Avaliando a cobertura do Amazon Inspector sobre seu ambiente AWS - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliando a cobertura do Amazon Inspector sobre seu ambiente AWS

Você pode avaliar a cobertura do seu AWS ambiente pelo Amazon Inspector a partir da tela de gerenciamento de contas no console do Amazon Inspector, que mostra detalhes e estatísticas sobre o status das análises do Amazon Inspector para suas contas e recursos.

nota

Se você for o administrador delegado de uma organização, poderá visualizar detalhes e estatísticas de todas as contas na organização.

O procedimento a seguir descreve como avaliar a cobertura do ambiente do Amazon Inspector.

Para avaliar a cobertura do Amazon Inspector sobre seu ambiente AWS
  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. No painel de navegação, escolha Gerenciamento de contas.

  3. Para revisar a cobertura, selecione uma das seguintes guias:

    • Selecione Contas para analisar a cobertura ao nível da conta.

    • Escolha Instâncias para analisar a cobertura das instâncias do Amazon Elastic Compute Cloud (Amazon EC2).

    • Selecione Repositórios de contêiner para analisar a cobertura de repositórios do Amazon Elastic Container Registry (Amazon ECR).

    • Selecione Imagens de contêiner para analisar a cobertura das imagens de contêiner do Amazon ECR.

    • Selecione Funções do Lambda para analisar a cobertura das funções do Lambda.

Os tópicos a seguir descrevem as informações que cada uma dessas guias fornece.

Avaliar a cobertura em nível de conta

Se sua conta não faz parte de uma organização ou não é a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece informações sobre sua conta e o status da verificação de recursos para sua conta. Nesse guia, você poderá ativar ou desativar a verificação de todos ou somente tipos específicos de recursos da sua conta. Para obter mais informações, consulte Tipos de verificação automatizada no Amazon Inspector.

Se sua conta for a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece configurações de ativação automática para contas em sua organização e lista todas as contas em sua organização. Para cada conta, a lista indica se o Amazon Inspector está ativado para a conta e, em caso afirmativo, os tipos de verificação de recursos que estão ativados para a conta. Como administrador delegado, use essa guia para alterar as configurações de ativação automática da sua organização. Você também poderá ativar ou desativar tipos específicos de verificação de recursos para contas de membros individuais. Para obter mais informações, consulte Habilitar verificações de contas-membro do Amazon Inspector.

Avaliação da cobertura das instâncias da Amazon EC2

A guia Instâncias mostra as EC2 instâncias da Amazon em seu AWS ambiente. As listas são organizadas em grupos nos seguintes guias:

  • Tudo: mostra todas as instâncias em seu ambiente. A coluna Status indica o status atual da verificação de uma instância.

  • Verificação: mostra todas as instâncias que o Amazon Inspector está monitorando e verificando ativamente em seu ambiente.

  • Sem verificação: mostra todas as instâncias que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma instância.

    Uma EC2 instância pode aparecer na guia Não escanear por vários motivos. O Amazon Inspector usa AWS Systems Manager (SSM) e o agente SSM para monitorar e verificar automaticamente suas EC2 instâncias em busca de vulnerabilidades. Se uma instância não tiver o Agente SSM em execução, não tiver uma função AWS Identity and Access Management (IAM) compatível com o Systems Manager ou não estiver executando um sistema operacional ou uma arquitetura compatível, o Amazon Inspector não poderá monitorar e escanear a instância. Para obter mais informações, consulte Escaneamento de EC2 instâncias da Amazon.

Em cada guia, a coluna Conta especifica quem é dono Conta da AWS de uma instância.

EC2 tags de instância — Essa coluna mostra as tags associadas à instância e pode ser usada para determinar se sua instância foi excluída das verificações por tags.

Sistema operacional — Esta coluna mostra o tipo de sistema operacional, que pode ser WINDOWS, MAC, LINUX ou UNKNOWN.

Monitorado usando: esta coluna mostra se o Amazon Inspector está usando o método de verificação baseado em agente ou sem agente na instância.

Última verificação — Esta coluna mostra quando o Amazon Inspector verificou pela última vez vulnerabilidades nesse recurso. A frequência com que o Amazon Inspector executa verificações depende do método de verificação usado para verificar a instância.

Para analisar detalhes adicionais sobre uma EC2 instância, escolha o link na coluna EC2 Instância. Em seguida, o Amazon Inspector exibe detalhes sobre a instância e as descobertas atuais da instância. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizar detalhes das descobertas do Amazon Inspector.

Escaneando valores de status para EC2 instâncias da Amazon

Para uma instância do Amazon Elastic Compute Cloud (Amazon EC2), os valores de status possíveis são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente a instância.

  • Limite de armazenamento de instância sem agente excedido: o Amazon Inspector usa esse status quando o tamanho combinado de todos os volumes anexados a uma instância é maior que 1.200 GB, ou quando uma instância tem mais de 8 volumes anexados a ela.

  • Limite de tempo de coleta de instância sem agente excedido: o Amazon Inspector atinge o tempo limite ao tentar executar uma verificação sem agente em uma instância.

  • EC2 instância interrompida — O Amazon Inspector pausou a verificação da instância porque a instância está parada. Todas as descobertas existentes persistirão até que a instância seja encerrada. Se a instância for reiniciada, o Amazon Inspector retomará automaticamente a verificação da instância.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a instância. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Sem inventário: o Amazon Inspector não conseguiu encontrar o inventário do aplicativo de software para verificar a instância. As associações do Amazon Inspector para a instância podem ter sido excluídas ou podem ter falhado na execução.

    Para corrigir esse problema, use AWS Systems Manager para garantir que a InspectorInventoryCollection-do-not-delete associação exista e que seu status de associação seja bem-sucedido. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • Desativação pendente: o Amazon Inspector parou de verificar a instância. A instância está sendo desativada, aguardando a conclusão das tarefas de limpeza.

  • Verificação inicial pendente: o Amazon Inspector colocou a instância em fila para uma verificação inicial.

  • Recurso encerrado: a instância foi encerrada. No momento, o Amazon Inspector está limpando as descobertas existentes e os dados de cobertura da instância.

  • Inventário obsoleto: o Amazon Inspector não conseguiu coletar um inventário atualizado de aplicativos de software que foi capturado nos últimos 7 dias para a instância.

    Para remediar esse problema, use AWS Systems Manager para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • EC2 Instância não gerenciada — O Amazon Inspector não está monitorando nem escaneando a instância. A instância não é gerenciada pelo AWS Systems Manager.

    Para corrigir esse problema, você pode usar o AWSSupport-TroubleshootManagedInstance runbookfornecido pela AWS Systems Manager Automation. Depois de configurar AWS Systems Manager para gerenciar a instância, o Amazon Inspector começará automaticamente a monitorar e escanear continuamente a instância.

  • Sistema operacional não compatível: o Amazon Inspector não está monitorando nem verificando a instância. A instância usa um sistema operacional ou arquitetura que o Amazon Inspector não dá suporte. Para obter uma lista dos sistemas operacionais que o Amazon Inspector com suporte, consulte Valores de status das EC2 instâncias da Amazon.

  • Monitoramento ativo com erros parciais — Esse status significa que a EC2 verificação está ativa, mas há erros associados Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2 a. Os possíveis erros das inspeções profundas são:

    • Limite de coleta de pacotes de inspeção profunda excedido: a instância excedeu o limite de 5.000 pacotes para a inspeção profunda do Amazon Inspector. Para retomar a inspeção profunda para a instância, você pode tentar ajustar os caminhos personalizados associados à conta.

    • Limite diário de inventário do SSM de inspeção profunda excedido: o agente do SSM não conseguiu enviar inventário para o Amazon Inspector porque a cota do SSM para dados de inventário coletados por instância por dia já foi atingida para esta instância. Para obter mais informações, consulte endpoints e cotas do Amazon EC2 Systems Manager.

    • Limite de tempo de coleta de inspeção profunda excedido: o Amazon Inspector não conseguiu extrair o inventário de pacotes porque o tempo de coleta de pacotes excedeu o limite máximo de 15 minutos.

    • A inspeção profunda não tem inventário — O plug-in Amazon Inspector SSM ainda não conseguiu coletar um inventário de pacotes para essa instância. Isso geralmente é o resultado de uma verificação pendente, no entanto, se esse status persistir após 6 horas, use o Amazon EC2 Systems Manager para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância.

Para obter detalhes sobre como definir as configurações de escaneamento para uma EC2 instância, consulteEscaneamento de EC2 instâncias da Amazon.

Avaliar a cobertura dos repositórios do Amazon ECR

O guia Repositórios mostra os repositórios do Amazon ECR em seu ambiente da AWS . As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todos os repositórios em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Ativado: mostra todos os repositórios que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Não ativado: mostra todos os repositórios que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando um repositório.

Em cada guia, a coluna Conta especifica quem possui um repositório. Conta da AWS

Para revisar detalhes adicionais sobre um repositório, escolha o nome do repositório. Em seguida, o Amazon Inspector exibe uma lista de imagens de contêineres no repositório e detalhes de cada imagem. Os detalhes incluem a etiqueta da imagem, o resumo da imagem e o status da verificação. Eles também incluem estatísticas de descobertas importantes, como o número de descobertas críticas da imagem. Para detalhar e revisar os dados de suporte de estatísticas de descobertas, escolha a tag de imagem para a imagem.

Valores de status de verificação para repositórios do Amazon ECR

Para um repositório do Amazon Elastic Container Registry (Amazon ECR), os possíveis valores de Status são:

  • Ativado (contínuo): para um repositório, o Amazon Inspector monitora e verifica continuamente as imagens no repositório. A configuração de escaneamento avançado para o repositório está definida como verificação contínua. O Amazon Inspector verifica inicialmente novas imagens quando elas são enviadas e as verifica novamente se uma nova CVE relevante para essa imagem for publicada. O Amazon Inspector continuará monitorando imagens nesse repositório pela duração da nova verificação do Amazon ECR que você configurar.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente imagens de contêiner individuais no repositório quando uma nova imagem é enviada. A verificação avançada é habilitada para o repositório e definida para verificar por envio.

  • Acesso negado: o Amazon Inspector não tem permissão para acessar o repositório ou qualquer imagem de contêiner no repositório.

    Para remediar esse problema, certifique-se de que as políticas AWS Identity and Access Management (IAM) para o repositório permitam que o Amazon Inspector acesse o repositório.

  • Desativado (Manual): o Amazon Inspector não está monitorando nem verificando nenhuma imagem de contêiner no repositório. A configuração de escaneamento do Amazon ECR para o repositório está definida como verificação manual básica.

    Para começar a verificar imagens no repositório com o Amazon Inspector, altere a configuração de verificação do repositório para escaneamento avançado e, em seguida, escolha se deseja verificar imagens continuamente ou somente quando uma nova imagem for enviada.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente imagens de contêiner individuais no repositório quando uma nova imagem é enviada. A configuração de escaneamento avançado do repositório está definida para verifcar por push.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar o repositório. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

Para conferir detalhes sobre como definir as configurações de verificação para repositórios, consulte Digitalização de imagens de contêineres do Amazon ECR.

Avaliar a cobertura de imagens de contêiner do Amazon ECR

O guia Imagens mostra imagens de contêineres do Amazon ECR em seu ambiente da AWS . As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todas as imagens de contêineres em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Verificação: mostra todas as imagens de contêineres que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Sem verificação: mostra todas as imagens de contêineres que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma imagem.

    Uma imagem de contêiner pode aparecer no guia Não ativada por vários motivos. A imagem pode ser armazenada em um repositório para o qual as verificações do Amazon Inspector não estão ativadas, ou as regras de filtragem do Amazon ECR impedem que esse repositório seja verificado. Ou a imagem não foi enviada ou extraída dentro do número de dias que você configurou para a Duração da nova verificação do ECR. Para ter mais informações, consulte Configuring the Amazon ECR re-scan duration.

Em cada guia, a coluna Nome do repositório especifica o nome do repositório que armazena uma imagem de contêiner. A coluna Conta especifica o Conta da AWS proprietário do repositório. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na descoberta de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova CVE. Para obter mais informações, consulte Comportamentos de verificação para o escaneamento do Amazon ECR.

Para revisar detalhes adicionais sobre uma imagem de contêiner, escolha o link na coluna de Imagem de contêiner do ECR. Em seguida, o Amazon Inspector exibe detalhes sobre a imagem e as descobertas atuais da imagem. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizar detalhes das descobertas do Amazon Inspector.

Valores de status de verificação para imagens de contêiner do Amazon ECR

Para uma imagem de contêiner do Amazon Elastic Container Registry, os possíveis valores de Status são:

  • Monitoramento ativo (contínuo): o Amazon Inspector monitora continuamente a imagem e novas verificações são realizadas sempre que uma nova CVE relevante é publicada. A duração da nova verificação do Amazon ECR para a imagem é atualizada sempre que a imagem é enviada ou extraída. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de verificação avançada para o repositório está definida como verificação contínua.

  • Ativado (por envio): o Amazon Inspector verifica automaticamente a imagem sempre que uma nova imagem é enviada. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de escaneamento avançado do repositório está definida para verificar por push.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a imagem de contêiner. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Verificação inicial pendente: o Amazon Inspector colocou a imagem em fila para uma verificação inicial.

  • Qualificação para verificação expirada (contínua): o Amazon Inspector suspendeu a verificação da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. É possível enviar ou extrair a imagem para continuar a verificação.

  • Qualificação para verificação expirada (por envio): o Amazon Inspector suspendeu a verificação da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. É possível enviar a imagem para retomar a verificação.

  • Manual de frequência de verificação (Manual): o Amazon Inspector não verifica a imagem do contêiner Amazon ECR. A configuração de escaneamento do Amazon ECR para o repositório que armazena a imagem está definida como verificação manual básica. Para começar a verificar a imagem automaticamente com o Amazon Inspector, altere a configuração do repositório para o escaneamento avançado e, em seguida, escolha se deseja verificar imagens de maneira contínua ou somente quando uma nova imagem for enviada.

  • SO incompatível: o Amazon Inspector não está monitorando nem verificando a imagem. A imagem é baseada em um sistema operacional não compatível com o Amazon Inspector ou contém um tipo de mídia não compatível com o Amazon Inspector.

    Para ver uma lista de sistemas operacionais compatíveis com o Amazon Inspector, consulte Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector. Para ver uma lista dos tipos de mídia compatíveis com o Amazon Inspector, consulte Tipos de mídia compatíveis.

Para obter detalhes sobre como definir as configurações de verificação para repositórios e imagens, consulte Digitalização de imagens de contêineres do Amazon ECR.

Avaliação da cobertura das funções AWS Lambda

A guia Lambda mostra as funções do Lambda em seu ambiente. AWS Nesta página, duas tabelas, uma que mostra detalhes da cobertura da função para o escaneamento padrão do Lambda e outra para o escaneamento de código do Lambda. Agrupe funções com base nos seguintes guias:

  • Tudo: mostra todas as funções do Lambda em seu ambiente. A coluna Status indica o status atual da verificação de uma função do Lambda.

  • Verificação: mostra as funções do Lambda que o Amazon Inspector está configurado para verificar. A coluna Status indica o status atual da verificação de cada função do Lambda.

  • Sem verificação: mostra as funções do Lambda que o Amazon Inspector não está configurado para verificar. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma função.

    Uma função do Lambda pode aparecer no guia Sem verificação por vários motivos. A função do Lambda pode pertencer a uma conta que não foi adicionada ao Amazon Inspector ou as regras de filtragem impedem que essa função seja verificada. Para obter mais informações, consulte Escaneamento da função Lambda.

Em cada guia, a coluna Nome da função especifica o nome da função do Lambda. A coluna Conta especifica Conta da AWS o proprietário da função. O identificador do runtime da função. A coluna Status indica o status atual da verificação de cada função do Lambda. Tags de recursos mostram as tags que foram aplicadas à função. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na descoberta de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova CVE. Para obter mais informações, consulte Comportamentos de verificação para escaneamento de funções do Lambda.

Valores de status de digitalização para AWS Lambda funções

Para uma função do Lambda, os valores de Status possíveis são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente as funções do Lambda. A varredura contínua inclui uma verificação inicial de novas funções quando elas são enviadas para o repositório e novas verificações automatizadas de funções quando elas são atualizadas ou quando novas vulnerabilidades e exposições comuns () são lançadas. CVEs

  • Excluído por tag: o Amazon Inspector não está verificando essa função porque ela foi excluída dos verificações por tags.

  • A elegibilidade da verificação expirou: o Amazon Inspector não está monitorando essa função porque já passaram 90 dias ou mais desde a última vez que ela foi invocada ou atualizada.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a função. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Verificação inicial pendente: o Amazon Inspector colocou a função em fila para um verificação inicial.

  • Sem suporte: a função do Lambda tem um runtime incompatível.