■公式手順を参考にとりあえず動かす
https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_installing-uninstalling-agents.html
https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_rule-packages.html
1)エージェント導入
監視対象サーバにエージェントを導入
mkdir /usr/local/src/inspector cd /usr/local/src/inspector wget https://inspector-agent.amazonaws.com/linux/latest/install sudo bash install インストール: AwsAgent.x86_64 0:1.1.1446.0-102446
2)評価ターゲットを作成する
[Amazon Inspector]-[評価ターゲット]→[作成]
名前 inspector-test All Instances ブランク(初期値) Use Tags 例) キー Inspector 値 yes Install Agents チェックON( Install the Amazon Inspector Agent on all EC2 instances in this assessment target.)
上記内容で[保存]
※All Instancesにチェックを入れれば、エージェントが入っているすべてのインスタンスに対して実行可能
※Use Tagsを設定すれば対象のインスタンスを絞り込むことが可能
3)評価テンプレートを作成する
[評価テンプレート]-[作成]
名前 amazon-linux2-test ターゲット名 inspector-test(上記で作成したターゲット名を選択) ルールパッケージ Common Vulnerabilities and Exposures-1.1 を選択(翻訳:一般的な脆弱性と曝露) 所要時間 1時間(推奨) SNS トピック ブランク タグ ブランク 結果に追加された属性 ブランク Assessment Schedule 7 ←繰り返し行う場合は間隔を記載
上記内容で[作成]
4)評価を実行
[評価テンプレート]-[実行]
→作成した評価テンプレートを選択して[実行]
→1時間で設定したので、1時間待ちます。
5)実行結果を見る
[結果]
→Common Vulnerabilities and Exposures-1.1ルールを適用したのでCVEの識別番号付きリストが表示される
■評価ルールパッケージについて
参照
https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_rule-packages.html
Network Reachability-1.1 | ネットワーク到達可能性 |
Common Vulnerabilities and Exposures-1.1 | 共通脆弱性識別子 |
CIS Operating System Security Configuration Benchmarks-1.0 | Center for Internet Security (CIS) ベンチマーク |
Security Best Practices-1.0 | Amazon Inspector のセキュリティのベストプラクティス |
Runtime Behavior Analysis-1.0 | 実行時の動作の分析 |
■重大度について
[High] このセキュリティ上の問題は緊急事態として対応し、直ちに改善を実施することをお勧めします。 [Medium] 次の可能な機会 (たとえば、次のサービスの更新中) にこの問題を修正することをお勧めします。 [Low] 将来のサービスの更新の一部として、この問題を修正することをお勧めします。 [Informational] この情報に留意するか、これを使用して評価ターゲットのセキュリティを改善することができます。