As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Entender as descobertas do Amazon Inspector
O Amazon Inspector gera uma descoberta quando detecta uma vulnerabilidade com uma correção ou uma correção pendente em instâncias do Amazon EC2, imagens de contêiner do Amazon ECR e funções do Lambda. Isso também gera descobertas de vulnerabilidades de código detectadas no código fonte da aplicação própria, nas dependências da aplicação de terceiros e na infraestrutura como código. Uma descoberta é um relatório detalhado sobre uma vulnerabilidade que afeta um de seus AWS recursos.
As descobertas têm nomes de vulnerabilidades e fornecem classificações de gravidade, informações sobre AWS recursos e não AWS recursos afetados e detalhes que descrevem como corrigir as vulnerabilidades detectadas. O Amazon Inspector armazena todas as suas descobertas ativas até que você as corrija.
Quando um recurso é excluído, encerrado ou não é mais elegível para verificação, o Amazon Inspector fecha automaticamente as descobertas associadas ao recurso e, depois, as exclui após três dias. Se as descobertas forem encerradas por qualquer outro motivo, elas serão excluídas após 30 dias.
**nota**
O Amazon Inspector reabrirá uma descoberta corrigida dentro de sete dias após o encerramento da descoberta se o problema que causou a vulnerabilidade ocorrer novamente.
Se você desabilitar o Amazon Inspector, as descobertas serão removidas após 24 horas. Se um recurso for encerrado, qualquer descoberta relacionada ao recurso será removida após três dias. O mesmo ocorre com qualquer descoberta anexada a um recurso em que a verificação não seja mais elegível. Se AWS suspender sua conta, as descobertas serão removidas após 90 dias. As descobertas de instâncias interrompidas permanecem ativas. Estados das descobertas
O Amazon Inspector categoriza as descobertas nos seguintes estados.
**Ativo**
O Amazon Inspector classifica uma descoberta que não foi corrigida como **Ativa.**
**Suprimido**
O Amazon Inspector classifica uma descoberta sujeita a uma ou mais [regras de supressão](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html) como **Suprimida**.
**Fechado**
Quando uma descoberta é corrigida, o Amazon Inspector a categoriza como **Encerrada**.
**Topics**
+ [Tipos de descoberta do Amazon Inspector](findings-types.md)
+ [Visualizar as descobertas do Amazon Inspector](findings-understanding-locating-analyzing.md)
+ [Visualizar detalhes das descobertas do Amazon Inspector](findings-understanding-details.md)
+ [Visualizar a pontuação do Amazon Inspector e entender os detalhes da inteligência de vulnerabilidade](findings-understanding-score.md)
+ [Entender os níveis de severidade das descobertas do Amazon Inspector](findings-understanding-severity.md)
# Tipos de descoberta do Amazon Inspector
Esta seção descreve os diferentes tipos de descoberta no Amazon Inspector.
**Topics**
+ [Vulnerabilidade do pacote](#findings-types-package)
+ [Vulnerabilidade de código](#findings-types-code)
+ [Acessibilidade de rede](#findings-types-network)
## Vulnerabilidade do pacote
As descobertas de vulnerabilidade de pacotes identificam pacotes de software em seu AWS ambiente que estão expostos a vulnerabilidades e exposições comuns (). CVEs Os invasores podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. O sistema de CVE é um método de referência a informações conhecidas publicamente sobre vulnerabilidades e exposições de segurança. Para obter mais informações, consulte [https://www.cve.org/](https://www.cve.org/).
O Amazon Inspector pode gerar descobertas de vulnerabilidade de pacotes para instâncias EC2, imagens de contêineres ECR e funções do Lambda. As descobertas de vulnerabilidade do Package incluem detalhes exclusivos desse tipo de descoberta. Esses detalhes são a [pontuação do Inspector e a inteligência de vulnerabilidade](findings-understanding-score.md).
Para instâncias do Windows EC2, as descobertas de vulnerabilidade de pacotes podem ser identificadas pela Base de Conhecimento da Microsoft (KB) IDs em vez de individualmente CVEs. Se uma atualização de KB abordar um ou mais CVEs, o Amazon Inspector relata uma única descoberta de KB, por exemplo`KB5023697`, em vez de uma descoberta separada para cada CVE. Uma descoberta de KB especifica a maior pontuação de CVSS, pontuação EPSS e disponibilidade de exploração em todos os constituintes. CVEs
## Vulnerabilidade de código
As descobertas da vulnerabilidade do código ajudam a identificar linhas de código que podem ser exploradas. As vulnerabilidades do código incluem criptografia ausente, vazamentos de dados, falhas de injeção e criptografia fraca. O Amazon Inspector gera descobertas de vulnerabilidade de código por meio da [verificação da função do Lambda](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html) e seu recurso de [Segurança de Código](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html).
O Amazon Inspector avalia o código da aplicação de função do Lambda usando raciocínio automatizado e machine learning a fim de verificar a conformidade geral de segurança. Ele identifica violações de políticas e vulnerabilidades com base em detectores internos desenvolvidos em colaboração com o Amazon Q. Para ver uma lista de detecções possíveis, consulte a [Biblioteca de Detectores do Amazon Q](https://docs.aws.amazon.com/amazonq/detector-library/).
A verificação de código captura trechos de código para destacar as vulnerabilidades detectadas. Por exemplo, um trecho de código pode mostrar credenciais com codificação rígida ou outros materiais sensíveis em texto simples. O Amazon Q armazena trechos de código associados a vulnerabilidades de código. Por padrão, seu código é criptografado com uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). No entanto, é possível criar uma chave gerenciada pelo cliente para criptografar o código caso queira ter mais controle sobre essas informações. Para obter mais informações, consulte [Criptografia em repouso para código em suas descobertas](encryption-rest.md#encryption-code-snippets).
**nota**
O administrador delegado de uma organização não pode visualizar trechos de código pertencentes a contas de membros.
## Acessibilidade de rede
As descobertas de acessibilidade da rede indicam que há caminhos de rede abertos para instâncias do Amazon EC2 em seu ambiente. Essas descobertas aparecem quando as portas TCP e UDP são acessíveis a partir das bordas da VPC, como um gateway de internet (inclusive instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento da VPC ou uma VPN por meio de um gateway virtual. Essas descobertas destacam configurações de rede que podem ser excessivamente permissivas, como grupos de segurança mal gerenciados, listas de controle de acesso ou gateways de internet, ou que podem permitir acesso potencialmente mal intencionados.
O Amazon Inspector gera somente descobertas de acessibilidade de rede para instâncias do Amazon EC2. O Amazon Inspector realiza varreduras em busca de resultados de acessibilidade da rede a cada 12 horas, uma vez que o Amazon Inspector é ativado.
O Amazon Inspector avalia as seguintes configurações ao verificar caminhos de rede:
+ [Instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Conexão direta](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [Interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [Gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [Listas de controle de acesso à rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [Grupos de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [Sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [Nuvens privadas virtuais](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
+ [Gateways privados virtuais](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [Endpoints da VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [Endpoints de gateway da VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [Conexões de emparelhamento da VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Conexões da VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
# Visualizar as descobertas do Amazon Inspector
Visualize descobertas no console do Amazon Inspector e com a API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) do Amazon Inspector. No console do Amazon Inspector, visualize todas as suas descobertas nas telas **Painel** e **Descobertas**. Por padrão, essas telas mostram apenas suas descobertas ativas e críticas. No entanto, você pode filtrar as descobertas ou optar por visualizá-las por categoria. Você também pode ver algumas descobertas no [Security Hub CSPM e no Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/integrations.html) se ativar essas integrações. Os procedimentos nesta seção descrevem como visualizar descobertas no console do Amazon Inspector e com a API `ListFindings` do Amazon Inspector.
------
#### [ Console ]
**Como visualizar as descobertas do Amazon Inspector**
1. Faça login usando suas credenciais. [Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.](https://console.aws.amazon.com/inspector/v2/home)
1. (Opcional) Escolha **Painel** no painel de navegação. O painel mostra uma visão geral da cobertura do ambiente e somente suas descobertas ativas e críticas.
1. (Opcional) No painel de navegação, selecione **Descobertas**. Essa tela lista todas as descobertas ativas. É possível usar critérios de filtro [para visualizar descobertas específicas](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html). Para excluir descobertas da lista, [crie uma regra de supressão](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html). Para visualizar detalhes de uma descoberta, escolha o nome da descoberta.
1. (Opcional) No painel de navegação, escolha uma das seguintes opções para visualizar suas descobertas por categoria:
+ Por vulnerabilidade: mostra as vulnerabilidades com as descobertas mais críticas.
+ Por conta: mostra contas com as descobertas mais críticas. Essa categoria está disponível somente para administradores delegados.
+ Por instância: mostra as instâncias do Amazon EC2 com as descobertas mais críticas. Essa categoria não inclui informações sobre a disponibilidade da rede.
+ Por imagem de contêiner: mostra imagens de contêiner do Amazon ECR com as descobertas mais críticas. Essa categoria também fornece informações básicas sobre as imagens de contêiner. Ela inclui até mesmo detalhes, como quantas tarefas do Amazon ECS e pods do Amazon EKS são implantados. Nessa tela, você pode descobrir quantos tasks/pods estavam funcionando nas últimas 24 horas e pararam.
+ Por repositório de contêiner: mostra os repositórios de contêiner com as descobertas mais críticas.
+ Por função do Lambda: mostra as funções do Lambda com as descobertas mais críticas.
------
#### [ API ]
**Como visualizar as descobertas do Amazon Inspector**
+ Execute a operação [ListFindings](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) da API. Na solicitação, especifique [filterCriteria](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) para retornar descobertas específicas.
------
# Visualizar detalhes das descobertas do Amazon Inspector
O procedimento contido nesta seção descreve como visualizar os detalhes das descobertas do Amazon Inspector.
**Como exibir os detalhes de uma descoberta**
1. [Faça login usando suas credenciais e, em seguida, abra o console do Amazon Inspector em v2/home https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Selecione a Região para visualizar as descobertas.
1. No painel de navegação, escolha **Descobertas** para exibir a lista de descobertas
1. (Opcional) Use a barra de filtro para selecionar uma descoberta específica. Para obter mais informações, consulte [Filtrar as descobertas do Amazon Inspector](findings-managing-filtering.md).
1. Selecione uma descoberta para visualizar o painel de detalhes.
O painel **Detalhes da descoberta** contém os recursos básicos de identificação da descoberta. Isso inclui o título da descoberta, bem como uma descrição básica da vulnerabilidade identificada, sugestões de correção e uma pontuação de gravidade. Para informações sobre a pontuação, consulte [Entender os níveis de severidade das descobertas do Amazon Inspector](findings-understanding-severity.md).
Os detalhes disponíveis para uma descoberta variam de acordo com o tipo de descoberta e o **Recurso afetado**.
Todas as descobertas contêm o número de Conta da AWS identificação pelo qual a descoberta foi identificada, uma gravidade, um **tipo** de descoberta, a data em que a descoberta foi criada e uma seção de **recursos afetados** com detalhes sobre esse recurso.
O **Tipo** de descoberta determina as informações de inteligência de remediação e vulnerabilidade disponíveis para a descoberta. Dependendo do tipo de descoberta, diferentes detalhes da descoberta estarão disponíveis.
**Vulnerabilidade do pacote**
As descobertas de vulnerabilidade do pacote estão disponíveis para instâncias EC2, imagens de contêiner ECR e funções do Lambda. Consulte [Vulnerabilidade do pacote](findings-types.md#findings-types-package) para obter mais informações.
As descobertas de vulnerabilidade do pacote também incluem [Visualizar a pontuação do Amazon Inspector e entender os detalhes da inteligência de vulnerabilidade](findings-understanding-score.md).
Esse tipo de descoberta tem os seguintes detalhes:
+ **Correção disponível**: indica se a vulnerabilidade foi corrigida em uma versão mais recente dos pacotes afetados. Tem um dos seguintes valores:
+ `YES`, o que significa que todos os pacotes afetados têm uma versão fixa.
+ `NO`, o que significa que nenhum pacote afetado tem uma versão fixa.
+ `PARTIAL`, o que significa que um ou mais (mas não todos) dos pacotes afetados têm uma versão fixa.
+ **Exploração disponível**: indica que a vulnerabilidade tem uma exploração conhecida.
+ `YES`, o que significa que a vulnerabilidade descoberta em seu ambiente tem uma exploração conhecida. O Amazon Inspector não tem visibilidade sobre o uso de explorações em um ambiente.
+ `NO`, o que significa que essa vulnerabilidade não tem uma exploração conhecida.
+ **Pacotes afetados**: lista cada pacote identificado como vulnerável na descoberta e os detalhes de cada pacote:
+ **Filepath** — O ID do volume do EBS e o número da partição associados a uma descoberta. Este campo está presente nas descobertas de instâncias do EC2 verificadas usando [Verificação sem agente](scanning-ec2.md#agentless).
+ **Versão instalada/Versão fixa**: o número da versão do pacote atualmente instalado para o qual uma vulnerabilidade foi detectada. Compare o número da versão instalada com o valor após a barra (**/**). O segundo valor é o número da versão do pacote que corrige a vulnerabilidade detectada, conforme fornecido pelo Common Vulnerabilities and Exposures (CVEs) ou pelo aviso associado à descoberta. Se a vulnerabilidade tiver sido corrigida em várias versões, esse campo listará a versão mais recente que inclui a correção. Se uma correção não estiver disponível, esse valor será `None available`.
**nota**
Se uma descoberta foi detectada antes que o Amazon Inspector começasse a incluir esse campo nas descobertas, o valor desse campo estará vazio. No entanto, uma correção pode estar disponível.
+ **Gerenciador de pacotes**: o gerenciador de pacotes usado para configurar esse pacote.
+ **Correção**: se uma correção estiver disponível por meio de um pacote atualizado ou biblioteca de programação, esta seção incluirá os comandos que você poderá executar para fazer a atualização. Copie o comando fornecido e execute-o em seu ambiente.
**nota**
Os comandos de correção são fornecidos pelos feeds de dados do fornecedor e podem variar dependendo da configuração do sistema. Consulte as referências de descoberta ou a documentação do sistema operacional para obter orientações mais específicas.
+ **Detalhes da vulnerabilidade**: fornece um link para a fonte preferencial do Amazon Inspector para a CVE identificada na descoberta, como o NVD (Banco de dados nacional de vulnerabilidades), REDHAT ou outro fornecedor de sistema operacional. Além disso, você encontrará as pontuações de gravidade da descoberta. Para obter mais informações sobre a pontuação de gravidade, como, consulte [Entender os níveis de severidade das descobertas do Amazon Inspector](findings-understanding-severity.md). As seguintes pontuações estão incluídas, inclusive os vetores de pontuação de cada uma:
+ [Pontuação do Exploit Prediction Scoring System (EPSS)](https://www.first.org/epss/)
+ Pontuação do Inspector
+ CVSS 3.1 da CVE do Amazon
+ CVSS 3.1 de NVD
+ CVSS 2.0 do NVD (quando aplicável, para mais antigos) CVEs
+ **Vulnerabilidades relacionadas**: especifica outras vulnerabilidades relacionadas à descoberta. Normalmente, são outras CVEs que afetam a mesma versão do pacote ou outras CVEs dentro do mesmo grupo da descoberta do CVE, conforme determinado pelo fornecedor.
+ **Recursos afetados**: inclui informações sobre registro, repositório, tipo de recurso, ID da imagem e sistema operacional da imagem. Também inclui informações, como quando uma imagem foi enviada pela última vez, quantas tarefas do Amazon ECS e pods do Amazon EKS foram implantados e quando a imagem foi usada pela última vez nas últimas 24 horas. Se você tiver alguma tarefa do Amazon ECS e pods do Amazon EKS implantados, poderá visualizar os detalhes escolhendo o valor do campo. Essa ação direcionará você para uma tela na qual é possível visualizar informações, como o ARN do cluster, quando o recurso foi usado pela última vez nas últimas 24 horas, a contagem de recursos em execução e interrompidos e o nome e o tipo da workload.
**Vulnerabilidade de código**
As descobertas de vulnerabilidade de código estão disponíveis somente para funções do Lambda. Consulte [Vulnerabilidade de código](findings-types.md#findings-types-code) para obter mais informações. Esse tipo de descoberta tem os seguintes detalhes:
+ **Correção disponível**: para vulnerabilidades de código, esse valor é sempre `YES`.
+ **Nome do detector**: o nome do detector do Amazon Q usado para detectar a vulnerabilidade do código. Consulte uma lista de detecções possíveis na [Biblioteca de Detectores do Q](https://docs.aws.amazon.com/amazonq/detector-library/).
+ **Tags do detector**: as tags do Amazon Q associadas ao detector, o Amazon Q usa tags para categorizar as detecções.
+ **CWE relevante** — IDs das Enumerações de Fraqueza Comuns (CWE) associadas à vulnerabilidade do código.
+ **Caminho do arquivo**: o local do arquivo da vulnerabilidade do código.
+ **Local da vulnerabilidade**: para vulnerabilidades de código de escaneamento de código do Lambda, esse campo mostra as linhas exatas de código em que o Amazon Inspector encontrou a vulnerabilidade.
+ **Correção sugerida**: isso sugere como o código pode ser editado para corrigir a descoberta.
**Acessibilidade de rede**
As descobertas de acessibilidade da rede estão disponíveis apenas para instâncias do EC2. Consulte [Acessibilidade de rede](findings-types.md#findings-types-network) para obter mais informações. Esse tipo de descoberta tem os seguintes detalhes:
+ **Intervalo de portas abertas**: o intervalo de portas por meio do qual a instância do EC2 pode ser acessada.
+ **Caminhos de rede abertos**: mostra o caminho de acesso aberto para a instância do EC2. Selecione um item no caminho para obter mais informações.
+ **Correção**: recomenda um método para fechar o caminho de rede aberto.
# Visualizar a pontuação do Amazon Inspector e entender os detalhes da inteligência de vulnerabilidade
O Amazon Inspector cria uma pontuação para descobertas da instância do Amazon Elastic Compute Cloud (Amazon EC2). Você pode visualizar a pontuação do Amazon Inspector e detalhes da inteligência de vulnerabilidade no console do Amazon Inspector. A pontuação do Amazon Inspector fornece detalhes que você pode comparar com as métricas do [Common Vulnerability Scoring System](https://www.first.org/cvss/v3.1/specification-document). Esses detalhes estão disponíveis apenas para descobertas de [vulnerabilidade de pacotes](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-package). Esta seção descreve como interpretar a pontuação do Amazon Inspector e entender os detalhes da inteligência de vulnerabilidade.
## Pontuação do Amazon Inspector
O Amazon Inspector cria uma pontuação para cada descoberta do Amazon EC2. O Amazon Inspector determina a pontuação pela correlação das informações de pontuação base do CVSS com as informações do ambiente de computação, como acessibilidade da rede e dados de explorabilidade. O Amazon Inspector é compatível com os fornecedores Amazon, Debian e RHEL. Cada fornecedor oferece uma pontuação base do CVSS v3.1. Para outros fornecedores, o Amazon Inspector usa uma pontuação base do CVSS fornecida pelo [National Vulnerability Database (NVD)](https://nvd.nist.gov/vuln).
Devido aos requisitos do FedRAMP, o Amazon Inspector usa a pontuação base do CVSS v3.1 como a pontuação padrão. No entanto, uma pontuação base do [CVSS 4.0](https://www.first.org/cvss/v4-0/specification-document) será incluída nos metadados de vulnerabilidade quando estiver disponível. A pontuação base do CVSS 4.0 fornece métricas adicionais para melhorar a avaliação da vulnerabilidade. Você pode consultar a origem e a versão de uma pontuação base do CVSS nos detalhes da vulnerabilidade de uma descoberta e nas descobertas exportadas.
**nota**
A pontuação do Amazon Inspector não está disponível para instâncias do Linux executando o Ubuntu. O Ubuntu usa um sistema de classificação de gravidade personalizado que difere das pontuações do CVSS.
### Detalhes de pontuação do Amazon Inspector
Ao abrir a página de detalhes de uma descoberta, você pode selecionar a guia **Pontuação do Inspector e a inteligência de vulnerabilidade**. Esse painel mostra a diferença entre a pontuação base e a **pontuação do Inspector**. Esta seção explica como o Amazon Inspector atribuiu a classificação de severidade com base em uma combinação da pontuação do Amazon Inspector e da pontuação do fornecedor para o pacote de software. Se as pontuações forem diferentes, este painel mostra uma explicação do porquê.
Na seção de **Métricas de pontuação CVSS**, você pode ver uma tabela com comparações entre as métricas de pontuação base do CVSS e a **pontuação do Inspector**. As métricas comparadas são as métricas básicas definidas no [documento de especificação do CVSS](https://www.first.org/cvss/specification-document) mantido pela first.org. A seguir é apresentado um resumo das métricas básicas:
**Vetor de ataque**
O contexto pelo qual uma vulnerabilidade pode ser explorada. No caso de descobertas do Amazon Inspector, isso pode ser Rede, **Rede** **Adjacente** ou **Local**.
**Complexidade do ataque**
Isso descreve o nível de dificuldade que um invasor enfrentará ao explorar a vulnerabilidade. Uma pontuação **Baixa** significa que o atacante precisará atender a pouca ou nenhuma condição adicional para explorar a vulnerabilidade. Uma pontuação **Alta** significa que um invasor precisará investir uma quantidade considerável de esforço para realizar um ataque bem-sucedido com essa vulnerabilidade.
**Privilégios Obrigatórios**
Isso descreve o nível de privilégio que um invasor precisará para explorar uma vulnerabilidade.
**Interação com o usuário**
Essa métrica indica se um ataque bem-sucedido usando essa vulnerabilidade requer um usuário humano, que não seja o atacante.
**Escopo**
Isso indica se uma vulnerabilidade em um componente vulnerável afeta os recursos em componentes além do escopo de segurança do componente vulnerável. Se esse valor for **Inalterado**, o recurso afetado e o recurso impactado serão iguais. Se esse valor for **Alterado**, o componente vulnerável poderá ser explorado para impactar os recursos gerenciados por diferentes autoridades de segurança.
**Confidencialidade**
Isso mede o nível de impacto na confidencialidade dos dados em um recurso quando a vulnerabilidade é explorada. Isso varia de **Nenhuma**, onde nenhuma confidencialidade é perdida, até **Alta**, onde todas as informações dentro de um recurso são divulgadas ou informações confidenciais, como senhas ou chaves de criptografia, podem ser divulgadas.
**Integridade**
Isso mede o nível de impacto na integridade dos dados dentro do recurso afetado se a vulnerabilidade for explorada. A integridade está em risco quando o invasor modifica arquivos dentro dos recursos afetados. A pontuação varia de **Nenhuma**, em que a exploração não permite que um invasor modifique nenhuma informação, até **Alta**, em que, se explorada, a vulnerabilidade permitiria que um invasor modificasse qualquer um ou todos os arquivos, ou os arquivos que poderiam ser modificados teriam consequências graves.
**Disponibilidade**
Isso mede o nível de impacto na disponibilidade do recurso afetado quando a vulnerabilidade é explorada. A pontuação varia de **Nenhuma**, quando a vulnerabilidade não afeta a disponibilidade, até **Alta**, em que, se explorada, o invasor pode negar completamente a disponibilidade do recurso ou fazer com que um serviço fique indisponível.
## Inteligência de vulnerabilidade
Esta seção resume a inteligência disponível sobre o CVE da Amazon, bem como as fontes de inteligência de segurança padrão do setor, como a Agência de Segurança Cibernética e de Infraestrutura (CISA).
**nota**
A Intel da CISA ou da Amazon não estará disponível para todos CVEs.
Você pode ver os detalhes da inteligência de vulnerabilidade no console ou usando a API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html). Os detalhes a seguir estão disponíveis no console:
**ATT&CK**
Esta seção mostra as táticas, técnicas e procedimentos do MITRE (TTPs) associados ao CVE. Os associados TTPs são mostrados. Se houver mais de dois aplicáveis, TTPs você poderá selecionar o link para ver uma lista completa. Selecionar uma tática ou técnica abre informações sobre ela no site do MITRE.
**CISA**
Esta seção aborda as datas relevantes associadas à vulnerabilidade. A data em que a CISA (Agência de Segurança Cibernética e de Infraestrutura) adicionou a vulnerabilidade ao Catálogo de Vulnerabilidades Exploradas Conhecidas, com base em evidências de exploração ativa, e a data de vencimento que a CISA espera que os sistemas sejam corrigidos. Essas informações são provenientes da CISA.
**Malware conhecido**
Esta seção mostra ferramentas e kits de exploração conhecidos que exploram essa vulnerabilidade.
**Hora do último relatório**
Esta seção mostra a data da última exploração pública conhecida dessa vulnerabilidade.
# Entender os níveis de severidade das descobertas do Amazon Inspector
Quando o Amazon Inspector gera uma descoberta, ele atribui uma classificação de severidade à descoberta. As classificações de severidade ajudam você a avaliar e priorizar suas descobertas. A classificação de severidade de uma descoberta corresponde a uma pontuação e nível numéricos: **informativa**, **baixa**, **média**, **alta** e **crítica**. O Amazon Inspector determina a classificação da severidade de uma descoberta com base no [tipo de descoberta](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html). Esta seção descreve como o Amazon Inspector determina uma classificação de severidade para cada tipo de descoberta.
## Gravidade da vulnerabilidade do pacote de software
O Amazon Inspector usa a NVD/CVSS pontuação como base da pontuação de severidade para vulnerabilidades de pacotes de software. A NVD/CVSS pontuação é a pontuação de gravidade da vulnerabilidade publicada pelo NVD e definida pelo CVSS. A NVD/CVSS pontuação é uma composição de métricas de segurança, como complexidade do ataque, maturidade do código de exploração e privilégios necessários. O Amazon Inspector produz uma pontuação numérica de 1 a 10 que reflete a gravidade da vulnerabilidade. O Amazon Inspector classifica isso como uma pontuação básica porque reflete a gravidade de uma vulnerabilidade de acordo com suas características intrínsecas, que são constantes ao longo do tempo. Essa pontuação também pressupõe o pior impacto razoável em diferentes ambientes implantados. [O padrão CVSS v3](https://www.first.org/cvss/specification-document) mapeia as pontuações do CVSS para as seguintes classificações de gravidade.
| | |
| --- |--- |
| **Pontuação** | **Classificação** |
| 0 | Informativo |
| 0,1—3,9 | Baixo |
| 4,0—6,9 | Médio |
| 7,0—8,9 | Alto |
| 9,0—10,0 | Crítico |
As descobertas de vulnerabilidade do pacote também podem ter uma severidade de **Não triado**. Isso significa que o fornecedor ainda não definiu uma pontuação de vulnerabilidade para a vulnerabilidade detectada. Nesse caso, recomendamos usar a referência da descoberta URLs para pesquisar essa vulnerabilidade e responder adequadamente.
As descobertas de vulnerabilidade do pacote incluem as seguintes pontuações e os vetores de pontuação associados como parte dos detalhes da descoberta:
+ Pontuação do EPSS
+ Pontuação do Inspector
+ CVSS 3.1 da CVE do Amazon
+ CVSS 3.1 de NVD
+ CVSS 2.0 do NVD (quando aplicável)
## Gravidade da vulnerabilidade do código
Para descobertas de vulnerabilidade de código, o Amazon Inspector usa os níveis de severidade definidos pelos detectores do Amazon Q que geraram a descoberta. Cada detector recebe uma severidade usando o sistema de pontuação do CVSS v3.
## Gravidade da acessibilidade da rede
O Amazon Inspector determina a gravidade de uma vulnerabilidade de acessibilidade da rede com base no serviço, nas portas e nos protocolos expostos e pelo tipo de caminho aberto. A tabela a seguir define essas classificações de severidade. O valor na coluna **Open Path Rating** representa caminhos abertos de gateways virtuais, peering e VPCs AWS Direct Connect redes. Todos os outros serviços, portas e protocolos expostos têm uma classificação de severidade informativa.
| | | | | |
| --- |--- |--- |--- |--- |
| **Serviço** | **Portas TCP** | **Portas UDP** | **Classificação do caminho da Internet** | **Classificação do caminho aberto** |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Médio | Informativo |
| Elasticsearch | 9300, 9200 | NA | Médio | Informativo |
| FTP | 21 | 21 | Alto | Médio |
| LDAP de catálogo global | 3268 | NA | Médio | Informativo |
| LDAP de catálogo global sobre TLS | 3269 | NA | Médio | Informativo |
| HTTP | 80 | 80 | Baixo | Informativo |
| HTTPS | 443 | 443 | Baixo | Informativo |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Médio | Informativo |
| LDAP | 389 | 389 | Médio | Informativo |
| LDAP por TLS | 636 | NA | Médio | Informativo |
| MongoDB | 27017, 27018, 27019, 28017 | NA | Médio | Informativo |
| MySQL | 3306 | NA | Médio | Informativo |
| NetBIOS | 137, 139 | 137, 138 | Médio | Informativo |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Médio | Informativo |
| Oracle | 1521, 1630 | NA | Médio | Informativo |
| PostgreSQL | 5432 | NA | Médio | Informativo |
| Serviços de impressão | 515 | NA | Alto | Médio |
| RDP | 3389 | 3389 | Médio | Baixo |
| RPC | 111, 135, 530 | 111, 135, 530 | Médio | Informativo |
| SMB | 445 | 445 | Médio | Informativo |
| SSH | 22 | 22 | Médio | Baixo |
| SQL Server | 1433 | 1434 | Médio | Informativo |
| Syslog | 601 | 514 | Médio | Informativo |
| Telnet | 23 | 23 | Alto | Médio |
| WINS | 1512, 42 | 1512, 42 | Médio | Informativo |