本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 Amazon Inspector 中的调查发现
借助 Amazon Inspector,可以用不同的方式管理调查发现。可以按状态筛选调查发现。可以根据筛选条件搜索调查发现。可以创建抑制规则来将一些调查发现排除在调查发现列表之外。您也可以将调查结果导出到 AWS Security Hub CSPM亚马逊和亚马逊 EventBridge简单存储服务 (Amazon S3) Service。
**Topics**
+ [筛选 Amazon Inspector 调查发现](findings-managing-filtering.md)
+ [抑制 Amazon Inspector 调查发现](findings-managing-supression-rules.md)
+ [导出 Amazon Inspector 调查发现报告](findings-managing-exporting-reports.md)
+ [使用亚马逊创建对 Amazon Inspector 调查结果的自定义回复 EventBridge](findings-managing-automating-responses.md)
# 筛选 Amazon Inspector 调查发现
可以使用筛选条件筛选 Amazon Inspector 调查发现。如果某项调查发现与您的筛选条件不符,Amazon Inspector 会将该调查发现排除在视图之外。本节介绍如何使用筛选条件筛选 Amazon Inspector 调查发现。
## 在 Amazon Inspector 控制台中创建筛选条件
在每个调查发现视图中,您都可以使用筛选功能来查找具有特定特征的调查发现。移至其他选项卡视图时,筛选条件将被移除。
筛选条件包含一个条件,其中包括配对的筛选属性与筛选值。不符合筛选条件的调查发现将从调查发现列表中排除。例如,要查看与您的管理员帐户关联的所有结果,您可以选择 AWS 账户 ID 属性并将其与您的十二位数 AWS 账户 ID 的值配对。
有些筛选条件适用于所有调查发现,而有些筛选条件仅适用于特定的资源类型或调查发现类型。
**对调查发现视图应用筛选条件**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 在导航窗格中,选择**调查发现**。默认视图会显示所有状态为**活动**的调查发现。
1. 要按条件筛选调查发现,请选择*添加筛选条件*栏,查看该视图适用的所有筛选条件的列表。在不同的视图中可使用的筛选条件不同。
1. 从列表中选择您要筛选的条件。
1. 在标准输入窗格中输入所需的筛选值以定义条件。
1. 选择**应用**,将该筛选条件应用于当前结果。您可以再次选择筛选条件输入栏,继续添加其他筛选条件。
1. (可选)要查看隐藏或已关闭的调查发现,请在筛选条件栏中选择**活动**,然后选择**隐藏**或**已关闭**。选择**显示全部**,可在同一个视图中查看活动、隐藏和已关闭的调查发现。
# 抑制 Amazon Inspector 调查发现
可以创建抑制规则来隐藏符合条件的调查发现。例如,可以基于严重性评级创建抑制规则来隐藏调查发现。如果 Amazon Inspector 生成的调查发现与抑制规则相符,Amazon Inspector 就会抑制该调查发现并将其隐藏在视图之外。Amazon Inspector 会存储抑制的调查发现,直到它们得到修复。修复被抑制的调查发现后,Amazon Inspector 就会关闭该调查发现。可以在控制台中查看抑制的调查发现。
您可以创建抑制规则来对最重要的调查发现进行优先级排序。抑制规则对调查发现没有任何影响,因为它们只会将调查发现隐藏在视图之外。无法创建关闭或修复调查发现的抑制规则。您还可以使用 [Amazon EventBridge 规则抑制不想要的发现](https://aws.amazon.com/blogs/security/how-to-create-auto-suppression-rules-in-aws-security-hub/)。 AWS Security Hub CSPM 本节中的步骤介绍了如何创建、查看、编辑和删除抑制规则。
**注意**
只有组织的委派管理员才能创建和管理抑制规则。
## 创建抑制规则
您可以创建抑制规则来筛选默认显示的调查发现列表。您可以使用 [CreateFilter](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFilter.html)API 并指定`SUPPRESS`为的值,以编程方式创建禁止规则。`action`
**注意**
只有独立账户和 Amazon Inspector 授权的管理员才能创建和管理抑制规则。组织中的成员不会在导航窗格中看到抑制规则的选项。
**要创建抑制规则(控制台)**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 在导航窗格中,选择**抑制规则**。然后,选择**创建规则**。
1. 对于每个条件,请执行以下操作:
+ 选择筛选栏以查看可以添加到抑制规则中的筛选条件的列表。
+ 为您的抑制规则选择筛选条件。
1. 添加完条件后,输入规则的名称,还可选择输入相应描述。
1. 选择**保存规则**。Amazon Inspector 会立即应用新的抑制规则,并隐藏所有符合条件的调查发现。
## 查看隐藏的调查发现
默认情况下,Amazon Inspector 不会在 Amazon Inspector 控制台中显示隐藏的调查发现。不过,您可以查看特定规则抑制的调查发现。
**要查看隐藏的调查发现**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 在导航窗格中,选择**抑制规则**。
1. 在抑制规则列表中,选择规则的标题。
## 编辑抑制规则
您可以随时更改抑制规则。
**要修改抑制规则**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 从导航窗格中,选择**抑制规则**。
1. 选择要更改的抑制规则的名称,然后选择**编辑**。
1. 进行您想要的更改,然后选择**保存**。
## 删除抑制规则
抑制规则可以删除。删除抑制规则后,Amazon Inspector 将不再隐藏符合规则标准且未被其他规则抑制的新调查发现和现有调查发现。
删除抑制规则后,符合该规则条件的新调查发现和现有调查发现的状态均变为**活动**。这意味着它们默认显示在 Amazon Inspector 控制台中。此外,Amazon Inspector 将这些发现 EventBridge 作为事件发布 AWS 给 Security Hub CSPM 和亚马逊。
**要删除抑制规则**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 在导航窗格中,选择**抑制规则**。
1. 选中要删除的抑制规则标题旁边的复选框。
1. 选择**删除**,然后确认您的选择以永久删除规则。
# 导出 Amazon Inspector 调查发现报告
调查发现报告是一个 CSV 或 JSON 文件,提供了详细的调查发现快照。您可以将调查结果报告导出到 AWS Security Hub CSPM亚马逊和亚马逊 EventBridge简单存储服务 (Amazon S3)。配置调查发现报告时,需要指定要在报告中包含哪些调查发现。默认情况下,调查发现报告包含所有活动调查发现的数据。如果您是组织的委派管理员,调查发现报告则包括贵组织中所有成员账户的数据。要自定义调查发现报告,请创建[筛选条件](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)并将其应用于该报告。
当您导出调查结果报告时,Amazon Inspector 会使用您指定的加密您的调查结果数据。 AWS KMS key Amazon Inspector 对调查发现数据进行加密后,它会将调查发现报告存储在您指定的 Amazon S3 存储桶中。您的 AWS KMS 密钥必须与您的 Amazon S3 存储桶 AWS 区域 相同。您的 AWS KMS 密钥策略必须允许 Amazon Inspector 使用它,您的 Amazon S3 存储桶策略必须允许 Amazon Inspector 向其添加对象。导出调查发现告后,您可以从 Amazon S3 存储桶下载该报告或将其转移到新位置。您还可以将 Amazon S3 存储桶用作其他导出的调查发现报告的存储库。
本节介绍如何在 Amazon Inspector 控制台中导出调查发现报告。以下任务要求您验证权限、配置 Amazon S3 存储桶、配置 AWS KMS key、配置和导出调查结果报告。
**注意**
如果您使用 Amazon Inspector [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html)API 导出调查结果报告,则只能查看您的有效发现。如果要查看抑制或关闭的调查发现,则必须在[筛选条件](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html)中指定 `SUPPRESSED` 或 `CLOSED`。
**Topics**
+ [步骤 1:验证您的权限](#findings-managing-exporting-permissions)
+ [步骤 2:配置 S3 存储桶](#findings-managing-exporting-bucket-perms)
+ [步骤 3:配置 AWS KMS key](#findings-managing-exporting-KMS)
+ [步骤 4:配置和导出调查发现报告](#findings-managing-exporting-console)
+ [排查错误](#findings-managing-access-error)
## 步骤 1:验证您的权限
**注意**
首次导出调查发现报告后,第 1 到第 3 步为可选步骤。执行这些步骤取决于您是否要使用相同的 Amazon S3 存储桶以及 AWS KMS key 用于其他导出的调查结果报告。如果您想在完成步骤 1-3 后以编程方式导出调查结果报告,请使用 Amazon Inspector [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html)API 的操作。
在从 Amazon Inspector 导出调查发现报告之前,请确认您拥有导出调查发现报告以及配置用于加密和存储报告的资源所需的权限。要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的 IAM 身份的 IAM 策略。然后,将这些策略中的信息与以下导出调查发现报告时您需要执行的操作的列表进行比较。
**Amazon Inspector**
对于 Amazon Inspector,请确认您可以执行以下操作:
+ `inspector2:ListFindings`
+ `inspector2:CreateFindingsReport`
这些操作允许您检索账户的调查发现数据,并将这些数据导出到调查发现报告中。
如果您计划以编程方式导出大型报告,则还可以验证您是否可以执行以下操作:`inspector2:GetFindingsReportStatus`,用于检查报告的状态;`inspector2:CancelFindingsReport`,用于取消正在进行的导出。
**AWS KMS**
对于 AWS KMS,请确认允许您执行以下操作:
+ `kms:GetKeyPolicy`
+ `kms:PutKeyPolicy`
这些操作允许您检索和更新您希望 Amazon Inspector 用来加密报告的 AWS KMS key 密钥策略。
要使用 Amazon Inspector 控制台导出报告,还要确认是否允许您执行以下 AWS KMS 操作:
+ `kms:DescribeKey`
+ `kms:ListAliases`
这些操作允许您检索和显示有关您账户的 AWS KMS keys 的信息。然后,您可以选择其中一种密钥来加密报告。
如果您计划创建新的 KMS 密钥来加密报告,则还需要能够执行 `kms:CreateKey` 操作。
**Amazon S3**
对于 Amazon S3,请验证您是否可以执行以下操作:
+ `s3:CreateBucket`
+ `s3:DeleteObject`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
+ `s3:PutObjectAcl`
这些操作允许您创建和配置 Amazon Inspector 用于存储报告的 S3 存储桶。它们还允许您在存储桶中添加和删除对象。
如果要使用 Amazon Inspector 控制台导出报告,还需要验证您是否可以执行 `s3:ListAllMyBuckets` 和 `s3:GetBucketLocation` 操作。这些操作允许您检索和显示有关您账户的 S3 存储桶的信息。然后,您可以选择其中一个存储桶来存储报告。
如果您无法执行一项或多项必要的操作,请在继续下一步之前向 AWS 管理员寻求帮助。
## 步骤 2:配置 S3 存储桶
验证权限后,就可以配置用于存储调查发现报告的 S3 存储桶了。它可以是您自己账户的现有存储桶,也可以是其他账户拥有 AWS 账户 且允许您访问的现有存储桶。如果您想将报告存储在新存储桶中,请在继续操作之前创建存储桶。
S3 存储桶必须与您要导出的调查结果数据 AWS 区域 相同。例如,如果您在美国东部(弗吉尼亚州北部)区域使用 Amazon Inspector,并且想要导出该区域的调查发现数据,则存储桶也必须位于美国东部(弗吉尼亚州北部)区域。
此外,存储桶的策略必须允许 Amazon Inspector 向存储桶添加对象。本主题说明了如何更新存储桶策略,并提供了要添加到策略中的语句的示例。有关添加和更新存储桶策略的详细信息,请参阅《*Amazon Simple Storage Service 用户指南*》中的[使用存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。
如果您想将报告存储在其他账户拥有的 S3 存储桶中,请与该存储桶的所有者合作,更新存储桶策略。同时还要获取存储桶的 URI。导出报告时,需要输入此 URI。
**更新存储桶策略**
1. 使用您的证书登录,然后在 [https://console.aws.amazon.com/](https://console.aws.amazon.com//s3)s3 上打开 Amazon S3 控制台。
1. 在导航窗格中,选择**存储桶**。
1. 选择要存储调查发现报告的 S3 存储桶。
1. 选择 **Permissions(权限)**选项卡。
1. 在**存储桶策略**部分中,选择**编辑**。
1. 将以下示例语句复制到剪贴板:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:report/*"
}
}
}
]
}
```
------
1. 在 Amazon S3 控制台的**存储桶策略**编辑器中,将上述语句粘贴到策略中,以将其添加到策略中。
添加语句时,请确保语法有效。存储桶策略使用 JSON 格式。这意味着需要在语句之前或之后添加一个逗号,具体取决于在策略中添加语句的位置。如果将语句添加在最后,请在前一语句的右大括号后面添加一个逗号。如果将语句添加为第一个语句,或添加在两个现有语句之间,请在语句的右大括号后面添加一个逗号。
1. 使用适合您环境的正确值更新语句,其中:
+ *amzn-s3-demo-bucket*是存储桶的名称。
+ *111122223333*是您的账户 ID AWS 账户。
+ *Region*是你 AWS 区域 在其中使用 Amazon Inspector 并希望允许 Amazon Inspector 向存储桶添加报告。例如,`us-east-1` 表示美国东部(弗吉尼亚州北部)区域。
**注意**
如果您在手动启用的环境中使用 Amazon Inspector AWS 区域,还需要在该`Service`字段的值中添加相应的区域代码。此字段指定了 Amazon Inspector 的服务主体。
例如,如果您在中东(巴林)区域使用 Amazon Inspector,该区域的区域代码为 `me-south-1`,则需要将语句中的 `inspector2.amazonaws.com` 替换为 `inspector2.me-south-1.amazonaws.com`。
请注意,示例语句定义了使用两个 IAM 全局条件键的条件:
+ a@@ [ws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — 此条件仅允许 Amazon Inspector 为您的账户向存储桶中添加报告。它可以防止 Amazon Inspector 为其他账户向存储桶中添加报告。更具体地说,该条件指定了哪个账户可以将存储桶用于 `aws:SourceArn` 条件指定的资源和操作。
要为其他账户在存储桶中存储报告,请在此条件中添加其他每个账户的账户 ID。例如:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ a@@ [ws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — 此条件根据要添加到存储桶中的对象的来源限制对存储桶的访问权限。它可以 AWS 服务 防止其他人向存储桶添加对象。它还可以防止 Amazon Inspector 在为您的账户执行其他操作时向存储桶添加对象。更具体地说,只有当对象是调查发现报告,并且这些报告由条件中指定的账户在条件中指定的区域创建时,该条件才允许 Amazon Inspector 向存储桶添加对象。
要允许 Amazon Inspector 对其他账户执行指定操作,请将每个额外账户的亚马逊资源名称 (ARNs) 添加到此条件中。例如:
```
"aws:SourceArn": [
"arn:aws:inspector2:Region:111122223333:report/*",
"arn:aws:inspector2:Region:444455556666:report/*",
"arn:aws:inspector2:Region:123456789012:report/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn` 条件指定的账户应匹配。
这两个条件都有助于防止 Amazon Inspector 在 Amazon S3 事务期间被用作[混淆代理](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。您可以从存储桶策略中删除这些条件,但我们并不建议您这样做。
1. 完成存储桶策略更新后,选择**保存更改**。
## 步骤 3:配置 AWS KMS key
验证权限并配置 S3 存储桶后,应确定 AWS KMS key 您希望 Amazon Inspector 用来加密调查发现报告的 。密钥必须是客户管理的对称加密 KMS 密钥。此外,密钥必须与您配置用于存储报告的 S3 存储桶 AWS 区域 相同。
密钥可以是您自己账户中的现有 KMS 密钥,也可以是其他账户拥有的现有 KMS 密钥。如果要使用新的 KMS 密钥,请在继续之前创建密钥。如果您希望使用其他账户拥有的现有密钥,请获取该密钥的 Amazon 资源名称 (ARN)。从 Amazon Inspector 中导出报告时,需要输入此 ARN。有关创建和查看 KMS 密钥设置的信息,请参阅 *AWS Key Management Service 开发人员指南*中的[管理密钥](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)。
确定要使用哪个 KMS 密钥后,向 Amazon Inspector 授予使用该密钥的权限。否则,Amazon Inspector 将无法加密和导出报告。要授予 Amazon Inspector 使用密钥的权限,请更新密钥的密钥策略。有关密钥策略和管理 KMS 密钥访问权限的详细信息,请参阅 *AWS Key Management Service 开发人员指南*中的 [AWS KMS密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
**注意**
以下步骤用于更新现有密钥以允许 Amazon Inspector 使用它。如果您没有现有密钥,请参阅《AWS Key Management Service 开发人员指南》**中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
**更新密钥策略**
1. 使用您的凭据登录,然后在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS KMS 控制台。
1. 在导航窗格中,选择**客户托管密钥**。
1. 选择要用于加密报告的 KMS 密钥。该密钥必须为对称加密 (**SYMMETRIC\$1DEFAULT**) 密钥。
1. 在**密钥策略**选项卡上,选择**编辑**。如果您没有看到带有**编辑**按钮的密钥策略,则必须先选择**切换到策略视图**。
1. 将以下示例语句复制到剪贴板:
```
{
"Sid": "Allow Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
```
1. 在 AWS KMS 控制台的**密钥策略**编辑器中,将前面的语句粘贴到密钥策略中以将其添加到策略中。
添加语句时,请确保语法有效。密钥策略使用 JSON 格式。这意味着需要在语句之前或之后添加一个逗号,具体取决于在策略中添加语句的位置。如果将语句添加在最后,请在前一语句的右大括号后面添加一个逗号。如果将语句添加为第一个语句,或添加在两个现有语句之间,请在语句的右大括号后面添加一个逗号。
1. 使用适合您环境的正确值更新语句,其中:
+ *111122223333*是您的账户 ID AWS 账户。
+ *Region*是你想要允许 Amazon Inspector 使用密钥对报告进行加密的。 AWS 区域 例如,`us-east-1` 表示美国东部(弗吉尼亚州北部)区域。
**注意**
如果您在手动启用的环境中使用 Amazon Inspector AWS 区域,还需要在该`Service`字段的值中添加相应的区域代码。例如,如果您在中东(巴林)区域使用 Amazon Inspector,请将 `inspector2.amazonaws.com` 替换为 `inspector2.me-south-1.amazonaws.com`。
与上一步中存储桶策略的示例语句一样,此示例中的 `Condition` 字段也使用两个 IAM 全局条件键:
+ a@@ [ws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — 此条件仅允许 Amazon Inspector 对您的账户执行指定操作。更具体地说,它决定了哪个账户可以为 `aws:SourceArn` 条件指定的资源和操作执行指定的操作。
要允许 Amazon Inspector 为其他账户执行指定操作,请在此条件中添加其他每个账户的账户 ID。例如:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ a@@ [w SourceArn s:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — 此条件会 AWS 服务 阻止其他人执行指定的操作。它还可以防止 Amazon Inspector 在为您的账户执行其他操作时使用密钥。换句话说,只有当对象是调查发现报告,并且这些报告由条件中指定的账户在条件中指定的区域创建时,该条件才允许 Amazon Inspector 使用密钥加密 S3 对象。
要允许 Amazon Inspector 对其他账户执行指定操作,请 ARNs 为每增加一个账户添加此条件。例如:
```
"aws:SourceArn": [
"arn:aws:inspector2:us-east-1:111122223333:report/*",
"arn:aws:inspector2:us-east-1:444455556666:report/*",
"arn:aws:inspector2:us-east-1:123456789012:report/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn` 条件指定的账户应匹配。
这些条件有助于防止 Amazon Inspector 在与之进行交易时被用作[困惑不解的副手](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS KMS。您可以从语句中删除这些条件,但我们并不建议您这样做。
1. 完成密钥策略更新后,选择**保存更改**。
## 步骤 4:配置和导出调查发现报告
**注意**
每次只能导出一份调查发现报告。如果当前正在导出报告,必需等到导出完成后再导出其他调查发现报告。
验证权限并配置资源以加密和存储调查发现报告后,就可以配置和导出报告了。
**要配置和导出调查发现报告**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 在导航窗格中的**调查发现**下,选择**所有调查发现**。
1. (可选)使用**调查发现**表上方的筛选栏,[添加筛选条件](findings-managing-filtering.md),指定要在报告中包含哪些调查发现。添加条件时,Amazon Inspector 会更新表格,使其仅包含符合条件的调查发现。该表提供了报告所含数据的预览。
**注意**
建议添加筛选条件。如果您不这样做,则该报告将包含当前 AWS 区域 状态为 “**有效**” 的所有发现的数据。如果您是某组织的 Amazon Inspector 管理员,则这将包含贵组织中所有成员账户的调查发现数据。
如果报告包含所有或多个调查发现的数据,则生成和导出报告可能需要很长时间,而且一次只能导出一份报告。
1. 选择**导出调查发现**。
1. 在**导出设置**部分的**导出文件类型**中,指定报告的文件格式:
+ 要创建包含数据的 JavaScript 对象表示法 (.json) 文件,请选择 **JSON**。
如果您选择 **JSON** 选项,则报告将包含每个调查发现的所有字段。有关可能的 JSON 字段的列表,请参阅 Amazon Inspector API 参考中的[调查发现](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Finding.html)数据类型。
+ 要创建包含相应数据的逗号分隔值 (.csv) 文件,请选择 **CSV**。
如果您选择 **CSV** 选项,则报告将仅包含每个调查发现的部分字段,即报告调查发现关键属性的大约 45 个字段。这些字段包括:*调查发现类型、标题、严重性、状态、描述、首次查看、上次查看、修复可用、 AWS 账户 ID、资源 ID、资源标签*和*补救措施*。除了这些字段之外,还会记录每个发现的评分细节和参考文献 URLs 。以下是调查发现报告中 CSV 标题的示例:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/inspector/latest/user/findings-managing-exporting-reports.html)
1. 在**导出位置**下,针对 **S3 URI**,指定要存储报告的 S3 存储桶:
+ 要将报告存储在您的账户拥有的存储桶中,请选择**浏览 S3**。Amazon Inspector 会列出您的账户的 S3 存储桶。选择所需的存储桶所在的行,然后单击**选择**。
**提示**
要同时为报告指定 Amazon S3 路径前缀,请在 **S3 URI** 框中的值后面附加斜杠 (/) 和前缀。然后,Amazon Inspector 会在将报告添加到存储桶时添加前缀,Amazon S3 会生成由该前缀指定的路径。
**例如,如果您想使用自己的 AWS 账户 ID 作为前缀,并且您的账户 ID 为 *111122223333*,请在 S3 URI 框中的值后面追加该**/111122223333**值。**
*前缀*类似于 S3 存储桶内的目录路径。它使您可以将相似的对象组合到一个存储桶中,就像将相似文件一起存储在文件系统的一个文件夹中一样。有关详细信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用文件夹在 Amazon S3 控制台中组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
+ 要将报告存储在其他账户拥有的存储桶中,请输入相应存储桶的 URI,例如 **s3://DOC-EXAMPLE\$1BUCKET**,其中 *DOC-EXAMPLE\$1BUCKET* 是存储桶的名称。存储桶所有者可以在存储桶属性中帮您找到这些信息。
1. 对于 **KMS 密钥** AWS KMS key ,请指定要用于加密报告的:
+ 要使用自己账户中的密钥,请从列表中选择相应密钥。该列表显示了您账户的客户托管对称加密 KMS 密钥。
+ 要使用其他账户拥有的密钥,请输入相应密钥的 Amazon 资源名称 (ARN)。密钥所有者可以在密钥属性中帮您找到这些信息。有关详细信息,请参阅 *AWS Key Management Service 开发人员指南*中的[查找密钥 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1. 选择**导出**。
Amazon Inspector 生成调查发现报告,使用您指定的 KMS 密钥对其进行加密,然后将其添加到您指定的 S3 存储桶中。根据您选择在报告中包含的调查发现数量,此过程可能需要几分钟或几小时。导出完成后,Amazon Inspector 会显示一条消息,表明您的调查发现报告已成功导出。(可选)在消息中选择**查看报告**,可导航到 Amazon S3 中的报告。
请注意,每次只能导出一份报告。如果当前正在导出报告,请等到导出完成后再尝试导出其他报告。
## 排查导出错误
如果导出调查发现报告时出现错误,Amazon Inspector 会显示一条描述错误的消息。您可以使用本主题中的信息作为指南,找出错误的可能原因和解决方案。
例如,验证 S3 存储桶是否处于当前存储桶中, AWS 区域 并且该存储桶的策略允许 Amazon Inspector 向该存储桶添加对象。此外,请确认当前区域已启 AWS KMS key 用,并确保密钥策略允许 Amazon Inspector 使用该密钥。
修复错误后,请尝试再次导出报告。
### 不能有多个报告错误
如果您要创建报告时,Amazon Inspector 已经在生成报告,则会收到一条错误消息,其内容为**原因:无法同时处理多个报告**。之所以出现此错误,是因为 Amazon Inspector 每次只能为一个账户生成一份报告。
要解决错误,您可以等待其他报告完成或取消报告,然后再请求新报告。
您可以使用操作来检查报告的状态,此[GetFindingsReportStatus](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetFindingsReportStatus.html)操作会返回当前正在生成的任何报告的报告 ID。
如果需要,您可以使用操作提供的报告 ID 通过该`GetFindingsReportStatus`操作取消当前正在进行的[CancelFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CancelFindingsReport.html)导出。
# 使用亚马逊创建对 Amazon Inspector 调查结果的自定义回复 EventBridge
Amazon Inspector 在[亚马逊](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)中 EventBridge为新生成的调查结果和汇总的调查结果创建一个事件。Amazon Inspector 还会针对调查发现的任何状态更改创建一个事件。这意味着,当您采取诸如重启资源或更改与资源关联的标签之类的操作时,Amazon Inspector 就会针对调查发现创建一个新事件。当 Amazon Inspector 为更新的调查发现创建新事件时,调查发现 `id` 保持不变。
**注意**
如果您的账户是 Amazon Inspector 委托管理员账户,则会将事件 EventBridge 发布到您的账户和事件发生地的成员账户。
在 Amazon Inspector 中使用 EventBridge 事件时,您可以自动执行任务,以帮助您应对发现的安全问题。要接收有关基于 EventBridge 事件的 Amazon Inspector 调查结果的通知,您必须[创建 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)并为 Amazon Inspector 指定目标。该 EventBridge 规则 EventBridge 允许发送有关 Amazon Inspector 发现的通知,目标则指定将通知发送到何处。
Amazon Inspector 将事件发送 AWS 区域 到你当前使用亚马逊检查器的默认事件总线。这意味着您必须为激活 Amazon Inspector 并将 Amazon Inspector 配置为接收 EventBridge 事件的每个 AWS 区域 位置配置事件规则。Amazon Inspector 尽最大努力发出事件。
本节为您提供事件架构的示例,并介绍如何创建 EventBridge 规则。
## 事件架构
以下是 EC2 调查发现事件的 Amazon Inspector 事件格式示例。有关其他调查发现类型和事件类型的示例架构,请参阅[用于 Amazon Inspector 事件的 Amazon EventBridge 事件架构](eventbridge-integration.md)。
```
{
"version": "0",
"id": "66a7a279-5f92-971c-6d3e-c92da0950992",
"detail-type": "Inspector2 Finding",
"source": "aws.inspector2",
"account": "111122223333",
"time": "2023-01-19T22:46:15Z",
"region": "us-east-1",
"resources": ["i-0c2a343f1948d5205"],
"detail": {
"awsAccountId": "111122223333",
"description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
"exploitAvailable": "YES",
"exploitabilityDetails": {
"lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
},
"findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
"firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
"fixAvailable": "YES",
"lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
"packageVulnerabilityDetails": {
"cvss": [{
"baseScore": 4.7,
"scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
"source": "NVD",
"version": "3.1"
}],
"referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
"relatedVulnerabilities": [],
"source": "UBUNTU_CVE",
"sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
"vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
"vendorSeverity": "medium",
"vulnerabilityId": "CVE-2022-3303",
"vulnerablePackages": [{
"arch": "X86_64",
"epoch": 0,
"fixedInVersion": "0:5.15.0.1027.31~20.04.16",
"name": "linux-image-aws",
"packageManager": "OS",
"remediation": "apt update && apt install --only-upgrade linux-image-aws",
"version": "5.15.0.1026.30~20.04.16"
}]
},
"remediation": {
"recommendation": {
"text": "None Provided"
}
},
"resources": [{
"details": {
"awsEc2Instance": {
"iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
"imageId": "ami-0b7ff1a8d69f1bb35",
"ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
"ipV6Addresses": [],
"launchedAt": "Jan 19, 2023, 7:53:14 PM",
"platform": "UBUNTU_20_04",
"subnetId": "subnet-8213f2a3",
"type": "t2.micro",
"vpcId": "vpc-ab6650d1"
}
},
"id": "i-0c2a343f1948d5205",
"partition": "aws",
"region": "us-east-1",
"type": "AWS_EC2_INSTANCE"
}],
"severity": "MEDIUM",
"status": "ACTIVE",
"title": "CVE-2022-3303 - linux-image-aws",
"type": "PACKAGE_VULNERABILITY",
"updatedAt": "Jan 19, 2023, 10:46:15 PM"
}
}
```
## 创建 EventBridge 规则以通知您 Amazon Inspector 的调查结果
为了提高 Amazon Inspector 调查结果的可见性,您可以使用 EventBridge 设置发送到消息中心的自动查找提醒。本主题向您展示如何向电子邮件、Slack 或 Amazon Chime 发送严重性为 `CRITICAL` 和 `HIGH` 的调查发现提醒。您将学习如何设置 Amazon 简单通知服务主题,然后将该主题关联到 EventBridge 事件规则。
### 步骤 1:设置 Amazon SNS 主题和端点
要设置自动警报,必须首先在 Amazon Simple Notification Service 中设置一个主题并添加一个端点。有关更多信息,请参阅 [SNS 指南](https://docs.aws.amazon.com//sns/latest/dg/sns-getting-started.html)。
此过程可确定要将 Amazon Inspector 调查发现数据发送到何处。可以在 EventBridge 事件规则创建期间或之后将 SNS 主题添加到事件规则中。
------
#### [ Email setup ]
**创建 SNS 主题**
1. [在 v3/home 上登录亚马逊 SNS 控制台。https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. 从导航窗格中选择**主题**,然后选择**创建主题**。
1. 在**创建主题**部分中,选择**标准**。接下来,输入主题名称,如 **Inspector\$1to\$1Email**。其他详细信息是可选的。
1. 选择**创建主题**。这将打开一个包含新主题详细信息的新面板。
1. 在**订阅**部分中,选择**创建订阅**。
1.
1. 从**协议**菜单中选择**电子邮件**。
1. 在**端点**字段中,添加您想要用于接收通知的电子邮件地址。
**注意**
创建订阅后,您需要通过电子邮件客户端确认订阅。
1. 选择**创建订阅**。
1. 在收件箱中查收订阅消息,然后选择**确认订阅**。
------
#### [ Slack setup ]
**创建 SNS 主题**
1. [在 v3/home 上登录亚马逊 SNS 控制台。https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. 从导航窗格中选择**主题**,然后选择**创建主题**。
1. 在**创建主题**部分中,选择**标准**。接下来,输入主题名称,如 **Inspector\$1to\$1Slack**。其他详细信息是可选的。选择**创建主题**以完成端点的创建。
**在聊天应用程序客户端中配置 Amazon Q 开发者版**
1. 导航到聊天应用程序控制台中的 Amazon Q 开发者版,地址为[https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)。
1. 从**配置的客户端**面板中选择**配置新的客户端**。
1. 选择 **Slack**,然后选择**配置**以确认。
**注意**
在选择 Slack 时,您必须通过选择**允许**来确认 Amazon Q 开发者版在聊天应用程序中访问您的通道的权限。
1. 选择**配置新通道**以打开配置详细信息窗格。
1. 输入通道的名称。
1. 对于 **Slack 通道**,选择您要使用的通道。
1. 在 Slack 中,右键单击通道名称并选择**复制链接**,复制私有通道的通道 ID。
1. 在聊天应用程序中的 Amazon Q Developer 窗口中,将您从 Slack 复制的频道 ID 粘贴到**私人频道 ID** 字段中。 AWS 管理控制台
1. 在**权限**中,如果您还没有角色,请选择使用模板创建 IAM 角色。
1. 对于**策略**模板,请选择**通知权限**。这是聊天应用程序中的 Amazon Q 开发者版的 IAM 策略模板。该策略为 CloudWatch 警报、事件和日志以及 Amazon SNS 主题提供了必要的读取和列出权限。
1. **对于**频道护栏政策**,请选择 AmazonInspector 2。ReadOnlyAccess**
1. 选择您之前创建 SNS 主题的区域,然后选择您创建的用于向 Slack 通道发送通知的 Amazon SNS 主题。
1. 选择**配置**。
------
#### [ Amazon Chime setup ]
**创建 SNS 主题**
1. [在 v3/home 上登录亚马逊 SNS 控制台。https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. 从导航窗格中选择**主题**,然后选择**创建主题**。
1. 在**创建主题**部分中,选择**标准**。接下来,输入主题名称,如 **Inspector\$1to\$1Chime**。其他详细信息是可选的。选择**创建主题**以完成。
**在聊天应用程序客户端中配置 Amazon Q 开发者版**
1. 导航到聊天应用程序控制台中的 Amazon Q 开发者版,地址为[https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)。
1. 从**已配置的客户端**面板中选择**配置新客户端**。
1. 选择 **Chime**,然后选择**配置**以确认。
1. 在**配置详细信息**窗格中,输入通道的名称。
1. 在 Amazon Chime 中打开所需的聊天室。
1. 选择右上角的齿轮图标,然后选择**管理 Webhook 和自动程序**。
1. 选择**复制 URL** 以将 Webhook URL 复制到剪贴板。
1. 在聊天应用程序中的 Amazon Q 开发者窗口中,将您复制的 URL 粘贴到 **Webhook 网址**字段中。 AWS 管理控制台
1. 在**权限**中,如果您还没有角色,请选择使用模板创建 IAM 角色。
1. 对于**策略**模板,请选择**通知权限**。这是聊天应用程序中的 Amazon Q 开发者版的 IAM 策略模板。它为 CloudWatch 警报、事件和日志以及 Amazon SNS 主题提供了必要的读取和列出权限。
1. 选择您之前创建 SNS 主题的区域,然后选择您创建的用于向 Amazon Chime 聊天室发送通知的 Amazon SNS 主题。
1. 选择**配置**。
------
### 步骤 2:为 Amazon Inspector 的调查结果创建 EventBridge 规则
1. 使用您的凭证登录。
1. 打开亚马逊 EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 从导航窗格中选择**规则**,然后选择**创建规则**。
1. 输入规则名称,另还可选择输入描述。
1. 选择**具有事件模式的规则**,然后选择**下一步**。
1. 在**事件模式**窗格中,选择**自定义模式(JSON 编辑器)**。
1. 将下面的 JSON 粘贴到编辑器中。
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Finding"],
"detail": {
"severity": ["HIGH", "CRITICAL"],
"status": ["ACTIVE"]
}
}
```
**注意**
此模式会针对 Amazon Inspector 检测到的各种严重性为 `CRITICAL` 或 `HIGH` 的活动调查发现发送通知。
输入完事件模式后,选择**下一步**。
1. 在**选择目标**页面上,选择 **AWS 服务**。然后,对于**选择目标类型**,选择 **SNS 主题**。
1. 对于**选择主题**,请选择您在第 1 步中创建的 SNS 主题的名称。然后选择**下一步**。
1. 根据需要添加可选标签,然后选择**下一步**。
1. 检查规则,然后选择**创建规则**。
## EventBridge 适用于 Amazon Inspector 多账户环境
如果您是 Amazon Inspector 的授权管理员, EventBridge 则规则会根据您的成员账户中的适用调查结果显示在您的账户上。如果您通过 EventBridge 管理员帐户设置发现通知(如上一节所述),您将收到有关多个账户的通知。换句话说,除了您自己账户生成的调查发现和事件的通知外,您还会收到您的成员账户生成的调查发现和事件的通知。
您可以使用调查发现的 JSON 详细信息中的 `accountId` 来识别产生 Amazon Inspector 调查发现的成员账户。