複数の から Prowler セキュリティ検出結果の統合レポートを作成する AWS アカウント - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の から Prowler セキュリティ検出結果の統合レポートを作成する AWS アカウント

Mike Virgilio、Jay Durga、Andrea Di Fabio、Amazon Web Services

概要

Prowler」(GitHub) はオープンソースのコマンドラインツールで、Amazon Web Services (AWS) アカウントがセキュリティのベストプラクティスを順守しているかどうかを評価、監査、監視するのに役立ちます。このパターンでは、Prowler を組織 AWS アカウント 内の一元管理された にデプロイし AWS Organizations、Prowler を使用して組織内のすべてのアカウントのセキュリティ評価を実行します。

Prowler をデプロイして評価に使用する方法は多くありますが、このソリューションは迅速な導入、組織内のすべてのアカウントまたは定義済みのターゲットアカウントの完全な分析及びセキュリティ検出結果レポートに容易にアクセスできるように設計されています。このソリューションでは、Prowler が組織内のすべてのアカウントのセキュリティ評価を完了すると、結果を統合します。また、Prowler がプロビジョニングされたアカウントの Amazon Simple Storage Service (Amazon S3) バケットをスキャンすることを妨げている制限に関連するエラーなど、予想されるエラーメッセージはすべて除外されます AWS Control Tower。除外された統合結果は、このパターンに含まれている Microsoft Excel テンプレートで報告されます。このレポートを使用して、組織のセキュリティ管理の潜在的な改善点を特定できます。

このソリューションは、以下を念頭に置いて設計されました。

  • AWS CloudFormation テンプレートは、このパターンで AWS リソースをデプロイするために必要な労力を削減します。

  • デプロイ時に CloudFormation テンプレートと[prowler_scan.sh]スクリプトのパラメーターを見直して、環境に合わせてテンプレートをカスタマイズできます。

  • Prowler の評価とレポートの速度は、並列処理 AWS アカウント、集計結果、推奨される修復による統合レポート、および自動的に生成された視覚化によって最適化されます。

  • ユーザーはスキャンの進行状況をモニタリングする必要がありません。評価が完了すると、ユーザーはレポートを受信できるように Amazon Simple Notification Service (Amazon SNS) トピックを通じて通知を受信します。

  • レポートテンプレートを使用すると、組織全体に関連する結果のみを読んで評価できます。

前提条件と制限

前提条件

  • 組織のメンバーアカウントとして管理されるセキュリティサービスとツールをホスト AWS アカウント するための AWS Organizations。このパターンでは、このアカウントはセキュリティアカウントと呼ばれます。

  • このセキュリティアカウントには、アウトバウンドインターネットアクセスを可能にするプライベート・サブネットが必要です。手順については、「Amazon Virtual Private Cloud (Amazon VPC) ドキュメント」の「プライベートサブネットにサーバーを持つ VPC と NAT」を参照してください。パブリックサブネットにプロビジョニングされた「NAT ゲートウェイ」を使用してインターネットアクセスを確立できます。

  • AWS Organizations 管理アカウント、または CloudFormation の管理者権限を委任されたアカウントへのアクセス。手順については、「CloudFormation のドキュメント」の「委任管理者の登録」を参照してください。

  • AWS Organizations と CloudFormation 間の信頼されたアクセスを有効にします。手順については、「CloudFormation ドキュメント」の「 信頼できるアクセスを有効にする AWS Organizations」を参照してください。

制約事項

  • ターゲットは、 で組織として管理 AWS アカウント する必要があります AWS Organizations。を使用していない場合は AWS Organizations、環境の IAM-ProwlerExecRole.yaml CloudFormation テンプレートと prowler_scan.sh スクリプトを更新できます。代わりに、スクリプトを実行する AWS アカウント IDs とリージョンのリストを指定します。

  • CloudFormation テンプレートは、アウトバウンドインターネットアクセスのあるプライベートサブネットに Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをデプロイするように設計されています。 AWS Systems Manager エージェント (SSM エージェント) は、 AWS Systems Manager サービスエンドポイントに到達するためにアウトバウンドアクセスを必要とし、コードリポジトリのクローンを作成して依存関係をインストールするにはアウトバウンドアクセスが必要です。パブリックサブネットを使用する場合は、[prowler-resources.yaml]テンプレートを変更して「Elastic IP アドレス」を EC2 インスタンスに関連付ける必要があります。

製品バージョン

  • Prowler バージョン 4.0 以降

アーキテクチャ

Prowler を一元化されたセキュリティアカウントにデプロイしたアーキテクチャ図。

図表に示す内容は以下のステップです。

  1. の一機能である Session Manager を使用して AWS Systems Manager、ユーザーは EC2 インスタンスを認証し、prowler_scan.sh スクリプトを実行します。このシェルスクリプトはステップ 2 ~ 8 を実行します。

  2. EC2 インスタンスは IAM ロールを担当します。ProwlerEC2Role IAM ロールは S3 バケットにアクセスし、組織内の他のアカウントの ProwlerExecRole IAM ロールを担当する権限を付与します。

  3. EC2 インスタンスは、組織の管理アカウントで ProwlerExecRole IAM ロールを引き受けるため、組織内のアカウントのリストが生成されます。

  4. EC2 インスタンスは、組織のメンバーアカウント (アーキテクチャ図ではワークロードアカウントという) の ProwlerExecRole IAM ロールを担当し、各アカウントのセキュリティ評価を実行します。検出結果として、EC2 インスタンスに CSV と HTML ファイルとして保存されます。

    注記

    HTML ファイルは Prowler 評価の出力です。HTML の性質上、このパターンでは連結、処理または直接使用されることはありません。ただし、これらは個別のアカウントレポートレビューには役立つ場合があります。

  5. EC2 インスタンスはすべての CSV ファイルを処理して既知の予想されるエラーを削除し、残りの検出結果を一つの CSV ファイルに統合します。

  6. EC2 インスタンスは、個々のアカウントの結果と集計結果を zip ファイルにパッケージ化します。

  7. EC2 インスタンスは zip ファイルを S3 バケットにアップロードします。

  8. EventBridge ルールはファイルのアップロードを検出し、Amazon SNS トピックを使用して、評価が完了したことを通知する E メールをユーザーに送信します。

  9. ユーザーは S3 バケットから zip ファイルをダウンロードします。ユーザーは結果を Excel テンプレートにインポートし、その結果を確認します。

ツール

AWS のサービス

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。

  • Amazon EventBridge は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理するのに役立ちます。

  • AWS Organizations は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。

  • Amazon Simple Notification Service (Amazon SNS)」は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。

  • Amazon Simple Storage Service (Amazon S3) は、任意の量のデータの保存、保護、取得に役立つクラウドベースのオブジェクトストレージサービスです。

  • AWS Systems Manager」は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間が短縮され、 AWS リソースを大規模に安全に管理できます。このパターンは、Systems Manager の機能である Session Manager を使用します。

その他のツール

  • Prowler は、 AWS セキュリティのベストプラクティスやその他のセキュリティフレームワークや標準に準拠しているかどうかをアカウントで評価、監査、モニタリングするのに役立つオープンソースのコマンドラインツールです。

コードリポジトリ

このパターンのコードは、GitHub 内の「Prowler によるマルチアカウントのセキュリティ評価」リポジトリで利用できます。コードリポジトリには、以下のファイルが含まれます。

  • prowler_scan.sh – この bash スクリプトは AWS アカウント、複数の Prowler セキュリティ評価を並行して開始するために使用されます。Prowler-resources.yaml CloudFormationTemplate で定義されているように、このスクリプトは EC2 インスタンスの usr/local/prowler フォルダに自動的にデプロイされます。

  • prowler-resources.yaml — この CloudFormation テンプレートを使用して、組織のセキュリティアカウントにスタックを作成します。このテンプレートは、ソリューションをサポートするためにこのアカウントに必要なリソースをすべてデプロイします。このスタックは IAM-ProwleExecrole.yaml テンプレートの前にデプロイする必要があります。重要な本番環境のワークロードをホストするアカウントにこれらのリソースをデプロイすることはお勧めしません。

    注記

    このスタックを削除して再デプロイする場合は、IAM ロール間のクロスアカウント依存関係を再構築するために、ProwlerExecRoleスタックセットを再構築する必要があります。

  • IAM-prowlerexecrole.yaml — この CloudFormation テンプレートを使用して、管理アカウントを含む組織内のすべてのアカウントに ProwlerExecRole IAM ロールをデプロイするスタックセットを作成します。

  • prowler-report-template.xlsm – この Excel テンプレートを使用して Prowler の検出結果を処理します。レポート内のピボットテーブルには、検索機能、グラフと統合した検出結果が表示されます。

エピック

タスク説明必要なスキル

コードリポジトリを複製します。

  1. コマンドラインインターフェースで、作業ディレクトリをサンプルファイルを保存する場所に変更します。

  2. 次のコマンドを入力します。

    git clone https://github.com/aws-samples/multi-account-security-assessment-via-prowler.git

AWS DevOps

テンプレートを確認します。

  1. クローンされたリポジトリで、Prowler-Resources.yaml ファイルと IAM-ProwlerExecRole.yaml ファイルを開きます。

  2. これらのテンプレートによって作成されたリソースを確認し、環境に合わせて必要に応じてテンプレートを調整してください。詳細については、CloudFormation ドキュメントの「テンプレートの使用」を参照してください。

  3. Prowler-Resources.yaml ファイルと IAM-ProwlerExecRole.yaml ファイルを保存して閉じます。

AWS DevOps
タスク説明必要なスキル

セキュリティアカウントにリソースをプロビジョニングします。

prowler-resources.yaml テンプレートを使用して、セキュリティアカウントに必要なすべてのリソースをデプロイする CloudFormation スタックを作成します。手順については、「CloudFormation ドキュメント」の「スタックの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. テンプレートを指定ページでテンプレートは準備完了を選択して、[prowler-resources.yaml]ファイルをアップロードします。

  2. [スタック詳細の指定] ページで、[スタック名] に Prowler-Resources と入力します。

  3. [パラメータ] セクションで、次の値を入力します。

    • VPCId — アカウント内の VPC を選択します。

    • SubnetId — インターネットにアクセスできるプライベートサブネットを選択します。

      注:パブリックサブネットを選択すると、CloudFormation テンプレートはデフォルトで Elastic IP アドレスをプロビジョニングしてアタッチしないため、EC2 インスタンスにはパブリック IP アドレスが割り当てられません。

    • InstanceType — パラレル評価数に基づいてインスタンスサイズを選択します。

      • 10 の場合は、 r6i.large を選択します。

      • 12 の場合は、 r6i.xlarge を選択します。

      • 14 ~ 18 の場合は、r6i.2xlarge を選択してください。

    • InstanceImageId — Amazon Linux はデフォルトのままにします。

    • KeyPairName — SSHを使用してアクセスする場合は、既存のキーペア名を指定します。

    • PermittedSSHInbound — SSH を使用してアクセスする場合は、許可された CIDR ブロックを指定します。SSH を使用していない場合は、127.0.0.1 のデフォルト値のままにします。

    • BucketName — デフォルト値は prowler-output-<accountID>-<region> です。これは必要に応じて変更できます。カスタム値を指定すると、アカウント ID と国/地域が指定した値に自動的に追加されます。

    • EmailAddress — Prowler が評価を完了し、.zip ファイルを S3 バケットにアップロードしたとき、Amazon SNS 通知のメールアドレスを指定します。

      注:Prowler が評価を完了する前に SNS サブスクリプションの設定を確認する必要がありますが、確認しないと、通知は送信されません。

    • IAMProwlerEC2Role — 命名規則によりこの IAM ロールに別の名前を付ける必要がある場合以外、デフォルトのままにしてください。

    • IAMProwlerExecRole — IAM-ProwleExecrole.yaml ファイルのデプロイ時に別の名前を付けない限り、デフォルトのままにします。

    • Parallelism — 実行するパラレル評価数を指定します。InstanceType パラメータ値がこのパラレル評価数をサポートしていることを確認してください。

    • FindingOutput — 合格結果を除外したい場合は、FailOnly を選択してください。これにより、出力サイズが大幅に削減され、解決が必要なチェックに重点を置きます。合格結果を含めたい場合は、FailAndPass を選択してください。

  4. 「レビュー」ページで、「次のリソースには機能が必要:[AWS:: IAM:: Role]」を選択して、「Create Stack」を選択します。

  5. スタックが正常に作成されたら、CloudFormation コンソールの出力タブで、「ProwlerEC2Role Amazonリソースネーム (ARN)」をコピーします。この ARN は、後で IAM-Prowlerexecrole.yaml ファイルをデプロイするときに使用します。

AWS DevOps

メンバーアカウントで IAM ロールをプロビジョニングします。

AWS Organizations 管理アカウントまたは CloudFormation の委任管理者権限を持つアカウントで、IAM-ProwlerExecRole.yaml テンプレートを使用して CloudFormation スタックセットを作成します。スタックセットは、組織内のすべてのメンバーアカウントに ProwlerExecRole IAM ロールをデポロイします。手順については、「CloudFormation のドキュメント」の「サービスマネージド型のアクセス許可を持つスタックセットの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. Prepare template (テンプレートを準備します)で Template is ready (テンプレートの準備ができています)を選択し、IAM-ProwleExecrole.yaml ファイルをアップロードします。

  2. [StackSet の詳細を指定] ページで、スタックセットに IAM-ProwlerExecRole という名前を付けます。

  3. [パラメータ] セクションで、次の値を入力します。

    • AuthorizedARNProwler-Resources スタックの作成時にコピーした ProwlerEC2Role ARN を入力します。

    • ProwlerExecRoleName — Prowler-resources.yaml ProwlerExecRole ファイルのデプロイ時に別の名前が付けられていない限り、デフォルト値のままにします。

  4. [アクセス権限] で、[Service-managed permissions (サービスマネージド型のアクセス許可)] を選択します。

  5. [デプロイオプションの設定] ページの [デプロイターゲット] で、[組織へのデプロイ] を選択し、すべてのデ フォルトを受け入れます。

    注:スタックをすべてのメンバーアカウントに同時にデプロイする場合は、最大同時アカウント数と耐障害性を、100 などの高い値に設定します。

  6. デプロイリージョンで、Prowler の EC2 インスタンス AWS リージョン がデプロイされている を選択します。IAM リソースはグローバルであり、リージョナルではないため、IAM ロールはすべてのアクティブなリージョンにデプロイされます。

  7. レビューページで、 がカスタム名で IAM リソースを作成する AWS CloudFormation 可能性があることを確認してから、StackSet の作成を選択します。

  8. スタックインスタンスタブ (個々のアカウントのステータス) と操作タブ (全体的なステータス) をモニタリングして、デプロイが完了したかを判断します。

AWS DevOps

管理アカウントに IAM ロールをプロビジョニングします。

IAM-prowlerexecrole.yaml テンプレートを使用して、組織の管理アカウントに ProwlerExecRole IAM ロールをデプロイする CloudFormation スタックを作成します。以前に作成したスタックセットでは、管理アカウントに IAM ロールはデプロイされません。手順については、「CloudFormation のドキュメント」の「スタックの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. テンプレートを指定ページで Template is ready (テンプレートの準備ができています)を選択し、IAM-ProwleExecrole.yaml ファイルをアップロードします。

  2. [スタック詳細の指定] ページで、[スタック名] に IAM-ProwlerExecRole と入力します。

  3. [パラメータ] セクションで、次の値を入力します。

    • AuthorizedARNProwler-Resources スタックの作成時にコピーした ProwlerEC2Role ARN を入力します。

    • ProwlerExecRoleName — [Prowler-resources.yaml]ファイルのデプロイ時に別の名前が付けられていない限り、デフォルト値のままにします。

  4. レビューページで、次のリソースには機能が必要: AWS:: IAM:: Role を選択し、スタックの作成を選択します。

AWS DevOps
タスク説明必要なスキル

スキャンを実行します。

  1. 組織のセキュリティアカウントにサインインします。

  2. 「Session Manager」を使用して、以前にプロビジョニングした Prowler の EC2 インスタンスに接続します。手順については、「Session Manager を使用して Linux インスタンスに接続」を参照してください。接続できない場合は、このパターンの「トラブルシューティング」セクションを参照してください。

  3. prowler_scan.sh ファイルに移動して開きます。

  4. お使いの環境に応じて、このスクリプト内の調整可能なパラメータと変数を確認して変更します。カスタマイズオプションの詳細については、スクリプトの冒頭におけるコメントを参照してください。

    たとえば、管理アカウントから組織内のすべてのメンバーアカウントのリストを取得する代わりに、スクリプトを変更してスキャン AWS リージョン する AWS アカウント IDs または を指定するか、これらのパラメータを含む外部ファイルを参照できます。

  5. prowler_scan.sh ファイルを保存して閉じます。

  6. 以下のコマンドを入力します。これにより、prowler_scan.sh スクリプトを実行します。

    sudo -i
screen
cd /usr/local/prowler
./prowler_scan.sh

    次の点に注意してください:

    • スクリーンコマンドは、接続がタイムアウトになり、またはコンソールにアクセスできなくなる場合でも、スクリプトの実行を継続できるようにします。

    • スキャン開始後、Ctrl+A D を押すことで画面を強制的に切り離すことができます。画面が切り離されると、インスタンス接続を閉じて評価を続行できます。

    • デタッチしたセッションを再開するには、インスタンスに接続し、「sudo -i Enter screen -r」キーを押します。

    • 個々のアカウント評価の進捗状況をモニタリングするには、usr/local/prowler ディレクトリに移動してコマンドを入力します tail -f output/stdout-<account-id>

  7. Prowler がすべてのアカウントのスキャンを完了するまでお待ちください。スクリプトは、複数のアカウントを同時に評価します。すべてのアカウントで評価が完了すると、Prowler-Resources.yaml ファイルをデプロイしたときにメールアドレスを指定した場合は、通知が送信されます。

AWS 管理者

Prowler の調査結果を取得します。

  1. prowler-output-<assessDate>.zip バケットから prowler-output-<accountID>-<region> ファイルをダウンロードします。手順については、「Amazon S3 ドキュメント」の「オブジェクトのダウンロード」を参照してください。

  2. ダウンロードしたファイルを含め、バケット内のすべてのオブジェクトを削除します。これはコストダウンのベストプラクティスであり、Prowler-Resources CloudFormation スタックをいつでも削除できるようにします。手順については、「Amazon S3 ドキュメント」の「オブジェクトの削除」を参照してください。

AWS 全般

EC2 インスタンスを停止します。

インスタンスがアイドル状態のときに課金されないようにするには、Prowler を実行している EC2 インスタンスを停止します。手順については、「Amazon EC2 ドキュメント」の「インスタンスの停止と起動」を参照してください。

AWS DevOps
タスク説明必要なスキル

検出結果をインポートします。

  1. Excel で prowler-report-template.xlsx ファイルを開き、Prowler CSV ワークシートを選択します。

  2. ヘッダー行を含むすべてのサンプルデータを削除します。削除するデータに関連するクエリを削除するかどうかを確認するメッセージが表示されると、[いいえ]を選択します。 クエリを削除すると、Excel テンプレートのピボットテーブルの機能に影響する可能性があります。

  3. S3 バケットからダウンロードした zip ファイルの内容を抽出します。

  4. Excel で prowler-fullorgresults-accessdeniedfiltered.txt を開きます。 AWS Control Tower リソースのスキャンの試行に関連するエラーなど、最も一般的な実行不可能なAccess Deniedエラーがすでに削除されているため、このファイルを使用することをお勧めします。検出結果を除外しないでほしい場合は、代わりに prowler-fullorgresults.txt ァイルを開いてください。

  5. A 列を選択します。

  6. Windows を使用している場合は、Ctrl+C を押します。MacOS を使用している場合はCmd+C を押します。これにより、すべてのデータがクリップボードにコピーされます。

  7. Excel レポートテンプレートの Prowler CSV ワークシートで、セル A1 を選択します。

  8. Windows を使用している場合は Ctrl+V を押し、MacOS を使用している場合は Cmd+V を押します。これにより、調査結果がレポートにペーストされます。

  9. ペーストされたデータを含むすべてのセルが選択されていることを確認します。選択されていない場合は、列 A を選択します。

  10. データタブでテキストから列へを選択します。

  11. ウィザードで、以下を実行します。

    • ステップ 1 では、区切りを選択します。

    • ステップ 2 では、区切り文字でセミコロンを選択します。データプレビューペインで、データが列に分割されていることを確認します。

    • ステップ 3 では、完了を選択します。

  12. テキストデータが複数の列にまたがって区切られていることを確認します。

  13. Excel レポートに新しい名前を付けて保存します。

  14. 結果内の Access Denied エラーを検索して削除します。これらをプログラムで削除する方法については、「追加情報」セクションのプログラムによるエラーの削除を参照してください。

AWS 全般

レポートを完成します。

  1. 検出結果ワークシートを選択して、セル A17 を選択します。このセルはピボットテーブルのヘッダーです。

  2. リボンのピボットテーブルツールで分析を選択し、更新のすべて更新を選択します。これにより、ピボットテーブルが新しいデータセットで更新されます。

  3. デフォルトでは、Excel は AWS アカウント 数字を正しく表示しません。数値フォーマットを修正する方法は次のとおりです。

    • 結果ワークシートで、列 A のコンテキスト (右クリック) メニューを開き、セルのフォーマットを選択します。

    • [数値]を選択し、小数点以下の桁数で 0 を入力します。

    • [OK] を選択してください。

    注: AWS アカウント 数値が 1 つ以上のゼロで始まる場合、Excel は自動的にゼロを削除します。レポートに 12 桁未満の口座番号が表示される場合、番号の先頭で欠落している数字はゼロです。

  4. (オプション) フィールドを折りたたむと、結果が見やすくなります。以下の操作を実行します。

    • 検出結果ワークシートでは、18 行目と 19 行目の間の行 (重要なヘッダーと最初の結果の間のスペース) にカーソルを移動すると、カーソルアイコンが下向きの小さな矢印に変わります。

    • すべての検索フィールドをクリックして選択します。

    • コンテキスト (右クリック) メニューを開き、展開/折りたたみを選択してから、折りたたみを選択します。

  5. 評価の詳細については、検出結果、重要度、合格不合格の各ワークシートを参照してください。

AWS 全般
タスク説明必要なスキル

Prowler をアップデートします。

Prowler を最新バージョンに更新するには、次の操作を実行します。

  1. Prowlerのため「Session Manager」を使用して EC2 インスタンスに接続します。手順については、「Session Manager を使用して Linux インスタンスに接続」を参照してください。

  2. 次のコマンドを入力します。

    sudo -i
pip3 install --upgrade prowler
AWS 全般

[prowler_scan.sh]スクリプトを更新してください。

prowler_scan.sh スクリプトをリポジトリ内で最新バージョンに更新するには、次の操作を実行します。

  1. 「Session Manager」を使用して Prowler のために EC2 インスタンスに接続します。手順については、「Session Manager を使用して Linux インスタンスに接続」を参照してください。

  2. 次のコマンドを入力します。

    sudo -i

  3. Prowler スクリプトディレクトリに移動します。

    cd /usr/local/prowler

  4. 次のコマンドを入力してローカルスクリプトを非表示にし、カスタム変更を最新バージョンにマージできるようにします。

    git stash

  5. スクリプトの最新バージョンを取得するには、以下のコマンドを入力します。

    git pull

  6. 次のコマンドを入力して、カスタムスクリプトを最新バージョンのスクリプトと結合します。

    git stash pop
注記

検出結果レポートなど、GitHub リポジトリにないローカルに生成されたファイルに関連する警告が表示される場合があります。prowler_scan.sh によってローカルで非表示になっている変更がマージされる場合に限ります。

AWS 全般
タスク説明必要なスキル

デプロイされたリソースをすべて削除します。

リソースをアカウントにデプロイしたままにしておくことができます。未使用のときに EC2 インスタンスをシャットダウンし、S3 バケットを空のままにしておくと、将来のスキャンのためにリソースを維持するコストを削減できます。

すべてのリソースのプロビジョニングを解除するには、次の操作を実行します。

  1. 管理アカウントにプロビジョニングされた IAM-ProwlerExecRole スタックを削除します。手順については、「CloudFormation のドキュメント」の「スタックの削除」を参照してください。

  2. 組織の管理アカウントまたは委任された管理者アカウントにプロビジョニングされた スタックセットを削除します。手順については、「CloudFormation のドキュメント」の「スタックセットの削除」を参照してください。

  3. prowler-output S3 バケット内のすべてのオブジェクトを削除します。手順については、「Amazon S3 のドキュメント」の「オブジェクトの削除」を参照してください。

  4. セキュリティアカウントにプロビジョニングされた Prowler-Resources スタックを削除します。手順については、「CloudFormation のドキュメント」の「スタックの削除」を参照してください。

AWS DevOps

トラブルシューティング

問題ソリューション

Session Manager を使用した EC2 インスタンスに接続できません。

SSM エージェントは、Systems Manager エンドポイントと通信できる必要があります。以下の操作を実行します。

  1. EC2 インスタンスがデプロイされているサブネットがインターネットにアクセスできていることを確認します。

  2. EC2 インスタンスを再起動します。

スタックセットをデプロイすると、CloudFormation コンソールに Enable trusted access with AWS Organizations to use service-managed permissions を求めるメッセージが表示されます。

これは、 AWS Organizations と CloudFormation の間で信頼されたアクセスが有効になっていないことを示します。サービスマネージド型のスタックセットをデプロイするには、信頼されたアクセスが必要です。このボタンを選択すると、信頼されたアクセスは有効になります。詳細については、「CloudFormation のドキュメント」の「信頼されたアクセスの有効化」を参照してください。

関連リソース

AWS ドキュメント

その他のリソース

追加情報

プログラムによるエラーの削除

Access Denied 結果にエラーを含んでいる場合は、そのエラーを検出結果から削除する必要があります。これらのエラーは通常、Prowler が特定のリソースを評価できないようにする外部からの影響を受けた権限により生じます。たとえば、プロビジョニングされた S3 バケットを確認すると、一部のチェックが失敗します AWS Control Tower。これらの結果をプログラムで抽出し、除外した結果を新しいファイルとして保存できます。

次のコマンドは、1 つのテキスト文字列 (パターン) を含む行を削除し、その結果を新しいファイルに出力します。

  • Linux または MacOS (Grep) の場合

    grep -v -i "Access Denied getting bucket" myoutput.csv > myoutput_modified.csv

  • Windows (PowerShell) の場合

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket' -NotMatch > myoutput_modified.csv

次のコマンドは、複数のテキスト文字列と一致する行を削除し、その結果を新しいファイルに出力します。

  • Linux または MacOS の場合 (文字列間にエスケープパイプを使用する)

    grep -v -i 'Access Denied getting bucket\|Access Denied Trying to Get' myoutput.csv > myoutput_modified.csv

  • Windows の場合 (文字列間にはカンマを使用します)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket', 'Access Denied Trying to Get' -NotMatch > myoutput_modified.csv

レポートの例

次の図は、統合された Prowler の検出結果レポートの検出結果ワークシート例を示しています。

Prowler スキャン結果のレポートにおける検出結果タブの例

次の図は、統合された Prowler の検出結果レポートに含まれる合格不合格ワークシート例を示しています。(デフォルトでは、合格結果は出力から除外されます)。

Prowler スキャン結果のレポートにおける合格不合格タブの例

次の図は、統合された Prowler の検出結果レポートに含まれる重要度ワークシート例を示しています。

Prowler スキャン結果のレポートにおける重要度タブの例