Alice em 14 de abril de 2016. Observe que, pelaimplementação da integração do Amazon Inspector ao CloudTrail, por ser uma API Listar*, somentea solicitação de informações é registrada (ARNs para especificar os destinos de avaliação a seremdescritos). A lista de elementos de resposta não é registrada e é deixada como nula.
Versão Mais recente71
Amazon Inspector Guia do usuárioMétricas do CloudWatch para o Amazon Inspector
Monitoramento do Amazon Inspectorusando o CloudWatch
Você pode monitorar o Amazon Inspector usando o Amazon CloudWatch, que coleta e processa dadosbrutos em métricas legíveis quase que em tempo real. Essas estatísticas são registradas no CloudWatch,para que você possa acessar informações históricas e ter uma perspectiva melhor sobre o desempenho doAmazon Inspector.
Por padrão, o Amazon Inspector envia dados de métrica ao CloudWatch em períodos de 5 minutos. Vocêpode usar o Console de Gerenciamento da AWS, a AWS CLI ou uma API para listar as métricas que oAmazon Inspector envia ao CloudWatch.
Para obter mais informações sobre o Amazon CloudWatch, consulte o Guia do usuário do AmazonCloudWatch.
Métricas do CloudWatch para o Amazon InspectorO namespace do Amazon Inspector inclui as métricas a seguir:
Métricas do AssessmentTargetARN:
Métrica Descrição
TotalMatchingAgentsNúmero de agentescorrespondentes a esse destino
TotalHealthyAgentsNúmero de agentescorrespondentes a esse destinoque são saudáveis
TotalAssessmentRunsNúmero de execuções deavaliação para esse destino
TotalAssessmentRunFindingsNúmero de descobertas paraesse destino
Métricas do AssessmentTemplateARN:
Métrica Descrição
TotalMatchingAgentsNúmero de agentescorrespondentes a esse modelo
TotalHealthyAgentsNúmero de agentescorrespondentes a esse modeloque são saudáveis
TotalAssessmentRunsNúmero de execuções deavaliação para esse modelo
Versão Mais recente72
Amazon Inspector Guia do usuárioMétricas do CloudWatch para o Amazon Inspector
Métrica Descrição
TotalAssessmentRunFindingsNúmero de descobertas paraesse modelo
Métricas agregadas
Métrica Descrição
TotalAssessmentRunsNúmero de execuções deavaliação nessa conta da AWS
Versão Mais recente73
Amazon Inspector Guia do usuário
Configurar o Amazon Inspectorusando AWS CloudFormation
Os tópicos a seguir contêm informações de referência sobre todos os recursos do Amazon Inspectorcompatíveis com o AWS CloudFormation:
• AWS::Inspector::AssessmentTarget• AWS::Inspector::AssessmentTemplate• AWS::Inspector::ResourceGroup
Important
Para obter informações de referência sobre os nomes de recurso da Amazon (ARNs) de todos ospacotes de regras do Amazon Inspector em todas as regiões compatíveis, consulte Apêndice –ARNs de pacotes de regras do Amazon Inspector (p. 83).
Versão Mais recente74
Amazon Inspector Guia do usuárioAutenticação
Controle de acesso e autenticação doAmazon Inspector
O acesso ao Amazon Inspector exige credenciais que a AWS pode usar para autenticar suas solicitações.Essas credenciais devem ter permissões para acessar os recursos da AWS, como os destinos deavaliação, os modelos de avaliação ou as descobertas do Amazon Inspector. As seções a seguir fornecemdetalhes sobre como usar o AWS Identity and Access Management (IAM) e o Amazon Inspector paraajudar a proteger seus recursos controlando quem pode acessá-los:
• Autenticação (p. 75)• Controle de acesso (p. 76)
AutenticaçãoVocê pode acessar a AWS como alguns dos seguintes tipos de identidade:
• Usuário raiz da conta da AWS – Ao criar uma conta do AWS pela primeira vez, você começa com umaúnica identidade de login que tem acesso completo a todos os serviços e recursos da AWS na conta.Essa identidade é denominada usuário raiz da conta da AWS e é acessada pelo login com o endereçode e-mail e a senha que você usou para criar a conta. Recomendamos que não use o usuário raiz parasuas tarefas diárias, nem mesmo as administrativas. Em vez disso, siga as melhores práticas de usaro usuário raiz apenas para criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuárioraiz com segurança e use-as para executar apenas algumas tarefas de gerenciamento de contas e deserviços.
• Usuário IAM – um usuário IAM é uma identidade na sua conta da AWS que tem permissõespersonalizadas específicas (por exemplo, para criar a directory no AWS Directory Service). Você podeusar um nome e uma senha de usuário IAM para fazer login em páginas Web seguras da AWS, comoConsole de gerenciamento da AWS, Fóruns de discussão AWS ou o AWS Support Center.
Além de um nome e uma senha de usuário, você também pode gerar chaves de acesso para cadausuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja comum dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e de CLIusam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizarferramentas da AWS, cadastre a solicitação você mesmo. AWS Directory Service supports Assinaturaversão 4, um protocolo para autenticar solicitações de API de entrada. Para mais informações sobreautenticação de solicitações, consulte Processo de cadastramento de Assinatura versão 4 no AWSGeneral Reference.
• IAM role – Uma função do IAM é uma identidade do IAM que você pode criar em sua conta que tenha
permissões específicas. É semelhante a um usuário IAM, mas não está associada a uma pessoaespecífica. Uma função do IAM permite obter chaves de acesso temporárias que podem ser usadas paraacessar os serviços e recursos da AWS. As funções do IAM com credenciais temporária são úteis nasseguintes situações:
• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades de
usuário existentes do AWS Directory Service da sua empresa ou de um provedor de identidadesda web. Estes são conhecidos como usuários federados. A AWS atribui uma função a um usuário
Versão Mais recente75
Amazon Inspector Guia do usuárioControle de acesso
federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter maisinformações sobre usuários federados, consulte Usuários federados e funções em Guia do usuário doIAM.
• Acesso de serviço à AWS – Você pode usar uma função do IAM em sua conta para conceder
permissões a um serviço da AWS para acessar os recursos da sua conta. Por exemplo, você podecriar uma função que permita que Amazon Redshift acesse um bucket do Amazon S3 em seu nomee carregue dados desse bucket em um cluster Amazon Redshift. Para mais informações, consulteCriação de uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.
• Aplicativos em execução no Amazon EC2 – Você pode usar uma função do IAM para gerenciar
credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 eque fazem solicitações de API da AWS. É preferível fazer isso do que armazenar chaves de acessona instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-lapara todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para mais informações, consulte Uso de uma função do IAM paraconceder permissões aos aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuáriodo IAM.
Controle de acessoVocê pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha permissões,você não pode criar nem acessar os recursos do Amazon Inspector. Por exemplo, você deve terpermissões para criar um destino de avaliação do Amazon Inspector e um modelo de avaliação para iniciaruma execução de avaliação.
As seções a seguir descrevem como gerenciar as permissões do Amazon Inspector. Recomendamos quevocê leia a visão geral primeiro.
• Visão geral do gerenciamento de permissões de acesso aos seus recursos do AmazonInspector (p. 76)
• Usar políticas baseadas em identidade (políticas do IAM) para Amazon Inspector (p. 80)• Permissões da API do Amazon Inspector: referência de ações, recursos e condições (p. 82)
Visão geral do gerenciamento de permissões deacesso aos seus recursos do Amazon Inspector
Cada recurso da AWS é de propriedade de uma conta da AWS, e as permissões para criar ou acessarum recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas depermissões a identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWSLambda) também dão suporte à anexação de políticas de permissões a recursos.
Note
Um administrador da conta (ou usuário administrador) é um usuário com privilégios deadministrador. Para obter mais informações, consulte as Melhores práticas do IAM no Guia dousuário do IAM.
Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados àspermissões concedidas e as ações específicas que deseja permitir nesses recursos.
Versão Mais recente76
Amazon Inspector Guia do usuárioRecursos e operações do Amazon Inspector
Tópicos• Recursos e operações do Amazon Inspector (p. 77)• Entender a propriedade de recursos (p. 77)• Gerenciar o acesso aos recursos (p. 77)• Especificação de elementos da política: ações, efeitos, recursos e principais (p. 79)• Especificação de condições em uma política (p. 79)
Recursos e operações do Amazon InspectorNo Amazon Inspector, os principais recursos são grupos de recursos, destinos de avaliação, modelosde avaliação, execuções de avaliação e descobertas. Esses recursos têm nomes de recurso da Amazon(ARNs) exclusivos associados, conforme mostrado na tabela a seguir.
Tipo de recurso Formato de Nome de região da Amazon (ARN)
Grupo de recursos arn:aws:inspector:region:account-id:resourcegroup/ID
Destino de avaliação arn:aws:inspector:region:account-id:target/ID
Modelo de avaliação arn:aws:inspector:region:account-id:target/ID:template:ID
Execução de avaliação arn:aws:inspector:region:account-id:target/ID/template/ID/run/ID
Descoberta arn:aws:inspector:region:account-id:target/ID/template/ID/run/ID/finding/ID
O Amazon Inspector fornece um conjunto de operações para trabalho com recursos do Amazon Inspector.Para obter uma lista das operações disponíveis, consulte Ações.
Entender a propriedade de recursosO proprietário do recurso é a conta da AWS que criou o recurso. Ou seja, o proprietário do recurso é aconta da AWS da entidade principal (a conta-raiz, um usuário do IAM ou uma função do IAM) que autenticaa solicitação que cria o recurso. Os exemplos a seguir ilustram como isso funciona:
• Se você usar as credenciais da conta raiz da sua conta da AWS para criar um destino de avaliação doAmazon Inspector, sua conta da AWS será a proprietária deste recurso.
• Se você criar um usuário do IAM na sua conta da AWS e conceder permissões para criar um destino deavaliação do Amazon Inspector para esse usuário, o usuário poderá criar um destino de avaliação doAmazon Inspector. No entanto, a sua conta da AWS à qual o usuário pertence é proprietária do recursode destino de avaliação do Amazon Inspector.
• Se você criar uma função do IAM em sua conta da AWS com permissões para criar um destino deavaliação do Amazon Inspector, qualquer pessoa que possa assumir a função poderá criar um destinode avaliação do Amazon Inspector. A sua conta da AWS, à qual a função pertence, é proprietária dorecurso de destino de avaliação do Amazon Inspector.
Gerenciar o acesso aos recursosA política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opçõesdisponíveis para a criação das políticas de permissões.
Versão Mais recente77
Amazon Inspector Guia do usuárioGerenciar o acesso aos recursos
Note
Esta seção discute como usar o IAM no contexto do Amazon Inspector. Não são fornecidasinformações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM,consulte O que é IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxee as descrições da política do IAM, consulte Referência de política do IAM da AWS no Guia dousuário do IAM.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade(políticas do IAM). As políticas anexadas a um recurso são conhecidas como políticas baseadas emrecurso. O Amazon Inspector oferece suporte apenas a políticas baseadas em identidade.
Tópicos• Políticas baseadas em identidade (políticas do IAM) (p. 78)• id="access-control-manage-access-resource-based.title">Políticas baseadas em recursos (p. 79)
Políticas baseadas em identidade (políticas do IAM)Você pode anexar as políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
• Anexar uma política de permissões a um usuário ou grupo em sua conta – Um administrador da contapode usar uma política de permissões associada a determinado usuário para conceder permissões paraque o usuário crie um destino de avaliação do Amazon Inspector.
• Associar uma política de permissões a uma função (conceder permissões entre contas) – Você podeassociar uma política de permissões baseada em identidade a uma função do IAM para concederpermissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função paraconceder permissões entre contas a outra conta da AWS (por exemplo, Conta B) ou um serviço da AWSda seguinte forma:• Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função
que concede permissões em recursos da Conta A.• Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como
a principal, que pode assumir a função.• O administrador da conta B pode delegar permissões para assumir a função para todos os usuários
na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A. Se vocêquiser conceder a um serviço da AWS permissões para assumir a função, o principal na política deconfiança também pode ser o principal do serviço da AWS.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento doacesso no Guia do usuário do IAM.
Veja a seguir um exemplo de política que concede permissões para a ação inspector:ListFindingsem todos os recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:ListFindings" ], "Resource": "*" } ]}
Versão Mais recente78
Amazon Inspector Guia do usuárioEspecificação de elementos da política:
ações, efeitos, recursos e principais
Para obter mais informações sobre como usar políticas com base em identidade com Amazon Inspector,consulte Usar políticas baseadas em identidade (políticas do IAM) para Amazon Inspector (p. 80). Paraobter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários,grupos e funções) no Guia do usuário do IAM.
id="access-control-manage-access-resource-based.title">Políticas baseadas em recursosOutros serviços, como Amazon S3, também dão suporte a políticas de permissões baseadas em recursos.Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso aesse bucket. O Amazon Inspector não é compatível com políticas baseadas em recurso.
Especificação de elementos da política: ações, efeitos,recursos e principaisPara cada recurso do Amazon Inspector (consulte Recursos e operações do Amazon Inspector (p. 77)),o serviço define um conjunto de operações de API (consulte Ações). Para conceder permissões a essasoperações da API, o Amazon Inspector define um conjunto de ações que você pode especificar em umapolítica. Observe que a execução de uma operação de API pode exigir permissões para mais de umaação. Ao conceder permissões para ações específicas, você também identifica o recurso no qual as açõessão permitidas ou recusadas.
Estes são os elementos de política mais básicos:
• Recurso – Em uma política, você usa um Amazon Resource Name (ARN – Nome de recurso daAmazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulteRecursos e operações do Amazon Inspector (p. 77).
• Ação — Você usa palavras-chave de ação para identificar as operações de recurso que deseja permitirou negar. Por exemplo, a permissão inspector:ListFindings permite que as permissões dousuário executem a operação ListFindings do Amazon Inspector.
• Efeito - Você especifica o efeito quando o usuário solicita a ação específica - que pode ser permitirou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estaráimplicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que podefazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferenteconceda acesso.
• Principal – Em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política estáanexada é automática e implicitamente o principal.
Para saber mais sobre a sintaxe da política do IAM e as descrições, consulte Referência de política do IAMda AWS no Guia do usuário do IAM.
Para ver uma tabela com todas as ações da API do Amazon Inspector e os recursos a que elasse aplicam, consulte Permissões da API do Amazon Inspector: referência de ações, recursos econdições (p. 82).
Especificação de condições em uma políticaAo conceder permissões, você pode usar a linguagem da política do IAM para especificar as condiçõesque devem ser atendidas para que uma política entre em vigor. Por exemplo, convém que uma política sóseja aplicada após uma data específica. Para obter mais informações sobre como especificar condiçõesem uma linguagem de política, consulte Condição no Guia do usuário do IAM.
Versão Mais recente79
Amazon Inspector Guia do usuárioUsar políticas baseadas em identidade
(políticas do IAM) para Amazon Inspector
Para expressar condições, você usa chaves de condição predefinidas. Não há chaves de condiçãoespecíficas para Amazon Inspector. No entanto, existem chaves de condição em toda a AWS que vocêpode usar conforme apropriado. Para obter uma lista completa de chaves em toda a AWS, consulteChaves disponíveis para condições no Guia do usuário do IAM.
Usar políticas baseadas em identidade (políticas doIAM) para Amazon Inspector
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de contapode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
Important
Recomendamos que você analise primeiramente os tópicos introdutórios que explicam osconceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do AmazonInspector. Para obter mais informações, consulte Visão geral do gerenciamento de permissões deacesso aos seus recursos do Amazon Inspector (p. 76).
As seções neste tópico abrangem o seguinte:
• Permissões obrigatórias para usar o console do Amazon Inspector (p. 80)• Políticas gerenciadas (predefinidas) da AWS para Amazon Inspector (p. 81)• Exemplos de política gerenciada pelo cliente (p. 81)
Veja a seguir um exemplo de política de permissões.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:ListFindings" ], "Resource": "*" } ]}
Esta política de exemplo inclui uma instrução que concede permissão para listar as descobertas doAmazon Inspector. O Amazon Inspector não oferece suporte a permissões para esta ação específica nonível de recurso. Portanto, a política especifica um caractere curinga (*) como valor do Resource.
Permissões obrigatórias para usar o console doAmazon InspectorPara usar o console do Amazon Inspector, um usuário deve ter permissões concedidas pelas políticasAmazonInspectorFullAccess ou AmazonInspectorReadOnlyAccess descritas em Políticas gerenciadas(predefinidas) da AWS para Amazon Inspector (p. 81). Se você criar uma política do IAM que é maisrestritiva do que as permissões mínimas necessárias descritas em qualquer uma dessas políticas (comoa política de exemplo anterior), o console não funcionará como desejado para os usuários com aquelapolítica do IAM.
Versão Mais recente80
Amazon Inspector Guia do usuárioPolíticas gerenciadas (predefinidas)
da AWS para Amazon Inspector
Note
Um usuário que tem a política de exemplo anterior anexada pode listar as descobertas doAmazon Inspector chamando a operação de API ListFindings ou o comando list-findings da CLI.
Políticas gerenciadas (predefinidas) da AWS paraAmazon InspectorA AWS resolve muitos casos de uso comuns fornecendo políticas do IAM autônomas criadas eadministradas pela AWS. Essas políticas gerenciadas concedem as permissões necessárias para casosde uso comuns. Assim, você não precisa investigar quais permissões são necessárias. Para obter maisinformações, consulte as Políticas gerenciadas da AWS no Guia do usuário do IAM.
As seguintes políticas gerenciadas da AWS, que você pode anexar a usuários na sua conta, sãoespecíficas do Amazon Inspector:
• AmazonInspectorFullAccess – Fornece acesso total a Amazon Inspector.• AmazonInspectorReadOnlyAccess – Fornece acesso somente leitura a Amazon Inspector.
Você também pode criar políticas personalizadas do IAM que permitem que os usuários acessem osrecursos e as ações de API necessários. Você pode anexar essas políticas personalizadas a usuários ougrupos do IAM que exijam essas permissões.
Exemplos de política gerenciada pelo clienteEsta seção fornece exemplos de políticas de usuário que concedem permissões para diversas ações doAmazon Inspector.
Note
Todos os exemplos usam a Região do Oeste dos EUA (Oregon) (us-west-2) e contêm IDs deconta fictícios.
Exemplos• Exemplo 1: permitir que um usuário execute ações Describe e List em qualquer recurso do Amazon
Inspector (p. 81)• Exemplo 2: permitir que um usuário execute ações Describe e List apenas em descobertas do Amazon
Inspector (p. 82)
Exemplo 1: permitir que um usuário execute ações Describe eList em qualquer recurso do Amazon InspectorA política de permissões a seguir concede permissões para um usuário executar todas as ações quecomeçam com Describe e List. Essas ações mostram informações sobre um recurso do AmazonInspector, como um destino de avaliação ou descoberta. Observe que o caractere curinga (*) no elementoResource indica que as ações são permitidas para todos os recursos de Amazon Inspector pertencentesà conta.
{ "Version":"2012-10-17", "Statement":[ {
Versão Mais recente81
Amazon Inspector Guia do usuárioPermissões da API do Amazon Inspector:referência de ações, recursos e condições
"Effect":"Allow", "Action": [ "inspector:Describe*", "inspector:List*" ], "Resource":"*" } ]}
Exemplo 2: permitir que um usuário execute ações Describe eList apenas em descobertas do Amazon InspectorA política de permissões a seguir concede permissões para um usuário executar apenas operaçõesListFindings e DescribeFindings. Essas ações mostram informações sobre descobertas doAmazon Inspector. Observe que o caractere curinga (*) no elemento Resource indica que as ações sãopermitidas para todos os recursos do Amazon Inspector pertencentes à conta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:DescribeFindings", "inspector:ListFindings" ], "Resource":"*" } ]}
Permissões da API do Amazon Inspector:referência de ações, recursos e condições
A tabela a seguir lista cada operação da API do Amazon Inspector, as ações correspondentes às quaisvocê pode conceder permissões para realizar a ação e o recurso da AWS para o qual você pode concederas permissões. Use a tabela como referência ao configurar Controle de acesso (p. 76) e redigir políticasde permissão que você pode anexar a uma identidade do IAM (políticas baseadas em identidade).Especifique as ações no campo Action da política e o valor do recurso no campo Resource da política.
Você pode usar as chaves de condição em toda a AWS nas suas políticas de Amazon Inspector paraexpressar condições. Para obter uma lista completa de chaves em toda a AWS, consulte Chavesdisponíveis para condições no Guia do usuário do IAM.
Note
Para especificar uma ação, use o prefixo inspector: seguido do nome da operação da API (porexemplo, inspector:CreateResourceGroup).
Versão Mais recente82
Amazon Inspector Guia do usuárioOeste dos EUA (Oregon)
Apêndice – ARNs de pacotes deregras do Amazon Inspector
Veja a seguir uma lista completa de ARNs para pacotes de regras do Amazon Inspector em todas asregiões compatíveis:
Tópicos• Oeste dos EUA (Oregon) (p. 83)• Leste dos EUA (Norte da Virgínia) (p. 83)• Leste dos EUA (Ohio) (p. 84)• Oeste dos EUA (Norte da Califórnia) (p. 84)• Ásia Pacífico (Mumbai) (p. 85)• Ásia-Pacífico (Sydney) (p. 85)• Ásia-Pacífico (Seul) (p. 85)• Ásia-Pacífico (Tóquio) (p. 86)• UE (Irlanda) (p. 86)• UE (Frankfurt) (p. 87)• AWS GovCloud (EUA) (p. 87)
Oeste dos EUA (Oregon)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:us-west-2:758058086616:rulespackage/0-9hgA516p
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:us-west-2:758058086616:rulespackage/0-H5hpSawc
Práticas recomendadas de segurança arn:aws:inspector:us-west-2:758058086616:rulespackage/0-JJOtZiqQ
Análise de comportamento do tempo deexecução
arn:aws:inspector:us-west-2:758058086616:rulespackage/0-vg5GGHSD
Leste dos EUA (Norte da Virgínia)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:us-east-1:316112463485:rulespackage/0-gEjTy7T7
Versão Mais recente83
Amazon Inspector Guia do usuárioLeste dos EUA (Ohio)
Nome do pacote de regras ARN
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:us-east-1:316112463485:rulespackage/0-rExsr2X8
Práticas recomendadas de segurança arn:aws:inspector:us-east-1:316112463485:rulespackage/0-R01qwB5Q
Análise de comportamento do tempo deexecução
arn:aws:inspector:us-east-1:316112463485:rulespackage/0-gBONHN9h
Leste dos EUA (Ohio)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:us-east-2:646659390643:rulespackage/0-JnA8Zp85
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:us-east-2:646659390643:rulespackage/0-m8r61nnh
Práticas recomendadas de segurança arn:aws:inspector:us-east-2:646659390643:rulespackage/0-AxKmMHPX
Análise de comportamento do tempo deexecução
arn:aws:inspector:us-east-2:646659390643:rulespackage/0-UCYZFKPV
Oeste dos EUA (Norte da Califórnia)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:us-west-1:166987590008:rulespackage/0-TKgzoVOa
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:us-west-1:166987590008:rulespackage/0-xUY8iRqX
Práticas recomendadas de segurança arn:aws:inspector:us-west-1:166987590008:rulespackage/0-byoQRFYm
Análise de comportamento do tempo deexecução
arn:aws:inspector:us-west-1:166987590008:rulespackage/0-yeYxlt0x
Versão Mais recente84
Amazon Inspector Guia do usuárioÁsia Pacífico (Mumbai)
Ásia Pacífico (Mumbai)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-LqnJE9dO
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-PSUlX14m
Práticas recomendadas de segurança arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-fs0IZZBj
Análise de comportamento do tempo deexecução
arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-EhMQZy6C
Ásia-Pacífico (Sydney)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-D5TGAxiR
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-Vkd2Vxjq
Práticas recomendadas de segurança arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-asL6HRgN
Análise de comportamento do tempo deexecução
arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-P8Tel2Xj
Ásia-Pacífico (Seul)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-PoGHMznc
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-T9srhg1z
Versão Mais recente85
Amazon Inspector Guia do usuárioÁsia-Pacífico (Tóquio)
Nome do pacote de regras ARN
Práticas recomendadas de segurança arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-2WRpmi4n
Análise de comportamento do tempo deexecução
arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-PoYq7lI7
Ásia-Pacífico (Tóquio)
Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-gHP9oWNT
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-7WNjqgGu
Práticas recomendadas de segurança arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-bBUQnxMq
Análise de comportamento do tempo deexecução
arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-knGBhqEu
UE (Irlanda)
Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-ubA5XvBh
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-sJBhCr0F
Práticas recomendadas de segurança arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-SnojL3Z6
Análise de comportamento do tempo deexecução
arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-lLmwe1zd
Versão Mais recente86
Amazon Inspector Guia do usuárioUE (Frankfurt)
UE (Frankfurt)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-wNqHa8M9
Referências de configuração desegurança do sistema operacional CIS
arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-nZrAVuv8
Práticas recomendadas de segurança arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-ZujVHEPB
Análise de comportamento do tempo deexecução
arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-0GMUM6fg
AWS GovCloud (EUA)Nome do pacote de regras ARN
Vulnerabilidades e exposições comuns arn:aws-us-gov:inspector:us-gov-west-1:850862329162:rulespackage/0-4oQgcI4G
Referências de configuração desegurança do sistema operacional CIS
arn:aws-us-gov:inspector:us-gov-west-1:850862329162:rulespackage/0-Ac4CFOuc
Práticas recomendadas de segurança arn:aws-us-gov:inspector:us-gov-west-1:850862329162:rulespackage/0-rOTGqe5G
Análise de comportamento do tempo deexecução
arn:aws-us-gov:inspector:us-gov-west-1:850862329162:rulespackage/0-JMyjuzoW
Versão Mais recente87
Amazon Inspector Guia do usuário
Histórico do documentoÚltima atualização de documentação: 13 de junho de 2018
A tabela a seguir descreve o histórico de versões da documentação do Amazon Inspector após maio de2018.
update-history-change update-history-description update-history-date
Adição de suporte porregião (p. 88)
Suporte adicionado para a regiãoAWS GovCloud (EUA)
June 13, 2018
A tabela a seguir descreve o histórico de versões da documentação do Amazon Inspector anterior a junhode 2018.
Alteração Descrição Data
Novo conteúdo Capacidade adicionada paraatender a todas as instânciasdo Amazon EC2 em uma conta.Para obter mais informações,consulte Destinos de avaliaçãodo Amazon Inspector (p. 37).
24 de maio de 2018
Suporte adicionado para sistemaoperacional
Suporte adicionado ao AmazonInspector para Amazon Linux2018.03 e Ubuntu 18.04
15 de maio de 2018
Novo conteúdo Capacidade adicionada paraconfigurar avaliações recorrentesdo Amazon Inspector.
30 de abril de 2018
Novo conteúdo Capacidade adicionada parainstalar um agente do AmazonInspector por meio do console doInspector.
30 de abril de 2018
Suporte adicionado para sistemaoperacional
Suporte adicionado ao AmazonInspector para o Amazon Linux 2.
13 de março de 2018
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado para oWindows 2016.
20 de fevereiro de 2018
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região Ohio(CMH).
7 de fevereiro de 2018
Novo conteúdo Agora as avaliações do AmazonInspector podem ser executadasquando o módulo do kernel estáindisponível.
11 de janeiro de 2018
Versão Mais recente88
Amazon Inspector Guia do usuário
Alteração Descrição Data
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região Frankfurt(FRA).
19 de dezembro de 2017
Novo conteúdo Capacidade adicionada paraverificar a integridade do agentedo Amazon Inspector com aAPI do Amazon Inspector e oconsole.
15 de dezembro de 2017
Novo conteúdo Os seguintes recursos foramadicionados:
• Uso de função vinculada aoserviço
• Disponibilidade de AMI doagente do Amazon Inspectorno AWS Marketplace
• Modelos do CloudFormation noAmazon Inspector
5 de dezembro de 2017
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado para oCentOS 7.4.
9 de novembro de 2017
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado para oAmazon Linux 2017.09.
11 de outubro de 2017
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado para oRHEL 7.4.
20 de fevereiro de 2018
Qualificação pela HIPAAadicionada
O Amazon Inspector agora équalificado pela HIPAA.
31 de julho de 2017
Novo conteúdo Capacidade adicionada paraacionar automaticamente aavaliação de segurança doAmazon Inspector com oAmazon Eventos do CloudWatch
27 de julho de 2017
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região SanFrancisco (SFO).
6 de junho de 2018
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado o RHEL6.2-6.9, RHEL 7.2-7.3, CentOS6.9 e CentOS 7.2-7.3.
23 de maio de 2017
Suporte adicionado para sistemaoperacional
Suporte de avaliação do AmazonInspector adicionado para oAmazon Linux 2017.03.
25 de abril de 2017
Versão Mais recente89
Amazon Inspector Guia do usuário
Alteração Descrição Data
Novo conteúdo e suporteadicionado para sistemaoperacional
Adição do:
• Suporte do Amazon Inspectorpara Ubuntu 16.04
• Lambda Blueprint disponívelpara automatizar ações doAmazon Inspector.
5 de janeiro de 2017
Novo suporte para sistemaoperacional
Suporte adicionado do AmazonInspector para o MicrosoftWindows.
26 de agosto de 2016
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região Ásia-Pacífico (Seul).
26 de agosto de 2016
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região Ásia-Pacífico (Mumbai).
25 de abril de 2016
Adição de suporte por região Suporte adicionado ao AmazonInspector para a região Ásia-Pacífico (Sydney).
25 de abril de 2016
Inicialização do serviço Lançamento do serviço doAmazon Inspector.
7 de outubro de 2015
Versão Mais recente90