Amazon Inspector の検出結果の詳細 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector の検出結果の詳細

Amazon Inspector コンソールでは、各検出結果の詳細を見ることができます。検出結果の詳細は検出結果のタイプによって異なります。

検出結果の詳細を表示するには

  1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. 検出結果を表示するリージョンを選択します。

  3. ナビゲーションペインで、[検出結果] を選択して検出結果リストを表示する

  4. (オプション) フィルターバーを使用して特定の検出結果を選択します。詳細については、「Amazon Inspector の検出結果のフィルタリング」を参照してください。

  5. 検出結果を選択して、その詳細パネルを表示します。

[検出結果の詳細] パネルには、検索結果の基本的な識別機能が含まれています。これには、検出結果のタイトル、特定された脆弱性の基本的な説明、修復の提案、および重要度スコアが含まれます。スコアリングについては、「Amazon Inspector の検出結果の重要度レベル」を参照してください。

検出結果の詳細は、検出結果の種類と影響を受けるリソースによって異なります。

すべての検出結果には、検出結果が識別された AWS アカウント ID 番号、重要度、検出結果タイプ 、検出結果が作成された日付、およびそのリソースに関する詳細を含むリソースの影響を受けるセクションが含まれます。

検出結果のタイプは、その検出結果に対して利用可能な修復と脆弱性インテリジェンス情報を決定します。検出結果のタイプに応じて、さまざまな検出結果の詳細を使用できます。

パッケージの脆弱性

EC2 インスタンス、ECR コンテナイメージ、Lambda 関数に関しては、パッケージの脆弱性の検出結果を利用できます。詳細については、「パッケージ脆弱性」を参照してください。

パッケージの脆弱性の検出結果には Amazon Inspector スコアと脆弱性インテリジェンス も含まれます。

この検出結果タイプには以下の詳細があります。

  • 修正可能 — 影響を受けるパッケージの新しいバージョンで脆弱性が修正されているかどうかを示します。次のいずれかの値があります。

    • YES、これは影響を受けるパッケージのすべてに修正されたバージョンがあることを意味します。

    • NO、これは影響を受けるパッケージに修正されたバージョンがないことを意味します。

    • PARTIAL、これは影響を受けるパッケージの 1 つ以上 (すべてではない) に修正されたバージョンがあることを意味します。

  • 考えられる攻撃 — 脆弱性に既知の悪用があることを示します。

    • YES、これは環境内で発見された脆弱性には既知の悪用があるということです。Amazon Inspector では、環境における悪用の使用状況を可視化することはできません。

    • NO、これはこの脆弱性には既知の悪用がないことを意味します。

  • 影響を受けるパッケージ — 検出結果で脆弱であると特定された各パッケージと、各パッケージの詳細を一覧表示します。

  • ファイルパス — 検出結果に関連付けられた EBS ボリューム ID とパーティション番号です。このフィールドは、エージェントレススキャン を使用してスキャンされた EC2 インスタンスの検出結果に存在します。

  • インストール済みバージョン/修正バージョン — 脆弱性が検出された、現在インストールされているパッケージのバージョン番号。インストールされているバージョン番号とスラッシュ (/) の後の値を比較します。2 番目の値は、検出された脆弱性を修正するパッケージのバージョン番号です。このバージョン番号は、共通脆弱性識別子 (CVE) または検出結果に関連するアドバイザリによって提供されています。脆弱性が複数のバージョンで修正されている場合、このフィールドには修正を含む最新バージョンが表示されます。修正がない場合、この値は None available です。

    注記

    Amazon Inspector がこのフィールドを検出結果に含み始める前に検出結果が検出された場合には、このフィールドの値は空となります。ただし、修正できる場合もあります。

  • パッケージマネージャー — このパッケージの設定に使用されるパッケージマネージャー。

  • 修復 — 更新されたパッケージまたはプログラミングライブラリから修正が入手できる場合、このセクションには更新を行うために実行できるコマンドが含まれています。提供されたコマンドをコピーして、ご使用の環境で実行できます。

    注記

    修復コマンドはベンダーのデータフィードから提供され、システム設定によって異なる場合があります。より具体的なガイダンスについては、検出結果の参考資料またはオペレーティングシステムのマニュアルを参照してください。

  • 脆弱性の詳細 — National Vulnerability Database (NVD)、REDHAT、または別の OS ベンダーなど、検出結果で特定された CVE の Amazon Inspector 優先ソースへのリンクを提供します。さらに、検出結果の重要度スコアも表示されます。重要度スコアリングの詳細については、「Amazon Inspector の検出結果の重要度レベル」を参照してください。それぞれのスコアリングベクトルを含め、以下のスコアが含まれています。

    • EPSS スコア

    • Inspector スコア

    • Amazon CVE の CVSS 3.1

    • NVD の CVSS 3.1

    • NVD の CVSS 2.0 (該当する場合、過去の CVE について)

  • 関連する脆弱性 — 検出結果に関連する他の脆弱性を指定します。通常、これらは同じパッケージバージョンに影響する他の CVE、または検出結果の CVE と同じグループ内のベンダーが判断した他の CVE です。

コードの脆弱性

コード脆弱性の検出結果は Lambda 関数でのみ確認できます。詳細については、「コードの脆弱性」を参照してください。この検出結果タイプには以下の詳細があります。

  • 修正可能 — コード脆弱性の場合、この値は常に YES です。

  • ディテクター名 – コードの脆弱性を検出するために使用される CodeGuru ディテクターの名前。可能な検出のリストについては、CodeGuru 「ディテクターライブラリ」を参照してください。

  • ディテクタータグ – CodeGuruディテクターに関連付けられたタグは、タグ CodeGuru を使用して検出を分類します。

  • 関連する CWE — コードの脆弱性に関連する共通脆弱性タイプ (CWE) の ID。

  • ファイルパス — コード脆弱性のファイルの場所。

  • 脆弱性の場所 — Lambda コードスキャンコードの脆弱性の場合、このフィールドには Amazon Inspector が脆弱性を検出した正確なコード行が表示されます。

  • 推奨される是正 — 検出結果を修正するためにコードを編集する方法を提示します。

ネットワーク到達可能性

ネットワーク到達可能性の検出結果は EC2 インスタンスでのみ確認できます。詳細については、「ネットワーク到達可能性」を参照してください。この検出結果タイプには以下の詳細があります。

  • ポート範囲を開く — EC2 インスタンスにアクセスできるポート範囲。

  • ネットワークパスを開く — EC2 インスタンスへのオープンアクセスパスを表示します。パス上の項目を選択すると、詳細が表示されます。

  • 修復 — 開いているネットワークパスを閉鎖する方法を推奨します。