评估 Amazon Inspector 对您 AWS 环境的覆盖范围 - Amazon Inspector
评测账户级别的覆盖率评估 Amazon EC2 实例的覆盖范围评估 Amazon ECR 存储库的覆盖范围评估 Amazon ECR 容器图片的覆盖范围评测 AWS Lambda 函数覆盖率

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

评估 Amazon Inspector 对您 AWS 环境的覆盖范围

您可以从 Amazon Inspector 控制台的账户管理屏幕中评估 Amazon Inspector 对您 AWS 环境的覆盖范围,该屏幕显示有关您的账户和资源的 Amazon Inspector 扫描状态的详细信息和统计数据。

注意

如果您是某个组织的委托管理员,则可以查看该组织中所有账户的详细信息和统计信息。

以下过程描述了如何评估您的 Amazon Inspector 环境的覆盖范围。

评估 Amazon Inspector 对您 AWS 环境的覆盖范围

  1. 使用您的凭证登录,然后在 https://console.aws.amazon.com/inspector/v2/ home 中打开 Amazon Inspector 控制台。

  2. 在导航窗格中,选择账户管理

  3. 要查看覆盖范围,请选择以下选项卡之一:

    • 选择 “账户” 以查看账户级别的承保范围。

    • 选择实例以查看亚马逊弹性计算云 (AmazonEC2) 实例的覆盖范围。

    • 选择容器存储库以查看亚马逊弹性容器注册表 (AmazonECR) 存储库的覆盖范围。

    • 选择 “容器图片” 以查看 Amazon ECR 容器镜像的覆盖范围。

    • 选择 Lambda 函数以查看 Lambda 函数的覆盖范围。

以下主题描述了每个选项卡提供的信息。

评测账户级别的覆盖率

如果您的账户不是组织的一员,或者不是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供有关您的账户和账户资源扫描状态的信息。在此选项卡上,您可以激活或停用对您账户中所有或仅特定类型资源的扫描。有关更多信息,请参阅 使用 Amazon Inspector 自动扫描资源

如果您的账户是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供组织中账户的自动激活设置并列出组织中的所有账户。对于每个账户,该列表都会显示账户是否已激活 Amazon Inspector,如果已激活,还会显示为该账户激活的资源扫描类型。作为委托管理员,您可以使用此选项卡更改组织的自动激活设置。您还可以为个人成员账户激活或停用特定类型的资源扫描。有关更多信息,请参阅 为成员账户激活 Amazon Inspector 扫描

评估 Amazon EC2 实例的覆盖范围

实例选项卡显示您的 AWS 环境中的 Amazon EC2 实例。列表按以下选项卡分组:

  • 全部 – 显示环境中的所有实例。状态列显示实例的当前扫描状态。

  • 扫描 – 显示 Amazon Inspector 在环境中主动监控和扫描的所有实例。

  • 未扫描 – 显示 Amazon Inspector 未在环境中主动监控和扫描的所有实例。原因列说明了为什么 Amazon Inspector 没有监控和扫描实例。

    EC2实例可能出现在 “未扫描” 选项卡上,原因有很多。Amazon Inspector 使用 AWS Systems Manager (SSM) 和SSM代理自动监控和扫描您的EC2实例是否存在漏洞。如果实例没有运行SSM代理,没有支持 Systems Manager 的 AWS Identity and Access Management (IAM) 角色,或者没有运行支持的操作系统或架构,则 Amazon Inspector 无法监控和扫描该实例。有关更多信息,请参阅 正在扫描 Amazon EC2 实例

在每个选项卡上,账户列都指定 AWS 账户 了拥有实例的。

EC2实例标签 — 此列显示与实例关联的标签,可用于确定您的实例是否已被标签排除在扫描之外。

操作系统 – 此列显示操作系统类型,可以是 WINDOWSMACLINUXUNKNOWN

使用监控方式-此列显示 Amazon Inspec tor 在此实例上使用的是基于代理的扫描方法还是无代理扫描方法。

上次扫描时间 – 此列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。Amazon Inspector 执行扫描的频率取决于它用来扫描实例的扫描方法。

要查看有关EC2实例的更多详细信息,请选择EC2实例列中的链接。然后,Amazon Inspector 会显示有关该实例的详细信息以及该实例的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅查看您的 Amazon Inspector 调查结果的详情

Amazon EC2 实例的扫描状态值

对于亚马逊弹性计算云 (AmazonEC2) 实例,可能的状态值为

  • 主动监控 – Amazon Inspector 正在持续监控和扫描实例。

  • EC2实例已停止 — Amazon Inspector 已暂停对该实例的扫描,因为该实例处于停止状态。所有现有调查发现都将持续到实例终止。如果实例重新启动,Amazon Inspector 将自动恢复对实例的扫描。

  • 内部错误 – Amazon Inspector 尝试扫描实例时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。

  • 无清单 – Amazon Inspector 找不到用于扫描实例的软件应用程序清单。实例的 Amazon Inspector 关联可能已被删除或者无法运行。

    要修复此问题,请使用 AWS Systems Manager 来确保InspectorInventoryCollection-do-not-delete关联存在且其关联状态为成功。此外,使用 AWS Systems Manager Fleet Manager 验证实例的软件应用程序清单。

  • 待禁用 – Amazon Inspector 已停止扫描该实例。正在禁用该实例,等待清理任务完成。

  • 等待初始扫描 – Amazon Inspector 已将实例纳入队列,等待初始扫描。

  • 资源已终止 – 实例已终止。Amazon Inspector 当前正在清理该实例的现有调查发现和覆盖率数据。

  • 清单过期 – Amazon Inspector 无法收集过去 7 天内为该实例捕获的更新后的软件应用程序清单。

    要修复此问题,请使用 AWS Systems Manager 来确保该实例所必需的 Amazon Inspector 关联存在且正在运行。此外,使用 AWS Systems Manager Fleet Manager 验证实例的软件应用程序清单。

  • 非托管EC2实例 — Amazon Inspector 未监控或扫描该实例。实例不由 AWS Systems Manager托管。

    要修复此问题,你可以使用 A AWS Systems Manager utomation AWSSupport-TroubleshootManagedInstance runbook提供的。在您配置 AWS Systems Manager 为管理实例后,Amazon Inspector 将自动开始持续监控和扫描该实例。

  • 不支持的操作系统 – Amazon Inspector 未监控或扫描实例。实例使用了 Amazon Inspector 不支持的操作系统或架构。有关 Amazon Inspector 支持的操作系统的列表,请参阅Amazon EC2 扫描支持的操作系统

  • 主动监视部分错误-此状态表示EC2扫描处于活动状态,但存在与之相关的错误Amazon Inspector 对基于 Linux 的亚马逊实例进行深入检查 EC2。可能的深度检查错误有:

    • 已@@ 超过深度检查包裹收集限制 — 该实例已超过 Amazon Inspector 深度检查的 5000 个包裹限制。要恢复对此实例的深入检查,您可以尝试调整与该账户关联的自定义路径。

    • 已超出深度检查每日 ssm 库存限制 — SSM 代理无法向 Amazon Inspector 发送库存,因为该实例每天收集的库存数据SSM配额已经达到。有关更多信息,请参阅 Amazon EC2 Systems Manager 终端节点和配额

    • 已超过深度检查收集时间限制 — Amazon Inspector 未能提取包裹库存,因为包裹收集时间超过了 15 分钟的最大阈值。

    • 深度检查没有库存Amazon Inspector SSM 插件尚未能够收集此实例的包裹清单。这通常是待处理扫描的结果,但是,如果此状态在 6 小时后仍然存在,请使用 Amazon S EC2 ystems Manager 确保该实例存在所需的亚马逊检查员关联并且正在运行。

有关为EC2实例配置扫描设置的详细信息,请参阅正在扫描 Amazon EC2 实例

评估 Amazon ECR 存储库的覆盖范围

存储库” 选项卡显示您 AWS 环境中的 Amazon ECR 存储库。列表按以下选项卡分组:

  • 全部 – 显示环境中的所有存储库。状态列显示存储库的当前扫描状态。

  • 已激活 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有存储库。状态列显示存储库的当前扫描状态。

  • 已激活 – 显示 Amazon Inspector 未在环境中监控和扫描的所有存储库。原因列说明了为什么 Amazon Inspector 没有监控和扫描存储库。

在每个选项卡上,“帐户” 列指定 AWS 账户 拥有存储库的。

要查看有关存储库的其他详细信息,请选择存储库的名称。然后,Amazon Inspector 会显示存储库中的容器映像的列表以及每个映像的详细信息。详细信息包括映像标签、映像摘要和扫描状态。其中还包括关键调查发现统计数据,例如映像的关键调查发现数量。要深入了解和查看调查发现统计数据的支持数据,请选择映像的映像标签。

正在扫描 Amazon ECR 存储库的状态值

对于亚马逊弹性容器注册表 (AmazonECR) 存储库,可能的状态值为

  • 已激活(持续)— 对于存储库,Amazon Inspector 会持续监控该存储库中的图像。存储库的增强扫描设置为持续扫描。Amazon Inspector 最初会在推送新图像时对其进行扫描,如果发布了与该图像CVE相关的新图像,则会重新扫描图像。在您配置的ECR扫描持续时间内,Amazon Inspector 将继续监控此存储库中的图像。

  • 已激活(推送时)— 当推送新映像时,Amazon Inspector 会自动扫描存储库中的单个容器映像。已激活存储库的增强扫描,并将其设置为推送时扫描。

  • 访问被拒绝 – Amazon Inspector 无法访问存储库或存储库中的任何容器映像。

    要修复此问题,请确保仓库的 AWS Identity and Access Management (IAM) 策略允许 Amazon Inspector 访问存储库。

  • 已停用(手动)– Amazon Inspector 未监控或扫描存储库中的任何容器映像。存储库的 Amazon ECR 扫描设置设置为基本手动扫描。

    要开始使用 Amazon Inspector 扫描存储库中的映像,请将存储库的扫描设置更改为增强扫描,然后选择是持续扫描映像还是仅在推送新映像时扫描映像。

  • 已激活(推送时)— 当推送新映像时,Amazon Inspector 会自动扫描存储库中的单个容器映像。存储库的增强扫描设置为推送时扫描。

  • 内部错误-Amazon Inspector 尝试扫描存储库时出现内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。

有关配置存储库扫描设置的详细信息正在扫描 Amazon ECR 集装箱图片

评估 Amazon ECR 容器图片的覆盖范围

图片” 选项卡显示您 AWS 环境中的 Amazon ECR 容器镜像。列表按以下选项卡分组:

  • 全部 – 显示环境中的所有容器映像。状态列显示映像的当前扫描状态。

  • 正在扫描 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有容器映像。状态列显示映像的当前扫描状态。

  • 未扫描 – 显示 Amazon Inspector 未在环境中监控和扫描的所有容器映像。原因列说明了为什么 Amazon Inspector 没有监控和扫描映像。

    容器映像可能会由于多种原因出现在未激活选项卡上。图像可能存储在未激活 Amazon Inspector 扫描的存储库中,或者亚马逊ECR筛选规则禁止扫描该存储库。或者在您为ECR重新扫描持续时间配置的天数内未推送或拉取图像。有关更多信息,请参阅 配置ECR重新扫描持续时间

在每个选项卡上,存储库名称列指定存储容器映像的存储库的名称。“帐户” 列指定 AWS 账户 拥有存储库的。上次扫描列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括检查查找元数据何时有更新、资源应用程序清单何时有更新,或者何时为响应新CVE内容而进行重新扫描。有关更多信息,请参阅 Amazon ECR 扫描的扫描行为

要查看有关容器映像的其他详细信息,请选择ECR容器映像列中的链接。然后,Amazon Inspector 会显示有关该映像的详细信息以及该映像的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅查看您的 Amazon Inspector 调查结果的详情

Amazon ECR 容器图片的扫描状态值

对于 Amazon 弹性容器注册表容器镜像,可能的状态值为

  • 主动监控(持续)— Amazon Inspector 会持续监控,每当有新的相关CVE内容发布时,都会对其进行图像和新的扫描。每当推送或ECR拉取图像时,都会刷新图像的 Amazon 重新扫描持续时间。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为持续扫描。

  • 已激活(推送时)— 每次推送新图像时,Amazon Inspector 都会自动扫描图像。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为推送时扫描。

  • 内部错误-Amazon Inspector 尝试扫描容器图像时出现内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。

  • 等待初始扫描 — Amazon Inspector 已将图像排队等候初始扫描。

  • 扫描资格已过期(持续)— Amazon Inspector 已暂停扫描图片。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送或拉动图像以恢复扫描。

  • 扫描资格已过期(推送中)— Amazon Inspector 已暂停对图片的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送图像以恢复扫描。

  • 手动扫描频率(手动)— Amazon Inspector 不扫描亚马逊ECR容器图片。存储图像的存储库的 Amazon ECR 扫描设置为基本手动扫描。要开始使用 Amazon Inspector 自动扫描映像,请将存储库设置为增强扫描,然后选择持续扫描映像或者仅在推送新映像时扫描。

  • 不支持的操作系统 — Amazon Inspector 没有监控或扫描图像。该映像基于 Amazon Inspector 不支持的操作系统,或者它使用了 Amazon Inspector 不支持的媒体类型。

    有关 Amazon Inspector 支持的操作系统的列表,请参阅Amazon ECR 扫描支持的操作系统。有关 Amazon Inspector 支持的媒体类型的列表,请参阅支持的媒体类型

有关为存储库和映像配置扫描设置的详细信息,请参阅正在扫描 Amazon ECR 集装箱图片

评估 AWS Lambda 职能覆盖范围

Lambda 选项卡显示您的环境中的 Lambda 函数。 AWS 本页有两个表,一个显示 Lambda 标准扫描的函数覆盖率详细信息,另一个显示 Lambda 代码扫描的函数覆盖率详细信息。您可以根据以下选项卡对函数进行分组:

  • 全部 – 显示环境中的所有 Lambda 函数。状态列显示 Lambda 函数的当前扫描状态。

  • 扫描 – 显示根据 Amazon Inspector 配置要扫描的 Lambda 函数。状态列显示每个 Lambda 函数的当前扫描状态。

  • 未扫描 – 显示根据 Amazon Inspector 配置未扫描的 Lambda 函数。原因列说明了为什么 Amazon Inspector 没有监控和扫描函数。

    Lambda 函数可能由于多种原因出现在未扫描选项卡上。Lambda 函数可能属于尚未添加到 Amazon Inspector 的账户,或者筛选规则阻止扫描此函数。有关更多信息,请参阅 扫描 Lambda 函数

在每个选项卡上,函数名称列指定 Lambda 函数的名称。“帐户” 列指定拥有 AWS 账户 该函数的。运行时系统指定函数的运行时系统。状态列显示每个 Lambda 函数的当前扫描状态。资源标签显示已应用于函数的标签。上次扫描列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括检查查找元数据何时有更新、资源应用程序清单何时有更新,或者何时为响应新CVE内容而进行重新扫描。有关更多信息,请参阅 Lambda 函数扫描的扫描行为

正在扫描 AWS Lambda 函数的状态值

对于 Lambda 函数,可能的状态值包括:

  • 主动监控 – Amazon Inspector 正在持续监控和扫描 Lambda 函数。持续扫描包括在将新功能推送到存储库时对其进行初始扫描,以及在函数更新或发布新的常见漏洞和风险敞口 (CVEs) 时自动重新扫描这些函数。

  • 按标签排除 – Amazon Inspector 未扫描此函数,因为按标签它已被排除在扫描范围之外。

  • 扫描资格已过期 – Amazon Inspector 未监控此函数,因为自上次调用或更新该函数已过去 90 天或更长时间。

  • 内部错误 – Amazon Inspector 尝试扫描函数时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。

  • 等待初始扫描 – Amazon Inspector 已将函数纳入队列,等待初始扫描。

  • 不支持 – Lambda 函数的运行时系统不受支持。