本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评测 Amazon Inspector 对 Amazon 环境的覆盖率
为了帮助您评估和解释 Amazon Inspector 对您 Amazon 环境的覆盖范围,Amazon Inspector 控制台上的账户管理页面提供了有关亚马逊检查员扫描您的账户和资源的状态的统计数据和详细信息。通过此页面,您可以查看资源的汇总统计数据和其他数据。您还可以深入分析 Amazon Inspector 对各个资源的覆盖率,并深入查看特定资源的调查发现。如果您是组织的 Amazon Inspector 委托管理员,则此数据将包括组织所有账户的统计数据和详细信息。
评估 Amazon Inspector 对您 Amazon 环境的覆盖范围
-
打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
在导航窗格中,选择账户管理。
-
在账户管理页面上,选择五种不同的覆盖率视图选项卡中的一种:
-
账户,用于账户级别的覆盖率。
-
实例,用于 Amazon Elastic Compute Cloud (Amazon EC2) 实例的覆盖率。
-
存储库,用于 Amazon Elastic Container Registry (Amazon ECR) 存储库的覆盖率。
-
映像,用于 Amazon ECR 容器映像的覆盖率。
-
Lambda,用于 Lambda 函数的覆盖率。
-
本节中的主题介绍了每个选项卡提供的信息,包括单个资源可能具有的扫描状态。
评测账户级别的覆盖率
如果您的账户不是组织的一员,或者不是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供有关您的账户和账户资源扫描状态的信息。在此选项卡上,您可以激活或停用对您账户中所有或仅特定类型资源的扫描。有关更多信息,请参阅 使用 Amazon Inspector 自动扫描资源。
如果您的账户是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供组织中账户的自动激活设置并列出组织中的所有账户。对于每个账户,该列表都会显示账户是否已激活 Amazon Inspector,如果已激活,还会显示为该账户激活的资源扫描类型。作为委托管理员,您可以使用此选项卡更改组织的自动激活设置。您还可以为个人成员账户激活或停用特定类型的资源扫描。有关更多信息,请参阅 为成员账户激活 Amazon Inspector 扫描。
评测 Amazon EC2 实例的覆盖率
实例选项卡显示环境中 Amazon 的 Amazon EC2 实例。列表按以下选项卡分组:
-
全部 – 显示环境中的所有实例。状态列显示实例的当前扫描状态。
-
扫描 – 显示 Amazon Inspector 在环境中主动监控和扫描的所有实例。
-
未扫描 – 显示 Amazon Inspector 未在环境中主动监控和扫描的所有实例。原因列说明了为什么 Amazon Inspector 没有监控和扫描实例。
EC2 实例可能由于多种原因出现在未扫描选项卡上。Amazon Inspector 使用 Amazon Systems Manager (SSM) 和 SSM 代理来自动监控和扫描您的 EC2 实例中是否存在漏洞。如果实例没有运行 SSM 代理,没有支持 Systems Manager 的 Amazon Identity and Access Management (IAM) 角色,或者没有运行支持的操作系统或架构,则 Amazon Inspector 无法监控和扫描该实例。有关更多信息,请参阅 扫描 Amazon EC2 实例。
在每个选项卡上,账户列都指定 Amazon Web Services 账户 了拥有实例的。
EC2 实例标签 – 此列显示与实例关联的标签,可用于确定您的实例是否已按标签排除在扫描之外。
操作系统 – 此列显示操作系统类型,可以是 WINDOWS、MAC、LINUX 或 UNKNOWN。
使用监控方式-此列显示 Amazon Inspec tor 在此实例上使用的是基于代理的扫描方法还是无代理扫描方法。
上次扫描时间 – 此列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。Amazon Inspector 执行扫描的频率取决于它用来扫描实例的扫描方法。
要查看有关 EC2 实例的更多详细信息,请选择 EC2 实例列中的链接。然后,Amazon Inspector 会显示有关该实例的详细信息以及该实例的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅Amazon Inspector 调查发现详细信息。
正在扫描 Amazon EC2 实例的状态值
对于 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可能的状态值包括:
-
主动监控 – Amazon Inspector 正在持续监控和扫描实例。
-
EC2 实例已停止 – 由于实例处于停止状态,Amazon Inspector 暂停了对实例的扫描。所有现有调查发现都将持续到实例终止。如果实例重新启动,Amazon Inspector 将自动恢复对实例的扫描。
-
内部错误 – Amazon Inspector 尝试扫描实例时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
无清单 – Amazon Inspector 找不到用于扫描实例的软件应用程序清单。实例的 Amazon Inspector 关联可能已被删除或者无法运行。
要修复此问题,请使用 Amazon Systems Manager 来确保
InspectorInventoryCollection-do-not-delete关联存在且其关联状态为成功。此外,使用 Amazon Systems Manager Fleet Manager 验证实例的软件应用程序清单。 -
待禁用 – Amazon Inspector 已停止扫描该实例。正在禁用该实例,等待清理任务完成。
-
等待初始扫描 – Amazon Inspector 已将实例纳入队列,等待初始扫描。
-
资源已终止 – 实例已终止。Amazon Inspector 当前正在清理该实例的现有调查发现和覆盖率数据。
-
清单过期 – Amazon Inspector 无法收集过去 7 天内为该实例捕获的更新后的软件应用程序清单。
要修复此问题,请使用 Amazon Systems Manager 来确保该实例所必需的 Amazon Inspector 关联存在且正在运行。此外,使用 Amazon Systems Manager Fleet Manager 验证实例的软件应用程序清单。
-
非托管型 EC2 实例 – Amazon Inspector 未监控或扫描实例。实例不由 Amazon Systems Manager托管。
要修复此问题,你可以使用 A Amazon Systems Manager utomation AWSSupport-TroubleshootManagedInstance runbook提供的。在您配置 Amazon Systems Manager 为管理实例后,Amazon Inspector 将自动开始持续监控和扫描该实例。
-
不支持的操作系统 – Amazon Inspector 未监控或扫描实例。实例使用了 Amazon Inspector 不支持的操作系统或架构。有关 Amazon Inspector 支持的操作系统的列表,请参阅Amazon EC2 扫描支持的操作系统。
-
主动监视且存在部分错误 – 此状态表示 EC2 扫描处于活动状态,但存在与 Amazon EC2 Linux 实例的 Amazon Inspector 深度检查 相关的错误。可能的深度检查错误有:
已@@ 超过深度检查包裹收集限制 — 该实例已超过 Amazon Inspector 深度检查的 5000 个包裹限制。要恢复对此实例的深入检查,您可以尝试调整与该账户关联的自定义路径。
已超过深度检查每日 ssm 库存限制 — SSM 代理无法向 Amazon Inspector 发送库存,因为该实例每天收集的库存数据的 SSM 配额已经达到。有关更多信息,请参阅 Amazon EC2 Systems Manager 端点和配额。
已超过深度检查收集时间限制 — Amazon Inspector 未能提取包裹库存,因为包裹收集时间超过了 15 分钟的最大阈值。
深度检查没有清单 – Amazon Inspector SSM 插件尚未能够收集此实例的程序包清单。这通常是待处理扫描的结果,但是,如果此状态在 6 小时后仍然存在,请使用 Amazon EC2 Systems Manager 确保该实例存在所需的 Amazon Inspector 关联并且关联正在运行。
有关为 EC2 实例配置扫描设置的详细信息,请参阅扫描 Amazon EC2 实例。
评测 Amazon ECR 存储库的覆盖率
存储库选项卡显示 Amazon 环境中的 Amazon ECR 存储库。列表按以下选项卡分组:
-
全部 – 显示环境中的所有存储库。状态列显示存储库的当前扫描状态。
-
已激活 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有存储库。状态列显示存储库的当前扫描状态。
-
已激活 – 显示 Amazon Inspector 未在环境中监控和扫描的所有存储库。原因列说明了为什么 Amazon Inspector 没有监控和扫描存储库。
在每个选项卡上,“帐户” 列指定 Amazon Web Services 账户 拥有存储库的。
要查看有关存储库的其他详细信息,请选择存储库的名称。然后,Amazon Inspector 会显示存储库中的容器映像的列表以及每个映像的详细信息。详细信息包括映像标签、映像摘要和扫描状态。其中还包括关键调查发现统计数据,例如映像的关键调查发现数量。要深入了解和查看调查发现统计数据的支持数据,请选择映像的映像标签。
正在扫描 Amazon ECR 存储库的状态值
对于 Amazon Elastic Container Registry (Amazon ECR) 存储库,可能的状态值为:
-
已激活(持续)— 对于存储库,Amazon Inspector 会持续监控该存储库中的图像。存储库的增强扫描设置为持续扫描。Amazon Inspector 最初会在推送新图像时对其进行扫描,如果发布了与该图像相关的新 CVE,则会重新扫描图像。在您配置的 ECR 扫描持续时间内,Amazon Inspector 将继续监控此存储库中的图像。
-
已激活(推送时)— 当推送新映像时,Amazon Inspector 会自动扫描存储库中的单个容器映像。已激活存储库的增强扫描,并将其设置为推送时扫描。
-
访问被拒绝 – Amazon Inspector 无法访问存储库或存储库中的任何容器映像。
要修复此问题,请确保仓库的 Amazon Identity and Access Management (IAM) 策略允许 Amazon Inspector 访问存储库。
-
已停用(手动)– Amazon Inspector 未监控或扫描存储库中的任何容器映像。存储库的 Amazon ECR 扫描设置为基本手动扫描。
要开始使用 Amazon Inspector 扫描存储库中的映像,请将存储库的扫描设置更改为增强扫描,然后选择是持续扫描映像还是仅在推送新映像时扫描映像。
-
已激活(推送时)— 当推送新映像时,Amazon Inspector 会自动扫描存储库中的单个容器映像。存储库的增强扫描设置为推送时扫描。
-
内部错误-Amazon Inspector 尝试扫描存储库时出现内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
有关配置存储库扫描设置的详细信息扫描 Amazon ECR 容器映像。
评测 Amazon ECR 容器映像的覆盖率
映像选项卡显示 Amazon 环境中的 Amazon ECR 容器映像。列表按以下选项卡分组:
-
全部 – 显示环境中的所有容器映像。状态列显示映像的当前扫描状态。
-
正在扫描 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有容器映像。状态列显示映像的当前扫描状态。
-
未扫描 – 显示 Amazon Inspector 未在环境中监控和扫描的所有容器映像。原因列说明了为什么 Amazon Inspector 没有监控和扫描映像。
容器映像可能会由于多种原因出现在未激活选项卡上。映像可能存储在未激活 Amazon Inspector 扫描的存储库中,或者 Amazon ECR 筛选规则阻止扫描该存储库。或者在您为 ECR 重新扫描持续时间配置的天数内未推送或拉取映像。有关更多信息,请参阅 配置 ECR 重新扫描持续时间。
在每个选项卡上,存储库名称列指定存储容器映像的存储库的名称。“帐户” 列指定 Amazon Web Services 账户 拥有存储库的。上次扫描列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时,或者针对新 CVE 重新扫描时进行检查。有关更多信息,请参阅 Amazon ECR 扫描的扫描行为。
要查看有关容器映像的其他详细信息,请选择 ECR 容器映像列中的链接。然后,Amazon Inspector 会显示有关该映像的详细信息以及该映像的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅Amazon Inspector 调查发现详细信息。
Amazon ECR 容器镜像的扫描状态值
对于 Amazon 弹性容器注册表容器镜像,可能的状态值为:
-
主动监控(持续)— Amazon Inspector 会持续监控,每当发布新的相关 CVE 时,都会对其进行图像和新的扫描。每当推送或拉取图像时,都会刷新图像的 Amazon ECR 重新扫描持续时间。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为持续扫描。
-
已激活(推送时)— 每次推送新图像时,Amazon Inspector 都会自动扫描图像。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为推送时扫描。
-
内部错误-Amazon Inspector 尝试扫描容器图像时出现内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
等待初始扫描 — Amazon Inspector 已将图像排队等候初始扫描。
-
扫描资格已过期(持续)— Amazon Inspector 已暂停扫描图片。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送或拉动图像以恢复扫描。
-
扫描资格已过期(推送中)— Amazon Inspector 已暂停对图片的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送图像以恢复扫描。
-
手动扫描频率(手动)– Amazon Inspector 不会扫描 Amazon ECR 容器映像。存储映像的存储库的 Amazon ECR 扫描设置为基本手动扫描。要开始使用 Amazon Inspector 自动扫描映像,请将存储库设置为增强扫描,然后选择持续扫描映像或者仅在推送新映像时扫描。
-
不支持的操作系统 — Amazon Inspector 没有监控或扫描图像。该映像基于 Amazon Inspector 不支持的操作系统,或者它使用了 Amazon Inspector 不支持的媒体类型。
有关 Amazon Inspector 支持的操作系统的列表,请参阅Amazon ECR 扫描支持的操作系统。有关 Amazon Inspector 支持的媒体类型的列表,请参阅支持的媒体类型。
有关为存储库和映像配置扫描设置的详细信息,请参阅扫描 Amazon ECR 容器映像。
评估 Amazon Lambda 职能覆盖范围
Lambda 选项卡显示您的环境中的 Lambda 函数。 Amazon 本页有两个表,一个显示 Lambda 标准扫描的函数覆盖率详细信息,另一个显示 Lambda 代码扫描的函数覆盖率详细信息。您可以根据以下选项卡对函数进行分组:
-
全部 – 显示环境中的所有 Lambda 函数。状态列显示 Lambda 函数的当前扫描状态。
-
扫描 – 显示根据 Amazon Inspector 配置要扫描的 Lambda 函数。状态列显示每个 Lambda 函数的当前扫描状态。
-
未扫描 – 显示根据 Amazon Inspector 配置未扫描的 Lambda 函数。原因列说明了为什么 Amazon Inspector 没有监控和扫描函数。
Lambda 函数可能由于多种原因出现在未扫描选项卡上。Lambda 函数可能属于尚未添加到 Amazon Inspector 的账户,或者筛选规则阻止扫描此函数。有关更多信息,请参阅 扫描 Amazon Lambda 功能。
在每个选项卡上,函数名称列指定 Lambda 函数的名称。“帐户” 列指定拥有 Amazon Web Services 账户 该函数的。运行时系统指定函数的运行时系统。状态列显示每个 Lambda 函数的当前扫描状态。资源标签显示已应用于函数的标签。上次扫描列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时,或者针对新 CVE 重新扫描时进行检查。有关更多信息,请参阅 Lambda 函数扫描的扫描行为。
正在扫描 Amazon Lambda 函数的状态值
对于 Lambda 函数,可能的状态值包括:
-
主动监控 – Amazon Inspector 正在持续监控和扫描 Lambda 函数。持续扫描包括在将新函数推送到存储库时对其进行初始扫描,以及在函数更新或发布新的常见脆弱性和风险 (CVE) 时自动重新扫描函数。
-
按标签排除 – Amazon Inspector 未扫描此函数,因为按标签它已被排除在扫描范围之外。
-
扫描资格已过期 – Amazon Inspector 未监控此函数,因为自上次调用或更新该函数已过去 90 天或更长时间。
-
内部错误 – Amazon Inspector 尝试扫描函数时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
等待初始扫描 – Amazon Inspector 已将函数纳入队列,等待初始扫描。
-
不支持 – Lambda 函数的运行时系统不受支持。