Amazon Inspector Classic Bewertungsvorlagen und Bewertungsläufe - Amazon Inspector Classic

Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/ und wählen Sie dann Amazon Inspector Classic im Navigationsbereich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Inspector Classic Bewertungsvorlagen und Bewertungsläufe

Wichtig

Inspector Classic wird am 18. Dezember 2024 in den Ruhestand versetzt. Informationen zum Löschen aller Sicherheitslücken und zur Erreichbarkeit von Netzwerken in Inspector Classic und anschließender Umstellung auf die neue Version von Inspector finden Sie unter. Umstellung auf den neuen Amazon Inspector Weitere Informationen zum neuen Amazon Inspector finden Sie unter Amazon Inspector.

Amazon Inspector Classic hilft Ihnen dabei, potenzielle Sicherheitsprobleme zu erkennen, indem es Sicherheitsregeln verwendet, um Ihre AWS Ressourcen zu analysieren. Amazon Inspector Classic überwacht und sammelt Verhaltensdaten (Telemetrie) über Ihre Ressourcen. Die Daten umfassen Informationen über die Verwendung sicherer Kanäle, den Netzwerkverkehr zwischen laufenden Prozessen und Details zur Kommunikation mit AWS Diensten. Als Nächstes analysiert Amazon Inspector Classic die Daten und vergleicht sie mit einer Reihe von Sicherheitsregelpaketen. Schließlich erstellt Amazon Inspector Classic eine Liste mit Ergebnissen, die potenzielle Sicherheitsprobleme mit unterschiedlichem Schweregrad identifizieren.

Zu Beginn erstellen Sie ein Bewertungsziel (eine Sammlung der AWS Ressourcen, die Amazon Inspector Classic analysieren soll). Als Nächstes erstellen Sie eine Bewertungsvorlage (eine Blaupause für das Konfigurieren von Bewertungen). Sie verwenden die Vorlage zum Starten eines Bewertungslaufs, des Überwachungs- und Analyseprozesses, der in einem Satz Ergebnisse resultiert.

Amazon Inspector Classic-Bewertungsvorlagen

Mit einer Bewertungsvorlage können Sie eine Konfiguration für Ihre Bewertungsläufe angeben, einschließlich:

  • Regelpakete, die Amazon Inspector Classic zur Bewertung Ihres Bewertungsziels verwendet

  • Dauer des Bewertungslaufs — Sie können die Dauer eines Bewertungslaufs zwischen 3 Minuten und 24 Stunden festlegen. Wir empfehlen, die Dauer der Bewertungsläufe auf 1 Stunde festzulegen.

  • Amazon SNS SNS-Themen, an die Amazon Inspector Classic Benachrichtigungen über den Status und die Ergebnisse Ihres Bewertungslaufs sendet

  • Amazon Inspector Classic-Attribute (Schlüssel-Wert-Paare), die Sie Ergebnissen zuweisen können, die durch den Bewertungslauf generiert wurden, der diese Bewertungsvorlage verwendet

Nachdem Amazon Inspector Classic die Bewertungsvorlage erstellt hat, können Sie sie wie jede andere AWS Ressource taggen. Weitere Informationen hierzu finden Sie unter Tag-Editor. Durch das Markieren von Bewertungsvorlagen können Sie sie organisieren und erhalten einen besseren Überblick über Ihre Sicherheitsstrategie. Amazon Inspector Classic bietet beispielsweise eine Vielzahl von Regeln, anhand derer Sie Ihre Bewertungsziele bewerten können. Evtl. möchten Sie jedoch verschiedene Subsets der verfügbaren Regeln in Ihre Bewertungsvorlagen einschließen, um auf spezielle Problembereiche abzuzielen oder spezielle Sicherheitsprobleme aufzudecken. Durch das Markieren von Bewertungsvorlagen können Sie sie jederzeit schnell gemäß Ihrer Sicherheitsstrategie und Ihren Sicherheitszielen lokalisieren und ausführen.

Wichtig

Nach der Erstellung einer Bewertungsvorlage können Sie sie nicht ändern.

Beschränkungen für Amazon Inspector Classic-Bewertungsvorlagen

Sie können bis zu 500 Bewertungsvorlagen für jedes AWS Konto erstellen.

Weitere Informationen finden Sie unter Amazon Inspector Classic Service-Limits.

Erstellen einer Bewertungsvorlage

So erstellen Sie eine Bewertungsvorlage
  1. Melden Sie sich bei der Amazon Inspector Classic-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/inspector/.

  2. Wählen Sie im Navigationsbereich die Option Assessment Templates (Bewertungsvorlagen) und danach Create (Erstellen).

  3. Geben Sie unter Name den Namen für Ihre Bewertungsvorlage ein.

  4. Wählen Sie für Target name ein Bewertungsziel zum Analysieren aus.

    Anmerkung

    Wenn Sie eine Bewertungsvorlage erstellen, können Sie auf der Seite mit den Bewertungsvorlagen die Schaltfläche „Zielvorschau“ verwenden, um alle EC2-Instances zu überprüfen, die im Bewertungsziel enthalten sind. Für jede EC2-Instance können Sie den Hostnamen, die Instance-ID, die IP-Adresse und, falls zutreffend, den Status des Agenten überprüfen. Der Agentenstatus kann die folgenden Werte haben: HEALTHY, UNHEALTHY und UNKNOWN. Amazon Inspector Classic zeigt den Status UNBEKANNT an, wenn nicht festgestellt werden kann, ob auf der EC2-Instance ein Agent läuft.

    Sie können auch mit der Schaltfläche Preview Target auf der Seite Assessment Templates die EC2-Instances ansehen, die Bewertungsziele bilden, die in Ihren zuvor erstellten Vorlagen enthalten waren.

  5. Wählen Sie für Rules packages mindestens ein Regelpaket aus, das in die Bewertungsvorlage aufgenommen werden soll.

  6. Geben Sie unter Duration die Dauer für Ihre Bewertungsvorlage an.

  7. (Optional) Geben Sie für SNS-Themen ein SNS-Thema an, an das Amazon Inspector Classic Benachrichtigungen über Status und Ergebnisse des Bewertungslaufs senden soll. Amazon Inspector Classic kann SNS-Benachrichtigungen über die folgenden Ereignisse senden:

    • Bewertungslauf hat begonnen

    • Bewertungslauf wurde beendet

    • Zustand eines Bewertungslaufs hat sich geändert

    • Ergebnis wurde generiert

    Weitere Informationen zum Einrichten eines SNS-Themas finden Sie unter Einrichten eines SNS-Themas für Amazon Inspector Classic-Benachrichtigungen.

  8. (Optional) Geben Sie unter Tag Werte für Key (Schlüssel) und Value (Wert) ein. Sie können mehrere Tags zur Bewertungsvorlage hinzufügen.

  9. (Optional) Geben Sie für Attribute, die zu Ergebnissen hinzugefügt wurden, Werte für Schlüssel und Wert ein. Amazon Inspector Classic wendet die Attribute auf alle Ergebnisse an, die durch die Bewertungsvorlage generiert werden. Sie können mehrere Attribute zur Bewertungsvorlage hinzufügen. Weitere Informationen zu Ergebnissen und Markierungsergebnissen finden Sie unter Ergebnisse von Amazon Inspector Classic.

  10. (Optional) Um mithilfe dieser Vorlage einen Zeitplan für Ihre Bewertungsläufe aufzustellen, aktivieren Sie das Kontrollkästchen Set up recurring assessment runs once every <number_of_days>, starting now (Wiederkehrende Bewertungsläufe ab jetzt einmal alle <Anzahl_von_Tagen> einrichten) und geben Sie das Wiederholungsmuster (Anzahl von Tagen) mit den Pfeiltasten an.

    Anmerkung

    Wenn Sie dieses Kontrollkästchen verwenden, erstellt Amazon Inspector Classic automatisch eine Amazon CloudWatch Events-Regel für den Zeitplan für Bewertungsläufe, den Sie einrichten. Amazon Inspector Classic erstellt dann auch automatisch eine IAM-Rolle mit dem NamenAWS_InspectorEvents_Invoke_Assessment_Template. Diese Rolle ermöglicht CloudWatch Events, API-Aufrufe für die Amazon Inspector Classic-Ressourcen durchzuführen. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch Events? und Verwendung ressourcenbasierter Richtlinien für CloudWatch Ereignisse.

    Anmerkung

    Sie können automatische Bewertungsläufe auch über eine AWS Lambda -Funktion einrichten. Weitere Informationen finden Sie unter Die Einrichtung der automatischen Bewertung läuft über eine Lambda-Funktion.

  11. Wählen Sie Create and run oder Create aus.

Löschen einer Bewertungsvorlage

Zum Löschen einer Bewertungsvorlage gehen Sie wie folgt vor.

So löschen Sie eine Bewertungsvorlage
  • Wählen Sie auf der Seite Assessment Templates (Bewertungsvorlagen) die zu löschende Vorlage aus und wählen Sie dann Delete (Löschen). Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Ja aus.

    Wichtig

    Wenn Sie eine Bewertungsvorlage löschen, werden alle Bewertungsläufe, Ergebnisse und Versionen der dieser Vorlage zugeordneten Berichte ebenfalls gelöscht.

Sie können eine Bewertungsvorlage auch mithilfe der DeleteAssessmentTemplate-API löschen.

Bewertungsläufe

Nach dem Erstellen einer Bewertungsvorlage können Sie mit ihr Bewertungsläufe starten. Sie können mehrere Läufe mit derselben Vorlage starten, solange Sie das Durchlauflimit für jedes AWS Konto einhalten. Weitere Informationen finden Sie unter Die Amazon Inspector Classic-Bewertung führt Grenzwerte durch .

Wenn Sie die Amazon Inspector Classic-Konsole verwenden, müssen Sie die erste Ausführung Ihrer neuen Bewertungsvorlage auf der Seite Bewertungsvorlagen starten. Nach dem Starten des Laufs können Sie auf der Seite Assessment runs den Fortschritt des Laufs überwachen. Verwenden Sie die Schaltflächen Run, Cancel und Delete für die jeweiligen Vorgänge. Sie können auch die Laufdetails anzuzeigen, u. a. den ARN des Laufs, die für den Lauf ausgewählten Regelpakete, die Tags und Attribute, die auf den Lauf angewendet werden, und vieles mehr.

Für nachfolgende Läufe der Bewertungsvorlage können Sie auf der Seite Assessment templates oder Assessment runs die Schaltflächen Run, Cancel und Delete verwenden.

Löschen eines Bewertungslaufs

Zum Löschen eines Bewertungslaufs gehen Sie wie folgt vor.

So löschen Sie einen Lauf
  • Wählen Sie auf der Seite Assessment runs (Bewertungsläufe) den zu löschenden Lauf aus, und wählen Sie dann Delete (Löschen). Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Ja aus.

    Wichtig

    Wenn Sie einen Lauf löschen, werden alle Ergebnisse und alle Versionen des Berichts von diesem Lauf ebenfalls gelöscht.

Sie können einen Lauf auch mithilfe der DeleteAssessmentRun-API löschen.

Die Amazon Inspector Classic-Bewertung führt Grenzwerte durch

Sie können für jedes AWS Konto bis zu 50.000 Testläufe erstellen.

Sie können mehrere Läufe gleichzeitig ausführen, solange die für die Läufe verwendeten Ziele keine überlappenden EC2-Instances enthalten.

Weitere Informationen finden Sie unter Amazon Inspector Classic Service-Limits.

Die Einrichtung der automatischen Bewertung läuft über eine Lambda-Funktion

Wenn Sie einen wiederkehrenden Zeitplan für Ihre Bewertung einrichten möchten, können Sie Ihre Bewertungsvorlage so konfigurieren, dass sie automatisch ausgeführt wird, indem Sie in der AWS Lambda Konsole eine Lambda-Funktion erstellen. Weitere Informationen erhalten Sie unter Lambda-Funktionen.

Gehen Sie wie folgt vor, um automatische Bewertungsläufe mithilfe der AWS Lambda Konsole einzurichten.

So richten Sie automatische Läufe über eine Lambda-Funktion ein
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Lambda Konsole.

  2. Wählen Sie im Navigationsbereich entweder Dashboard oder Funktionen und dann Lambda-Funktion erstellen aus.

  3. Wählen Sie auf der Seite Create function (Funktion erstellen) die Option Browse serverless app repository (Serverloses App-Repository durchsuchen) aus. Geben Sie dann inspector in das Suchfeld ein.

  4. Wählen Sie den Plan inspector-scheduled-run aus.

  5. Richten Sie auf der Seite Überprüfen, konfigurieren und bereitstellen einen wiederkehrenden Zeitplan für automatisierte Läufe ein, indem Sie ein CloudWatch Ereignis angeben, das Ihre Funktion auslöst. Geben Sie dazu einen Namen und eine Beschreibung für die Regel ein und wählen Sie dann einen Zeitplanausdruck. Der Zeitplanausdruck legt fest, wie oft der Lauf erfolgt, z. B. alle 15 Minuten oder einmal täglich. Weitere Informationen zu CloudWatch Veranstaltungen und Konzepten finden Sie unter Was ist Amazon CloudWatch Events?

    Wenn Sie das Kontrollkästchen Enable trigger (Auslöser aktivieren) aktivieren, startet der Lauf, sobald die Erstellung Ihrer Funktion abgeschlossen wurde. Nachfolgende automatische Läufe folgen dem Wiederholungsmuster, das Sie im Feld Schedule expression (Zeitplanausdruck) angeben. Wenn Sie das Kontrollkästchen Enable trigger während der Erstellung der Funktion nicht aktivieren, können Sie die Funktion später bearbeiten, um diesen Auslöser zu aktivieren.

  6. Geben Sie auf der Seite Configure function Folgendes ein:

    • Geben Sie unter Name einen Namen für die Funktion ein.

    • (Optional) Geben Sie unter Description (Beschreibung) eine Beschreibung zur späteren Identifizierung Ihrer Funktion ein.

    • Behalten Sie zur Laufzeit den Standardwert von beiNode.js 8.10. AWS Lambda unterstützt den inspector-scheduled-runBlueprint nur für die Node.js 8.10 Laufzeit.

    • Bewertungsvorlage, die Sie automatisch unter Verwendung dieser Funktion ausführen möchten. Dazu geben Sie den Wert für die assessmentTemplateArnaufgerufene Umgebungsvariable an.

    • Behalten Sie für den Handler den Standardwert index.handler bei.

    • Legen Sie Berechtigungen für Ihre Funktion mithilfe des Felds Role fest. Weitere Informationen finden Sie unter AWS Lambda -Berechtigungsmodell.

      Um diese Funktion auszuführen, benötigen Sie eine IAM-Rolle, die es ermöglicht, die Läufe AWS Lambda zu starten und Protokollmeldungen über die Läufe, einschließlich aller Fehler, in Amazon CloudWatch Logs zu schreiben. AWS Lambda übernimmt diese Rolle für jeden wiederkehrenden automatisierten Lauf. Sie können beispielsweise die folgende Musterrichtlinie an diese IAM-Rolle anfügen:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
  7. Prüfen Sie Ihre Auswahl und klicken Sie dann auf Create function.

Einrichten eines SNS-Themas für Amazon Inspector Classic-Benachrichtigungen

Amazon Simple Notification Service (Amazon SNS) ist ein Web-Service, der Nachrichten an Abonnenten (Endpunkte oder Clients) sendet. Sie können Amazon SNS verwenden, um Benachrichtigungen für Amazon Inspector Classic einzurichten.

So richten Sie ein SNS-Thema für Benachrichtigungen ein
  1. Erstellen Sie ein SNS-Thema. Weitere Informationen finden Sie unter Tutorial: Erstellen eines Amazon SNS-Themas. Wenn Sie das Thema erstellt haben, erweitern Sie den Abschnitt Zugriffsrichtlinie. Führen Sie anschließend die folgenden Schritte aus, um die Prüfung zum Senden von Nachrichten an das Thema zu erlauben:

    1. Wählen Sie unter Choose method (Methode auswählen) Basic (Grundlegend) aus.

    2. Wählen Sie unter Definieren, wer Nachrichten zu dem Thema veröffentlichen kann die Option Nur die angegebenen AWS Konten aus, und geben Sie dann den ARN für das Konto in der Region ein, in der Sie das Thema erstellen:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia)- arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London)- arn:aws:iam: :146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)- arn ::iam: aws-us-gov :206278770380:root

      • AWS GovCloud (US-West)- arn ::iamaws-us-gov: :850862329162:root

    3. Wählen Sie unter Definieren, wer dieses Thema abonnieren kann die Option Nur die angegebenen AWS Konten aus, und geben Sie dann den ARN für das Konto in der Region ein, in der Sie das Thema erstellen.

    4. Gehen Sie wie folgt vor, um sich davor zu schützen, dass Inspector als verwirrter Stellvertreter eingesetzt wird, wie unter Problem mit verwirrtem Stellvertreter im IAM-Benutzerhandbuch beschrieben:

      1. Wählen Sie Advanced (Erweitert) aus. Dadurch gelangen Sie zum JSON-Editor.

      2. Fügen Sie die folgende Bedingung hinzu:

        "Condition": { "StringEquals": { "aws:SourceAccount": <your account Id here>, "aws:SourceArn": "arn:aws:inspector:*:*:*" } }
    5. (Optional) Weitere Informationen zu aws: SourceAccount und aws: SourceArn finden Sie unter Global condition context keys im IAM-Benutzerhandbuch.

    6. Aktualisieren Sie andere Einstellungen für das Thema nach Bedarf, und wählen Sie dann Create topic (Thema erstellen).

  2. (Optional) Informationen zum Erstellen eines verschlüsselten SNS-Themas finden Sie unter Verschlüsselung im Ruhezustand im SNS-Entwicklerhandbuch.

  3. Gehen Sie wie folgt vor, um sich davor zu schützen, dass Inspector als verwirrter Stellvertreter für Ihren KMS-Schlüssel verwendet wird:

    1. Gehen Sie in der KMS-Konsole zu Ihrem CMK.

    2. Wählen Sie Bearbeiten aus.

    3. Fügen Sie die folgende Bedingung hinzu:

      "Condition": { "StringEquals": { "aws:SourceAccount": <your account Id here>, "aws:SourceArn": "arn:aws:sns:*:*:*" } }
  4. Erstellen Sie ein Abonnement für das Thema, das Sie erstellt haben. Weitere Informationen finden Sie unter Tutorial: Abonnieren eines Endpunkts für ein Amazon SNS-Thema.

  5. Um zu bestätigen, dass das Abonnement ordnungsgemäß konfiguriert ist, veröffentlichen Sie eine Nachricht an das Thema. Weitere Informationen finden Sie unter Tutorial: Veröffentlichen einer Nachricht an ein Amazon SNS-Thema.