支援結束通知:2026 年 5 月 20 日, AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後,您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶,存取將持續有效至 2026 年 5 月 20 日,之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊,請參閱 Amazon Inspector Classic 終止支援。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector Classic 教學課程 - Red Hat Enterprise Linux
在您遵循此教學課程中的指示之前,建議您先熟悉 Amazon Inspector Classic 術語和概念。
本教學課程說明如何使用 Amazon Inspector Classic 來分析執行 Red Hat Enterprise Linux 7.5 作業系統的 EC2 執行個體的行為。它提供如何導覽 Amazon Inspector Classic 工作流程的step-by-step說明。工作流程包括準備 Amazon EC2 執行個體、執行評估範本,以及執行評估調查結果中產生的建議安全修正。如果您是第一次使用 ,並且想要一鍵設定和執行 Amazon Inspector Classic 評估,請參閱建立基本評估。
主題
步驟 1:設定要與 Amazon Inspector Classic 搭配使用的 Amazon EC2 執行個體 Amazon Inspector
在本教學課程中,建立一個執行 Red Hat Enterprise Linux 7.5 的 EC2 執行個體,並使用名稱金鑰和 值來標記它。 InspectorEC2InstanceLinux
注意
如需標記 EC2 執行個體的詳細資訊,請參閱資源與標籤。
步驟 2:修改您的 Amazon EC2 執行個體
在本教學課程中,您會修改目標 EC2 執行個體,使其公開至潛在的安全問題 CVE-2018-1111。如需詳細資訊,請參閱 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1111
在已連接至執行個體 InspectorEC2InstanceLinux 的情況下,執行下列命令。
sudo yum install dhclient-12:4.2.5-68.el7
如需如何連線至 EC2 執行個體的指示,請參閱《Amazon EC2 使用者指南》中的連線至您的執行個體。
步驟 3:建立評估目標,並在 EC2 執行個體上安裝代理程式
Amazon Inspector Classic 使用評估目標來指定您要評估的 AWS 資源。
若要建立評估目標,並在 EC2 執行個體上安裝代理程式
登入 AWS Management Console ,並在 https://console.aws.amazon.com/inspector/
:// 開啟 Amazon Inspector Classic 主控台。 -
在導覽窗格中選擇 Assessment targets (評估目標),然後選擇 Create (建立)。
請執行下列操作:
-
在 Name (名稱) 中輸入您評估目標的名稱。
針對本教學,輸入
MyTargetLinux。 -
對於使用標籤,輸入索引鍵和值欄位的值,選擇您要包含在此評估目標中的 EC2 執行個體。
在此教學課程中,
Name請在金鑰欄位中輸入 ,然後在值欄位中輸入 ,以選擇您在上一個步驟InspectorEC2InstanceLinux中建立的 EC2 執行個體。若要將您 AWS 帳戶及區域所有的 EC2 執行個體納入評估目標,請選取 All Instances (所有執行個體) 核取方塊。
-
選擇 Save (儲存)。
-
在已標記的 EC2 執行個體上安裝 Amazon Inspector Classic 代理程式。若要在評估目標中所有 EC2 執行個體上安裝代理程式,請選取 Install Agents (安裝代理程式) 核取方塊。
注意
您也可以使用 AWS Systems Manager Run Command 安裝 Amazon Inspector Classic 代理程式。若要在評估目標中所有執行個體上安裝代理程式,您可指定用於建立評估目標的相同標記。或者,您可以在 EC2 執行個體上手動安裝 Amazon Inspector Classic 代理程式。如需詳細資訊,請參閱安裝 Amazon Inspector Classic 代理程式。
-
選擇 Save (儲存)。
-
注意
此時,Amazon Inspector Classic 會建立名為 的服務連結角色AWSServiceRoleForAmazonInspector。此角色會授予 Amazon Inspector Classic 存取 資源的必要存取權。如需詳細資訊,請參閱為 Amazon Inspector Classic 建立服務連結角色。
步驟 4:建立和執行評估範本
建立和執行範本
-
在導覽窗格中,選擇 Assessment templates (評估範本),然後選擇 Create (建立)。
-
針對 Name (名稱),請輸入評估範本的名稱。針對本教學,輸入
MyFirstTemplateLinux。 -
在 Target name (目標名稱) 部分,選擇您之前建立的評估目標 (
MyTargetLinux)。 -
針對 Rules packages (規則套件),請選擇要在此評估範本中使用的規則套件。
在此教學課程中,請選擇 Common Vulnerabilities and Exposures-1.1。
-
在 Duration (持續時間),指定評估範本的持續時間。
在此教學課程中,選擇 15 minutes (15 分鐘)。
-
選擇 Create and run (建立並執行)。
步驟 5:尋找並分析調查結果
已完成的評估執行會產生一組調查結果,或 Amazon Inspector Classic 在評估目標中發現的潛在安全問題。您可以檢閱問題清單並依照建議步驟解決潛在安全問題。
在此教學課程中,如果完成了先前的步驟,您的評估執行就會對照通用漏洞 CVE-2018-1111
尋找並分析調查結果
-
在導覽窗格中,選擇 Assessment runs (評估執行)。驗證名為 MyFirstTemplateLinux 的評估範本執行狀態是設定為 Collecting data (收集資料)。這表示評估執行正在進行中,而目標的遙測資料正根據所選規則套件收集與分析。
-
當評估執行仍在進行中,您就無法檢視由評估執行產生的問題清單。請讓評估執行完成整段持續時間。然而,在此教學課程中,您可以於幾分鐘後停止執行。
MyFirstTemplateLinux 的狀態會先變更為 Stopping (正在停止),接著在幾分鐘內變更為 Analyzing (正在分析),最後是 Analysis complete (分析完成)。要查看狀態的變更,請選擇 Refresh (重新整理) 圖示。
-
在導覽窗格中,選擇調查結果。
您可以看到具有 High (高) 嚴重性的新調查結果,稱為 Instance InspectorEC2InstanceLinux is vulnerable to CVE-2018-1111 (執行個體 InspectorEC2InstanceLinux 具有 CVE-2018-1111 的漏洞)。
注意
如果您未看到新的問題清單,請選擇 Refresh (重新整理) 圖示。
要展開檢視並查看此問題清單的詳細資訊,請選擇問題清單左側的箭頭。問題清單的詳細資訊包含下列項目:
-
調查結果的 ARN
-
產生此調查結果的評估執行名稱
-
產生此調查結果的評估目標名稱
-
產生此調查結果的評估範本名稱
-
評估執行開始時間
-
評估執行結束時間
-
評估執行狀態
-
包含觸發此問題清單之規則的規則套件名稱
-
Amazon Inspector Classic 代理程式 ID
-
問題清單名稱
-
問題清單嚴重性
-
問題清單的描述
-
您可以完成這些建議步驟,以修正調查結果所描述的潛在安全問題
-
步驟 6:套用建議修復至您的評估目標
在此教學課程中,您已修改評估目標,將其暴露於潛在安全問題 CVE-2018-1111。在此程序中,您可以為此問題套用建議修正。
將修正套用到您的目標
-
連接至您在前一節建立的執行個體
InspectorEC2InstanceLinux,並執行以下命令:sudo yum update dhclient-12:4.2.5-68.el7 -
在 Amazon templates (Amazon 範本) 頁面,選擇 MyFirstTemplateLinux (MyFirstTemplateLinux),接著選擇 Run (執行) 使用此範本開始新的評估執行。
-
遵循 步驟 5:尋找並分析調查結果 中的步驟,以查看 MyFirstTemplateLinux 範本後續執行所產生的結果。
由於您已解決 CVE-2018-1111 安全問題,因此您不應再看到問題清單。
