這是 Amazon Inspector 經典的用戶指南。如需有關新 Amazon Inspector 查器的資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector 經典主控台,請在 https://console.aws.amazon.com/inspector/
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 器經典教學課程-Ubuntu Server
在您遵循此教學課程中的指示之前,建議您先熟悉 Amazon Inspector 經典術語與概念。
此教學課程示範如何使用 Amazon Inspector 器 Classic 來分析執行 Ubuntu Server 16.04 LTS 作業系統的 EC2 執行個體的行為。它提供逐步指示,讓您瞭解如何導覽 Amazon Inspector Classic 工作流程。
如果您是第一次使用,且想要透過點擊即可設定並執行 Amazon Inspector Classic 評估,請參建立基本評估。
主題
步驟 1:設定 Amazon EC2 執行個體以配合使用的 Amazon Inspector 個體
設定 EC2 執行個體
-
在此教學課程中,建立一個執行 Ubuntu Server 16.04 LTS 的 EC2 執行個體,並使用名稱鍵和值為
InspectorEC2InstanceUbuntu
。注意
如需標記 EC2 執行個體的詳細資訊,請參閱資源與標籤。
步驟 2:建立評估目標,並在 EC2 執行個體上安裝代理程式
Amazon Inspector Classic 使用評估目標,以指定要評估的 AWS 資源。
建立評估目標並在 EC2 執行個體上安裝代理程式
登入AWS Management Console,然後打開亞 Amazon Inspector 經典控制台https://console.aws.amazon.com/inspector/
。 -
在導覽窗格中選擇 Assessment targets (評估目標),然後選擇 Create (建立)。
-
在 Name (名稱) 中輸入您評估目標的名稱。
針對本教學課程,請輸入
MyTargetUbuntu
。 -
適用於使用標籤,選擇您想納入此評估目標中的 EC2 執行個體,方法是輸入金鑰和數值和 欄位之間沒有任何差異。
在此教學課程中,選擇您在前一步驟中建立的 EC2 執行個體,方法是輸入
Name
中的金鑰欄位和InspectorEC2InstanceUbuntu
中的數值欄位。勾選All instances (所有執行個體)方塊,納入評估目標中 AWS 帳戶及區域的所有 EC2 執行個體。
-
在您加上標籤的 EC2 執行個體上安裝 Amazon Inspector 經典代理程式。若要在評估目標中包含 EC2 執行個體上安裝代理程式,請選取 Install Agents (安裝代理程式) 方塊。
注意
您亦可使用 Systems Manager Run Command 安裝 Amazon Inspector 代理程式。要在評估目標中的所有執行個體上安裝代理程式,您可以指定用於建立評估目標的相同標籤。或者,您可以手動在 EC2 執行個體上安裝 Amazon Inspector Agent。如需詳細資訊,請參閱 安裝 Amazon Inspector 經典代理。
-
選擇 Save (儲存)。
注意
此時會顯示一個名為的服務連結角色AWSServiceRoleForAmazonInspector
,以授與 Amazon Inspector Classic 版訪問您的資源。如需詳細資訊,請參閱 為 Amazon Inspector 經典創建服務鏈接角色。
步驟 3:建立並執行評估模板
建立和執行範本
-
如果您使用 Advanced setup (進階設定),系統會將您導向 Define an assessment template (定義評估範本) 頁面。否則,請導覽至 Assessment templates (評估範本) 頁面,然後選擇 Create (建立)。
-
針對 Name (名稱),請輸入評估範本的名稱。針對本教學,輸入
MyFirstTemplateUbuntu
。 -
在 Target name (目標名稱) 部分,選擇您之前建立的評估目標 (
MyTargetUbuntu
)。 -
針對 Rules packages (規則套件),請使用下拉式功能表,選擇您要在此評估範本中使用的規則套件。
在此教學課程中,請選擇 Common Vulnerabilities and Exposures-1.1。
-
在 Duration (持續時間),指定評估範本的持續時間。
在此教學課程中,選擇 15 minutes (15 分鐘)。
-
如果您使用的是 Advanced setup (進階設定),請選擇 Next (下一步)。在以下 Review (審查) 頁面,選擇 Create function (建立函數)。否則請選擇 Create and run (建立並執行)。
步驟 4:定位並分析產生的問題清單
完成的評估執行會產生一組問題清單,或是產生由 Amazon Inspector Classic 在評估目標中發現的潛在安全問題。您可以檢閱問題清單並依照建議步驟解決潛在安全問題。
-
導覽到 Assessment Runs (評估執行) 頁面。驗證名為 MyFirstTemplateUbuntu 的評估範本 (您在前述步驟中建立) 執行狀態是設定為 Collecting data (收集資料)。這表示評估執行正在進行中,而目標的遙測資料正根據所選規則套件收集與分析。
-
當評估執行仍在進行中,您就無法檢視由評估執行產生的問題清單。請讓評估執行完成整段持續時間。
MyFirstTemplateUbuntu 的狀態會先變更為 Stopping (正在停止),接著在幾分鐘內變更為 Analyzing (正在分析),最後是 Analysis complete (分析完成)。要查看狀態的變更,請選擇 Refresh (重新整理) 圖示。
-
瀏覽至 Findings (調查結果) 頁面。
要展開檢視並查看問題清單的詳細資訊,請選擇問題清單左側的箭頭。問題清單的詳細資訊包含下列項目:
-
調查結果的 ARN
-
產生此調查結果的評估執行名稱
-
產生此調查結果的評估目標名稱
-
產生此調查結果的評估範本名稱
-
評估執行開始時間
-
評估執行結束時間
-
評估執行狀態
-
規則套件的名稱,其中包含觸發問題清單的規則
-
Amazon Inspector 經典代理編號
-
問題清單名稱
-
問題清單嚴重性
-
問題清單的描述
-
您可以完成這些建議步驟,以修正調查結果所描述的潛在安全問題
-
步驟 5:將建議修復套用於評估目標
在此程序中,您可以為修復未解決的問題套用更新。
-
連接至您的執行個體
InspectorEC2InstanceUbuntu
,然後執行軟件包更新。 -
在 Assessment templates (評估範本) 頁面,選擇 MyFirstTemplateUbuntu,然後選擇 Run (執行),以使用此範本開始新的執行。
-
遵循 步驟 4:定位並分析產生的問題清單 中的步驟,以查看 MyFirstTemplateUbuntu 範本後續執行所產生的調查結果。
軟件包更新應該已解決模板第一次運行的查找結果。