Buat laporan konsolidasi temuan keamanan Prowler dari beberapa Akun AWS - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikPemecahan MasalahSumber daya terkaitInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat laporan konsolidasi temuan keamanan Prowler dari beberapa Akun AWS

Mike Virgilio, Jay Durga, dan Andrea Di Fabio, Amazon Web Services

Ringkasan

Prowler (GitHub) adalah alat baris perintah sumber terbuka yang dapat membantu Anda menilai, mengaudit, dan memantau akun Amazon Web Services (AWS) Anda untuk kepatuhan terhadap praktik terbaik keamanan. Dalam pola ini, Anda menyebarkan Prowler di terpusat Akun AWS di organisasi Anda, dikelola oleh AWS Organizations, dan kemudian menggunakan Prowler untuk melakukan penilaian keamanan semua akun di organisasi.

Meskipun ada banyak metode untuk menyebarkan dan memanfaatkan Prowler untuk penilaian, solusi ini telah dirancang untuk penyebaran cepat, analisis penuh dari semua akun dalam organisasi atau akun target yang ditentukan, dan pelaporan temuan keamanan yang dapat diakses. Dalam solusi ini, ketika Prowler menyelesaikan penilaian keamanan semua akun dalam organisasi, itu mengkonsolidasikan hasilnya. Ini juga menyaring pesan kesalahan yang diharapkan, seperti kesalahan yang terkait dengan pembatasan yang mencegah Prowler memindai bucket Amazon Simple Storage Service (Amazon S3) di akun yang disediakan. AWS Control Tower Hasil yang disaring dan terkonsolidasi dilaporkan dalam template Microsoft Excel yang disertakan dengan pola ini. Anda dapat menggunakan laporan ini untuk mengidentifikasi potensi peningkatan kontrol keamanan di organisasi Anda.

Solusi ini dirancang dengan mempertimbangkan hal-hal berikut:

  • AWS CloudFormation Template mengurangi upaya yang diperlukan untuk menyebarkan AWS sumber daya dalam pola ini.

  • Anda dapat menyesuaikan parameter dalam CloudFormation template dan skrip prowler_scan.sh pada saat penerapan untuk menyesuaikan template untuk lingkungan Anda.

  • Penilaian prowler dan kecepatan pelaporan dioptimalkan melalui pemrosesan paralel, hasil agregat Akun AWS, pelaporan terkonsolidasi dengan remediasi yang direkomendasikan, dan visualisasi yang dihasilkan secara otomatis.

  • Pengguna tidak perlu memantau kemajuan pemindaian. Ketika penilaian selesai, pengguna diberi tahu melalui topik Amazon Simple Notification Service (Amazon SNS) sehingga mereka dapat mengambil laporan.

  • Template laporan membantu Anda membaca dan menilai hanya hasil yang relevan untuk seluruh organisasi Anda.

Prasyarat dan batasan

Prasyarat

  • Sebuah Akun AWS untuk layanan dan alat keamanan hosting, dikelola sebagai akun anggota organisasi di AWS Organizations. Dalam pola ini, akun ini disebut sebagai akun keamanan.

  • Di akun keamanan, Anda harus memiliki subnet pribadi dengan akses internet keluar. Untuk petunjuk, lihat VPC dengan server di subnet pribadi dan NAT di dokumentasi Amazon Virtual Private Cloud (Amazon VPC). Anda dapat membuat akses internet dengan menggunakan gateway NAT yang disediakan di subnet publik.

  • Akses ke akun AWS Organizations manajemen atau akun yang telah mendelegasikan izin administrator untuk. CloudFormation Untuk petunjuk, lihat Mendaftarkan administrator yang didelegasikan dalam CloudFormation dokumentasi.

  • Aktifkan akses tepercaya antara AWS Organizations dan CloudFormation. Untuk petunjuk, lihat Mengaktifkan akses tepercaya dengan AWS Organizations dalam CloudFormation dokumentasi.

Batasan

  • Target Akun AWS harus dikelola sebagai organisasi di AWS Organizations. Jika Anda tidak menggunakan AWS Organizations, Anda dapat memperbarui CloudFormation template IAM- ProwlerExecRole .yaml dan skrip prowler_scan.sh untuk lingkungan Anda. Sebagai gantinya, Anda memberikan daftar Akun AWS IDs dan Wilayah tempat Anda ingin menjalankan skrip.

  • CloudFormation Template ini dirancang untuk menyebarkan instans Amazon Elastic Compute Cloud EC2 (Amazon) di subnet pribadi yang memiliki akses internet keluar. AWS Systems Manager Agen (Agen SSM) memerlukan akses keluar untuk mencapai titik akhir AWS Systems Manager layanan, dan Anda memerlukan akses keluar untuk mengkloning repositori kode dan menginstal dependensi. Jika Anda ingin menggunakan subnet publik, Anda harus memodifikasi template prowler-resources.yaml untuk mengaitkan alamat IP Elastis dengan instance. EC2

Versi produk

  • Prowler versi 4.0 atau yang lebih baru

Arsitektur

Diagram arsitektur dengan Prowler dikerahkan di akun keamanan terpusat.

Diagram menunjukkan proses berikut:

  1. Menggunakan Session Manager, kemampuan AWS Systems Manager, pengguna mengautentikasi ke EC2 instance dan menjalankan skrip prowler_scan.sh. Skrip shell ini melakukan langkah 2—8.

  2. EC2 Instance mengasumsikan peran ProwlerEC2Role IAM, yang memberikan izin untuk mengakses bucket S3 dan untuk mengambil peran ProwlerExecRole IAM di akun lain di organisasi.

  3. EC2 Instance mengasumsikan peran ProwlerExecRole IAM dalam akun manajemen organisasi dan menghasilkan daftar akun dalam organisasi.

  4. EC2 Instance mengasumsikan peran ProwlerExecRole IAM dalam akun anggota organisasi (disebut akun beban kerja dalam diagram arsitektur) dan melakukan penilaian keamanan di setiap akun. Temuan disimpan sebagai file CSV dan HTML pada EC2 instance.

    catatan

    File HTML adalah output dari penilaian Prowler. Karena sifat HTML, mereka tidak digabungkan, diproses, atau digunakan secara langsung dalam pola ini. Namun, ini mungkin berguna untuk tinjauan laporan akun individu.

  5. EC2 Instance memproses semua file CSV untuk menghapus kesalahan yang diketahui dan diharapkan dan mengkonsolidasikan temuan yang tersisa ke dalam satu file CSV.

  6. EC2 Instance mengemas hasil akun individual dan hasil agregat ke dalam file zip.

  7. EC2 Instance mengunggah file zip ke bucket S3.

  8. EventBridge Aturan mendeteksi unggahan file dan menggunakan topik Amazon SNS untuk mengirim email ke pengguna yang memberi tahu mereka bahwa penilaian telah selesai.

  9. Pengguna mengunduh file zip dari bucket S3. Pengguna mengimpor hasil ke template Excel dan meninjau hasilnya.

Alat

Layanan AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas komputasi yang dapat diskalakan di. AWS Cloud Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.

  • Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

  • AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.

  • Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

  • Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.

  • AWS Systems Managermembantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan aplikasi dan manajemen sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola AWS sumber daya Anda dengan aman dalam skala besar. Pola ini menggunakan Session Manger, kemampuan Systems Manager.

Alat-alat lainnya

  • Prowler adalah alat baris perintah sumber terbuka yang membantu Anda menilai, mengaudit, dan memantau akun Anda untuk kepatuhan terhadap praktik terbaik AWS keamanan serta kerangka kerja dan standar keamanan lainnya.

Repositori kode

Kode untuk pola ini tersedia dalam Penilaian Keamanan GitHub Multi-Akun melalui repositori Prowler. Repositori kode berisi file-file berikut:

  • prowler_scan.sh - Skrip bash ini digunakan untuk memulai penilaian keamanan Prowler dari beberapa, Akun AWS secara paralel. Seperti yang didefinisikan dalam Prowler-Resources.yaml CloudFormationtemplate, skrip ini secara otomatis digunakan ke folder pada instance. usr/local/prowler EC2

  • Prowler-Resources.yaml — Anda menggunakan CloudFormation template ini untuk membuat tumpukan di akun keamanan di organisasi. Template ini menyebarkan semua sumber daya yang diperlukan untuk akun ini untuk mendukung solusinya. Tumpukan ini harus digunakan sebelum template IAM- ProwlerExecRole .yaml. Kami tidak menyarankan Anda menyebarkan sumber daya ini di akun yang menampung beban kerja produksi penting.

    catatan

    Jika tumpukan ini dihapus dan digunakan kembali, Anda harus membangun kembali kumpulan ProwlerExecRole tumpukan untuk membangun kembali dependensi lintas akun di antara peran IAM.

  • IAM- ProwlerExecRole .yaml - Anda menggunakan CloudFormation templat ini untuk membuat kumpulan tumpukan yang menerapkan peran ProwlerExecRole IAM di semua akun di organisasi, termasuk akun manajemen.

  • prowler-report-template.xlsm — Anda menggunakan template Excel ini untuk memproses temuan Prowler. Tabel pivot dalam laporan menyediakan kemampuan pencarian, bagan, dan temuan terkonsolidasi.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Kloning repositori kode.

  1. Di antarmuka baris perintah, ubah direktori kerja Anda ke lokasi tempat Anda ingin menyimpan file sampel.

  2. Masukkan perintah berikut:

    git clone https://github.com/aws-samples/multi-account-security-assessment-via-prowler.git

AWS DevOps

Tinjau template.

  1. Di repositori kloning, buka file Prowler-Resources.yaml dan IAM- .yaml. ProwlerExecRole

  2. Tinjau sumber daya yang dibuat oleh templat ini dan sesuaikan templat sesuai kebutuhan untuk lingkungan Anda. Untuk informasi selengkapnya, lihat Bekerja dengan templat dalam CloudFormation dokumentasi.

  3. Simpan dan tutup file Prowler-Resources.yaml dan IAM- .yaml. ProwlerExecRole

AWS DevOps
TugasDeskripsiKeterampilan yang dibutuhkan

Menyediakan sumber daya di akun keamanan.

Menggunakan template prowler-resources.yaml, Anda membuat CloudFormation tumpukan yang menyebarkan semua sumber daya yang diperlukan di akun keamanan. Untuk petunjuk, lihat Membuat tumpukan dalam CloudFormation dokumentasi. Perhatikan hal berikut saat menerapkan template ini:

  1. Pada halaman Specify template, pilih Template is ready, lalu upload file prowler-resources.yaml.

  2. Pada halaman Tentukan detail tumpukan, di kotak Nama tumpukan, masukkanProwler-Resources.

  3. Di bagian Parameter, masukkan yang berikut ini:

    • VPCId— Pilih VPC di akun.

    • SubnetId— Pilih subnet pribadi yang memiliki akses internet.

      Catatan: Jika Anda memilih subnet publik, EC2 instans tidak akan diberi alamat IP publik karena CloudFormation templat, secara default, tidak menyediakan dan melampirkan alamat IP Elastis.

    • InstanceType— Pilih ukuran instans berdasarkan jumlah penilaian paralel:

      • Untuk 10, pilihr6i.large.

      • Untuk 12, pilihr6i.xlarge.

      • Untuk 14-18, pilih. r6i.2xlarge

    • InstanceImageId— Tinggalkan default untuk Amazon Linux.

    • KeyPairName— Jika Anda menggunakan SSH untuk akses, tentukan nama key pair yang ada.

    • PermittedSSHInbound— Jika Anda menggunakan SSH untuk akses, tentukan blok CIDR yang diizinkan. Jika Anda tidak menggunakan SSH, pertahankan nilai default. 127.0.0.1

    • BucketName— Nilai defaultnya adalahprowler-output-<accountID>-<region>. Anda dapat memodifikasi ini sesuai kebutuhan. Jika Anda menentukan nilai kustom, ID akun dan Wilayah secara otomatis ditambahkan ke nilai yang ditentukan.

    • EmailAddress— Tentukan alamat email untuk notifikasi Amazon SNS saat Prowler menyelesaikan penilaian dan mengunggah file.zip ke bucket S3.

      Catatan: Konfigurasi langganan SNS harus dikonfirmasi sebelum Prowler menyelesaikan penilaian atau pemberitahuan tidak akan dikirim.

    • IAMProwlerEC2Role— Pertahankan default kecuali konvensi penamaan Anda memerlukan nama yang berbeda untuk peran IAM ini.

    • IAMProwlerExecRole— Pertahankan default kecuali nama lain akan digunakan saat menerapkan file IAM- ProwlerExecRole .yaml.

    • Parallelism— Tentukan jumlah penilaian paralel yang akan dilakukan. Pastikan bahwa nilai dalam InstanceType parameter mendukung jumlah penilaian paralel ini.

    • FindingOutput— Jika Anda ingin mengecualikan hasil lulus, pilihFailOnly. Ini secara signifikan mengurangi ukuran output dan berfokus pada pemeriksaan yang mungkin perlu diselesaikan. Jika Anda ingin memasukkan hasil lulus, pilihFailAndPass.

  4. Pada halaman Tinjauan, pilih Sumber daya berikut memerlukan kemampuan: [AWS::IAM::Role], lalu pilih Buat Tumpukan.

  5. Setelah tumpukan berhasil dibuat, di CloudFormation konsol, pada tab Output, salin Nama Sumber Daya ProwlerEC2Role Amazon (ARN). Anda menggunakan ARN ini nanti saat menerapkan file IAM - .yaml. ProwlerExecRole

AWS DevOps

Menyediakan peran IAM di akun anggota.

Di akun AWS Organizations manajemen atau akun dengan izin administrator yang didelegasikan CloudFormation, gunakan template IAM- ProwlerExecRole .yaml untuk membuat kumpulan tumpukan. CloudFormation Kumpulan tumpukan menyebarkan peran ProwlerExecRole IAM di semua akun anggota di organisasi. Untuk petunjuknya, lihat Membuat kumpulan tumpukan dengan izin yang dikelola layanan dalam dokumentasi. CloudFormation Perhatikan hal berikut saat menerapkan template ini:

  1. Di bawah Siapkan template, pilih Template siap, lalu unggah file IAM- ProwlerExecRole .yaml.

  2. Pada halaman Tentukan StackSet detail, beri nama kumpulan tumpukanIAM-ProwlerExecRole.

  3. Di bagian Parameter, masukkan yang berikut ini:

    • AuthorizedARN— Masukkan ProwlerEC2Role ARN, yang Anda salin saat Anda membuat tumpukan. Prowler-Resources

    • ProwlerExecRoleName— Pertahankan nilai default ProwlerExecRole kecuali nama lain digunakan saat menerapkan file Prowler-Resources.yaml.

  4. Dalam Izin, pilih Izin yang dikelola layanan.

  5. Pada halaman Setel opsi penerapan, di bawah target Deployment, pilih Deploy to organization dan terima semua default.

    Catatan: Jika Anda ingin tumpukan disebarkan ke semua akun anggota secara bersamaan, tetapkan akun bersamaan maksimum dan Toleransi kegagalan ke nilai tinggi, seperti. 100

  6. Di bawah wilayah Deployment, pilih Wilayah AWS tempat EC2 instance untuk Prowler digunakan. Karena sumber daya IAM bersifat global dan bukan Regional, ini menyebarkan peran IAM di semua Wilayah aktif.

  7. Pada halaman Tinjauan, pilih Saya mengakui yang AWS CloudFormation mungkin membuat sumber daya IAM dengan nama khusus, lalu pilih Buat. StackSet

  8. Pantau tab Stack instance (untuk status akun individual) dan tab Operasi (untuk status keseluruhan) untuk menentukan kapan penerapan selesai.

AWS DevOps

Menyediakan peran IAM dalam akun manajemen.

Menggunakan template IAM- ProwlerExecRole .yaml, Anda membuat CloudFormation tumpukan yang menerapkan peran ProwlerExecRole IAM di akun manajemen organisasi. Kumpulan tumpukan yang Anda buat sebelumnya tidak menerapkan peran IAM di akun manajemen. Untuk petunjuk, lihat Membuat tumpukan dalam CloudFormation dokumentasi. Perhatikan hal berikut saat menerapkan template ini:

  1. Pada halaman Tentukan template, pilih Template siap, lalu unggah file IAM- ProwlerExecRole .yaml.

  2. Pada halaman Tentukan detail tumpukan, di kotak Nama tumpukan, masukkanIAM-ProwlerExecRole.

  3. Di bagian Parameter, masukkan yang berikut ini:

    • AuthorizedARN— Masukkan ProwlerEC2Role ARN, yang Anda salin saat Anda membuat tumpukan. Prowler-Resources

    • ProwlerExecRoleName— Pertahankan nilai default ProwlerExecRole kecuali nama lain digunakan saat menerapkan file Prowler-Resources.yaml.

  4. Pada halaman Tinjauan, pilih Sumber daya berikut memerlukan kemampuan: [AWS::IAM::Role], lalu pilih Buat Tumpukan.

AWS DevOps
TugasDeskripsiKeterampilan yang dibutuhkan

Jalankan pemindaian.

  1. Masuk ke akun keamanan di organisasi.

  2. Menggunakan Session Manager, sambungkan ke EC2 instance untuk Prowler yang sebelumnya Anda sediakan. Untuk petunjuk, lihat Connect ke instance Linux Anda menggunakan Session Manager. Jika Anda tidak dapat terhubung, lihat bagian Pemecahan Masalah dari pola ini.

  3. Arahkan keusr/local/prowler, lalu buka file prowler_scan.sh.

  4. Tinjau dan modifikasi parameter dan variabel yang dapat disesuaikan dalam skrip ini sesuai kebutuhan untuk lingkungan Anda. Untuk informasi selengkapnya tentang opsi penyesuaian, lihat komentar di awal skrip.

    Misalnya, alih-alih mendapatkan daftar semua akun anggota di organisasi dari akun manajemen, Anda dapat memodifikasi skrip untuk menentukan Akun AWS IDs atau Wilayah AWS yang ingin Anda pindai, atau Anda dapat mereferensikan file eksternal yang berisi parameter ini.

  5. Simpan dan tutup file prowler_scan.sh.

  6. Masukkan perintah berikut. Ini menjalankan skrip prowler_scan.sh.

    sudo -i
screen
cd /usr/local/prowler
./prowler_scan.sh

    Perhatikan hal berikut:

    • Perintah layar memungkinkan skrip untuk terus berjalan jika waktu koneksi habis atau Anda kehilangan akses konsol.

    • Setelah pemindaian dimulai, Anda dapat memaksa layar terlepas dengan menekan Ctrl+A D. Layar terlepas, dan Anda dapat menutup koneksi instans dan memungkinkan penilaian dilanjutkan.

    • Untuk melanjutkan sesi terpisah, sambungkan ke instance, masukkan sudo -i lalu masukkanscreen -r.

    • Untuk memantau kemajuan penilaian akun individual, Anda dapat menavigasi ke usr/local/prowler direktori dan memasukkan perintahtail -f output/stdout-<account-id>.

  7. Tunggu Prowler menyelesaikan pemindaian di semua akun. Skrip menilai beberapa akun secara bersamaan. Ketika penilaian selesai di semua akun, Anda menerima pemberitahuan jika Anda menentukan alamat email saat Anda menerapkan file Prowler-Resources.yaml.

Administrator AWS

Ambil temuan Prowler.

  1. Unduh prowler-output-<assessDate>.zip file dari prowler-output-<accountID>-<region> ember. Untuk petunjuk, lihat Mengunduh objek di dokumentasi Amazon S3.

  2. Hapus semua objek di bucket, termasuk file yang Anda unduh. Ini adalah praktik terbaik untuk optimasi biaya dan untuk memastikan bahwa Anda dapat menghapus Prowler-Resources CloudFormation tumpukan kapan saja. Untuk petunjuknya, lihat Menghapus objek dalam dokumentasi Amazon S3.

AWS Umum

Hentikan EC2 instance.

Untuk mencegah penagihan saat instance tidak aktif, hentikan EC2 instance yang menjalankan Prowler. Untuk petunjuknya, lihat Berhenti dan mulai instans Anda di EC2 dokumentasi Amazon.

AWS DevOps
TugasDeskripsiKeterampilan yang dibutuhkan

Impor temuan.

  1. Di Excel, buka prowler-report-templatefile.xlsx, lalu pilih lembar kerja Prowler CSV.

  2. Hapus semua data sampel, termasuk baris header. Jika Anda ditanya apakah akan menghapus kueri yang terkait dengan data yang dihapus, pilih Tidak. Menghapus kueri dapat memengaruhi fungsionalitas tabel pivot di template Excel.

  3. Ekstrak isi file zip yang Anda unduh dari bucket S3.

  4. Di Excel, buka prowler-fullorgresults-accessdeniedfiltered.txt. Kami menyarankan Anda menggunakan file ini karena kesalahan yang paling umum dan tidak dapat ditindaklanjuti telah dihapus, seperti Access Denied kesalahan yang terkait dengan upaya pemindaian sumber daya. AWS Control Tower Jika Anda menginginkan temuan tanpa filter, buka file prowler-fullorgresults.txt sebagai gantinya.

  5. Pilih kolom A.

  6. Jika Anda menggunakan Windows, masukkan Ctrl+C, atau jika Anda menggunakan macOS, masukkan Cmd+C. Ini menyalin semua data ke clipboard.

  7. Dalam template laporan Excel, pada lembar kerja Prowler CSV, pilih sel A1.

  8. Jika Anda menggunakan Windows, masukkan Ctrl+V, atau jika Anda menggunakan macOS, masukkan Cmd+V. Ini menempelkan temuan ke dalam laporan.

  9. Konfirmasikan semua sel yang berisi data yang disisipkan dipilih. Jika tidak, pilih kolom A.

  10. Pada tab Data, pilih Teks ke Kolom.

  11. Di wizard, lakukan hal berikut:

    • Untuk langkah 1, pilih Delimited.

    • Untuk langkah 2, untuk Delimiters, pilih Titik koma. Di panel Pratinjau data, konfirmasikan bahwa data sedang dipisahkan menjadi kolom.

    • Untuk langkah 3, pilih Selesai.

  12. Konfirmasikan bahwa data teks dibatasi di beberapa kolom.

  13. Simpan laporan Excel dengan nama baru.

  14. Cari dan hapus Access Denied kesalahan apa pun dalam temuan. Untuk petunjuk tentang cara menghapus ini secara terprogram, lihat Menghapus kesalahan secara terprogram di bagian Informasi tambahan.

AWS Umum

Selesaikan laporan.

  1. Pilih lembar kerja Temuan, lalu pilih sel A17. Sel ini adalah header dari tabel pivot.

  2. Di pita, di bawah PivotTable Tools, pilih Analyze, dan kemudian di bawah Refresh, pilih Refresh All. Ini memperbarui tabel pivot dengan kumpulan data baru.

  3. Secara default, Excel tidak menampilkan Akun AWS angka dengan benar. Untuk memperbaiki pemformatan angka, lakukan hal berikut:

    • Pada lembar kerja Temuan, buka menu konteks (klik kanan) untuk kolom A, lalu pilih Format Sel.

    • Pilih Angka, dan di tempat desimal, masukkan. 0

    • Pilih OK.

    Catatan: Jika Akun AWS angka dimulai dengan satu atau lebih nol, Excel secara otomatis menghapus nol. Jika Anda melihat nomor akun yang kurang dari 12 digit dalam laporan, digit yang hilang adalah nol di awal angka.

  4. (Opsional) Anda dapat menciutkan bidang untuk membuat temuan lebih mudah dibaca. Lakukan hal-hal berikut:

    • Pada lembar kerja Temuan, jika Anda memindahkan kursor ke garis antara baris 18 dan 19 (spasi antara header kritis dan temuan pertama), ikon kursor berubah menjadi panah kecil yang mengarah ke bawah.

    • Klik untuk memilih semua bidang pencarian.

    • Buka menu konteks (klik kanan), temukan Perluas/Runtuh, lalu pilih Ciutkan.

  5. Untuk detail tentang penilaian, tinjau lembar kerja Temuan, Keparahan, dan Lulus Gagal.

AWS Umum
TugasDeskripsiKeterampilan yang dibutuhkan

Perbarui Prowler.

Jika Anda ingin memperbarui Prowler ke versi terbaru, lakukan hal berikut:

  1. Connect ke EC2 instance untuk Prowler dengan menggunakan Session Manager. Untuk petunjuk, lihat Connect ke instance Linux Anda menggunakan Session Manager.

  2. Masukkan perintah berikut.

    sudo -i
pip3 install --upgrade prowler
AWS Umum

Perbarui skrip prowler_scan.sh.

Jika Anda ingin memperbarui skrip prowler_scan.sh ke versi terbaru di repo, lakukan hal berikut:

  1. Connect ke EC2 instance untuk Prowler dengan menggunakan Session Manager. Untuk petunjuk, lihat Connect ke instance Linux Anda menggunakan Session Manager.

  2. Masukkan perintah berikut.

    sudo -i

  3. Arahkan ke direktori skrip Prowler.

    cd /usr/local/prowler

  4. Masukkan perintah berikut untuk menyimpan skrip lokal sehingga Anda dapat menggabungkan perubahan kustom ke versi terbaru.

    git stash

  5. Masukkan perintah berikut untuk mendapatkan versi terbaru dari skrip.

    git pull

  6. Masukkan perintah berikut untuk menggabungkan skrip kustom dengan versi terbaru skrip.

    git stash pop
catatan

Anda mungkin menerima peringatan terkait dengan file yang dibuat secara lokal yang tidak ada dalam GitHub repo, seperti menemukan laporan. Anda dapat mengabaikan ini selama prowler_scan.sh menunjukkan bahwa perubahan yang disimpan secara lokal digabungkan kembali.

AWS Umum
TugasDeskripsiKeterampilan yang dibutuhkan

Hapus semua sumber daya yang digunakan.

Anda dapat meninggalkan sumber daya yang digunakan di akun. Jika Anda mematikan EC2 instance saat tidak digunakan dan membiarkan bucket S3 kosong, ini mengurangi biaya pemeliharaan sumber daya untuk pemindaian masa depan.

Jika Anda ingin menghentikan semua sumber daya, lakukan hal berikut:

  1. Hapus IAM-ProwlerExecRole tumpukan yang disediakan di akun manajemen. Untuk petunjuk, lihat Menghapus tumpukan dalam CloudFormation dokumentasi.

  2. Hapus kumpulan IAM-ProwlerExecRole tumpukan yang disediakan di akun manajemen organisasi atau di akun administrator yang didelegasikan. Untuk petunjuk, lihat Menghapus kumpulan tumpukan dalam CloudFormation dokumentasi.

  3. Hapus semua objek di bucket prowler-output S3. Untuk petunjuknya, lihat Menghapus objek dalam dokumentasi Amazon S3.

  4. Hapus Prowler-Resources tumpukan yang disediakan di akun keamanan. Untuk petunjuk, lihat Menghapus tumpukan dalam CloudFormation dokumentasi.

AWS DevOps

Pemecahan Masalah

IsuSolusi

Tidak dapat terhubung ke EC2 instance dengan menggunakan Session Manager.

Agen SSM harus dapat berkomunikasi dengan endpoint Systems Manager. Lakukan hal-hal berikut:

  1. Validasi subnet tempat EC2 instance digunakan memiliki akses internet.

  2. Reboot EC2 instance.

Saat menerapkan set tumpukan, CloudFormation konsol meminta Anda untuk melakukannya. Enable trusted access with AWS Organizations to use service-managed permissions

Ini menunjukkan bahwa akses tepercaya belum diaktifkan antara AWS Organizations dan CloudFormation. Akses tepercaya diperlukan untuk menerapkan set tumpukan yang dikelola layanan. Pilih tombol untuk mengaktifkan akses tepercaya. Untuk informasi selengkapnya, lihat Mengaktifkan akses tepercaya dalam CloudFormation dokumentasi.

Sumber daya terkait

AWS dokumentasi

Sumber daya lainnya

Informasi tambahan

Menghapus kesalahan secara terprogram

Jika hasilnya mengandung Access Denied kesalahan, Anda harus menghapusnya dari temuan. Kesalahan ini biasanya disebabkan oleh izin pengaruh eksternal yang mencegah Prowler menilai sumber daya tertentu. Misalnya, beberapa pemeriksaan gagal saat meninjau bucket S3 yang disediakan. AWS Control Tower Anda dapat mengekstrak hasil ini secara terprogram dan menyimpan hasil yang difilter sebagai file baru.

Perintah berikut menghapus baris yang berisi string teks tunggal (pola) dan kemudian output hasilnya ke file baru.

  • Untuk Linux atau macOS (Grep)

    grep -v -i "Access Denied getting bucket" myoutput.csv > myoutput_modified.csv

  • Untuk Windows (PowerShell)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket' -NotMatch > myoutput_modified.csv

Perintah berikut menghapus baris yang cocok dengan lebih dari satu string teks dan kemudian menampilkan hasilnya ke file baru.

  • Untuk Linux atau macOS (Menggunakan pipa yang keluar di antara string)

    grep -v -i 'Access Denied getting bucket\|Access Denied Trying to Get' myoutput.csv > myoutput_modified.csv

  • Untuk Windows (Menggunakan koma di antara string)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket', 'Access Denied Trying to Get' -NotMatch > myoutput_modified.csv

Laporkan contoh

Gambar berikut adalah contoh lembar kerja Temuan dalam laporan temuan Prowler terkonsolidasi.

Contoh tab Temuan dalam laporan hasil pemindaian Prowler

Gambar berikut adalah contoh lembar kerja Pass Fail dalam laporan temuan Prowler terkonsolidasi. (Secara default, hasil lulus dikecualikan dari output.)

Contoh tab Pass Fail dalam laporan hasil pemindaian Prowler

Gambar berikut adalah contoh lembar kerja Keparahan dalam laporan temuan Prowler terkonsolidasi.

Contoh tab Severity dalam laporan hasil pemindaian Prowler