Inspector利用時のメモ

Amazon Inspectorを利用する機会があったので、その時のメモです。

Amazon Inspectorとは

AWSが提供するホスト型のプラットフォーム脆弱性診断サービスです。EC2を対象に診断してくれます。

サポートOS

こちらです。随時更新されています。

Amazon Inspector でサポートされているオペレーティングシステムとリージョン

Inspector Agentのインストール

以下の方法があります。

診断の実行

今回は、最新のAmazon Linux2のAMI(Amazon Linux 2 AMI 2.0.20191116.0 x86_64 HVM gp2)を利用したEC2への診断を実行してみます。Inspector Agentは、SSMを利用してインストールしています。

ターゲットの作成

Assessment Target とは、Inspectorを実行したいEC2をグルーピングした概念となります。下記が作成画面です。

f:id:goodbyegangster:20191205062147p:plain

  • Uses Tags部分
    • Inspector実行対象の選択は、EC2に付与されたタグ情報をもって判断されます
    • EC2には、分かりやすい/管理しやすいタグを付与しておきます
  • Install Agents
    • チェックを入れた場合、Inspector実行時にInspector Agentのインストールも一緒に実行されます
    • 上記で記載している Inspectorのコンソールよりリモートインストール がこれにあたります

Amazon Inspector の評価ターゲット

テンプレートの作成

Assessment Template とは、上で作成したTargetと、診断する内容を定義した Rules Package を紐付ける概念となります。下記が作成画面です。

f:id:goodbyegangster:20191205062220p:plain

  • Rules Package
  • Duration
    • 診断のためにデータを収集する時間
    • 1時間が推奨
      • データ収集の処理が1時間動くことになります
  • SNS Topics
    • 以下のタイミングでSNSを発砲できます
      • An assessment run has started
      • An assessment run has ended
      • An assessment run's status has changed
      • A finding was generated
  • Attributes added to findings
    • ここで設定されたタグ情報が、診断された結果にも付与されます
  • Set up recurring assessment runs ....
    • 有効にすると、診断をスケジュール実行するためのCloudwatch Ruleが自動的に作成されます

Amazon Inspector の評価テンプレートと評価の実行

診断の実行

作成したテンプレートを run します。

診断結果の確認

Findingsタブにて、診断結果が表示されています。こんな感じですね。

f:id:goodbyegangster:20191205062239p:plain

診断結果を、PDFかHTMLのレポートとして出力できます。

評価レポート