Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
Crie um relatório consolidado das descobertas de segurança da Prowler a partir de vários Contas da AWS - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosSolução de problemasRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um relatório consolidado das descobertas de segurança da Prowler a partir de vários Contas da AWS

PDF

Criado por Mike Virgilio (AWS), Andrea Di Fabio (AWS) e Jay Durga (AWS)

Resumo

O Prowler (GitHub) é uma ferramenta de linha de comando de código aberto que pode ajudá-lo a avaliar, auditar e monitorar suas contas da Amazon Web Services (AWS) quanto à adesão às melhores práticas de segurança. Nesse padrão, você implanta o Prowler em um ambiente centralizado Conta da AWS em sua organização, gerenciado por AWS Organizations, e depois usa o Prowler para realizar uma avaliação de segurança de todas as contas na organização.

Embora existam muitos métodos para implantar e utilizar o Prowler para uma avaliação, essa solução foi projetada para implantação rápida, análise completa de todas as contas na organização ou contas de destino definidas e relatórios acessíveis das descobertas de segurança. Nessa solução, quando a Prowler conclui a avaliação de segurança de todas as contas da organização, ela consolida os resultados. Ele também filtra todas as mensagens de erro esperadas, como erros relacionados a restrições que impedem o Prowler de escanear buckets do Amazon Simple Storage Service (Amazon S3) em contas provisionadas por meio do AWS Control Tower. Os resultados filtrados e consolidados são relatados em um modelo do Microsoft Excel incluído nesse padrão. Você pode usar esse relatório para identificar possíveis melhorias nos controles de segurança em sua organização.

Essa solução foi projetada com o seguinte em mente:

  • Os AWS CloudFormation modelos reduzem o esforço necessário para implantar os AWS recursos nesse padrão.

  • Você pode ajustar os parâmetros nos CloudFormation modelos e no script prowler_scan.sh no momento da implantação para personalizar os modelos para seu ambiente.

  • As velocidades de avaliação e emissão de relatórios do Prowler são otimizadas por meio do processamento paralelo de Contas da AWS resultados agregados, relatórios consolidados com correções recomendadas e visualizações geradas automaticamente.

  • O usuário não precisa monitorar o progresso da verificação. Quando a avaliação for concluída, o usuário é notificado por meio de um tópico do Amazon Simple Notification Service (Amazon SNS) para que ele possa recuperar o relatório.

  • O modelo de relatório ajuda você a ler e avaliar somente os resultados relevantes para toda a organização.

Pré-requisitos e limitações

Pré-requisitos

  • E Conta da AWS para hospedar serviços e ferramentas de segurança, gerenciados como uma conta membro de uma organização em AWS Organizations. Nesse padrão, essa conta é chamada de conta de segurança.

  • Na conta de segurança, você deve ter uma sub-rede privada com acesso de saída à Internet. Para obter instruções, consulte VPC com servidores em sub-redes privadas e NAT na documentação da Amazon Virtual Private Cloud (Amazon VPC). Você pode estabelecer acesso à Internet usando um gateway NAT provisionado em uma sub-rede pública.

  • Acesso à conta AWS Organizations de gerenciamento ou a uma conta que tenha delegado permissões de administrador para CloudFormation. Para obter instruções, consulte Registrar um administrador delegado na CloudFormation documentação.

  • Habilite o acesso confiável entre AWS Organizations CloudFormation e. Para obter instruções, consulte Habilitar acesso confiável com AWS Organizations na CloudFormation documentação.

Limitações

  • O alvo Contas da AWS deve ser gerenciado como uma organização em AWS Organizations. Se você não estiver usando AWS Organizations, você pode atualizar o CloudFormation modelo IAM- ProwlerExecRole .yaml e o script prowler_scan.sh para seu ambiente. Em vez disso, você fornece uma lista Conta da AWS IDs e regiões nas quais deseja executar o script.

  • O CloudFormation modelo foi projetado para implantar a instância Amazon Elastic Compute Cloud (Amazon EC2) em uma sub-rede privada com acesso de saída à Internet. O AWS Systems Manager Agente (Agente SSM) requer acesso de saída para alcançar o ponto final do AWS Systems Manager serviço, e você precisa de acesso de saída para clonar o repositório de código e instalar dependências. Se quiser usar uma sub-rede pública, você deve modificar o modelo prowler-resources.yaml para associar um endereço IP elástico à instância. EC2

Versões do produto

  • Prowler versão 4.0 ou posterior

Arquitetura

Diagrama de arquitetura com o Prowler implantado em uma conta de segurança centralizada.

O diagrama mostra o seguinte processo:

  1. Usando o Gerenciador de Sessões, um recurso do AWS Systems Manager, o usuário se autentica na EC2 instância e executa o script prowler_scan.sh. Esse script de shell executa as etapas de 2 a 8.

  2. A EC2 instância assume a função do ProwlerEC2Role IAM, que concede permissões para acessar o bucket do S3 e assumir as funções ProwlerExecRole do IAM nas outras contas da organização.

  3. A EC2 instância assume a função ProwlerExecRole do IAM na conta de gerenciamento da organização e gera uma lista das contas na organização.

  4. A EC2 instância assume a função do ProwlerExecRole IAM nas contas dos membros da organização (chamadas de contas de carga de trabalho no diagrama de arquitetura) e realiza uma avaliação de segurança em cada conta. As descobertas são armazenadas como arquivos CSV e HTML na EC2 instância.

    nota

    Os arquivos HTML são uma saída da avaliação do Prowler. Devido à natureza do HTML, eles não são concatenados, processados ou usados diretamente nesse padrão. No entanto, eles podem ser úteis para a análise de relatórios de contas individuais.

  5. A EC2 instância processa todos os arquivos CSV para remover erros conhecidos e esperados e consolida as descobertas restantes em um único arquivo CSV.

  6. A EC2 instância empacota os resultados individuais da conta e os resultados agregados em um arquivo zip.

  7. A EC2 instância carrega o arquivo zip no bucket do S3.

  8. Uma EventBridge regra detecta o upload do arquivo e usa um tópico do Amazon SNS para enviar um e-mail ao usuário notificando-o de que a avaliação foi concluída.

  9. O usuário baixa o arquivo zip do bucket do S3. O usuário importa os resultados para o modelo do Excel e revisa os resultados.

Ferramentas

Serviços da AWS

  • O Amazon Elastic Compute Cloud (Amazon EC2) fornece capacidade de computação escalável no. Nuvem AWS Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.

  • EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, AWS Lambda funções, endpoints de invocação HTTP usando destinos de API ou barramentos de eventos em outros. Contas da AWS

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

  • AWS Organizationsé um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.

  • O Amazon Simple Notification Service (Amazon SNS) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

  • O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

  • O AWS Systems Manager ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala. Esse padrão usa o Session Manager, um recurso do Systems Manager.

Outras ferramentas

  • O Prowler é uma ferramenta de linha de comando de código aberto que ajuda você a avaliar, auditar e monitorar suas contas quanto à adesão às melhores práticas de segurança e a outras AWS estruturas e padrões de segurança.

Repositório de código

O código desse padrão está disponível na Avaliação de Segurança de GitHub Várias Contas por meio do repositório Prowler. O repositório de código contém os seguintes arquivos:

  • prowler_scan.sh — Esse script bash é usado para iniciar uma avaliação de segurança múltipla do Prowler, Contas da AWS em paralelo. Conforme definido em Prowler-resources.yaml CloudFormationtemplate, esse script é implantado automaticamente na pasta na instância. usr/local/prowler EC2

  • Prowler-resources.yaml — Você usa esse CloudFormation modelo para criar uma pilha na conta de segurança na organização. Esse modelo implanta todos os recursos necessários para essa conta a fim de oferecer suporte à solução. Essa pilha deve ser implantada antes do modelo IAM- ProwlerExecRole .yaml. Não recomendamos que você implante esses recursos em uma conta que hospeda workloads críticas de produção.

    nota

    Se essa pilha for excluída e reimplantada, você deverá reconstruir o conjunto de ProwlerExecRole pilhas para reconstruir as dependências entre contas entre as funções do IAM.

  • IAM- ProwlerExecRole .yaml — Você usa esse CloudFormation modelo para criar um conjunto de pilhas que implanta a função ProwlerExecRole do IAM em todas as contas da organização, incluindo a conta de gerenciamento.

  • prowler-report-template.xlsm — Você usa esse modelo do Excel para processar as descobertas do Prowler. As tabelas dinâmicas no relatório fornecem recursos de pesquisa, gráficos e descobertas consolidadas.

Épicos

TarefaDescriçãoHabilidades necessárias

Clone o repositório de códigos.

  1. Em uma interface da linha de comando, altere seu diretório de trabalho para o local em que você deseja armazenar os arquivos de amostra.

  2. Digite o comando:

    git clone https://github.com/aws-samples/multi-account-security-assessment-via-prowler.git

AWS DevOps

Consulte os modelos.

  1. No repositório clonado, abra os arquivos Prowler-resources.yaml e IAM- .yaml. ProwlerExecRole

  2. Analise os recursos criados por esses modelos e ajuste-os conforme necessário para seu ambiente. Para obter mais informações, consulte Trabalhando com modelos na CloudFormation documentação.

  3. Salve e feche os arquivos Prowler-resources.yaml e IAM- .yaml. ProwlerExecRole

AWS DevOps

Preparar-se para implantação

TarefaDescriçãoHabilidades necessárias

Clone o repositório de códigos.

  1. Em uma interface da linha de comando, altere seu diretório de trabalho para o local em que você deseja armazenar os arquivos de amostra.

  2. Digite o comando:

    git clone https://github.com/aws-samples/multi-account-security-assessment-via-prowler.git

AWS DevOps

Consulte os modelos.

  1. No repositório clonado, abra os arquivos Prowler-resources.yaml e IAM- .yaml. ProwlerExecRole

  2. Analise os recursos criados por esses modelos e ajuste-os conforme necessário para seu ambiente. Para obter mais informações, consulte Trabalhando com modelos na CloudFormation documentação.

  3. Salve e feche os arquivos Prowler-resources.yaml e IAM- .yaml. ProwlerExecRole

AWS DevOps
TarefaDescriçãoHabilidades necessárias

Provisione recursos na conta de segurança.

Usando o modelo prowler-resources.yaml, você cria uma CloudFormation pilha que implanta todos os recursos necessários na conta de segurança. Para obter instruções, consulte Criação de uma pilha na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:

  1. Na página Especificar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo prowler-resources.yaml.

  2. Na página Specify stack details (Especificar detalhes da pilha), na caixa Stack name (Nome da pilha), insira Prowler-Resources.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • VPCId: selecione uma VPC na conta.

    • SubnetId: selecione uma sub-rede privada que tenha acesso à Internet.

      Observação: se você selecionar uma sub-rede pública, a EC2 instância não receberá um endereço IP público porque o CloudFormation modelo, por padrão, não provisiona e anexa um endereço IP elástico.

    • InstanceType: selecione um tamanho de instância com base no número de avaliações paralelas:

      • Para 10, escolha r6i.large.

      • Para 12, escolha r6i.xlarge.

      • Para 14 a 18 anos, escolha r6i.2xlarge.

    • InstanceImageId: deixe o padrão para o Amazon Linux.

    • KeyPairName: se você estiver usando SSH para acessar, especifique o nome de um par de chaves existente.

    • PermittedSSHInbound: se você estiver usando SSH para acesso, especifique um bloco CIDR permitido. Se você não estiver usando SSH, mantenha o valor padrão de 127.0.0.1.

    • BucketName: o valor padrão é prowler-output-<accountID>-<region>. Você pode modificar isso conforme necessário. Se você especificar um valor personalizado, a ID da conta e a região serão automaticamente anexados ao valor especificado.

    • EmailAddress: especifique um endereço de e-mail para uma notificação do Amazon SNS quando o Prowler concluir a avaliação e carregar o arquivo .zip no bucket do S3.

      Nota: a configuração da assinatura do SNS deve ser confirmada antes que o Prowler conclua a avaliação ou uma notificação não será enviada.

    • IAMProwlerEC2Role: mantenha o padrão, a menos que suas convenções de nomenclatura exijam um nome diferente para esse perfil do IAM.

    • IAMProwlerExecRole— Mantenha o padrão, a menos que outro nome seja usado ao implantar o arquivo IAM- ProwlerExecRole .yaml.

    • Parallelism: especifique o número de avaliações paralelas a serem realizadas. Certifique-se de que o valor no parâmetro InstanceType suporte esse número de avaliações paralelas.

    • FindingOutput: se você quiser excluir os resultados da aprovação, selecione FailOnly. Isso reduz significativamente o tamanho da saída e se concentra nas verificações que talvez precisem ser resolvidas. Se você quiser incluir resultados de aprovação, selecione FailAndPass.

  4. Na página Revisar, selecione Os seguintes recursos exigem recursos: [AWS::IAM::Role] e escolha Criar pilha.

  5. Depois que a pilha for criada com sucesso, no CloudFormation console, na guia Saídas, copie o ProwlerEC2Role Amazon Resource Name (ARN). Você usa esse ARN posteriormente ao implantar o arquivo IAM- ProwlerExecRole .yaml.

AWS DevOps

Provisione o perfil do IAM nas contas dos membros.

Na conta AWS Organizations de gerenciamento ou em uma conta com permissões de administrador delegado para CloudFormation, use o modelo IAM- ProwlerExecRole .yaml para criar um CloudFormation conjunto de pilhas. O conjunto de pilhas implanta o perfil ProwlerExecRole do IAM para todas as contas-membro da organização. Para obter instruções, consulte Criar um conjunto de pilhas com permissões gerenciadas pelo serviço na documentação. CloudFormation Observe o seguinte ao implantar esse modelo:

  1. Em Preparar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo IAM- ProwlerExecRole .yaml.

  2. Na página Especificar StackSet detalhes, nomeie o conjunto IAM-ProwlerExecRole de pilhas.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • AuthorizedARN: insira o ARN ProwlerEC2Role, que você copiou ao criar a pilha Prowler-Resources.

    • ProwlerExecRoleName: mantenha o valor padrão de ProwlerExecRole, a menos que outro nome tenha sido usado ao implantar o arquivo Prowler-resources.yaml.

  4. Em Permissions (Permissões), escolha Service-managed permissions (Permissões gerenciadas pelo serviço).

  5. Na página Set deployment options (Definir opções de implantação) em Deployment targets (Destinos da implantação), escolha Deploy to organization (Implantar na organização) e aceite todos os padrões.

    Nota: se você quiser que as pilhas sejam implantadas em todas as contas dos membros simultaneamente, defina Máximo de contas simultâneas e Tolerância a falhas como um valor alto, como 100.

  6. Em Regiões de implantação, escolha Região da AWS onde a EC2 instância do Prowler está implantada. Como os recursos do IAM são globais e não regionais, isso implanta o perfil do IAM em todas as regiões ativas.

  7. Na página de revisão, selecione Eu reconheço que AWS CloudFormation posso criar recursos do IAM com nomes personalizados e, em seguida, escolha Criar StackSet.

  8. Monitore a guia Instâncias de pilha (para o status da conta individual) e a guia Operações (para o status geral) para determinar quando a implantação será concluída.

AWS DevOps

Provisione o perfil do IAM na conta de gerenciamento.

Usando o modelo IAM- ProwlerExecRole .yaml, você cria uma CloudFormation pilha que implanta a função do ProwlerExecRole IAM na conta de gerenciamento da organização. O conjunto de pilhas que você criou anteriormente não implanta o perfil do IAM na conta de gerenciamento. Para obter instruções, consulte Criação de uma pilha na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:

  1. Na página Especificar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo IAM- ProwlerExecRole .yaml.

  2. Na página Specify stack details (Especificar detalhes da pilha), na caixa Stack name (Nome da pilha), insira IAM-ProwlerExecRole.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • AuthorizedARN: insira o ARN ProwlerEC2Role, que você copiou ao criar a pilha Prowler-Resources.

    • ProwlerExecRoleName: mantenha o valor padrão de ProwlerExecRole, a menos que outro nome tenha sido usado ao implantar o arquivo Prowler-resources.yaml.

  4. Na página Revisar, selecione Os seguintes recursos exigem recursos: [AWS::IAM::Role] e escolha Criar pilha.

AWS DevOps

Crie as CloudFormation pilhas

TarefaDescriçãoHabilidades necessárias

Provisione recursos na conta de segurança.

Usando o modelo prowler-resources.yaml, você cria uma CloudFormation pilha que implanta todos os recursos necessários na conta de segurança. Para obter instruções, consulte Criação de uma pilha na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:

  1. Na página Especificar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo prowler-resources.yaml.

  2. Na página Specify stack details (Especificar detalhes da pilha), na caixa Stack name (Nome da pilha), insira Prowler-Resources.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • VPCId: selecione uma VPC na conta.

    • SubnetId: selecione uma sub-rede privada que tenha acesso à Internet.

      Observação: se você selecionar uma sub-rede pública, a EC2 instância não receberá um endereço IP público porque o CloudFormation modelo, por padrão, não provisiona e anexa um endereço IP elástico.

    • InstanceType: selecione um tamanho de instância com base no número de avaliações paralelas:

      • Para 10, escolha r6i.large.

      • Para 12, escolha r6i.xlarge.

      • Para 14 a 18 anos, escolha r6i.2xlarge.

    • InstanceImageId: deixe o padrão para o Amazon Linux.

    • KeyPairName: se você estiver usando SSH para acessar, especifique o nome de um par de chaves existente.

    • PermittedSSHInbound: se você estiver usando SSH para acesso, especifique um bloco CIDR permitido. Se você não estiver usando SSH, mantenha o valor padrão de 127.0.0.1.

    • BucketName: o valor padrão é prowler-output-<accountID>-<region>. Você pode modificar isso conforme necessário. Se você especificar um valor personalizado, a ID da conta e a região serão automaticamente anexados ao valor especificado.

    • EmailAddress: especifique um endereço de e-mail para uma notificação do Amazon SNS quando o Prowler concluir a avaliação e carregar o arquivo .zip no bucket do S3.

      Nota: a configuração da assinatura do SNS deve ser confirmada antes que o Prowler conclua a avaliação ou uma notificação não será enviada.

    • IAMProwlerEC2Role: mantenha o padrão, a menos que suas convenções de nomenclatura exijam um nome diferente para esse perfil do IAM.

    • IAMProwlerExecRole— Mantenha o padrão, a menos que outro nome seja usado ao implantar o arquivo IAM- ProwlerExecRole .yaml.

    • Parallelism: especifique o número de avaliações paralelas a serem realizadas. Certifique-se de que o valor no parâmetro InstanceType suporte esse número de avaliações paralelas.

    • FindingOutput: se você quiser excluir os resultados da aprovação, selecione FailOnly. Isso reduz significativamente o tamanho da saída e se concentra nas verificações que talvez precisem ser resolvidas. Se você quiser incluir resultados de aprovação, selecione FailAndPass.

  4. Na página Revisar, selecione Os seguintes recursos exigem recursos: [AWS::IAM::Role] e escolha Criar pilha.

  5. Depois que a pilha for criada com sucesso, no CloudFormation console, na guia Saídas, copie o ProwlerEC2Role Amazon Resource Name (ARN). Você usa esse ARN posteriormente ao implantar o arquivo IAM- ProwlerExecRole .yaml.

AWS DevOps

Provisione o perfil do IAM nas contas dos membros.

Na conta AWS Organizations de gerenciamento ou em uma conta com permissões de administrador delegado para CloudFormation, use o modelo IAM- ProwlerExecRole .yaml para criar um CloudFormation conjunto de pilhas. O conjunto de pilhas implanta o perfil ProwlerExecRole do IAM para todas as contas-membro da organização. Para obter instruções, consulte Criar um conjunto de pilhas com permissões gerenciadas pelo serviço na documentação. CloudFormation Observe o seguinte ao implantar esse modelo:

  1. Em Preparar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo IAM- ProwlerExecRole .yaml.

  2. Na página Especificar StackSet detalhes, nomeie o conjunto IAM-ProwlerExecRole de pilhas.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • AuthorizedARN: insira o ARN ProwlerEC2Role, que você copiou ao criar a pilha Prowler-Resources.

    • ProwlerExecRoleName: mantenha o valor padrão de ProwlerExecRole, a menos que outro nome tenha sido usado ao implantar o arquivo Prowler-resources.yaml.

  4. Em Permissions (Permissões), escolha Service-managed permissions (Permissões gerenciadas pelo serviço).

  5. Na página Set deployment options (Definir opções de implantação) em Deployment targets (Destinos da implantação), escolha Deploy to organization (Implantar na organização) e aceite todos os padrões.

    Nota: se você quiser que as pilhas sejam implantadas em todas as contas dos membros simultaneamente, defina Máximo de contas simultâneas e Tolerância a falhas como um valor alto, como 100.

  6. Em Regiões de implantação, escolha Região da AWS onde a EC2 instância do Prowler está implantada. Como os recursos do IAM são globais e não regionais, isso implanta o perfil do IAM em todas as regiões ativas.

  7. Na página de revisão, selecione Eu reconheço que AWS CloudFormation posso criar recursos do IAM com nomes personalizados e, em seguida, escolha Criar StackSet.

  8. Monitore a guia Instâncias de pilha (para o status da conta individual) e a guia Operações (para o status geral) para determinar quando a implantação será concluída.

AWS DevOps

Provisione o perfil do IAM na conta de gerenciamento.

Usando o modelo IAM- ProwlerExecRole .yaml, você cria uma CloudFormation pilha que implanta a função do ProwlerExecRole IAM na conta de gerenciamento da organização. O conjunto de pilhas que você criou anteriormente não implanta o perfil do IAM na conta de gerenciamento. Para obter instruções, consulte Criação de uma pilha na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:

  1. Na página Especificar modelo, escolha O modelo está pronto e, em seguida, carregue o arquivo IAM- ProwlerExecRole .yaml.

  2. Na página Specify stack details (Especificar detalhes da pilha), na caixa Stack name (Nome da pilha), insira IAM-ProwlerExecRole.

  3. Na seção Parameters (Parâmetros), insira o seguinte:

    • AuthorizedARN: insira o ARN ProwlerEC2Role, que você copiou ao criar a pilha Prowler-Resources.

    • ProwlerExecRoleName: mantenha o valor padrão de ProwlerExecRole, a menos que outro nome tenha sido usado ao implantar o arquivo Prowler-resources.yaml.

  4. Na página Revisar, selecione Os seguintes recursos exigem recursos: [AWS::IAM::Role] e escolha Criar pilha.

AWS DevOps
TarefaDescriçãoHabilidades necessárias

Execute a verificação.

  1. Faça login na conta de segurança na organização.

  2. Usando o Gerenciador de Sessões, conecte-se à EC2 instância do Prowler que você provisionou anteriormente. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager. Se você não conseguir se conectar, consulte a seção Solução de problemas desse padrão.

  3. Navegue até usr/local/prowler e abra o arquivo prowler_scan.sh.

  4. Revise e modifique os parâmetros e variáveis ajustáveis neste script conforme necessário para seu ambiente. Para obter mais informações sobre as opções de personalização, consulte os comentários no início do script.

    Por exemplo, em vez de obter uma lista de todas as contas dos membros da organização a partir da conta de gerenciamento, você pode modificar o script para especificar Conta da AWS IDs ou Regiões da AWS que deseja verificar, ou pode referenciar um arquivo externo que contenha esses parâmetros.

  5. Salve e feche o arquivo prowler_scan.sh.

  6. Insira os comandos a seguir. Isso executa o script prowler_scan.sh.

    sudo -i
screen
cd /usr/local/prowler
./prowler_scan.sh

    Observe o seguinte:

    • O comando screen permite que o script continue em execução caso a conexão atinja o tempo limite ou você perca o acesso ao console.

    • Após o início da digitalização, você pode forçar a separação da tela pressionando Ctrl+A D. A tela se separa e você pode fechar a conexão da instância e permitir que a avaliação continue.

    • Para retomar uma sessão desanexada, conecte-se à instância, insira sudo -i e depois screen -r.

    • Para monitorar o progresso das avaliações de contas individuais, você pode navegar até o diretório usr/local/prowler e inserir o comando tail -f output/stdout-<account-id>.

  7. Aguarde até que o Prowler conclua as verificações em todas as contas. O script avalia várias contas ao mesmo tempo. Quando a avaliação for concluída em todas as contas, você receberá uma notificação se tiver especificado um endereço de e-mail ao implantar o arquivo Prowler-resources.yaml.

Administrador da AWS

Recupere as descobertas de Prowler.

  1. Baixe o arquivo prowler-output-<assessDate>.zip do bucket prowler-output-<accountID>-<region>. Para obter instruções, consulte Baixar um objeto na documentação do Amazon S3.

  2. Exclua todos os objetos no bucket, incluindo o arquivo que você baixou. Essa é uma prática recomendada para otimização de custos e para garantir que você possa excluir a Prowler-Resources CloudFormation pilha a qualquer momento. Para obter instruções, consulte Excluir objetos na documentação do Amazon S3.

AWS geral

Pare a EC2 instância.

Para evitar o faturamento enquanto a instância estiver ociosa, interrompa a EC2 instância que executa o Prowler. Para obter instruções, consulte Pare e inicie suas instâncias na EC2 documentação da Amazon.

AWS DevOps

Realize a avaliação de segurança do Prowler

TarefaDescriçãoHabilidades necessárias

Execute a verificação.

  1. Faça login na conta de segurança na organização.

  2. Usando o Gerenciador de Sessões, conecte-se à EC2 instância do Prowler que você provisionou anteriormente. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager. Se você não conseguir se conectar, consulte a seção Solução de problemas desse padrão.

  3. Navegue até usr/local/prowler e abra o arquivo prowler_scan.sh.

  4. Revise e modifique os parâmetros e variáveis ajustáveis neste script conforme necessário para seu ambiente. Para obter mais informações sobre as opções de personalização, consulte os comentários no início do script.

    Por exemplo, em vez de obter uma lista de todas as contas dos membros da organização a partir da conta de gerenciamento, você pode modificar o script para especificar Conta da AWS IDs ou Regiões da AWS que deseja verificar, ou pode referenciar um arquivo externo que contenha esses parâmetros.

  5. Salve e feche o arquivo prowler_scan.sh.

  6. Insira os comandos a seguir. Isso executa o script prowler_scan.sh.

    sudo -i
screen
cd /usr/local/prowler
./prowler_scan.sh

    Observe o seguinte:

    • O comando screen permite que o script continue em execução caso a conexão atinja o tempo limite ou você perca o acesso ao console.

    • Após o início da digitalização, você pode forçar a separação da tela pressionando Ctrl+A D. A tela se separa e você pode fechar a conexão da instância e permitir que a avaliação continue.

    • Para retomar uma sessão desanexada, conecte-se à instância, insira sudo -i e depois screen -r.

    • Para monitorar o progresso das avaliações de contas individuais, você pode navegar até o diretório usr/local/prowler e inserir o comando tail -f output/stdout-<account-id>.

  7. Aguarde até que o Prowler conclua as verificações em todas as contas. O script avalia várias contas ao mesmo tempo. Quando a avaliação for concluída em todas as contas, você receberá uma notificação se tiver especificado um endereço de e-mail ao implantar o arquivo Prowler-resources.yaml.

Administrador da AWS

Recupere as descobertas de Prowler.

  1. Baixe o arquivo prowler-output-<assessDate>.zip do bucket prowler-output-<accountID>-<region>. Para obter instruções, consulte Baixar um objeto na documentação do Amazon S3.

  2. Exclua todos os objetos no bucket, incluindo o arquivo que você baixou. Essa é uma prática recomendada para otimização de custos e para garantir que você possa excluir a Prowler-Resources CloudFormation pilha a qualquer momento. Para obter instruções, consulte Excluir objetos na documentação do Amazon S3.

AWS geral

Pare a EC2 instância.

Para evitar o faturamento enquanto a instância estiver ociosa, interrompa a EC2 instância que executa o Prowler. Para obter instruções, consulte Pare e inicie suas instâncias na EC2 documentação da Amazon.

AWS DevOps
TarefaDescriçãoHabilidades necessárias

Importe as descobertas.

  1. No Excel, abra o prowler-report-templatearquivo.xlsx e escolha a planilha Prowler CSV.

  2. Exclua todos os dados de amostra, incluindo a linha do cabeçalho. Se você for perguntado se deseja excluir a consulta associada aos dados que estão sendo removidos, escolha Não. A exclusão da consulta pode afetar a funcionalidade das tabelas dinâmicas no modelo do Excel.

  3. Extraia o conteúdo do arquivo zip que você baixou do bucket do S3.

  4. No Excel, abra o prowler-fullorgresults-accessdeniedfilteredarquivo.txt. Recomendamos que você use esse arquivo porque os erros mais comuns e não acionáveis já foram removidos, como Access Denied erros relacionados a tentativas de varredura de recursos. AWS Control Tower Se você quiser as descobertas não filtradas, abra o arquivo prowler-fullorgresults.txt em vez disso.

  5. Selecione a coluna A.

  6. Se você estiver usando o Windows, digite Ctrl+C ou, se estiver usando o macOS, digite Cmd+C. Isso copia todos os dados para a área de transferência.

  7. No modelo de relatório do Excel, na planilha Prowler CSV, selecione a célula A1.

  8. Se você estiver usando o Windows, digite Ctrl+V ou, se estiver usando o macOS, digite Cmd+V. Isso irá colar as descobertas no relatório.

  9. Confirme se todas as células que contêm dados colados foram selecionadas. Caso contrário, selecione a coluna A.

  10. Na guia Dados, escolha Texto em colunas.

  11. No assistente, faça o seguinte:

    • Para a etapa 1, escolha Delimitado.

    • Para a etapa 2, para Delimitadores, escolha Ponto e vírgula. No painel Visualização de dados, confirme se os dados estão sendo separados em colunas.

    • Para a etapa 3, escolha Concluir.

  12. Confirme se os dados de texto estão delimitados em várias colunas.

  13. Salve o relatório do Excel com um novo nome.

  14. Pesquise e exclua quaisquer erros Access Denied nas descobertas. Para obter instruções sobre como removê-los programaticamente, consulte Remoção programática de erros na seção Informações adicionais.

AWS geral

Finalize o relatório.

  1. Escolha a planilha Descobertas e, em seguida, selecione a célula A17. Essa célula é o cabeçalho da tabela dinâmica.

  2. Na faixa de opções, em PivotTable Ferramentas, escolha Analisar e, em Atualizar, escolha Atualizar tudo. Isso atualiza as tabelas dinâmicas com o novo conjunto de dados.

  3. Por padrão, o Excel não exibe Conta da AWS números corretamente. Para corrigir a formatação do número, faça o seguinte:

    • Na planilha de Descobertas, abra o menu de contexto (clique com o botão direito) da coluna A e escolha Formatar células.

    • Escolha Número e, em Casas decimais, insira 0.

    • Escolha OK.

    Observação: Se um Conta da AWS número começar com um ou mais zeros, o Excel removerá automaticamente os zeros. Se você ver um número de conta com menos de 12 dígitos no relatório, os dígitos que faltam são zeros no início do número.

  4. (Opcional) Você pode recolher campos para facilitar a leitura das descobertas. Faça o seguinte:

    • Na planilha Descobertas, se você mover o cursor para a linha entre as linhas 18 e 19 (o espaço entre o cabeçalho crítico e a primeira descoberta), o ícone do cursor mudará para uma pequena seta apontando para baixo.

    • Clique para selecionar todos os campos de descoberta.

    • Abra o menu de contexto (clique com o botão direito do mouse), localize Expandir/Recolher e escolha Recolher.

  5. Para obter detalhes sobre a avaliação, consulte as planilhas Descobertas, Gravidade e Aprovação.

AWS geral

Crie um relatório das descobertas

TarefaDescriçãoHabilidades necessárias

Importe as descobertas.

  1. No Excel, abra o prowler-report-templatearquivo.xlsx e escolha a planilha Prowler CSV.

  2. Exclua todos os dados de amostra, incluindo a linha do cabeçalho. Se você for perguntado se deseja excluir a consulta associada aos dados que estão sendo removidos, escolha Não. A exclusão da consulta pode afetar a funcionalidade das tabelas dinâmicas no modelo do Excel.

  3. Extraia o conteúdo do arquivo zip que você baixou do bucket do S3.

  4. No Excel, abra o prowler-fullorgresults-accessdeniedfilteredarquivo.txt. Recomendamos que você use esse arquivo porque os erros mais comuns e não acionáveis já foram removidos, como Access Denied erros relacionados a tentativas de varredura de recursos. AWS Control Tower Se você quiser as descobertas não filtradas, abra o arquivo prowler-fullorgresults.txt em vez disso.

  5. Selecione a coluna A.

  6. Se você estiver usando o Windows, digite Ctrl+C ou, se estiver usando o macOS, digite Cmd+C. Isso copia todos os dados para a área de transferência.

  7. No modelo de relatório do Excel, na planilha Prowler CSV, selecione a célula A1.

  8. Se você estiver usando o Windows, digite Ctrl+V ou, se estiver usando o macOS, digite Cmd+V. Isso irá colar as descobertas no relatório.

  9. Confirme se todas as células que contêm dados colados foram selecionadas. Caso contrário, selecione a coluna A.

  10. Na guia Dados, escolha Texto em colunas.

  11. No assistente, faça o seguinte:

    • Para a etapa 1, escolha Delimitado.

    • Para a etapa 2, para Delimitadores, escolha Ponto e vírgula. No painel Visualização de dados, confirme se os dados estão sendo separados em colunas.

    • Para a etapa 3, escolha Concluir.

  12. Confirme se os dados de texto estão delimitados em várias colunas.

  13. Salve o relatório do Excel com um novo nome.

  14. Pesquise e exclua quaisquer erros Access Denied nas descobertas. Para obter instruções sobre como removê-los programaticamente, consulte Remoção programática de erros na seção Informações adicionais.

AWS geral

Finalize o relatório.

  1. Escolha a planilha Descobertas e, em seguida, selecione a célula A17. Essa célula é o cabeçalho da tabela dinâmica.

  2. Na faixa de opções, em PivotTable Ferramentas, escolha Analisar e, em Atualizar, escolha Atualizar tudo. Isso atualiza as tabelas dinâmicas com o novo conjunto de dados.

  3. Por padrão, o Excel não exibe Conta da AWS números corretamente. Para corrigir a formatação do número, faça o seguinte:

    • Na planilha de Descobertas, abra o menu de contexto (clique com o botão direito) da coluna A e escolha Formatar células.

    • Escolha Número e, em Casas decimais, insira 0.

    • Escolha OK.

    Observação: Se um Conta da AWS número começar com um ou mais zeros, o Excel removerá automaticamente os zeros. Se você ver um número de conta com menos de 12 dígitos no relatório, os dígitos que faltam são zeros no início do número.

  4. (Opcional) Você pode recolher campos para facilitar a leitura das descobertas. Faça o seguinte:

    • Na planilha Descobertas, se você mover o cursor para a linha entre as linhas 18 e 19 (o espaço entre o cabeçalho crítico e a primeira descoberta), o ícone do cursor mudará para uma pequena seta apontando para baixo.

    • Clique para selecionar todos os campos de descoberta.

    • Abra o menu de contexto (clique com o botão direito do mouse), localize Expandir/Recolher e escolha Recolher.

  5. Para obter detalhes sobre a avaliação, consulte as planilhas Descobertas, Gravidade e Aprovação.

AWS geral
TarefaDescriçãoHabilidades necessárias

Atualize o Prowler.

Se você deseja atualizar o Prowler para a versão mais recente, faça o seguinte:

  1. Conecte-se à EC2 instância do Prowler usando o Gerenciador de Sessões. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager.

  2. Insira o comando da a seguir.

    sudo -i
pip3 install --upgrade prowler
AWS geral

Atualize o script prowler_scan.sh.

Se você quiser atualizar o script prowler_scan.sh para a versão mais recente no repositório, faça o seguinte:

  1. Conecte-se à EC2 instância do Prowler usando o Gerenciador de Sessões. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager.

  2. Insira o comando da a seguir.

    sudo -i

  3. Navegue até o diretório de scripts do Prowler.

    cd /usr/local/prowler

  4. Digite o comando a seguir para armazenar o script local para que você possa mesclar as alterações personalizadas na versão mais recente.

    git stash

  5. Digite o seguinte comando para obter a versão mais recente do script.

    git pull

  6. Digite o seguinte comando para mesclar o script personalizado com a versão mais recente do script.

    git stash pop
nota

Você pode receber avisos relacionados a qualquer arquivo gerado localmente que não esteja no GitHub repositório, como encontrar relatórios. Você pode ignorá-los, desde que o prowler_scan.sh mostre que as alterações armazenadas localmente foram mescladas novamente.

AWS geral

(Opcional) Atualize o Prowler ou os recursos no repositório de código

TarefaDescriçãoHabilidades necessárias

Atualize o Prowler.

Se você deseja atualizar o Prowler para a versão mais recente, faça o seguinte:

  1. Conecte-se à EC2 instância do Prowler usando o Gerenciador de Sessões. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager.

  2. Insira o comando da a seguir.

    sudo -i
pip3 install --upgrade prowler
AWS geral

Atualize o script prowler_scan.sh.

Se você quiser atualizar o script prowler_scan.sh para a versão mais recente no repositório, faça o seguinte:

  1. Conecte-se à EC2 instância do Prowler usando o Gerenciador de Sessões. Para obter instruções, consulte Conectar-se à instância do Linux usando o Session Manager.

  2. Insira o comando da a seguir.

    sudo -i

  3. Navegue até o diretório de scripts do Prowler.

    cd /usr/local/prowler

  4. Digite o comando a seguir para armazenar o script local para que você possa mesclar as alterações personalizadas na versão mais recente.

    git stash

  5. Digite o seguinte comando para obter a versão mais recente do script.

    git pull

  6. Digite o seguinte comando para mesclar o script personalizado com a versão mais recente do script.

    git stash pop
nota

Você pode receber avisos relacionados a qualquer arquivo gerado localmente que não esteja no GitHub repositório, como encontrar relatórios. Você pode ignorá-los, desde que o prowler_scan.sh mostre que as alterações armazenadas localmente foram mescladas novamente.

AWS geral
TarefaDescriçãoHabilidades necessárias

Exclua todos os recursos implantados.

Você pode deixar os recursos implantados nas contas. Se você desligar a EC2 instância quando ela não estiver em uso e mantiver o bucket do S3 vazio, isso reduzirá os custos de manutenção dos recursos para futuras verificações.

Para desprovisionar todos os recursos, faça o seguinte:

  1. Exclua a pilha IAM-ProwlerExecRole provisionada na conta de gerenciamento. Para obter instruções, consulte Como excluir uma pilha na CloudFormation documentação.

  2. Exclua o conjunto de pilhas IAM-ProwlerExecRole provisionado na conta de gerenciamento da organização ou na conta de administrador delegada. Para obter instruções, consulte Excluir um conjunto de pilhas na CloudFormation documentação.

  3. Excluir todos os objetos no bucket S3 prowler-output. Para obter instruções, consulte Excluir objetos na documentação do Amazon S3.

  4. Exclua a pilha Prowler-Resources provisionada na conta de segurança. Para obter instruções, consulte Como excluir uma pilha na CloudFormation documentação.

AWS DevOps

Limpar (opcional)

TarefaDescriçãoHabilidades necessárias

Exclua todos os recursos implantados.

Você pode deixar os recursos implantados nas contas. Se você desligar a EC2 instância quando ela não estiver em uso e mantiver o bucket do S3 vazio, isso reduzirá os custos de manutenção dos recursos para futuras verificações.

Para desprovisionar todos os recursos, faça o seguinte:

  1. Exclua a pilha IAM-ProwlerExecRole provisionada na conta de gerenciamento. Para obter instruções, consulte Como excluir uma pilha na CloudFormation documentação.

  2. Exclua o conjunto de pilhas IAM-ProwlerExecRole provisionado na conta de gerenciamento da organização ou na conta de administrador delegada. Para obter instruções, consulte Excluir um conjunto de pilhas na CloudFormation documentação.

  3. Excluir todos os objetos no bucket S3 prowler-output. Para obter instruções, consulte Excluir objetos na documentação do Amazon S3.

  4. Exclua a pilha Prowler-Resources provisionada na conta de segurança. Para obter instruções, consulte Como excluir uma pilha na CloudFormation documentação.

AWS DevOps

Solução de problemas

ProblemaSolução

Não é possível se conectar à EC2 instância usando o Gerenciador de Sessões.

O SSM Agent deve conseguir se comunicar com o endpoint do Session Manager. Faça o seguinte:

  1. Valide que a sub-rede em que a EC2 instância está implantada tem acesso à Internet.

  2. Reinicie a EC2 instância.

Ao implantar o conjunto de pilhas, o CloudFormation console solicita que você faça isso. Enable trusted access with AWS Organizations to use service-managed permissions

Isso indica que o acesso confiável não foi habilitado entre AWS Organizations CloudFormation e. É necessário o acesso confiável para implantar o conjunto de pilhas gerenciadas pelo serviço. Escolha o botão para habilitar o acesso confiável. Para obter mais informações, consulte Habilitar acesso confiável na CloudFormation documentação.

Recursos relacionados

AWS documentação

Outros recursos

Mais informações

Removendo erros de forma programática

Se os resultados contiverem erros Access Denied, você deverá removê-los das descobertas. Esses erros geralmente ocorrem devido a permissões de influência externa que impedem o Prowler de avaliar um recurso específico. Por exemplo, algumas verificações falham ao revisar os buckets do S3 provisionados por meio de. AWS Control Tower Você pode extrair programaticamente esses resultados e salvar os resultados filtrados como um novo arquivo.

Os comandos a seguir removem as linhas que contêm uma única sequência de texto (um padrão) e, em seguida, enviam os resultados para um novo arquivo.

  • Para Linux ou macOS (Grep)

    grep -v -i "Access Denied getting bucket" myoutput.csv > myoutput_modified.csv

  • Para Windows (PowerShell)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket' -NotMatch > myoutput_modified.csv

Os comandos a seguir removem as linhas que correspondem a mais de uma sequência de texto e, em seguida, enviam os resultados para um novo arquivo.

  • Para Linux ou macOS (usa um tubo de escape entre as strings de caracteres)

    grep -v -i 'Access Denied getting bucket\|Access Denied Trying to Get' myoutput.csv > myoutput_modified.csv

  • Para Windows (usa uma vírgula entre strings)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket', 'Access Denied Trying to Get' -NotMatch > myoutput_modified.csv

Exemplos de relatório

A imagem a seguir é um exemplo da planilha de Descobertas no relatório de descobertas consolidadas da Prowler.

Exemplo da guia Descobertas no relatório dos resultados da verificação do Prowler

A imagem a seguir é um exemplo da planilha de Aprovação no relatório de descobertas consolidadas do Prowler. (Por padrão, os resultados de aprovação são excluídos da saída.)

Exemplo da guia Aprovação no relatório dos resultados do escaneamento do Prowler

A imagem a seguir é um exemplo da planilha de Severidade do relatório de descobertas consolidadas do Prowler.

Exemplo da guia Severidade no relatório dos resultados do escaneamento do Prowler

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.