Questa è la guida per l'utente di Amazon Inspector Classic. Per informazioni sul nuovo Amazon Inspector, consulta la Amazon Inspector User Guide. Per accedere alla console Amazon Inspector Classic, apri la console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/, quindi scegli Amazon Inspector Classic nel pannello di navigazione.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione con AWS Security Hub

AWS Security Hub fornisce una visione completa dello stato di sicurezza in AWS e ti aiuta a controllare l'ambiente rispetto agli standard di sicurezza del settore e alle best practice. Security Hub raccoglie i dati di sicurezza da diversi AWS account e servizi e supportati da prodotti partner di terze parti e ti aiuta ad analizzare le tendenze di sicurezza e identificare i problemi di sicurezza più importanti.

L'integrazione di Amazon Inspector con Security Hub consente di inviare i risultati da Amazon Inspector a Security Hub. Security Hub può quindi includere tali risultati nella sua analisi della posizione di sicurezza.

In che modo Amazon Inspector invia i risultati a Security Hub

In Security Hub, i problemi di sicurezza vengono monitorati come risultati. Alcuni risultati provengono da problemi rilevati da altri servizi AWS o da partner di terze parti. Security Hub dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Consulta Visualizzazione dei risultati nella Guida per l'utente di AWS Security Hub. È inoltre possibile monitorare lo stato di un'indagine in un risultato. Consulta Operazioni sui risultati nella Guida per l'utente di AWS Security Hub.

Tutti i risultati in Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Consulta .AWS Finding Format (ASFF)nellaAWS Security HubGuida per l’utente di.

Amazon Inspector è uno deiAWSServizi che inviano i risultati a Security Hub.

Tipi di risultati inviati da Amazon Inspector

Amazon Inspector invia tutti i risultati generati a Security Hub.

Amazon Inspector invia i risultati a Security Hub utilizzando ilAWSSecurity Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di risultato. I risultati di Amazon Inspector possono avere i seguenti valori perTypes.

Latenza per l'invio dei risultati

Quando Amazon Inspector crea un nuovo risultato, viene solitamente inviato a Security Hub entro cinque minuti.

Nuovo tentativo quando Security Hub non è disponibile

Se Security Hub non è disponibile, Amazon Inspector tenta di inviare i risultati fino a quando non vengono ricevuti.

Aggiornamento dei risultati esistenti in Security Hub

Dopo aver inviato un accertamento a Security Hub, Amazon Inspector aggiorna il risultato per riflettere ulteriori osservazioni dell'attività di ricerca. Ciò comporterà un minor numero di risultati di Amazon Inspector in Security Hub rispetto ad Amazon Inspector.

Individuazione tipica da Amazon Inspector

Amazon Inspector invia i risultati a Security Hub utilizzando ilAWSSecurity Finding Format (ASFF).

Ecco un esempio di un tipico risultato da Amazon Inspector.

{
  "SchemaVersion": "2018-10-08",
  "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
  "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet"
  ],
  "CreatedAt": "2020-08-19T17:36:22.169Z",
  "UpdatedAt": "2020-11-04T16:36:06.064Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "6.0"
  },
  "Confidence": 10,
  "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet",
  "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785",
  "Remediation": {
    "Recommendation": {
      "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22"
    }
  },
  "ProductFields": {
    "attributes/VPC": "vpc-a0c2d7c7",
    "aws/inspector/id": "Recognized port reachable from internet",
    "serviceAttributes/schemaVersion": "1",
    "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe",
    "attributes/ACL": "acl-154b8273",
    "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9",
    "attributes/PROTOCOL": "TCP",
    "attributes/RULE_TYPE": "RecognizedPortNoAgent",
    "aws/inspector/RulesPackageName": "Network Reachability",
    "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356",
    "attributes/PORT_GROUP_NAME": "SSH",
    "attributes/IGW": "igw-e209d785",
    "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd",
    "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75",
    "attributes/ENI": "eni-078eac9d6ad9b20d1",
    "attributes/REACHABILITY_TYPE": "Internet",
    "attributes/PORT": "22",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8",
    "aws/securityhub/ProductName": "Inspector",
    "aws/securityhub/CompanyName": "Amazon"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356",
      "Partition": "aws",
      "Region": "us-east-1",
      "Tags": {
        "Name": "kubectl"
      },
      "Details": {
        "AwsEc2Instance": {
          "ImageId": "ami-02354e95b39ca8dec",
          "IpV4Addresses": [
            "172.31.43.6"
          ],
          "VpcId": "vpc-a0c2d7c7",
          "SubnetId": "subnet-4975b475"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE"
}

Abilitazione e configurazione dell'integrazione

Per utilizzare l'integrazione con Security Hub, è necessario abilitare Security Hub. Per informazioni su come abilitare Security Hub, consulta Configurazione di Security Hub nella Guida per l'utente di AWS Security Hub.

Quando abiliti Amazon Inspector e Security Hub, l'integrazione viene abilitata automaticamente. Amazon Inspector inizia a inviare i risultati a Security Hub.

Come interrompere l'invio di risultati

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console o l'API di Security Hub.

Consulta .Disabilitazione e abilitazione del flusso di risultati di un'integrazione (Console)oDisabilitazione del flusso di risultati di un'integrazione (Security Hub API, CLI di AWS)nellaAWS Security HubGuida per l’utente di.