Exportar relatórios de descobertas do Amazon Inspector
Um relatório de descobertas é um arquivo CSV ou JSON que fornece um snapshot detalhado das descobertas. Você pode exportar um relatório de descobertas para o AWS Security Hub, o Amazon EventBridge e o Amazon Simple Storage Service (Amazon S3). Ao configurar um relatório de descobertas, especifique quais descobertas incluir no relatório. Por padrão, seu relatório de descobertas inclui dados de todas as suas descobertas ativas. Se você for o administrador delegado de uma organização, seu relatório de descobertas inclui dados de todas as contas-membro em sua organização. Para personalizar um relatório de descobertas, crie e aplique um filtro a ele.
Quando você exporta um relatório de descobertas, o Amazon Inspector criptografa os dados das descobertas com uma AWS KMS key que você especifica. Depois que o Amazon Inspector criptografa os dados das descobertas, ele armazena o relatório de descobertas em um bucket do Amazon S3 que você especifica. Sua chave do AWS KMS deve ser usada na mesma Região da AWS que o bucket do Amazon S3. Sua política de chave do AWS KMS deve permitir que o Amazon Inspector a use, e a política de bucket do Amazon S3 deve permitir que o Amazon Inspector adicione objetos a ele. Depois de exportar seu relatório de descobertas, você pode baixá-lo do seu bucket do Amazon S3 ou transferi-lo para um novo local. Você também pode usar o bucket do Amazon S3 como um repositório para outros relatórios de descobertas exportados.
Esta seção descreve como exportar um relatório de descobertas no console do Amazon Inspector. As tarefas a seguir exigem que você verifique suas permissões, configure um bucket do Amazon S3, configure uma AWS KMS key e configure e exporte um relatório de descobertas.
nota
Se você exportar um relatório de descobertas com a API CreateFindingsReport do Amazon Inspector, só poderá visualizar suas descobertas ativas. Se quiser visualizar suas descobertas suprimidas ou encerradas, você deve especificar SUPPRESSED
ou CLOSED
como parte de seus critérios de filtro.
Tarefas
Etapa 1: verificar as permissões
nota
Depois de exportar um relatório de descobertas pela primeira vez, as etapas 1 a 3 são opcionais. Você segue essas etapas com base no desejo de usar ou não o mesmo bucket do Amazon S3 e a mesma AWS KMS key para outros relatórios de descobertas exportados. Se você quiser exportar um relatório de descobertas programaticamente após concluir as etapas 1 a 3, use a operação CreateFindingsReport da API do Amazon Inspector.
Antes de exportar um relatório de descobertas do Amazon Inspector, verifique se você tem as permissões necessárias para exportar relatórios de descobertas e configurar recursos para criptografar e armazenar os relatórios. Para verificar suas permissões, use o AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para exportar o relatório de descobertas.
- Amazon Inspector
-
Para o Amazon Inspector, verifique se você tem permissão para realizar as seguintes ações:
-
inspector2:ListFindings
-
inspector2:CreateFindingsReport
Essas ações permitem que você recupere dados de descobertas para sua conta e exporte esses dados em relatórios de descobertas.
Se você planeja exportar relatórios grandes programaticamente, você também pode verificar se tem permissão para realizar as seguintes ações:
inspector2:GetFindingsReportStatus
para verificar o status dos relatórios einspector2:CancelFindingsReport
cancelar as exportações que estão em andamento. -
- AWS KMS
-
Para o AWS KMS, verifique se você tem permissão para realizar as seguintes ações:
-
kms:GetKeyPolicy
-
kms:PutKeyPolicy
Essas ações permitem que você recupere e atualize a política de chaves para o AWS KMS key que você deseja que o Amazon Inspector use para criptografar seu relatório.
Para usar o console do Amazon Inspector para exportar um relatório, verifique também se você tem permissão para realizar as seguintes ações do AWS KMS:
-
kms:DescribeKey
-
kms:ListAliases
Essas ações permitem que você recupere e exiba informações sobre o AWS KMS keys para sua conta. Em seguida, você pode escolher uma dessas chaves para criptografar o relatório.
Se você planeja criar uma nova chave KMS para criptografar o relatório, você também precisa ter permissão para realizar a ação do
kms:CreateKey
. -
- Amazon S3
-
Para o Amazon S3, verifique se você tem permissão para realizar as seguintes ações:
-
s3:CreateBucket
-
s3:DeleteObject
-
s3:PutBucketAcl
-
s3:PutBucketPolicy
-
s3:PutBucketPublicAccessBlock
-
s3:PutObject
-
s3:PutObjectAcl
Essas ações permitem criar e configurar o bucket do S3 no qual você deseja que o Amazon Inspector armazene o relatório. Elas também permitem que você adicione e exclua objetos do bucket.
Para usar o console do Amazon Inspector para exportar um relatório, verifique também se você tem permissão para realizar as seguintes ações do
s3:ListAllMyBuckets
es3:GetBucketLocation
: Essas ações permitem que você recupere e exiba informações sobre os buckets do S3 para sua conta. Em seguida, você pode escolher um desses buckets para armazenar o relatório. -
Se você não tiver permissão para realizar uma ou mais das ações necessárias, peça ajuda ao administrador do AWS antes de prosseguir para a próxima etapa.
Etapa 2: configurar um bucket do Amazon S3
Depois de verificar as permissões, você estará pronto para configurar o bucket do S3 no qual deseja armazenar o relatório de descobertas. Pode ser um bucket existente para sua própria conta ou um bucket existente de propriedade de outra Conta da AWS e que você tem permissão para acessar. Se você quiser armazenar o relatório em um novo bucket, crie o bucket antes de continuar.
O bucket do S3 deve estar na mesma Região da AWS que os dados de descobertas que você deseja exportar. Por exemplo, se você estiver usando o Amazon Inspector na região Leste dos EUA (Norte da Virgínia) e quiser exportar dados de descobertas para essa região, o bucket também deverá estar na região Leste dos EUA (Norte da Virgínia).
Além disso, a política do bucket deve permitir que o Amazon Inspector adicione objetos ao bucket. Este tópico explica como atualizar a política de bucket e fornece um exemplo da declaração a ser adicionada à política. Para obter mais informações sobre buckets e políticas atualizadas, consulte Uso de políticas de bucket no Guia do usuário do Amazon Simple Storage Service.
Se você quiser armazenar o relatório em um bucket do S3 que pertence a outra conta, trabalhe com o proprietário do bucket para atualizar a política do bucket. Obtenha também o URI do bucket. Você precisará fornecer esse URI ao exportar o relatório.
Para atualizar a política de bucket:
-
Faça login com suas credenciais e abra o console do Amazon S3 em https://console.aws.amazon.com/s3
. -
No painel de navegação, escolha Buckets.
-
Escolha o bucket do S3 no qual você deseja armazenar o relatório de descobertas.
-
Escolha a aba Permissions.
-
Na seção Bucket policy, selecione Edit.
-
Copie o seguinte exemplo de declaração para a área de transferência:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "allow-inspector", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region
:111122223333
:report/*" } } } ] } -
No editor de políticas do Bucket no console do Amazon S3, cole a declaração anterior na política para adicioná-la à política.
Ao adicionar a instrução, verifique se a sintaxe é válida. As políticas de bucket usam o formato JSON. Isso significa que você precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Se você incluir a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento.
-
Atualize a instrução com os valores corretos para seu ambiente, onde:
-
amzn-s3-demo-bucket
é o nome do bucket. -
111122223333
é o ID da conta para o Conta da AWS. -
A
região
é aquela Região da AWS em que você está usando o Amazon Inspector e deseja permitir que o Amazon Inspector adicione relatórios ao bucket. Por exemplo, o código para a região Leste dos EUA (Norte da Virgínia) éus-east-1
.
nota
Se você estiver usando o Amazon Inspector de forma ativada manualmente na Região da AWS, adicione também o código de região apropriado ao valor do campo
Service
. Esse campo especifica o responsável pelo serviço do Amazon Inspector.Por exemplo, se você estiver usando o Amazon Inspector na região do Oriente Médio (Bahrein), que tem o código da região
me-south-1
, substituainspector2.amazonaws.com
porinspector2.me-south-1.amazonaws.com
na instrução.A instrução de exemplo define as condições que usam duas chaves de condição globais do IAM:
-
aws:SourceAccount: essa condição permite que o Amazon Inspector adicione relatórios ao bucket somente para sua conta. Isso impede que o Amazon Inspector adicione relatórios ao bucket para outras contas. Mais especificamente, a condição especifica qual conta pode usar o bucket para os recursos e ações especificados pela condição do
aws:SourceArn
.Para armazenar relatórios de contas adicionais no bucket, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666,123456789012]
-
aws:SourceArn — Essa condição restringe o acesso ao bucket com base na origem dos objetos que estão sendo adicionados ao bucket. Isso impede que outros Serviços da AWS adicionem objetos ao bucket. Também impede que o Amazon Inspector adicione objetos ao bucket enquanto executa outras ações na sua conta. Mais especificamente, a condição permite que o Amazon Inspector adicione objetos ao bucket somente se os objetos forem relatórios de descobertas e somente se esses relatórios forem criados pela conta e na região especificada na condição.
Para permitir que o Amazon Inspector execute as ações especificadas para contas adicionais, adicione os nomes do recurso da Amazon (ARNs) para cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:inspector2:
Region
:111122223333
:report/*", "arn:aws:inspector2:Region
:444455556666
:report/*", "arn:aws:inspector2:Region
:123456789012
:report/*" ]As contas especificadas pelas condições
aws:SourceAccount
eaws:SourceArn
devem ser correspondentes.
As duas condições ajudam a evitar que o Amazon Inspector seja usado como um representante confuso durante transações com o Amazon S3. Embora não seja recomendável, você pode remover essas condições da política de bucket.
-
-
Quando terminar de atualizar a política do bucket, escolha Salvar alterações.
Etapa 3: configurar o AWS KMS key
Depois de verificar as permissões e configurar o bucket do S3, determine qual AWS KMS key você deseja que o Amazon Inspector use para criptografar o relatório de descobertas. A chave deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Além disso, a chave deve estar na mesma Região da AWS que o bucket do S3 que você configurou para armazenar o relatório.
A chave pode ser uma chave KMS existente da sua conta ou uma chave KMS existente de outra pessoa. Se você planeja usar uma nova chave para as descobertas do KMS, crie uma chave antes de prosseguir. Se quiser usar uma chave existente de outra conta, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará fornecer esse URI ao exportar o relatório do Amazon Inspector. Para obter informações sobre como criar e revisar as configurações das chaves KMS, consulte Gerenciamento de chaves no Guia do desenvolvedor do AWS Key Management Service.
Depois de determinar qual chave do KMS você deseja usar, dê permissão ao Amazon Inspector para usar a chave. Caso contrário, o Amazon Inspector não poderá criptografar e exportar o relatório. Para dar permissão ao Amazon Inspector para usar a chave, atualize a política de chaves para a chave. Para obter informações detalhadas sobre políticas de chaves e gerenciamento do acesso às chaves do KMS, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.
nota
O procedimento a seguir é para atualizar uma chave existente para permitir que o Amazon Inspector a use. Se você não tiver uma chave existente, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service.
Atualizar a política de chaves
-
Faça login com suas credenciais e abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Escolha a chave do KMS que você deseja usar para criptografar o relatório. A chave deve ser de criptografia simétrica (SYMMETRIC_DEFAULT).
-
Na guia Política de chave, escolha Editar. Se você não ver uma política de chave com um botão Editar, primeiro selecione Alternar para a exibição de política.
-
Copie o seguinte exemplo de declaração para a área de transferência:
{ "Sid": "Allow Amazon Inspector to use the key", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "
111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region
:111122223333
:report/*" } } } -
No editor de políticas de chave no console do AWS KMS, cole a declaração anterior na política para adicioná-la à política.
Ao adicionar a instrução, verifique se a sintaxe é válida. As políticas de chave usam o formato JSON. Isso significa que você precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Se você incluir a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento.
-
Atualize a instrução com os valores corretos para seu ambiente, onde:
-
111122223333
é o ID da conta para o Conta da AWS. -
A
região
é a Região da AWS na qual você deseja permitir que o Amazon Inspector criptografe relatórios com a chave. Por exemplo, o código para a região Leste dos EUA (Norte da Virgínia) éus-east-1
.
nota
Se você estiver usando o Amazon Inspector de forma ativada manualmente na Região da AWS, adicione também o código de região apropriado ao valor do campo
Service
. Por exemplo, se você estiver usando o Amazon Inspector na região Oriente Médio (Bahrein), substituainspector2.amazonaws.com
porinspector2.me-south-1.amazonaws.com
.Assim como a declaração de exemplo da política de bucket na etapa anterior, os campos da
Condition
neste exemplo usam duas chaves de condição globais do IAM:-
aws:SourceAccount: essa condição permite que o Amazon Inspector execute ações especificadas apenas para sua conta. Mais especificamente, determina qual conta pode executar as ações especificadas para os recursos e ações especificadas pelo
aws:SourceArn
.Para permitir que o Amazon Inspector execute as ações especificadas para contas adicionais, adicione o ID da conta de cada conta adicional a esta condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666,123456789012]
-
aws:SourceArn: essa condição impede que outras pessoas executem as ações especificadas no Serviços da AWS. Ela também impede que o Amazon Inspector use a chave enquanto executa outras ações na sua conta. Em outras palavras, ela permite que o Amazon Inspector criptografe objetos do S3 com a chave somente se os objetos forem relatórios de descobertas e somente se esses relatórios forem criados pela conta e na região especificada na condição.
Para permitir que o Amazon Inspector execute as ações especificadas para contas adicionais, adicione os nomes do recurso da Amazon para cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:inspector2:us-east-1:111122223333:report/*", "arn:aws:inspector2:us-east-1:444455556666:report/*", "arn:aws:inspector2:us-east-1:123456789012:report/*" ]
As contas especificadas pelas condições
aws:SourceAccount
eaws:SourceArn
devem ser correspondentes.
As duas condições ajudam a evitar que o Amazon Inspector seja usado como um representante confuso durante transações com o AWS KMS. Embora não seja recomendável, você pode remover essas condições da instrução.
-
-
Quando terminar de atualizar a política de chave, escolha Salvar alterações.
Etapa 4: configurar e exportar um relatório de descobertas
nota
Você pode exportar somente um relatório de descobertas por vez. Se uma exportação estiver em andamento, você deve aguardar até que seja concluída antes de exportar outro relatório de descobertas.
Depois de verificar suas permissões e configurar os recursos para criptografar e armazenar o relatório de descobertas, você estará pronto para configurar e exportar o relatório.
Para configurar e exportar um relatório de descobertas
-
Faça login usando suas credenciais e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home
. -
No painel de navegação, em Descobertas, selecione Todas as descobertas.
-
(Opcional) Usando a barra de filtro acima da tabela Descobertas, adicione critérios de filtro que especifiquem quais descobertas incluir no relatório. Conforme você adiciona critérios, o Amazon Inspector atualiza a tabela para incluir somente as descobertas que correspondem aos critérios. A tabela fornece uma visualização prévia dos dados que o relatório conterá.
nota
Recomendamos que você adicione critérios de filtro. Caso contrário, o relatório incluirá dados de todas as descobertas na Região da AWS atual que tenham o status Ativo. Se você for o administrador do Amazon Inspector para uma organização, isso inclui dados de descobertas para todas as contas membros em sua organização.
Se um relatório incluir dados de todas ou muitas descobertas, pode levar muito tempo para gerar e exportar o relatório, e você poderá exportar somente um relatório por vez.
-
Escolha Exportar descobertas.
-
Na seção Configurações de exportação, em Tipo de arquivo de exportação, especifique um formato de arquivo para o relatório:
-
Para criar um arquivo JavaScript Object Notation (.json) que contenha os dados, escolha JSON.
Se você escolher a opção JSON, o relatório incluirá todos os campos de cada descoberta. Para obter uma lista de possíveis campos JSON, consulte o tipo de dados Descoberta na referência da API do Amazon Inspector.
-
Para criar um arquivo de valores separados por vírgula (.csv) que contenha os dados, escolha CSV.
Se você escolher a opção CSV, o relatório incluirá somente um subconjunto dos campos para cada descoberta, aproximadamente 45 campos que relatam os principais atributos de uma descoberta. Os campos incluem: tipo de descoberta, título, gravidade, status, descrição, vista pela primeira vez, vista pela última vez, correção disponível, ID da conta da AWS, ID do recurso, tags de recursos e Correção. Eles são um acréscimo aos campos que capturam detalhes de pontuação e URLs de referência para cada descoberta. Veja a seguir uma amostra dos cabeçalhos CSV em um relatório de descobertas:
AWS Account Id Severity Fix Available Finding Type Title Description Finding ARN First Seen Last Seen Last Updated Resource ID Container Image Tags Region Platform Resource Tags Affected Packages Package Installed Version Fixed in Version Package Remediation File Path Network Paths Age (Days) Remediation Inspector Score Inspector Score Vector Status Vulnerability Id Vendor Vendor Severity Vendor Advisory Vendor Advisory Published NVD CVSS3 Score NVD CVSS3 Vector NVD CVSS2 Score NVD CVSS2 Vector Vendor CVSS3 Score Vendor CVSS3 Vector Vendor CVSS2 Score Vendor CVSS2 Vector Resource Type Ami Resource Public Ipv4 Resource Private Ipv4 Resource Ipv6 Resource Vpc Port Range Exploit Available Last Exploited At Lambda Layers Lambda Package Type Lambda Last Updated At Reference Urls
-
-
Em Local de exportação, para URI do S3, especifique o bucket do S3 em que você deseja armazenar o relatório:
-
Para armazenar o relatório em um bucket de propriedade da conta, escolha Browse S3. O Amazon Inspector exibe uma tabela dos buckets do S3 para a conta. Escolha o bucket que deseja usar e, em seguida, escolha Escolher.
dica
Para especificar também um prefixo de caminho do Amazon S3 para o relatório, acrescente uma barra (/) e o prefixo ao valor na caixa URI do S3. O Amazon Inspector então inclui o prefixo quando adiciona o relatório ao bucket, e o Amazon S3 gera o caminho especificado pelo prefixo.
Por exemplo, se você quiser usar o ID da Conta da AWS como prefixo e o ID da sua conta for 111122223333, acrescente
/111122223333
ao valor na caixa URI do S3.Um prefixo é semelhante a um caminho de diretório em um bucket do S3. Ele permite agrupar objetos semelhantes em um bucket, da mesma forma que você pode armazenar arquivos semelhantes em uma pasta em um sistema de arquivos. Para obter informações sobre como usar pastas no Amazon S3, consulte Usar pastas no Manual do usuário do console do Amazon Simple Storage Service.
-
Para armazenar o relatório em um bucket de propriedade de outra conta, insira o URI do bucket como, por exemplo,
s3://DOC-EXAMPLE_BUCKET
, em que DOC-EXAMPLE_BUCKET é o nome do bucket. O proprietário do bucket pode encontrar essas informações para você nas propriedades do bucket.
-
-
Escolha a chave do KMS, especifique o AWS KMS key que você deseja usar para criptografar o relatório.
-
Para usar uma chave da sua conta, escolha a chave na lista. A lista exibe chaves KMS de criptografia simétrica e gerenciadas pelo cliente para sua conta.
-
Se quiser usar uma chave existente de outra conta, obtenha o nome do recurso da Amazon (ARN) da chave. O proprietário da chave pode encontrar essas informações para você nas propriedades da chave. Para obter informações, consulte Encontrar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service.
-
-
Escolha Exportar.
O Amazon Inspector gera o relatório de descobertas, criptografa-o com a chave KMS que você especificou e o adiciona ao bucket S3 que você especificou. Dependendo do número de descobertas que você optou por incluir no relatório, esse processo pode levar vários minutos ou horas. Quando a exportação estiver concluída, o Amazon Inspector exibirá uma mensagem indicando que seu relatório de descobertas foi exportado com sucesso. Opcionalmente, escolha Visualizar relatório na mensagem para navegar até o relatório no Amazon S3.
Você pode exportar somente um relatório de descobertas por vez. Se uma exportação estiver em andamento, aguarde até que seja concluída antes de tentar exportar dados adicionais.
Solucionar erros de exportação
Se ocorrer um erro ao tentar exportar um relatório de descobertas, o Amazon Inspector exibirá uma mensagem descrevendo o erro. Use as informações neste tópico como um guia para identificar possíveis causas e soluções para o erro.
Por exemplo, o bucket do S3 também deve estar na Região da AWS atual, e a política do bucket deve permitir que o Amazon Inspector adicione objetos ao bucket. Verifique também se o AWS KMS key está habilitado na região atual e garanta que a política de chaves permita que o Amazon Inspector use a chave.
Depois de solucionar o erro, tente exportar o relatório novamente.
Não é possível ter vários relatórios de erro
Se você estiver tentando criar um relatório, mas o Amazon Inspector já estiver gerando um relatório, você receberá um erro informando Motivo: Não é possível ter vários relatórios em andamento. Esse erro ocorre porque o Amazon Inspector só pode gerar um relatório para uma conta por vez.
Para resolver o erro, você pode esperar que o outro relatório seja concluído ou cancelá-lo antes de solicitar um novo relatório.
Verifique o status de um relatório usando a operação GetFindingsReportStatus. Essa operação retorna o ID do relatório de qualquer relatório que esteja sendo gerado no momento.
Se necessário, você pode usar o ID do relatório fornecido pela operação GetFindingsReportStatus
para cancelar uma exportação que está em andamento usando a operação CancelFindingsReport.