Amazon Inspector の評価テンプレートと評価の実行 - Amazon Inspector

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Inspector の評価テンプレートと評価の実行

Amazon Inspector は、セキュリティルールを使用して AWS リソースを分析することによって、潜在的なセキュリティ問題を発見するのに役立ちます。Amazon Inspector は、リソースに関する行動データ (テレメトリ) をモニタリングおよび収集します。このデータには、AWS サービスとの通信の詳細、安全な交信の使用、実行プロセスの詳細、実行プロセス間のネットワーク トラフィックなどが含まれます。次に Amazon Inspector は、データを分析し、セキュリティルールパッケージのセットと比較します。最後に Amazon Inspector は、様々な重大度の潜在的なセキュリティ上の問題を特定する、結果のリストを作成します。

開始するには、評価ターゲット (Amazon Inspector に分析させる AWS リソースのコレクション) を作成します。次に、評価テンプレート (評価を構成するために使用する設計図) を作成します。テンプレートを使用して、評価の実行、モニタリング、分析プロセスを開始し、結果のセットを作成します。

Amazon Inspector 評価テンプレート

評価テンプレートでは、次のものを含む評価の実行の設定を指定できます。

  • 評価ターゲットの評価に Amazon Inspector が使用するルールパッケージ

  • 評価の実行時間 – 評価の実行時間は、3 分から 24 時間の範囲で設定できます。評価の実行期間を 1 時間に設定することをお勧めします。

  • Amazon Inspector が評価の実行状態と結果について通知を送信する Amazon SNS トピック

  • Amazon Inspector の属性 (キーと値のペア): この評価テンプレートを使用する評価の実行で作成された結果を割り当てることができます。

Amazon Inspector が作成した評価テンプレートは、他の AWS リソースと同様にタグ付けすることができます。詳細については、「タグ エディタ」を参照してください。評価テンプレートにタグ付けすることで、テンプレートを整理してセキュリティ戦略をより適切に管理することができます。たとえば、Amazon Inspector には評価ターゲットを評価できる多数のルールを提供します。評価テンプレートに利用可能なルールのさまざまなサブセットを含めて、問題がありそうな特定の領域をターゲットにしたり、特定のセキュリティ問題を発見したりすることができます。評価テンプレートにタグ付けすれば、セキュリティ戦略とその目的に応じて、任意のタイミングで素早くテンプレートを発見して実行できます。

重要

評価テンプレートを作成したら、それを変更することはできません。

Amazon Inspector の評価テンプレートの制限

AWS アカウントごとに最大 500 の評価テンプレートを作成できます。

詳細については、「Amazon Inspector サービスの制限」を参照してください。

評価テンプレートを作成する

評価ターゲットテンプレートを作成するには

  1. Sign in to the AWS マネジメントコンソール and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.

  2. ナビゲーションペインの [Assessment templates (評価テンプレート)] を選択し、[Create (作成)] を選択します。

  3. [Name (名前)] に、評価テンプレートの名前を入力します。

  4. [Target name] では、分析する評価ターゲットを選択します。

    注記

    [Assessment Templates (評価テンプレート)] ページの [Preview Target (ターゲットをプレビュー)] を使用して、評価ターゲットに含まれるすべての EC2 instances を確認できます。EC2 instance ごとに、ホスト名、インスタンス ID、IP アドレス、および該当する場合はエージェントのステータスを確認できます。エージェントステータスには、次の値があります。[HEALTHY (正常)]、[UNHEALTHY (異常)]、および [UNKNOWN (不明)]。[UNKNOWN (不明)] ステータスは EC2 instance で実行中のエージェントの有無を判断できない場合に Amazon Inspector に表示されます。

    また、[Assessment Templates (評価テンプレート)] ページの [Preview Target (プレビューターゲット)] ボタンを使用して、以前作成したテンプレートに含まれている評価ターゲットを構成する EC2 instances を表示することもできます。

  5. [Rules packages] では、評価テンプレートに含む 1 つ以上のルールパッケージを選択します。

  6. [Duration] では、評価テンプレートの時間を指定します。

  7. [SNS トピック] では、Amazon Inspector で評価の実行の状態や結果についての通知の送信先となる SNS トピックを指定します。Amazon Inspector は、次のイベントに関する SNS 通知を送信できます。

    • 評価の実行が開始された

    • 評価の実行が終了した

    • 評価の実行のステータスが変更された

    • 結果が作成された

    SNS トピックの設定の詳細については、「Amazon Inspector 通知用の SNS トピックを設定するには」を参照してください。

  8. (オプション) [Tag (タグ)] で [Key (キー)] と [Value (値)] の値を入力します。評価テンプレートには複数のタグを追加できます。

  9. (オプション) [Attributes added to findings (結果に追加された属性)] には、[Key (キー)] と [Value (値)] の値を入力します。Amazon Inspector は、評価テンプレートによって生成されたすべての検出結果に属性を適用します。評価テンプレートには複数の属性を追加できます。結果と結果のタグ付けの詳細については、「Amazon Inspector の結果」を参照してください。

  10. (オプション) このテンプレートを使用して評価の実行スケジュールをセットアップするには、[Set up recurring assessment runs once every <number_of_days>, starting now (定期的な評価の実行をセットアップする、<number_of_days> に 1 回、今すぐ開始)] チェックボックスにチェックを選択し、上下の矢印を使用して繰り返しパターン (日数) を指定します。

    注記

    このチェックボックスを使用すると、Amazon Inspector によってセットアップされた評価実行スケジュール用の Amazon CloudWatch Events ルールが自動的に作成されます。その後、Amazon Inspector によって AWS_InspectorEvents_Invoke_Assessment_Template という IAM ロールも自動的に作成されます。このロールを使用して、CloudWatch イベント が Amazon Inspector のリソースに対して API コールを行うことができます。CloudWatch イベントと概念の詳細については、「Amazon CloudWatch Evente とは」および「CloudWatch Events のリソースベースのポリシーを使用する」を参照してください。

    注記

    また、AWS Lambda 関数を使用して評価の自動実行をセットアップすることもできます。詳細については、「Lambda 関数を使用した評価の自動実行をセットアップする」を参照してください。

  11. [Create and run] または [Create] を選択します。

評価テンプレートを削除する

評価テンプレートを削除するには、次の手順を実行します。

評価テンプレートを削除するには

  • [Assessment Templates (評価テンプレート)] ページで、削除するテンプレートを選択し、[Delete (削除)] を選択します。確認を求めるメッセージが表示されたら、[Yes] を選択します。

    重要

    評価テンプレートを削除すると、すべての評価の実行、結果、このテンプレートに関連付けられたバージョンのレポートも削除されます。

DeleteAssessmentTemplate API を使用して評価テンプレートを削除することもできます。

評価の実行

作成した評価テンプレートは、評価の実行を開始するのに使用できます。AWS アカウントごとの評価の実行の制限を超えない限り、同じテンプレートを使用して複数の評価の実行を開始できます。詳細については、「Amazon Inspectorの評価の実行の制限 」を参照してください。

Amazon Inspector コンソールを使用する場合は、[Assessment templates (評価テンプレート)] ページから、新しい評価テンプレートの最初の実行を開始する必要があります。実行を開始した後、[Assessment runs] ページを使用して実行の進行状況をモニタリングできます。[Run]、[Cancel]、および [Delete] ボタンを使用して、実行を開始、キャンセル、または削除します。実行の ARN、実行するために選択されたルールパッケージ、実行に適用したタグと属性などの実行の詳細を表示できます。

評価テンプレートのそれ以降の実行では、[Run]、[Cancel]、[Delete] ボタンを [Assessment templates] ページまたは [Assessment runs] ページで使用することができます。

評価の実行を削除する

評価の実行を削除するには、次の手順を実行します。

実行を削除するには

  • [評価の実行] ページで、削除する実行を選択し、[削除] を選択します。確認を求めるメッセージが表示されたら、[Yes] を選択します。

    重要

    実行を削除すると、その実行のすべての結果とすべてのバージョンのレポートも削除されます。

以下の DeleteAssessmentRun API を使用してディストリビューションを削除することもできます。

Amazon Inspectorの評価の実行の制限

AWS アカウントごとに最大 50,000 の評価の実行を作成できます。

評価の実行は、使用されるターゲットに EC2 instances の重複が含まれない限り、同時進行させることができます。

詳細については、「Amazon Inspector サービスの制限」を参照してください。

Lambda 関数を使用した評価の自動実行をセットアップする

評価の定期的なスケジュールをセットアップする場合は、AWS Lambda コンソールで Lambda 関数を作成して、評価テンプレートを自動的に実行するように設定できます。詳細については、Lambda 関数を参照してください。

自動的な評価の実行をセットアップするには、AWS Lambda コンソールを使用して、以下の手順を実行します。

Lambda 関数を使用した評価の自動実行をセットアップするには

  1. AWS マネジメントコンソール にサインインして、AWS Lambda コンソールを開きます。

  2. 左側のナビゲーションペインで [Dashboard (ダッシュボード)] または [Functions (関数)] を選択し、[Lambda 関数の作成] を選びます。

  3. [Create function (関数の作成)] ページで、[Browse serverless app repository (サーバーレスアプリリポジトリの参照)] を選択し、検索フィールドに「inspector」と入力します。

  4. 設計図として inspector-scheduled-run を選択します。

  5. [Review, configure, and deploy (確認、設定、デプロイ)] ページで、関数をトリガーする CloudWatch イベントを指定して、自動実行用の定期的なスケジュールをセットアップします。これを行うには、ルールの名前と説明を入力し、スケジュール式を選択します。スケジュール式は、実行の頻度を決定します。たとえば、15 分ごと、または 1 日 1 回などです。CloudWatch イベントおよび概念の詳細については、「Amazon CloudWatch Events とは?」を参照してください。

    [Enable trigger (トリガーの有効化)] のチェックボックスをオンにした場合、実行は関数の作成が完了した直後に開始されます。それ以降の自動的な実行は [Schedule expression (スケジュール式)] で指定した定期的なパターンに従います。関数の作成時に [Enable trigger] のチェックボックスをオンにしない場合は、後で関数を編集して、このトリガーを有効にすることができます。

  6. [Configure function] ページで、次の項目を指定します。

    • [名前] に、関数の名前を入力します。

    • (オプション) [Description (説明)] に、関数を識別するための説明を入力します。

    • [runtime (ランタイム)] は、デフォルト値のままにしておき、デフォルト値の Node.js 8.10 をそのまま使用します。AWS Lambda は、Node.js 8.10 ランタイムに対してのみ、[inspector-scheduled-run] 設計図をサポートします。

    • この関数を使用して自動的に実行される評価テンプレート。それには [assessmentTemplateArn] と呼ばれる環境変数の値を指定します。

    • ハンドラはデフォルト値の「index.handler」に設定します。

    • [Role] フィールドを使用する関数の権限。詳細については、「AWS Lambda のアクセス許可モデル」を参照してください。

      この関数を実行するには、AWS Lambda が実行を開始し、実行に関するログメッセージ (エラーを含む) を Amazon CloudWatch Logs に書き込むことを可能にする IAM ロールが必要です。AWS Lambda は、繰り返し実行される自動実行ごとにこのロールを引き受けます。たとえば、次のサンプルポリシーをこの IAM ロールにアタッチできます。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
  7. 場所を確認して [Create function] を選択します。

Amazon Inspector 通知用の SNS トピックを設定するには

Amazon Simple Notification Service (Amazon SNS) は、サブスクライブしているエンドポイントやクライアントにメッセージを送信するウェブサービスです。Amazon SNS を使用して、Amazon Inspector の通知を設定できます。

通知用の SNS トピックを設定するには

  1. SNS トピックを作成します。チュートリアル :Amazon SNS トピックを作成するを参照してください。トピックを作成したら、[Access policy - optional (アクセスポリシー - オプション)] セクションを展開します。次に、以下の操作を実行し、評価からトピックへのメッセージを送信を許可します。

    1. [Choose method (メソッドの選択)] で、[Basic] を選択します。

    2. [Define who can publish messages to the topic (トピックにメッセージを発行できるユーザーを定義する)] に [Only the specified AWS accounts (指定した AWS アカウントのみ)] を選択してから、トピックを作成するリージョンのアカウントの ARN を入力します。

      • 米国東部 (オハイオ) - arn:aws:iam::646659390643:root

      • 米国東部(バージニア北部) - arn:aws:iam::316112463485:root

      • 米国西部 (北カリフォルニア) - arn:aws:iam::166987590008:root

      • 米国西部 (オレゴン) - arn:aws:iam::758058086616:root

      • アジアパシフィック (ムンバイ) - arn:aws:iam::162588757376:root

      • アジアパシフィック (ソウル) - arn:aws:iam::526946625049:root

      • アジアパシフィック (シドニー) - arn:aws:iam::454640832652:root

      • アジアパシフィック (東京) - arn:aws:iam::406045910587:root

      • 欧州 (フランクフルト) - arn:aws:iam::537503971621:root

      • 欧州 (アイルランド) - arn:aws:iam::357557129151:root

      • 欧州 (ロンドン) - arn:aws:iam::146838936955:root

      • 欧州 (ストックホルム) - arn:aws:iam::453420244670:root

      • AWS GovCloud (米国東部) - arn:aws-us-gov:iam::206278770380:root

      • AWS GovCloud (US-West) - arn:aws-us-gov:iam::850862329162:root

    3. [Define who can publish messages to the topic (このトピックにサブスクライブできるユーザーを定義する)] に [Only the specified AWS accounts (指定した AWS アカウントのみ)] を選択してから、トピックを作成するリージョンのアカウントの ARN を入力します。

    4. 必要に応じてトピックの他の設定を更新し、[Create topic (トピックの作成)] を選択します。

  2. 作成したトピックへのサブスクリプションを作成します。詳細については、チュートリアル :Amazon SNS トピックにエンドポイントをサブスクライブするを参照してください。

  3. サブスクリプションが正しく設定されていることを確認するには、そのトピックに対してメッセージを発行します。詳細については、チュートリアル: Amazon SNS トピックにメッセージを発行するを参照してください。