今回のゴール
Inspectorを使用してEC2インスタンスの脆弱性評価をしていきます。
Inspectorで評価可能な項目は、
- ネットワークの評価
- ホストの評価(Inspectorエージェントが必要)
・共通脆弱性識別子
・Center for Internet Security (CIS) ベンチマーク
・Amazon Inspector のセキュリティのベストプラクティス
があります。
下準備
EC2インスタンスにタグを追加
今回は、タグ(Inspector:true)のあるインスタンスを評価対象としますので、該当インスタンスにInspectorタグを追加します。
Inspectorエージェントのインストール
インスタンスにログインして個別にインストールする方法とSSMのRun Commandからインストールする方法があります。
今回はSSMのRun Commandからインストールしていきます。
SSMを利用するために必要な設定方法は割愛します。
【コマンドドキュメント】
AmazonInspector-ManageAWSAgentを選択します。
【ターゲット】
キー:Inspector
バリュー:true
を入力して「Add」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/06/4-3-1024x757.png)
しばらくすると成功が確認できました。
![](https://www.it-ouji.com/wp-content/uploads/2021/06/5-2-1024x262.png)
設定
Inspectorサービスより、「今すぐ始める」をクリック
![](https://www.it-ouji.com/wp-content/uploads/2021/06/1-2-1024x372.png)
今回は、”Network Assessments”,”Host Assessments”にチェックをつけて、「Advanced setup」ボタンをクリックしました。
![](https://www.it-ouji.com/wp-content/uploads/2021/06/2-1-1-1024x279.png)
【評価ターゲットの定義】
[名前]:Assessment-Target-Tag-Instances(任意)
[All Instances]:チェックを外す
[タグ]:Inspector true
[Install Agents]:チェックを外す
(チェックを付けるとSystem ManagerのrunコマンドでAgentをインストールできるのですが、今回は既にAgentをインストールしているのでチェックを外しました。)
![](https://www.it-ouji.com/wp-content/uploads/2021/06/3-2-1024x420.png)
【評価テンプレートの定義】
[名前]:Assessment-Template-Default
[Assessment Schedule]:今回はスポットでの検査ですのでチェックを外しました。
![](https://www.it-ouji.com/wp-content/uploads/2021/06/6-2-1024x385.png)
【確認】
特に変更はないので、このまま作成しました。
「プレビュー」ボタンをクリックすると、対象のEC2インスタンスが確認できます。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/7-1024x445.png)
確認
1時間ほどで調査が完了しました。
重要度がHighの項目を確認してみると、推奨事項にWindowsUpdateをするように書かれておりましたので、さっそく実施しようと思います。
![](https://www.it-ouji.com/wp-content/uploads/2021/06/8-1024x637.png)