Erste Schritte mit Amazon Inspector - Amazon Inspector
Bevor Sie beginnenSchritt 1: Amazon Inspector aktivieren Schritt 2: Ergebnisse von Amazon Inspector anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon Inspector

Dieses Tutorial bietet eine praktische Einführung in Amazon Inspector.

Schritt 1 umfasst die Aktivierung von Amazon Inspector-Scans für ein eigenständiges Konto oder als delegierter Amazon Inspector-Administrator AWS Organizations in einer Umgebung mit mehreren Konten.

Schritt 2 behandelt das Verständnis der Ergebnisse von Amazon Inspector in der Konsole.

Anmerkung

In diesem Tutorial erledigen Sie Aufgaben in Ihrer aktuellen Version AWS-Region. Um Amazon Inspector in anderen Regionen einzurichten, müssen Sie diese Schritte in jeder dieser Regionen ausführen.

Bevor Sie beginnen

Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre Amazon EC2 EC2-Instances, Amazon ECR-Container-Images und AWS Lambda Funktionen kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung überprüft.

Beachten Sie Folgendes, bevor Sie Amazon Inspector aktivieren:

  • Amazon Inspector ist ein regionaler Service, und Daten werden dort gespeichert AWS-Region , wo Sie den Service nutzen. Alle Konfigurationsverfahren, die Sie in diesem Tutorial durchführen, müssen für jedes Verfahren wiederholt werden AWS-Region , das Sie mit Amazon Inspector überwachen möchten.

  • Amazon Inspector bietet Ihnen die Flexibilität, Amazon EC2 EC2-Instance, Amazon ECR-Container-Image und AWS Lambda Funktionsscanning zu aktivieren. Sie können die Scanarten auf der Kontoverwaltungsseite in der Amazon Inspector Inspector-Konsole oder mithilfe der Amazon Inspector Inspector-APIs verwalten.

  • Amazon Inspector kann Common Vulnerabilities and Exposures (CVE) -Daten (Common Vulnerabilities and Exposures) für Ihre EC2-Instances nur bereitstellen, wenn der Amazon EC2 Systems Manager (SSM) -Agent installiert und aktiviert ist. Dieser Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unterAmazon EC2 EC2-Instances scannen. Amazon ECR und AWS Lambda Funktionsscanning erfordern keinen Agenten.

  • Eine IAM-Benutzeridentität mit Administratorrechten AWS-Konto kann Amazon Inspector aktivieren. Aus Datenschutzgründen empfehlen wir Ihnen, Ihre Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. Auf diese Weise erhält jeder Benutzer nur die Berechtigungen, die für die Verwaltung von Amazon Inspector erforderlich sind. Informationen zu den für die Aktivierung von Amazon Inspector erforderlichen Berechtigungen finden Sie unterAWS verwaltete Richtlinie: AmazonInspector2FullAccess.

  • Wenn Sie Amazon Inspector zum ersten Mal in einer beliebigen Region aktivieren, wird für Ihr Konto weltweit eine dienstbezogene Rolle mit dem Namen AWSServiceRoleForAmazonInspector2 erstellt. Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Amazon Inspector ermöglichen, Softwarepaketdetails zu sammeln und Amazon VPC-Konfigurationen zu analysieren, um Sicherheitslücken zu ermitteln. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Inspector. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen.

Schritt 1: Amazon Inspector aktivieren

Der erste Schritt zur Verwendung von Amazon Inspector besteht darin, ihn für Sie zu aktivieren AWS-Konto. Nachdem Sie einen beliebigen Amazon Inspector-Scantyp aktiviert haben, beginnt Amazon Inspector sofort mit der Erkennung und dem Scannen aller infrage kommenden Ressourcen.

Wenn Sie Amazon Inspector für mehrere Konten innerhalb Ihrer Organisation über ein zentrales Administratorkonto verwalten möchten, müssen Sie einen delegierten Administrator für Amazon Inspector zuweisen. Wählen Sie eine der folgenden Optionen, um zu erfahren, wie Sie Amazon Inspector für Ihre Umgebung aktivieren.

Standalone account environment

  1. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Get Started.

  3. Wählen Sie Amazon Inspector aktivieren.

Wenn Sie Amazon Inspector in einem eigenständigen Konto aktivieren, sind alle Scantypen standardmäßig aktiviert. Sie können aktivierte Scantypen über die Kontoverwaltungsseite in der Amazon Inspector Inspector-Konsole oder mithilfe der Amazon Inspector Inspector-APIs verwalten. Nach der Aktivierung erkennt Amazon Inspector automatisch alle geeigneten Ressourcen und beginnt mit dem Scannen. Überprüfen Sie die folgenden Informationen zum Scantyp, um zu erfahren, welche Ressourcen standardmäßig in Frage kommen:

Amazon EC2-Scannen

Um Common Vulnerabilities and Exposures (CVE) -Daten für Ihre EC2-Instance bereitzustellen, benötigt Amazon Inspector, dass der AWS Systems Manager (SSM) -Agent installiert und aktiviert ist. Dieser Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unterScannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

Amazon ECR-Scannen

Wenn Sie das Amazon ECR-Scannen aktivieren, konvertiert Amazon Inspector alle Container-Repositorys in Ihrer privaten Registrierung, die für das standardmäßige Standard-Scannen von Amazon ECR konfiguriert sind, in das erweiterte Scannen mit kontinuierlichem Scannen. Sie können diese Einstellung auch optional so konfigurieren, dass nur bei Push gescannt wird oder dass ausgewählte Repositorys anhand von Einschlussregeln gescannt werden. Alle Bilder, die innerhalb der letzten 30 Tage übertragen wurden, sind für das Scannen auf Lebenszeit geplant. Diese Amazon ECR-Scaneinstellung kann jederzeit geändert werden. Weitere Informationen zur Konfiguration von Scans für Amazon ECR finden Sie unterScannen von Amazon ECR-Container-Bildern mit Amazon Inspector.

AWS Lambda Funktion Scannen

Wenn Sie den AWS Lambda Funktionsscan aktivieren, erkennt Amazon Inspector die Lambda-Funktionen in Ihrem Konto und beginnt sofort damit, sie auf Sicherheitslücken zu scannen. Amazon Inspector scannt neue Lambda-Funktionen und -Layer, wenn sie bereitgestellt werden, und scannt sie erneut, wenn sie aktualisiert werden oder wenn neue Common Vulnerabilities and Exposures (CVEs) veröffentlicht werden. Amazon Inspector bietet zwei verschiedene Stufen des Lambda-Funktionsscannens. Wenn Sie Amazon Inspector zum ersten Mal aktivieren, ist standardmäßig der Lambda-Standardscan aktiviert, der Paketabhängigkeiten in Ihren Funktionen scannt. Sie können zusätzlich das Lambda-Code-Scanning aktivieren, um den Entwicklercode in Ihren Funktionen auf Code-Schwachstellen zu scannen. Weitere Hinweise zur Konfiguration des Lambda-Funktionsscannens finden Sie unterAWS Lambda Scanfunktionen mit Amazon Inspector.

Multi-account environment
Wichtig

Um diese Schritte ausführen zu können, müssen Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben, um innerhalb Ihrer Organisation einen Administrator für Amazon Inspector zu delegieren. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Erforderliche Berechtigungen zum designieren eines delegierten Administrators.

Anmerkung

Um Amazon Inspector programmatisch für mehrere Konten in mehreren Regionen zu aktivieren, können Sie ein von Amazon Inspector entwickeltes Shell-Skript verwenden. Weitere Informationen zur Verwendung dieses Skripts finden Sie unter inspector2 - on. enablement-with-cli GitHub

Delegieren eines Administrators für Amazon Inspector

  1. Melden Sie sich beim AWS Organizations Verwaltungskonto an.

  2. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  3. Geben Sie im Bereich Delegierter Administrator die zwölfstellige ID desjenigen ein AWS-Konto , den Sie als delegierten Amazon Inspector-Administrator für die Organisation festlegen möchten. Wählen Sie dann Delegieren. Wählen Sie dann im Bestätigungsfenster erneut Delegieren aus.

    Anmerkung

    Amazon Inspector wird für Ihr Konto aktiviert, wenn Sie einen Administrator delegieren.

Mitgliedskonten hinzufügen

Als delegierter Administrator können Sie das Scannen für jedes Mitglied aktivieren, das dem Verwaltungskonto der Organizations zugeordnet ist. Dieser Workflow aktiviert alle Scanarten für alle Mitgliedskonten. Mitglieder können Amazon Inspector jedoch auch für ihre eigenen Konten aktivieren, oder Scans für einen Service können vom delegierten Administrator selektiv aktiviert werden. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

  1. Melden Sie sich beim delegierten Administratorkonto an.

  2. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  3. Wählen Sie im Navigationsbereich Account Management aus. In der Tabelle Konten werden alle Mitgliedskonten angezeigt, die dem Verwaltungskonto der Organizations zugeordnet sind.

  4. Auf der Seite Kontoverwaltung können Sie im oberen Banner die Option Scannen für alle Konten aktivieren auswählen, um EC2-Instances, ECR-Container-Images und die AWS Lambda Funktion Scannen für alle Konten in Ihrer Organisation zu aktivieren. Alternativ können Sie die Konten, die Sie als Mitglieder hinzufügen möchten, auswählen, indem Sie sie in der Tabelle Konten auswählen. Wählen Sie dann im Menü Aktivieren die Option Alle Scans aus.

  5. (Optional) Aktivieren Sie die Funktion Inspector automatisch für neue Mitgliedskonten aktivieren und wählen Sie die zu berücksichtigenden Scantypen aus, um diese Scans für alle neuen Mitgliedskonten zu aktivieren, die Ihrer Organisation hinzugefügt werden.

Amazon Inspector bietet derzeit Scans für EC2-Instances, ECR-Container-Images und AWS Lambda Funktionen. Nachdem Sie Amazon Inspector aktiviert haben, werden automatisch alle infrage kommenden Ressourcen erkannt und gescannt. Überprüfen Sie die folgenden Informationen zum Scantyp, um zu erfahren, welche Ressourcen standardmäßig in Frage kommen:

Amazon EC2-Scannen

Um CVE-Schwachstellendaten für Ihre EC2-Instances bereitzustellen, benötigt Amazon Inspector, dass der AWS Systems Manager (SSM) -Agent installiert und aktiviert ist. Dieser Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unterScannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

Amazon ECR-Scannen

Wenn Sie das Amazon ECR-Scannen aktivieren, konvertiert Amazon Inspector alle Container-Repositorys in Ihrer privaten Registrierung, die für das standardmäßige Standard-Scannen von Amazon ECR konfiguriert sind, in das erweiterte Scannen mit kontinuierlichem Scannen. Sie können diese Einstellung auch optional so konfigurieren, dass nur bei Push gescannt wird oder dass ausgewählte Repositorys anhand von Einschlussregeln gescannt werden. Für alle Bilder, die innerhalb der letzten 30 Tage übertragen wurden, ist das Scannen auf Lebenszeit geplant. Diese Amazon ECR-Scaneinstellung kann vom delegierten Administrator jederzeit geändert werden. Weitere Informationen zur Konfiguration von Scans für Amazon ECR finden Sie unterScannen von Amazon ECR-Container-Bildern mit Amazon Inspector.

AWS Lambda Funktion Scannen

Wenn Sie den AWS Lambda Funktionsscan aktivieren, erkennt Amazon Inspector die Lambda-Funktionen in Ihrem Konto und beginnt sofort damit, sie auf Sicherheitslücken zu scannen. Amazon Inspector scannt neue Lambda-Funktionen und -Layer, wenn sie bereitgestellt werden, und scannt sie erneut, wenn sie aktualisiert werden oder wenn neue Common Vulnerabilities and Exposures (CVEs) veröffentlicht werden. Weitere Hinweise zur Konfiguration des Lambda-Funktionsscannens finden Sie unterAWS Lambda Scanfunktionen mit Amazon Inspector.

Schritt 2: Ergebnisse von Amazon Inspector anzeigen

Sie können die Ergebnisse für Ihre Umgebung in der Amazon Inspector Inspector-Konsole oder über die API anzeigen. Alle Ergebnisse werden auch an Amazon weitergeleitet EventBridge und AWS Security Hub (falls aktiviert). Darüber hinaus werden die Ergebnisse von Container-Images an Amazon ECR übertragen.

Die Amazon Inspector Inspector-Konsole bietet verschiedene Anzeigeformate für Ihre Ergebnisse. Das Amazon Inspector-Dashboard bietet Ihnen einen allgemeinen Überblick über die Risiken für Ihre Umgebung, während Sie in der Tabelle Ergebnisse die Details eines bestimmten Ergebnisses einsehen können.

In diesem Schritt untersuchen Sie anhand der Tabelle Ergebnisse und des Dashboards Ergebnisse die Details eines Ergebnisses. Informationen zum Amazon Inspector-Dashboard finden Sie unterDas Dashboard verstehen.

So zeigen Sie Details zu den Ergebnissen für Ihre Umgebung in der Amazon Inspector Inspector-Konsole an:

  1. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie im Navigationsbereich Dashboard aus. Sie können einen der Links im Dashboard auswählen, um zu einer Seite in der Amazon Inspector Inspector-Konsole mit weiteren Details zu diesem Artikel zu gelangen.

  3. Wählen Sie im Navigationsbereich Findings aus.

  4. Standardmäßig wird die Registerkarte Alle Ergebnisse angezeigt, auf der alle Ergebnisse der EC2-Instance, des ECR-Container-Images und der AWS Lambda Funktionen für Ihre Umgebung angezeigt werden.

  5. Wählen Sie in der Ergebnisliste in der Titelspalte einen Namen für das Ergebnis aus, um den Detailbereich für dieses Ergebnis zu öffnen. Alle Ergebnisse verfügen über eine Registerkarte mit den Ergebnisdetails. Sie können auf folgende Weise mit der Registerkarte „Details zum Befund“ interagieren:

    • Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie unter dem Link im Abschnitt Details zur Sicherheitsanfälligkeit, um die Dokumentation zu dieser Sicherheitsanfälligkeit zu öffnen.

    • Um Ihre Ressource genauer zu untersuchen, folgen Sie dem Link Ressourcen-ID im Abschnitt Betroffene Ressource, um die Servicekonsole für die betroffene Ressource zu öffnen.

    Zu den Ergebnissen von Paketen mit Sicherheitslücken gibt es auch eine Registerkarte „Inspector Score“ und „Vulnerability Intelligence“, in der erklärt wird, wie der Amazon Inspector-Score für diese Entdeckung berechnet wurde, und es werden Informationen zu den allgemeinen Sicherheitslücken und Exploits (CVE) bereitgestellt, die mit dem Befund verknüpft sind. Weitere Informationen zu den Suchtypen finden Sie unter. Typen in Amazon Inspector finden