Avaliando a cobertura do Amazon Inspector sobre seu ambiente AWS - Amazon Inspector
Avaliar a cobertura em nível de contaAvaliação da cobertura das instâncias da Amazon EC2Avaliação da cobertura dos repositórios da Amazon ECRAvaliação da cobertura das imagens de ECR contêineres da AmazonAvaliar a cobertura das funções do AWS Lambda

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliando a cobertura do Amazon Inspector sobre seu ambiente AWS

Você pode avaliar a cobertura do seu AWS ambiente pelo Amazon Inspector a partir da tela de gerenciamento de contas no console do Amazon Inspector, que mostra detalhes e estatísticas sobre o status das análises do Amazon Inspector para suas contas e recursos.

nota

Se você for o administrador delegado de uma organização, poderá visualizar detalhes e estatísticas de todas as contas da organização.

O procedimento a seguir descreve como avaliar a cobertura do seu ambiente Amazon Inspector.

Para avaliar a cobertura do Amazon Inspector sobre seu ambiente AWS

  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. No painel de navegação, escolha Gerenciamento de contas.

  3. Para revisar a cobertura, escolha uma das seguintes guias:

    • Escolha Contas para revisar a cobertura em nível de conta.

    • Escolha Instâncias para analisar a cobertura das instâncias do Amazon Elastic Compute Cloud (AmazonEC2).

    • Escolha repositórios de contêineres para analisar a cobertura dos repositórios do Amazon Elastic Container Registry (AmazonECR).

    • Escolha imagens de contêiner para analisar a cobertura das imagens de ECR contêineres da Amazon.

    • Escolha as funções do Lambda para revisar a cobertura das funções do Lambda.

Os tópicos a seguir descrevem as informações que cada uma dessas guias fornece.

Avaliar a cobertura em nível de conta

Se sua conta não faz parte de uma organização ou não é a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece informações sobre sua conta e o status da verificação de recursos para sua conta. Nesse guia, você poderá ativar ou desativar a verificação de todos ou somente tipos específicos de recursos da sua conta. Para ter mais informações, consulte Verificação automatizada de recursos do Amazon Inspector.

Se sua conta for a conta delegada de administrador do Amazon Inspector para uma organização, o guia Contas fornece configurações de ativação automática para contas em sua organização e lista todas as contas em sua organização. Para cada conta, a lista indica se o Amazon Inspector está ativado para a conta e, em caso afirmativo, os tipos de verificação de recursos que estão ativados para a conta. Como administrador delegado, use essa guia para alterar as configurações de ativação automática da sua organização. Você também poderá ativar ou desativar tipos específicos de verificação de recursos para contas de membros individuais. Para ter mais informações, consulte Habilitar verificações de contas-membro do Amazon Inspector.

Avaliação da cobertura das instâncias da Amazon EC2

A guia Instâncias mostra as EC2 instâncias da Amazon em seu AWS ambiente. As listas são organizadas em grupos nos seguintes guias:

  • Tudo: mostra todas as instâncias em seu ambiente. A coluna Status indica o status atual da verificação de uma instância.

  • Verificação: mostra todas as instâncias que o Amazon Inspector está monitorando e verificando ativamente em seu ambiente.

  • Sem verificação: mostra todas as instâncias que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma instância.

    Uma EC2 instância pode aparecer na guia Não escanear por vários motivos. O Amazon Inspector usa AWS Systems Manager (SSM) e o SSM Agente para monitorar e escanear automaticamente suas EC2 instâncias em busca de vulnerabilidades. Se uma instância não tiver o SSM Agente em execução, não tiver uma função AWS Identity and Access Management (IAM) que suporte o Systems Manager ou não estiver executando um sistema operacional ou uma arquitetura compatível, o Amazon Inspector não poderá monitorar e escanear a instância. Para ter mais informações, consulte Digitalizando EC2 instâncias da Amazon.

Em cada guia, a coluna Conta especifica quem é dono Conta da AWS de uma instância.

EC2tags de instância — Essa coluna mostra as tags associadas à instância e pode ser usada para determinar se sua instância foi excluída das verificações por tags.

Sistema operacional — Esta coluna mostra o tipo de sistema operacional, que pode ser WINDOWS, MAC, LINUX ou UNKNOWN.

Uso monitorado — Esta coluna mostra se o Amazon Inspector está usando o método de verificação baseado em agente ou sem agente nesta instância.

Última verificação — Esta coluna mostra quando o Amazon Inspector verificou pela última vez vulnerabilidades nesse recurso. A frequência com que o Amazon Inspector executa verificações depende do método de verificação usado para verificar a instância.

Para analisar detalhes adicionais sobre uma EC2 instância, escolha o link na coluna EC2Instância. Em seguida, o Amazon Inspector exibe detalhes sobre a instância e as descobertas atuais da instância. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizando detalhes de suas descobertas do Amazon Inspector.

Escaneando valores de status para EC2 instâncias da Amazon

Para uma instância do Amazon Elastic Compute Cloud (AmazonEC2), os valores de status possíveis são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente a instância.

  • EC2instância interrompida — O Amazon Inspector pausou a verificação da instância porque a instância está em um estado interrompido. Todas as descobertas existentes persistirão até que a instância seja encerrada. Se a instância for reiniciada, o Amazon Inspector retomará automaticamente a verificação da instância.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a instância. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Sem inventário: o Amazon Inspector não conseguiu encontrar o inventário do aplicativo de software para verificar a instância. As associações do Amazon Inspector para a instância podem ter sido excluídas ou podem ter falhado na execução.

    Para corrigir esse problema, use AWS Systems Manager para garantir que a InspectorInventoryCollection-do-not-delete associação exista e que seu status de associação seja bem-sucedido. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • Desativação pendente: o Amazon Inspector parou de verificar a instância. A instância está sendo desativada, aguardando a conclusão das tarefas de limpeza.

  • Verificação inicial pendente: o Amazon Inspector colocou a instância em fila para uma verificação inicial.

  • Recurso encerrado: a instância foi encerrada. No momento, o Amazon Inspector está limpando as descobertas existentes e os dados de cobertura da instância.

  • Inventário obsoleto: o Amazon Inspector não conseguiu coletar um inventário atualizado de aplicativos de software que foi capturado nos últimos 7 dias para a instância.

    Para remediar esse problema, use AWS Systems Manager para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância. Além disso, use o AWS Systems Manager do Gerenciador de Frotas para verificar o inventário de aplicativos de software da instância.

  • EC2Instância não gerenciada — O Amazon Inspector não está monitorando nem escaneando a instância. A instância não é gerenciada pelo AWS Systems Manager.

    Para corrigir esse problema, você pode usar o AWSSupport-TroubleshootManagedInstance runbookfornecido pela AWS Systems Manager Automation. Depois de configurar AWS Systems Manager para gerenciar a instância, o Amazon Inspector começará automaticamente a monitorar e escanear continuamente a instância.

  • Sistema operacional não compatível: o Amazon Inspector não está monitorando nem verificando a instância. A instância usa um sistema operacional ou arquitetura que o Amazon Inspector não dá suporte. Para obter uma lista dos sistemas operacionais que o Amazon Inspector com suporte, consulte Sistemas operacionais compatíveis com o EC2 escaneamento da Amazon.

  • Monitoramento ativo com erros parciais — Esse status significa que a EC2 verificação está ativa, mas há erros associados Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2 a. Os possíveis erros de inspeção profunda são:

    • Limite de coleta de pacotes de inspeção profunda excedido — A instância excedeu o limite de 5000 pacotes para a inspeção profunda do Amazon Inspector. Para retomar a inspeção profunda dessa instância, você pode tentar ajustar os caminhos personalizados associados à conta.

    • Inspeção profunda: limite diário de inventário ssm excedido — O SSM agente não conseguiu enviar inventário para o Amazon Inspector porque SSM a cota de dados de inventário coletados por instância por dia já foi atingida para essa instância. Para obter mais informações, consulte endpoints e cotas do Amazon EC2 Systems Manager.

    • Limite de tempo de coleta de inspeção profunda excedido — O Amazon Inspector não conseguiu extrair o inventário do pacote porque o tempo de coleta do pacote excedeu o limite máximo de 15 minutos.

    • A inspeção profunda não tem inventário — O SSMplug-in do Amazon Inspector ainda não conseguiu coletar um inventário de pacotes para essa instância. Isso geralmente é o resultado de uma verificação pendente, no entanto, se esse status persistir após 6 horas, use o Amazon EC2 Systems Manager para garantir que as associações necessárias do Amazon Inspector existam e estejam em execução para a instância.

Para obter detalhes sobre como definir as configurações de escaneamento para uma EC2 instância, consulteDigitalizando EC2 instâncias da Amazon.

Avaliação da cobertura dos repositórios da Amazon ECR

A guia Repositórios mostra os ECR repositórios da Amazon em seu AWS ambiente. As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todos os repositórios em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Ativado: mostra todos os repositórios que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de um repositório.

  • Não ativado: mostra todos os repositórios que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando um repositório.

Em cada guia, a coluna Conta especifica quem possui um repositório. Conta da AWS

Para revisar detalhes adicionais sobre um repositório, escolha o nome do repositório. Em seguida, o Amazon Inspector exibe uma lista de imagens de contêineres no repositório e detalhes de cada imagem. Os detalhes incluem a etiqueta da imagem, o resumo da imagem e o status da verificação. Eles também incluem estatísticas de descobertas importantes, como o número de descobertas críticas da imagem. Para detalhar e revisar os dados de suporte de estatísticas de descobertas, escolha a tag de imagem para a imagem.

Escaneando valores de status para ECR repositórios da Amazon

Para um repositório Amazon Elastic Container Registry (AmazonECR), os valores de status possíveis são:

  • Ativado (contínuo) — Para um repositório, o Amazon Inspector monitora continuamente as imagens nesse repositório. A configuração de escaneamento avançado para o repositório está definida como verificação contínua. O Amazon Inspector digitaliza inicialmente novas imagens quando elas são enviadas e digitaliza novamente as imagens se uma nova imagem CVE relevante para essa imagem for publicada. O Amazon Inspector continuará monitorando imagens neste repositório durante a duração do ECR escaneamento que você configurar.

  • Ativado (por envio) — O Amazon Inspector digitaliza automaticamente imagens de contêineres individuais no repositório quando uma nova imagem é enviada. O escaneamento aprimorado é ativado para o repositório e configurado para escanear por push.

  • Acesso negado: o Amazon Inspector não tem permissão para acessar o repositório ou qualquer imagem de contêiner no repositório.

    Para remediar esse problema, assegure-se de que AWS Identity and Access Management (IAM) as políticas do repositório permitam que o Amazon Inspector acesse o repositório.

  • Desativado (Manual): o Amazon Inspector não está monitorando nem verificando nenhuma imagem de contêiner no repositório. A configuração de ECR digitalização da Amazon para o repositório está definida como varredura manual básica.

    Para começar a verificar imagens no repositório com o Amazon Inspector, altere a configuração de verificação do repositório para escaneamento avançado e, em seguida, escolha se deseja verificar imagens continuamente ou somente quando uma nova imagem for enviada.

  • Ativado (por envio) — O Amazon Inspector digitaliza automaticamente imagens de contêineres individuais no repositório quando uma nova imagem é enviada. A configuração de escaneamento avançado do repositório está definida para verifcar por push.

  • Erro interno — Ocorreu um erro interno quando o Amazon Inspector tentou escanear o repositório. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

Para obter detalhes sobre como definir as configurações de escaneamento para repositóriosDigitalizando imagens de ECR contêineres da Amazon.

Avaliação da cobertura das imagens de ECR contêineres da Amazon

A guia Imagens mostra imagens de ECR contêineres da Amazon em seu AWS ambiente. As listas são organizadas em grupos nos guias a seguir:

  • Tudo: mostra todas as imagens de contêineres em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Verificação: mostra todas as imagens de contêineres que o Amazon Inspector está configurado para monitorar e verificar em seu ambiente. A coluna Status indica o status atual da verificação de uma imagem.

  • Sem verificação: mostra todas as imagens de contêineres que o Amazon Inspector não está monitorando e verificando em seu ambiente. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma imagem.

    Uma imagem de contêiner pode aparecer no guia Não ativada por vários motivos. A imagem pode ser armazenada em um repositório para o qual as digitalizações do Amazon Inspector não estão ativadas, ou as regras de filtragem da ECR Amazon impedem que esse repositório seja escaneado. Ou a imagem não foi enviada ou retirada dentro do número de dias que você configurou para a duração da ECR nova digitalização. Para ter mais informações, consulte Configurando a duração da ECR nova digitalização.

Em cada guia, a coluna Nome do repositório especifica o nome do repositório que armazena uma imagem de contêiner. A coluna Conta especifica o Conta da AWS proprietário do repositório. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na busca de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova. CVE Para ter mais informações, consulte Comportamentos de escaneamento para ECR escaneamento da Amazon.

Para revisar detalhes adicionais sobre uma imagem de contêiner, escolha o link na coluna de imagem de ECR contêiner. Em seguida, o Amazon Inspector exibe detalhes sobre a imagem e as descobertas atuais da imagem. Para revisar os detalhes de uma descoberta, escolha o link na coluna Título. Para obter informações detalhadas, consulte o Visualizando detalhes de suas descobertas do Amazon Inspector.

Valores de status de digitalização para imagens de ECR contêineres da Amazon

Para uma imagem de contêiner do Amazon Elastic Container Registry, os valores de status possíveis são:

  • Monitoramento ativo (contínuo) — O Amazon Inspector monitora continuamente e a imagem e novas digitalizações são realizadas nela sempre que um novo item relevante CVE é publicado. A duração da ECR redigitalização da imagem pela Amazon é atualizada sempre que a imagem é empurrada ou puxada. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de verificação avançada para o repositório está definida como verificação contínua.

  • Ativado (ao enviar) — O Amazon Inspector digitaliza automaticamente a imagem sempre que uma nova imagem é enviada. O escaneamento avançado é ativado para o repositório que armazena a imagem, e a configuração de escaneamento avançado do repositório está definida para verificar por push.

  • Erro interno — Ocorreu um erro interno quando o Amazon Inspector tentou escanear a imagem do contêiner. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Escaneamento inicial pendente — O Amazon Inspector colocou a imagem em fila para um escaneamento inicial.

  • A elegibilidade da digitalização expirou (contínua) — O Amazon Inspector suspendeu a digitalização da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. Você pode empurrar ou puxar a imagem para continuar a digitalização.

  • A elegibilidade do escaneamento expirou (On push) — O Amazon Inspector suspendeu a digitalização da imagem. A imagem não foi atualizada dentro do período que você especificou para novas verificações automáticas de imagens no repositório. Você pode pressionar a imagem para continuar a digitalização.

  • Manual de frequência de digitalização (Manual) — O Amazon Inspector não digitaliza a imagem do ECR contêiner Amazon. A configuração de ECR digitalização da Amazon para o repositório que armazena imagens está definida como digitalização manual básica. Para começar a verificar a imagem automaticamente com o Amazon Inspector, altere a configuração do repositório para o escaneamento avançado e, em seguida, escolha se deseja verificar imagens de maneira contínua ou somente quando uma nova imagem for enviada.

  • Sistema operacional não suportado — O Amazon Inspector não está monitorando ou digitalizando a imagem. A imagem é baseada em um sistema operacional não compatível com o Amazon Inspector ou contém um tipo de mídia não compatível com o Amazon Inspector.

    Para ver uma lista de sistemas operacionais compatíveis com o Amazon Inspector, consulte Sistemas operacionais compatíveis com o ECR escaneamento da Amazon. Para ver uma lista dos tipos de mídia compatíveis com o Amazon Inspector, consulte Tipos de mídia compatíveis.

Para obter detalhes sobre como definir as configurações de verificação para repositórios e imagens, consulte Digitalizando imagens de ECR contêineres da Amazon.

Avaliação da cobertura das funções AWS Lambda

A guia Lambda mostra as funções do Lambda em seu ambiente. AWS Nesta página, duas tabelas, uma que mostra detalhes da cobertura da função para o escaneamento padrão do Lambda e outra para o escaneamento de código do Lambda. Agrupe funções com base nos seguintes guias:

  • Tudo: mostra todas as funções do Lambda em seu ambiente. A coluna Status indica o status atual da verificação de uma função do Lambda.

  • Verificação: mostra as funções do Lambda que o Amazon Inspector está configurado para verificar. A coluna Status indica o status atual da verificação de cada função do Lambda.

  • Sem verificação: mostra as funções do Lambda que o Amazon Inspector não está configurado para verificar. A coluna Motivo indica por que o Amazon Inspector não está monitorando e verificando uma função.

    Uma função do Lambda pode aparecer no guia Sem verificação por vários motivos. A função do Lambda pode pertencer a uma conta que não foi adicionada ao Amazon Inspector ou as regras de filtragem impedem que essa função seja verificada. Para ter mais informações, consulte Digitalizando funções Lambda.

Em cada guia, a coluna Nome da função especifica o nome da função do Lambda. A coluna Conta especifica Conta da AWS o proprietário da função. O identificador do runtime da função. A coluna Status indica o status atual da verificação de cada função do Lambda. Tags de recursos mostram as tags que foram aplicadas à função. A coluna Última verificação mostra quando o Amazon Inspector verificou pela última vez esse recurso em busca de vulnerabilidades. Isso pode incluir verificações quando há uma atualização na busca de metadados, quando há uma atualização no inventário de aplicativos do recurso ou quando uma nova verificação é feita em resposta a uma nova. CVE Para ter mais informações, consulte Comportamentos de verificação para escaneamento de funções do Lambda.

Valores de status de digitalização para AWS Lambda funções

Para uma função do Lambda, os valores de Status possíveis são:

  • Monitoramento ativo: o Amazon Inspector monitora e verifica continuamente as funções do Lambda. A varredura contínua inclui uma verificação inicial de novas funções quando elas são enviadas para o repositório e novas verificações automatizadas de funções quando elas são atualizadas ou quando novas vulnerabilidades e exposições comuns () são lançadas. CVEs

  • Excluído por tag: o Amazon Inspector não está verificando essa função porque ela foi excluída dos verificações por tags.

  • A elegibilidade da verificação expirou: o Amazon Inspector não está monitorando essa função porque já passaram 90 dias ou mais desde a última vez que ela foi invocada ou atualizada.

  • Erro interno: ocorreu um erro interno quando o Amazon Inspector tentou verificar a função. O Amazon Inspector resolverá automaticamente o erro e retomará a verificação assim que possível.

  • Verificação inicial pendente: o Amazon Inspector colocou a função em fila para um verificação inicial.

  • Sem suporte: a função do Lambda tem um runtime incompatível.