Menilai cakupan Amazon Inspector dari lingkungan Anda AWS - Amazon Inspector
Menilai cakupan tingkat akunMenilai cakupan instans Amazon EC2Menilai cakupan repositori Amazon ECRMenilai cakupan gambar kontainer Amazon ECRMenilai cakupan fungsi AWS Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menilai cakupan Amazon Inspector dari lingkungan Anda AWS

Anda dapat menilai cakupan Amazon Inspector dari AWS lingkungan Anda dari layar Manajemen akun di konsol Amazon Inspector, yang menampilkan detail dan statistik tentang status pemindaian Amazon Inspector untuk akun dan sumber daya Anda.

catatan

Jika Anda adalah administrator yang didelegasikan untuk organisasi, Anda dapat melihat detail dan statistik untuk semua akun di organisasi.

Prosedur berikut menjelaskan cara menilai cakupan lingkungan Amazon Inspector Anda.

Untuk menilai cakupan Amazon Inspector dari lingkungan Anda AWS

  1. Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/

  2. Dari panel navigasi, pilih Manajemen akun.

  3. Untuk meninjau cakupan, pilih salah satu tab berikut:

    • Pilih Akun untuk meninjau cakupan tingkat akun.

    • Pilih Instans untuk meninjau cakupan instans Amazon Elastic Compute Cloud EC2 (Amazon).

    • Pilih repositori Container untuk meninjau cakupan repositori Amazon Elastic Container Registry (Amazon ECR).

    • Pilih gambar Container untuk meninjau cakupan gambar kontainer Amazon ECR.

    • Pilih fungsi Lambda untuk meninjau cakupan fungsi Lambda.

Topik berikut menjelaskan informasi yang diberikan masing-masing tab ini.

Menilai cakupan tingkat akun

Jika akun Anda bukan bagian dari organisasi atau bukan akun administrator Amazon Inspector yang didelegasikan untuk organisasi, tab Akun memberikan informasi tentang akun Anda dan status pemindaian sumber daya untuk akun Anda. Pada tab ini, Anda dapat mengaktifkan atau menonaktifkan pemindaian untuk semua atau hanya jenis sumber daya tertentu untuk akun Anda. Untuk informasi selengkapnya, lihat Jenis pemindaian otomatis di Amazon Inspector.

Jika akun Anda adalah akun administrator Amazon Inspector yang didelegasikan untuk organisasi, tab Akun menyediakan setelan aktivasi otomatis untuk akun di organisasi Anda, dan mencantumkan semua akun di organisasi Anda. Untuk setiap akun, daftar menunjukkan apakah Amazon Inspector diaktifkan untuk akun dan, jika demikian, jenis pemindaian sumber daya yang diaktifkan untuk akun tersebut. Sebagai administrator yang didelegasikan, Anda dapat menggunakan tab ini untuk mengubah pengaturan aktivasi otomatis untuk organisasi Anda. Anda juga dapat mengaktifkan atau menonaktifkan jenis pemindaian sumber daya tertentu untuk akun anggota individu. Untuk informasi selengkapnya, lihat Mengaktifkan pemindaian Amazon Inspector untuk akun anggota.

Menilai cakupan instans Amazon EC2

Tab Instans menampilkan EC2 instans Amazon di lingkungan Anda AWS . Daftar disusun ke dalam kelompok-kelompok pada tab berikut:

  • Semua - Menunjukkan semua contoh di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk sebuah instance.

  • Scanning - Menunjukkan semua instance yang Amazon Inspector secara aktif memantau dan memindai di lingkungan Anda.

  • Tidak memindai - Menunjukkan semua contoh yang Amazon Inspector tidak memantau dan memindai di lingkungan Anda. Kolom Alasan menunjukkan mengapa Amazon Inspector tidak memantau dan memindai instance.

    Sebuah EC2 instance dapat muncul di tab Not scanning karena salah satu dari beberapa alasan. Amazon Inspector menggunakan AWS Systems Manager (SSM) dan Agen SSM untuk secara otomatis memantau dan memindai instans Anda EC2 dari kerentanan. Jika instans tidak menjalankan Agen SSM, tidak memiliki peran AWS Identity and Access Management (IAM) yang mendukung Systems Manager, atau tidak menjalankan sistem operasi atau arsitektur yang didukung, Amazon Inspector tidak dapat memantau dan memindai instance. Untuk informasi selengkapnya, lihat Pemindaian EC2 instans Amazon.

Pada setiap tab, kolom Account menentukan Akun AWS yang memiliki instance.

EC2 tag instance - Kolom ini menunjukkan tag yang terkait dengan instance dan dapat digunakan untuk menentukan apakah instance Anda telah dikecualikan dari pemindaian oleh tag.

Sistem operasi — Kolom ini menunjukkan kepada Anda jenis sistem operasi, yang dapat berupaWINDOWS,MAC,LINUX, atauUNKNOWN.

Dimonitor menggunakan - Kolom ini menunjukkan apakah Amazon Inspector menggunakan metode pemindaian berbasis agen atau tanpa agen pada instance ini.

Terakhir dipindai - Kolom ini menunjukkan kepada Anda kapan Amazon Inspector terakhir memeriksa sumber daya tersebut untuk kerentanan. Frekuensi Amazon Inspector melakukan pemindaian bergantung pada metode pemindaian yang digunakannya untuk memindai instance.

Untuk meninjau detail tambahan tentang sebuah EC2 instance, pilih tautan di kolom EC2 instance. Amazon Inspector kemudian menampilkan detail tentang instance dan temuan saat ini untuk instance tersebut. Untuk meninjau detail temuan, pilih tautan di kolom Judul. Untuk informasi tentang detail ini, lihatMelihat detail untuk temuan Amazon Inspector Anda.

Memindai nilai status untuk EC2 instans Amazon

Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), nilai Status yang mungkin adalah:

  • Pemantauan aktif - Amazon Inspector terus memantau dan memindai instans.

  • Batas penyimpanan instans tanpa agen terlampaui — Amazon Inspector menggunakan status ini ketika ukuran gabungan dari semua volume yang dilampirkan ke instans lebih besar dari 1200 GB, atau instans memiliki lebih dari 8 volume yang melekat padanya.

  • Batas waktu pengumpulan instans tanpa agen terlampaui — Amazon Inspector habis waktu saat mencoba menjalankan pemindaian tanpa agen pada sebuah instance.

  • EC2 instance berhenti - Amazon Inspector menghentikan pemindaian untuk instance karena instance dalam status berhenti. Setiap temuan yang ada akan bertahan sampai instance dihentikan. Jika instance dimulai ulang, Amazon Inspector akan secara otomatis melanjutkan pemindaian untuk instance tersebut.

  • Kesalahan internal - Terjadi kesalahan internal saat Amazon Inspector mencoba memindai instance. Amazon Inspector akan secara otomatis mengatasi kesalahan dan melanjutkan pemindaian sesegera mungkin.

  • Tidak ada inventaris — Amazon Inspector tidak dapat menemukan inventaris aplikasi perangkat lunak untuk memindai instance. Asosiasi Amazon Inspector untuk instance tersebut mungkin telah dihapus atau mungkin gagal dijalankan.

    Untuk mengatasi masalah ini, gunakan AWS Systems Manager untuk memastikan bahwa InspectorInventoryCollection-do-not-delete asosiasi ada dan status asosiasinya berhasil. Selain itu, gunakan AWS Systems Manager Fleet Manager untuk memverifikasi inventaris aplikasi perangkat lunak untuk instance tersebut.

  • Menunggu penonaktifan - Amazon Inspector telah berhenti memindai instance. Instance sedang dinonaktifkan, menunggu penyelesaian tugas pembersihan.

  • Pemindaian awal yang tertunda - Amazon Inspector telah mengantri instance untuk pemindaian awal.

  • Sumber daya dihentikan - Instance dihentikan. Amazon Inspector saat ini sedang membersihkan temuan dan data cakupan yang ada untuk instance tersebut.

  • Inventaris basi — Amazon Inspector tidak dapat mengumpulkan inventaris aplikasi perangkat lunak yang diperbarui yang ditangkap dalam 7 hari terakhir untuk instance tersebut.

    Untuk mengatasi masalah ini, gunakan AWS Systems Manager untuk memastikan bahwa asosiasi Amazon Inspector yang diperlukan ada dan berjalan untuk instance. Selain itu, gunakan AWS Systems Manager Fleet Manager untuk memverifikasi inventaris aplikasi perangkat lunak untuk instance tersebut.

  • EC2 Instance yang tidak dikelola - Amazon Inspector tidak memantau atau memindai instance. Instance tidak dikelola oleh AWS Systems Manager.

    Untuk mengatasi masalah ini, Anda dapat menggunakan yang AWSSupport-TroubleshootManagedInstance runbookdisediakan oleh AWS Systems Manager Automation. Setelah Anda mengonfigurasi AWS Systems Manager untuk mengelola instans, Amazon Inspector akan secara otomatis mulai memantau dan memindai instans secara otomatis.

  • OS yang tidak didukung - Amazon Inspector tidak memantau atau memindai instans. Instans menggunakan sistem operasi atau arsitektur yang tidak didukung Amazon Inspector. Untuk daftar sistem operasi yang didukung Amazon Inspector, lihat. Amazon EC2 instans nilai status

  • Memantau secara aktif dengan kesalahan sebagian — Status ini berarti bahwa EC2 pemindaian aktif, tetapi ada kesalahan yang terkait dengannyaInspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2 . Kemungkinan kesalahan inspeksi mendalam adalah:

    • Batas pengumpulan paket inspeksi mendalam terlampaui - Instance telah melampaui batas paket 5000 untuk inspeksi mendalam Amazon Inspector. Untuk melanjutkan pemeriksaan mendalam untuk contoh ini, Anda dapat mencoba menyesuaikan jalur kustom yang terkait dengan akun.

    • Batas inventaris ssm harian inspeksi mendalam terlampaui — Agen SSM tidak dapat mengirim inventaris ke Amazon Inspector karena kuota SSM untuk data Inventaris yang dikumpulkan per instans per hari telah tercapai untuk contoh ini. Untuk informasi selengkapnya, lihat titik akhir dan kuota Amazon EC2 Systems Manager.

    • Batas waktu pengumpulan inspeksi mendalam terlampaui - Amazon Inspector gagal mengekstrak inventaris paket karena waktu pengumpulan paket melebihi ambang batas maksimum 15 menit.

    • Inspeksi mendalam tidak memiliki inventaris - Plugin Amazon Inspector SSM belum dapat mengumpulkan inventaris paket untuk contoh ini. Ini biasanya hasil dari pemindaian yang tertunda, namun, jika status ini berlanjut setelah 6 jam, gunakan Amazon EC2 Systems Manager untuk memastikan bahwa asosiasi Amazon Inspector yang diperlukan ada dan berjalan untuk instance.

Untuk detail tentang mengonfigurasi setelan pemindaian untuk sebuah EC2 instance, lihatPemindaian EC2 instans Amazon.

Menilai cakupan repositori Amazon ECR

Tab Repositori menunjukkan repositori Amazon ECR di lingkungan Anda. AWS Daftar disusun ke dalam kelompok-kelompok pada tab berikut:

  • Semua - Menampilkan semua repositori di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk repositori.

  • Diaktifkan - Menampilkan semua repositori yang Amazon Inspector dikonfigurasi untuk memantau dan memindai di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk repositori.

  • Tidak diaktifkan - Menampilkan semua repositori yang Amazon Inspector tidak memantau dan memindai di lingkungan Anda. Kolom Alasan menunjukkan mengapa Amazon Inspector tidak memantau dan memindai repositori.

Pada setiap tab, kolom Account menentukan Akun AWS yang memiliki repositori.

Untuk meninjau detail tambahan tentang repositori, pilih nama repositori. Amazon Inspector kemudian menampilkan daftar gambar kontainer di repositori dan detail untuk setiap gambar. Detailnya termasuk tag gambar, intisari gambar, dan status pemindaian. Mereka juga termasuk statistik temuan kunci, seperti jumlah temuan kritis untuk gambar. Untuk menelusuri dan meninjau data pendukung untuk menemukan statistik, pilih tag gambar untuk gambar.

catatan

Gambar Amazon ECR tanpa pemindaian berkelanjutan tidak termasuk dalam widget cakupan.

Memindai nilai status untuk repositori Amazon ECR

Untuk repositori Amazon Elastic Container Registry (Amazon ECR), nilai Status yang mungkin adalah:

  • Activated (Continuous) - Untuk repositori, Amazon Inspector terus memantau gambar di repositori ini. Pengaturan pemindaian yang disempurnakan untuk repositori diatur ke pemindaian berkelanjutan. Amazon Inspector awalnya memindai gambar baru ketika mereka didorong dan memindai ulang gambar jika CVE baru yang relevan dengan gambar itu diterbitkan. Amazon Inspector akan terus memantau gambar di repositori ini untuk durasi pemindaian ulang Amazon ECR yang Anda konfigurasikan.

  • Diaktifkan (On push) - Amazon Inspector secara otomatis memindai gambar kontainer individual di repositori saat gambar baru didorong. Pemindaian yang disempurnakan diaktifkan untuk repositori dan diatur untuk memindai saat push.

  • Akses ditolak - Amazon Inspector tidak diizinkan mengakses repositori atau gambar kontainer apa pun di repositori.

    Untuk mengatasi masalah ini, pastikan bahwa kebijakan AWS Identity and Access Management (IAM) untuk repositori memungkinkan Amazon Inspector mengakses repositori.

  • Dinonaktifkan (Manual) - Amazon Inspector tidak memantau atau memindai gambar kontainer apa pun di repositori. Pengaturan pemindaian Amazon ECR untuk repositori diatur ke pemindaian manual dasar.

    Untuk mulai memindai gambar di repositori dengan Amazon Inspector, ubah pengaturan pemindaian untuk repositori menjadi pemindaian yang disempurnakan, lalu pilih apakah akan memindai gambar secara terus menerus atau hanya ketika gambar baru didorong.

  • Diaktifkan (On push) - Amazon Inspector secara otomatis memindai gambar kontainer individual di repositori saat gambar baru didorong. Pengaturan pemindaian yang disempurnakan untuk repositori diatur untuk memindai saat push.

  • Kesalahan internal - Terjadi kesalahan internal saat Amazon Inspector mencoba memindai repositori. Amazon Inspector akan secara otomatis mengatasi kesalahan dan melanjutkan pemindaian sesegera mungkin.

Untuk detail tentang mengkonfigurasi pengaturan pemindaian untuk Pemindaian gambar wadah Amazon ECR repositori.

Menilai cakupan gambar kontainer Amazon ECR

Tab Gambar menunjukkan gambar kontainer Amazon ECR di AWS lingkungan Anda. Daftar disusun ke dalam kelompok-kelompok pada tab berikut:

  • Semua - Menampilkan semua gambar kontainer di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk gambar.

  • Scanning - Menampilkan semua gambar kontainer yang Amazon Inspector dikonfigurasi untuk memantau dan memindai di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk gambar.

  • Tidak memindai - Menampilkan semua gambar kontainer yang Amazon Inspector tidak memantau dan memindai di lingkungan Anda. Kolom Alasan menunjukkan mengapa Amazon Inspector tidak memantau dan memindai gambar.

    Gambar kontainer dapat muncul di tab Tidak diaktifkan karena beberapa alasan. Gambar mungkin disimpan dalam repositori yang tidak diaktifkan oleh pemindaian Amazon Inspector, atau aturan pemfilteran Amazon ECR mencegah repositori tersebut dipindai. Atau gambar belum didorong atau ditarik dalam jumlah hari yang Anda konfigurasi untuk durasi pemindaian ulang ECR. Untuk informasi selengkapnya, lihat Mengonfigurasi durasi pemindaian ulang Amazon ECR.

Pada setiap tab, kolom nama Repositori menentukan nama repositori yang menyimpan gambar kontainer. Kolom Akun menentukan Akun AWS yang memiliki repositori. Kolom terakhir yang dipindai menunjukkan kepada Anda kapan Amazon Inspector terakhir memeriksa sumber daya tersebut untuk kerentanan. Ini dapat mencakup pemeriksaan ketika ada pembaruan untuk menemukan metadata, ketika ada pembaruan ke inventaris aplikasi sumber daya, atau ketika pemindaian ulang dilakukan sebagai respons terhadap CVE baru. Untuk informasi selengkapnya, lihat Perilaku pemindaian untuk pemindaian Amazon ECR.

Untuk meninjau detail tambahan tentang gambar kontainer, pilih tautan di kolom gambar kontainer ECR. Amazon Inspector kemudian menampilkan detail tentang gambar dan temuan terkini untuk gambar tersebut. Untuk meninjau detail temuan, pilih tautan di kolom Judul. Untuk informasi tentang detail ini, lihatMelihat detail untuk temuan Amazon Inspector Anda.

Memindai nilai status untuk gambar kontainer Amazon ECR

Untuk image container Amazon Elastic Container Registry, nilai Status yang mungkin adalah:

  • Pemantauan aktif (Berkelanjutan) - Amazon Inspector terus memantau dan gambar serta pemindaian baru dilakukan di atasnya setiap kali CVE baru yang relevan diterbitkan. Durasi pemindaian ulang Amazon ECR untuk gambar disegarkan setiap kali gambar didorong atau ditarik. Pemindaian yang disempurnakan diaktifkan untuk repositori yang menyimpan gambar, dan pengaturan pemindaian yang disempurnakan untuk repositori diatur ke pemindaian berkelanjutan.

  • Diaktifkan (On push) - Amazon Inspector secara otomatis memindai gambar setiap kali gambar baru didorong. Pemindaian yang ditingkatkan diaktifkan untuk repositori yang menyimpan gambar, dan pengaturan pemindaian yang disempurnakan untuk repositori diatur untuk memindai saat push.

  • Kesalahan internal - Terjadi kesalahan internal saat Amazon Inspector mencoba memindai gambar kontainer. Amazon Inspector akan secara otomatis mengatasi kesalahan dan melanjutkan pemindaian sesegera mungkin.

  • Pemindaian awal yang tertunda - Amazon Inspector telah mengantri gambar untuk pemindaian awal.

  • Kelayakan pemindaian kedaluwarsa (Berkelanjutan) - Amazon Inspector menangguhkan pemindaian untuk gambar. Gambar belum diperbarui dalam durasi yang Anda tentukan untuk pemindaian ulang otomatis gambar di repositori. Anda dapat mendorong atau menarik gambar untuk melanjutkan pemindaian.

  • Kelayakan pemindaian kedaluwarsa (On push) - Amazon Inspector menangguhkan pemindaian untuk gambar. Gambar belum diperbarui dalam durasi yang Anda tentukan untuk pemindaian ulang otomatis gambar di repositori. Anda dapat mendorong gambar untuk melanjutkan pemindaian.

  • Manual frekuensi pemindaian (Manual) - Amazon Inspector tidak memindai gambar wadah Amazon ECR. Pengaturan pemindaian Amazon ECR untuk repositori yang menyimpan gambar diatur ke pemindaian manual dasar. Untuk mulai memindai gambar secara otomatis dengan Amazon Inspector, ubah pengaturan repositori menjadi pemindaian yang disempurnakan, lalu pilih apakah akan memindai gambar secara terus menerus atau hanya ketika gambar baru didorong.

  • OS yang tidak didukung - Amazon Inspector tidak memantau atau memindai gambar. Gambar didasarkan pada sistem operasi yang Amazon Inspector tidak mendukung, atau menggunakan jenis media yang Amazon Inspector tidak mendukung.

    Untuk daftar sistem operasi yang didukung Amazon Inspector, lihat. Sistem operasi yang didukung: Pemindaian Amazon ECR dengan Amazon Inspector Untuk daftar jenis media yang didukung Amazon Inspector, lihat Jenis media yang didukung.

Untuk detail tentang mengonfigurasi pengaturan pemindaian untuk repositori dan gambar, lihat. Pemindaian gambar wadah Amazon ECR

Menilai cakupan fungsi AWS Lambda

Tab Lambda menunjukkan fungsi Lambda di lingkungan Anda. AWS Halaman ini dua tabel, satu yang menunjukkan detail cakupan fungsi untuk pemindaian standar Lambda dan satu lagi untuk pemindaian kode Lambda. Anda dapat mengelompokkan fungsi berdasarkan tab berikut:

  • Semua - Menampilkan semua fungsi Lambda di lingkungan Anda. Kolom Status menunjukkan status pemindaian saat ini untuk fungsi Lambda.

  • Scanning - Menunjukkan fungsi Lambda yang Amazon Inspector dikonfigurasi untuk memindai. Kolom Status menunjukkan status pemindaian saat ini untuk setiap fungsi Lambda.

  • Tidak memindai - Menunjukkan fungsi Lambda yang Amazon Inspector tidak dikonfigurasi untuk memindai. Kolom Alasan menunjukkan mengapa Amazon Inspector tidak memantau dan memindai suatu fungsi.

    Fungsi Lambda dapat muncul di tab Tidak memindai karena beberapa alasan. Fungsi Lambda mungkin milik akun yang belum ditambahkan ke Amazon Inspector atau aturan pemfilteran mencegah fungsi ini dipindai. Untuk informasi selengkapnya, lihat Pemindaian fungsi Lambda.

Pada setiap tab, kolom nama Fungsi menentukan nama fungsi Lambda. Kolom Akun menentukan Akun AWS yang memiliki fungsi. Runtime menentukan runtime fungsi. Kolom Status menunjukkan status pemindaian saat ini untuk setiap fungsi Lambda. Tag sumber daya menunjukkan tag yang telah diterapkan ke fungsi. Kolom terakhir yang dipindai menunjukkan kepada Anda kapan Amazon Inspector terakhir memeriksa sumber daya tersebut untuk kerentanan. Ini dapat mencakup pemeriksaan ketika ada pembaruan untuk menemukan metadata, ketika ada pembaruan ke inventaris aplikasi sumber daya, atau ketika pemindaian ulang dilakukan sebagai respons terhadap CVE baru. Untuk informasi selengkapnya, lihat Memindai perilaku untuk pemindaian fungsi Lambda.

Memindai nilai status untuk AWS Lambda fungsi

Untuk fungsi Lambda, nilai Status yang mungkin adalah:

  • Pemantauan aktif - Amazon Inspector terus memantau dan memindai fungsi Lambda. Pemindaian berkelanjutan mencakup pemindaian awal fungsi baru saat didorong ke repositori dan pemindaian ulang fungsi otomatis saat diperbarui atau saat Common Vulnerabilities and Exposures () baru dirilis. CVEs

  • Dikecualikan oleh tag - Amazon Inspector tidak memindai fungsi ini karena telah dikecualikan dari pemindaian oleh tag.

  • Kelayakan pemindaian kedaluwarsa - Amazon Inspector tidak memantau fungsi ini karena sudah 90 hari atau lebih sejak terakhir dipanggil atau diperbarui.

  • Kesalahan internal —Terjadi kesalahan internal saat Amazon Inspector mencoba memindai fungsi. Amazon Inspector akan secara otomatis mengatasi kesalahan dan melanjutkan pemindaian sesegera mungkin.

  • Pemindaian awal yang tertunda - Amazon Inspector telah mengantri fungsi untuk pemindaian awal.

  • Tidak didukung - Fungsi Lambda memiliki runtime yang tidak didukung.