Amazon Inspector 發現的嚴重程度

Amazon Inspector 產生弱點發現項目時，會自動為發現項目指派嚴重性。發現項目的嚴重性會反映發現項目的主要特徵，因此可協助您評估發現項目並排定其優先順序。發現項目的嚴重性並不暗示或以其他方式表示受影響資源對您的組織可能具有的重要性或重要性。

發現項目的嚴重性等級是由與下列其中一個嚴重性層級相對應的數值分數所驅動：資訊性、低、中、高或嚴重。

Amazon Inspector 判斷嚴重性的方法會根據尋找項目類型而有所不同。請參閱以下各節，進一步了解 Amazon Inspector 如何判斷每個發現項目類型的嚴重性等級。

軟體套件弱點嚴重性

Amazon Inspector 使用 NVD/CVSS 分數作為軟體套件弱點嚴重性評分的基礎。NVD/CVSS 分數是由 NVD 公佈且由 CVSS 定義的弱點嚴重性分數。NVD/CVSS 分數是安全指標的組成，例如攻擊複雜度、漏洞利用程式碼成熟度和所需權限。Amazon Inspector 會產生從 1 到 10 的數字分數，反映弱點的嚴重性。Amazon Inspector 將其歸類為基本分數，因為它會根據弱點的內在特徵反映弱點的嚴重程度，而這些特徵會隨著時間的推移而保持不變。此分數也會假設在不同部署環境中產生合理的最差情況影響。CVSS v3 標準會將 CVSS 分數對應至下列嚴重性等級。

得分	評分
0	資訊
0.1—3.9	低
4.0—6.9	中
7.0—8.9	高
9.0—10.0	嚴重

Package 弱點發現項目的嚴重性也可能為「未分類」。這表示廠商尚未針對偵測到的弱點設定弱點評分。在這種情況下，我們建議使用參考 URL 進行發現，以研究該漏洞並作出相應的回應。

Package 件弱點發現項目包含下列分數和相關評分向量，作為其發現詳細資料的一部分：

• EPSS 得分

• Inspector 得分

• Amazon CVE 的 CVE

• 來自 NVD 的 CVSS 3.1

• 來自 NVD 的保障制度 2.0（如適用）

代碼漏洞嚴重性

針對程式碼弱點發現項目，Amazon Inspector 會使用產生該發現項目之 Amazon CodeGuru 偵測器所定義的嚴重性等級。每個偵測器都會使用 CVSS v3 評分系統指派一個嚴重性。如需嚴重性 CodeGuru 使用的說明，請參閱 CodeGuru 指南中的嚴重性定義。如需嚴重性的偵測器清單，請從下列支援的程式設計語言中進行選取：

• 按嚴重性分類的 Python 探測器

• 依嚴重性分類的 Java 偵測器

網路連線能力嚴重性

Amazon Inspector 會根據公開的服務、連接埠和通訊協定以及開放路徑類型，判斷網路連接性弱點的嚴重性。下表定義了這些嚴重性等級。「開放路徑分級」欄中的值代表來自虛擬閘道、對等 VPC 和 AWS Direct Connect 網路的開放路徑。所有其他公開的服務、連接埠和通訊協定都有資訊嚴重性等級。

服務	通訊埠	UDP 連接埠	互聯網路徑分級	開放路徑評等
DHCP	67、68、546、547	67、68、546、547	中	資訊
Elasticsearch	9300、9200	NA	中	資訊
FTP	21	21	高	中
通用類別目錄 LDAP	3268	NA	中	資訊
透過 TLS 的通用類別目錄 LDAP	3269	NA	中	資訊
HTTP	80	80	低	資訊
HTTPS	443	443	低	資訊
Kerberos	88、464、543、544、749、751	88、464、749、750、751、752	中	資訊
LDAP	389	389	中	資訊
透過 TLS 的 LDAP	636	NA	中	資訊
MongoDB	27017、27018、27019、28017	NA	中	資訊
MySQL	3306	NA	中	資訊
NetBIOS	137、139	137、138	中	資訊
NFS	111、2049、4045、1110	111、2049、4045、1110	中	資訊
Oracle	1521、1630	NA	中	資訊
PostgreSQL	5432	NA	中	資訊
列印服務	515	NA	高	中
RDP	3389	3389	中	低
RPC	111、135、530	111、135、530	中	資訊
SMB	445	445	中	資訊
SSH	22	22	中	低
SQL Server	1433	1434	中	資訊
Syslog	601	514	中	資訊
Telnet	23	23	高	中
WINS	1512、42	1512、42	中	資訊