Amazon Inspector の評価テンプレートと評価の実行 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector の評価テンプレートと評価の実行

Amazon Inspector は、セキュリティルールを使用して分析し、潜在的なセキュリティ上の問題の発見に役立ちます。AWSリソースの使用料金を見積もることができます。Amazon Inspector は、リソースに関する行動データ (テレメトリ) をモニタリングおよび収集します。このデータには、AWS サービスとの通信の詳細、安全な交信の使用、実行プロセスの詳細、実行プロセス間のネットワーク トラフィックなどが含まれます。次に、Amazon Inspector は、データを分析し、セキュリティルールパッケージのセットと比較します。最後に、Amazon Inspector はの結果は、様々な重大度の潜在的なセキュリティ上の問題を特定します。

開始するには、以下を作成します。評価ターゲット(の集まりAWSAmazon Inspector で分析するリソース)。次に、評価テンプレート (評価を構成するために使用する設計図) を作成します。テンプレートを使用して、評価の実行、モニタリング、分析プロセスを開始し、結果のセットを作成します。

Amazon Inspector の評価テンプレート

評価テンプレートでは、次のものを含む評価の実行の設定を指定できます。

  • 評価ターゲットの評価に Amazon Inspector が使用するルールパッケージ

  • 評価の実行時間 — 評価の実行時間は、3 分から 24 時間の範囲で設定できます。評価の実行期間を 1 時間に設定することをお勧めします。

  • Amazon Inspector が評価の実行状態と結果について通知を送信する Amazon SNS トピック

  • Amazon Inspector 属性 (キーと値のペア): この評価テンプレートを使用する評価の実行で作成された結果を割り当てることができます。

Amazon Inspector が作成した評価テンプレートは、他のものと同様にタグ付けすることができます。AWSリソース。詳細については、「タグ エディタ」を参照してください。評価テンプレートにタグ付けすることで、テンプレートを整理してセキュリティ戦略をより適切に管理することができます。たとえば、Amazon Inspector には、評価ターゲットを評価できる多数のルールを提供します。評価テンプレートに利用可能なルールのさまざまなサブセットを含めて、問題がありそうな特定の領域をターゲットにしたり、特定のセキュリティ問題を発見したりすることができます。評価テンプレートにタグ付けすれば、セキュリティ戦略とその目的に応じて、任意のタイミングで素早くテンプレートを発見して実行できます。

重要

評価テンプレートを作成したら、それを変更することはできません。

Amazon Inspector の評価テンプレートの制限

AWS アカウントごとに最大 500 の評価テンプレートを作成できます。

詳細については、「Amazon Inspector サービスの制限」を参照してください。

評価テンプレートを作成する

評価ターゲットテンプレートを作成するには

  1. にサインインします。AWS Management Consoleで Amazon Inspector コンソールを開きます。https://console.aws.amazon.com/inspector/

  2. ナビゲーションペインの [Assessment templates (評価テンプレート)] を選択し、[Create (作成)] を選択します。

  3. [Name (名前)] に、評価テンプレートの名前を入力します。

  4. [Target name] では、分析する評価ターゲットを選択します。

    注記

    評価テンプレートを作成する場合は、プレビューターゲット[] ボタンをクリックします。評価テンプレート[] ページを使用して、評価ターゲットに含まれるすべての EC2 インスタンスを確認します。EC2 インスタンスごとに、ホスト名、インスタンス ID、IP アドレス、および該当する場合はエージェントのステータスを確認できます。エージェントステータスは、次の値を持つことができます。正常,不正常, および不明。Amazon Inspector には、不明EC2 インスタンスで実行中のエージェントがあるかどうかを判断できない場合のステータス。

    また、[Assessment Templates] ページの [Preview Target] ボタンを使用して、以前作成したテンプレートに含まれている評価ターゲットを構成する EC2 インスタンスを表示することもできます。

  5. [Rules packages] では、評価テンプレートに含む 1 つ以上のルールパッケージを選択します。

  6. [Duration] では、評価テンプレートの時間を指定します。

  7. (オプション)SNS トピック[] で、Amazon Inspector で評価の実行状態と結果についての通知をが送信する SNS トピックを指定します。Amazon Inspector は、次のイベントに関する SNS 通知を送信できます。

    • 評価の実行が開始された

    • 評価の実行が終了した

    • 評価の実行のステータスが変更された

    • 結果が作成された

    SNS トピックの設定の詳細については、「Amazon Inspector 通知用の SNS トピックを設定するには」を参照してください。

  8. (オプション) [Tag (タグ)] で [Key (キー)] と [Value (値)] の値を入力します。評価テンプレートには複数のタグを追加できます。

  9. (オプション)調査結果に追加された属性[] に、の値を入力します。キーおよび。Amazon Inspector は、評価テンプレートで生成された、すべての結果に属性を適用します。評価テンプレートには複数の属性を追加できます。結果と結果のタグ付けの詳細については、「Amazon Inspector」を参照してください。

  10. (オプション) このテンプレートを使用して評価の実行スケジュールをセットアップするには、[Set up recurring assessment runs once every <number_of_days>, starting now (定期的な評価の実行をセットアップする、<number_of_days> に 1 回、今すぐ開始)] チェックボックスにチェックを選択し、上下の矢印を使用して繰り返しパターン (日数) を指定します。

    注記

    このチェックボックスを使用すると、Amazon Inspector によってセットアップされた評価実行スケジュール用の Amazon CloudWatch Events ルールが自動的に作成されます。Amazon Inspector は、という名前の IAM ロールも自動的に作成されます。AWS_InspectorEvents_Invoke_Assessment_Template。このロールを使用して、CloudWatch Events が Amazon Inspector のリソースに対して API コールを行うことができます。CloudWatch イベントと概念の詳細については、「Amazon CloudWatch Evente とは」および「CloudWatch Events のリソースベースのポリシーを使用する」を参照してください。

    注記

    また、AWS Lambda 関数を使用して評価の自動実行をセットアップすることもできます。詳細については、「評価の自動実行をセットアップするには、Lambda 関数を使用します。」を参照してください。

  11. [Create and run] または [Create] を選択します。

評価テンプレートを削除する

評価テンプレートを削除するには、次の手順を実行します。

評価テンプレートを削除するには

  • [Assessment Templates (評価テンプレート)] ページで、削除するテンプレートを選択し、[Delete (削除)] を選択します。確認を求めるメッセージが表示されたら、[Yes] を選択します。

    重要

    評価テンプレートを削除すると、すべての評価の実行、結果、このテンプレートに関連付けられたバージョンのレポートも削除されます。

DeleteAssessmentTemplate API を使用して評価テンプレートを削除することもできます。

評価の実行

作成した評価テンプレートは、評価の実行を開始するのに使用できます。AWS アカウントごとの評価の実行の制限を超えない限り、同じテンプレートを使用して複数の評価の実行を開始できます。詳細については、「Amazon Inspector の評価の実行の制限 」を参照してください。

Amazon Inspector コンソールを使用する場合は、[] から新しい評価テンプレートの最初の実行を開始する必要があります。評価テンプレートページで. 実行を開始した後、[Assessment runs] ページを使用して実行の進行状況をモニタリングできます。[Run]、[Cancel]、および [Delete] ボタンを使用して、実行を開始、キャンセル、または削除します。実行の ARN、実行するために選択されたルールパッケージ、実行に適用したタグと属性などの実行の詳細を表示できます。

評価テンプレートのそれ以降の実行では、[Run]、[Cancel]、[Delete] ボタンを [Assessment templates] ページまたは [Assessment runs] ページで使用することができます。

評価の実行を削除する

評価の実行を削除するには、次の手順を実行します。

実行を削除するには

  • [評価の実行] ページで、削除する実行を選択し、[削除] を選択します。確認を求めるメッセージが表示されたら、[Yes] を選択します。

    重要

    実行を削除すると、その実行のすべての結果とすべてのバージョンのレポートも削除されます。

以下の DeleteAssessmentRun API を使用してディストリビューションを削除することもできます。

Amazon Inspector の評価の実行の制限

AWS アカウントごとに最大 50,000 の評価の実行を作成できます。

実行に使用されるターゲットに EC2 インスタンスの重複が含まれない限り、同時進行させることができます。

詳細については、「Amazon Inspector サービスの制限」を参照してください。

評価の自動実行をセットアップするには、Lambda 関数を使用します。

評価の定期的なスケジュールをセットアップする場合は、を使用して Lambda 関数を作成して、評価テンプレートを自動的に実行するように設定できます。AWS Lambdaconsole. 詳細については、Lambda 関数を参照してください。

自動的な評価の実行をセットアップするには、AWS Lambda コンソールを使用して、以下の手順を実行します。

Lambda 関数を使用した評価の自動実行をセットアップするには

  1. AWS Management Console にサインインして、AWS Lambda コンソールを開きます。

  2. ナビゲーションペインで、[] のいずれかを選択します。ダッシュボードまたは関数[] を選択してから、Lambda 関数を作成します

  3. [Create function (関数の作成)] ページで、[Browse serverless app repository (サーバーレスアプリリポジトリの参照)] を選択し、検索フィールドに「inspector」と入力します。

  4. 設計図として inspector-scheduled-run を選択します。

  5. リポジトリの []レビュー、構成、およびデプロイ[] ページで、関数をトリガーする CloudWatch イベントを指定して、自動的な評価の実行の定期的なスケジュールをセットアップします。これを行うには、ルールの名前と説明を入力し、スケジュール式を選択します。スケジュール式は、実行の頻度を決定します。たとえば、15 分ごと、または 1 日 1 回などです。CloudWatch イベントと概念の詳細については、「Amazon CloudWatch イベントとは」を参照してください。

    [Enable trigger (トリガーの有効化)] のチェックボックスをオンにした場合、実行は関数の作成が完了した直後に開始されます。それ以降の自動的な実行は [Schedule expression (スケジュール式)] で指定した定期的なパターンに従います。関数の作成時に [Enable trigger] のチェックボックスをオンにしない場合は、後で関数を編集して、このトリガーを有効にすることができます。

  6. [Configure function] ページで、次の項目を指定します。

    • [名前] に、関数の名前を入力します。

    • (オプション) [Description (説明)] に、関数を識別するための説明を入力します。

    • を使用する場合runtime[] は、デフォルト値の「」のままにします。Node.js 8.10。AWS Lambdaがサポートされるようになりました。Inspector がスケジュールした実行設計図は、Node.js 8.10ランタイム。

    • この関数を使用して自動的に実行される評価テンプレート。それには [assessmentTemplateArn] と呼ばれる環境変数の値を指定します。

    • ハンドラはデフォルト値の「index.handler」に設定します。

    • [Role] フィールドを使用する関数の権限。詳細については、「AWS Lambda のアクセス許可モデル」を参照してください。

      この関数を実行するには、以下を許可する IAM ロールが必要です。AWS Lambda[] をクリックして、Amazon CloudWatch Logs に実行に関するログメッセージ (エラーを含む) を書き込みます。AWS Lambdaは、定期的な自動実行ごとにこのロールを引き受けます。たとえば、次のサンプルポリシーをこの IAM ロールにアタッチできます。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
  7. 場所を確認して [Create function] を選択します。

Amazon Inspector 通知用の SNS トピックを設定するには

Amazon Simple Notification Service(Amazon SNS) は、サブスクライブしているエンドポイントやクライアントへのメッセージを送信する、ウェブサービスです。Amazon SNS を使用して Amazon Inspector の通知をセットアップできます。

通知用の SNS トピックを設定するには

  1. SNS トピックを作成します。「」を参照してください。チュートリアル: Amazon SNS トピックを作成する。トピックを作成したら、[Access policy - optional (アクセスポリシー - オプション)] セクションを展開します。次に、以下の操作を実行し、評価からトピックへのメッセージを送信を許可します。

    1. [Choose method (メソッドの選択)] で、[Basic] を選択します。

    2. [Define who can publish messages to the topic (トピックにメッセージを発行できるユーザーを定義する)] に [Only the specified AWS accounts (指定した AWS アカウントのみ)] を選択してから、トピックを作成するリージョンのアカウントの ARN を入力します。

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East) - arn:aws-us-gov:iam::206278770380:root

      • AWS GovCloud (US-West) - arn:aws-us-gov:iam::850862329162:root

    3. を使用する場合このトピックを購読できるユーザーを定義するで、指定されたAWSアカウント[] を選択してから、トピックを作成するリージョンのアカウントの ARN を入力します。

    4. 「」で説明されているように、Inspector が混乱した代理人として使われることを防ぐため混乱した代理IAM ユーザーガイド] で、次の作業を行います。

      1. [Advanced] を選択します。これで JSON エディタに移動します。

      2. 次の条件を追加します。

        "Condition": { "StringEquals": { "aws:SourceAccount": <your account Id here>, "aws:SourceArn": "arn:aws:inspector:*:*:*" } }
    5. (オプション) AWS: sourceAccount および aws: sourceCharn の詳細については、を参照してください。グローバル条件コンテキストキーIAM ユーザーガイド

    6. 必要に応じてトピックの他の設定を更新し、[Create topic (トピックの作成)] を選択します。

  2. (オプション)SNS トピックを作成して暗号化するには、を参照してください。保管時の暗号化SNS 開発者ガイド

  3. Inspector が KMS キーの混乱した代理人として使用されるのを防ぐには、以下の追加手順に従います。

    1. KMS コンソールで CMK に移動します。

    2. [編集] を選択します。

    3. 次の条件を追加します。

      "Condition": { "StringEquals": { "aws:SourceAccount": <your account Id here>, "aws:SourceArn": "arn:aws:sns:*:*:*" } }
  4. 作成したトピックへのサブスクリプションを作成します。詳細については、「」を参照してください。チュートリアル: Amazon SNS トピックへのエンドポイントのサブスクライブ

  5. サブスクリプションが正しく設定されていることを確認するには、そのトピックに対してメッセージを発行します。詳細については、「」を参照してください。チュートリアル: Amazon SNS トピックにメッセージを発行する