本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 Amazon Inspector 调查发现
当 Amazon Inspector 检测到 Amazon EC2 实例、Amazon ECR 容器映像和 Lambda 函数中存在可修复或待修复的漏洞时,它就会生成调查发现。它还会针对在第一方应用程序源代码、第三方应用程序依赖关系以及基础设施即代码中检测到的代码漏洞生成调查发现。调查结果是关于影响您的 AWS 资源之一的漏洞的详细报告。
调查结果以漏洞命名,并提供严重性等级、有关受影响 AWS 资源和非 AWS 资源的信息,以及描述如何修复检测到的漏洞的详细信息。Amazon Inspector 会存储所有活动调查发现,直到其得到修复。
当资源被删除、终止或不再符合扫描资格时,Amazon Inspector 会自动关闭与该资源相关的调查发现,并在 3 天后删除相应的调查发现。如果调查发现因任何其他原因被关闭,则会在 30 天后将其删除。
**注意**
如果导致漏洞的问题再次出现,Amazon Inspector 将在关闭调查发现后的七天内重新打开已修复的调查发现。
如果禁用 Amazon Inspector,则调查发现将在 24 小时后删除。如果资源终止,则与该资源相关的所有调查发现都将在 3 天后移除。对于附加到不再符合扫描资格的资源的任何调查发现,情况也是如此。如果您的账户被 AWS 暂停,90 天后将删除发现的结果。已停止实例的调查发现仍处于活动状态。调查发现状态
Amazon Inspector 将调查发现分为以下几种状态。
**活跃**
Amazon Inspector 将尚未补救的调查发现归类为**活动**调查发现。
**已抑制**
Amazon Inspector 将受一项或多项[抑制规则](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html)约束的调查发现归类为**已抑制**调查发现。
**已关闭**
调查发现得到补救后,Amazon Inspector 会将该发现归类为**已关闭**调查发现。
**Topics**
+ [Amazon Inspector 调查发现类型](findings-types.md)
+ [查看 Amazon Inspector 调查发现](findings-understanding-locating-analyzing.md)
+ [查看 Amazon Inspector 调查发现的详细信息](findings-understanding-details.md)
+ [查看 Amazon Inspector 分数并了解漏洞情报详细信息](findings-understanding-score.md)
+ [了解 Amazon Inspector 调查发现的严重性级别](findings-understanding-severity.md)
# Amazon Inspector 调查发现类型
本节介绍 Amazon Inspector 中的不同调查发现类型。
**Topics**
+ [程序包漏洞](#findings-types-package)
+ [代码漏洞](#findings-types-code)
+ [网络可达性](#findings-types-network)
## 程序包漏洞
Package 漏洞发现可识别您的 AWS 环境中暴露于常见漏洞和漏洞的软件包(CVEs)。攻击者可以利用这些未修补的漏洞来破坏数据的保密性、完整性或可用性,或访问其他系统。CVE 系统提供了针对公共已知的信息安全漏洞和风险的参考方法。欲了解更多信息,请参阅 [https://www.cve.org/](https://www.cve.org/)。
Amazon Inspector 可以为 EC2 实例、ECR 容器映像和 Lambda 函数生成程序包漏洞调查发现。Package 漏洞发现包括此类发现所特有的细节。这些细节是 [Inspector 分数和漏洞情报](findings-understanding-score.md)。
对于 Windows EC2 实例,软件包漏洞发现结果可以通过微软知识库 (KB) 来识别, IDs 而不是通过个人来识别 CVEs。例如,如果知识库更新解决了一个或多个 CVE CVEs,Amazon Inspector 会报告一个 KB 查找结果`KB5023697`,而不是为每个 CVE 报告单独的查找结果。KB 调查结果指定了所有成分的最高 CVSS 分数、EPSS 分数和漏洞可用性。 CVEs
## 代码漏洞
代码漏洞调查发现有助于识别可被利用的代码行。代码漏洞包括缺少加密、数据泄露、注入缺陷以及弱加密。Amazon Inspector 会通过 [Lambda 函数扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)及其[代码安全](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)功能生成代码漏洞调查发现。
Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码,以分析应用程序代码的总体安全合规性。它基于与 Amazon Q 合作开发的内部检测器来识别违反政策的行为和漏洞。有关可能的检测的列表,请参阅 [Amazon Q 检测器库](https://docs.aws.amazon.com/amazonq/detector-library/)。
代码扫描可捕获代码片段以突出显示检测到的漏洞。例如,代码片段可能会以纯文本显示硬编码的凭证或其他敏感资料。Amazon Q 会存储与代码漏洞相关的代码片段。默认情况下,您的代码使用 [AWS 拥有的密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)进行加密。但是,如果您想更好地控制这些信息,则可以创建客户托管式密钥来加密您的代码。有关更多信息,请参阅 [对调查发现中的代码进行静态加密](encryption-rest.md#encryption-code-snippets)。
**注意**
组织的委派管理员无法查看属于成员账户的代码片段。
## 网络可达性
网络可达性调查发现表明,您的环境中存在通往 Amazon EC2 实例的开放网络路径。当您的 TCP 和 UDP 端口可以从 VPC 边缘(如互联网网关,包括应用程序负载均衡器或经典负载均衡器后的实例)、VPC 对等连接或使用虚拟网关的 VPN 到达时,就会出现这些调查发现。这些调查发现突出显示了可能过于宽松的网络配置,例如管理不善的安全组、访问控制列表或互联网网关,或者网络配置可能允许潜在的恶意访问。
Amazon Inspector 仅针对 Amazon EC2 实例生成网络可达性调查发现。启用 Amazon Inspector 后,Amazon Inspector 每 12 小时扫描一次网络可访问性发现。
Amazon Inspector 在扫描网络路径时会评估以下配置:
+ [Amazon EC2 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [应用程序负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [网络访问控制列表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [子网](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
+ [虚拟专用网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC 端点](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [VPC 网关端点](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
# 查看 Amazon Inspector 调查发现
可以在 Amazon Inspector 控制台中和通过 Amazon Inspector [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) API 查看调查发现。在 Amazon Inspector 控制台中,可以在**控制面板**和**调查发现**屏幕上查看所有调查发现。默认情况下,这些屏幕仅显示您的活跃和关键的调查发现。但是,您可以筛选调查发现,也可以选择按类别查看调查发现。如果您激活了这些集成,您还可以在 S [ecurity Hub CSPM 和 Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/integrations.html) 中查看一些发现。本节中的步骤介绍了如何在 Amazon Inspector 控制台中以及通过 Amazon Inspector `ListFindings` API 查看调查发现。
------
#### [ Console ]
**查看 Amazon Inspector 调查发现**
1. 使用您的凭证登录。在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. (可选)从导航窗格中选择**控制面板**。控制面板显示了环境覆盖率的概览,仅显示您的活跃和关键的调查发现。
1. (可选)从导航窗格中选择**调查发现**。此屏幕列出了所有活跃调查发现。您可以使用筛选条件来[查看特定的调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)。要从列表中排除调查发现,请[创建抑制规则](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html)。要查看调查发现的详细信息,请选择调查发现的名称。
1. (可选)从导航窗格中选择下列选项之一,按类别查看调查发现:
+ 按漏洞 – 显示包含最关键调查发现的漏洞。
+ 按账户 – 显示包含最重要调查发现的账户。只有委派管理员才能使用该类别。
+ 按实例 – 显示包含最关键调查发现的 Amazon EC2 实例。此类别不包括有关网络可用性的信息。
+ 按容器映像 – 显示包含最关键调查发现的 Amazon ECR 容器映像。此类别还提供有关您的容器映像的基本信息。它甚至包括详细信息,例如部署了多少 Amazon ECS 任务和 Amazon EKS 容器组(pod)。从该屏幕中,您可以了解过去 24 小时内 tasks/pods 有多少人正在运行并已停止。
+ 按容器存储库 – 显示包含最关键调查发现的容器存储库。
+ 按 Lambda 函数 – 显示包含最关键调查发现的 Lambda 函数。
------
#### [ API ]
**查看 Amazon Inspector 调查发现**
+ 运行 [ListFindings](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) API 操作。在请求中,可以指定 [filterCriteria](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) 返回特定的调查发现。
------
# 查看 Amazon Inspector 调查发现的详细信息
本节中的步骤介绍了如何查看 Amazon Inspector 调查发现的详细信息。
**查看调查发现的详细信息**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v](https://console.aws.amazon.com/inspector/v2/home) 2/home 中打开 Amazon Inspector 控制台
1. 选择要查看调查发现的区域。
1. 在导航窗格中,选择**调查发现**以显示调查发现列表
1. (可选)使用筛选栏选择特定的调查发现。有关更多信息,请参阅 [筛选 Amazon Inspector 调查发现](findings-managing-filtering.md)。
1. 选择一个调查发现,查看其详细信息面板。
**调查发现详细信息**面板包含调查发现的基本识别特征。这包括调查发现的标题以及已发现漏洞的基本描述、补救建议和严重性评分。有关评分的信息,请参阅[了解 Amazon Inspector 调查发现的严重性级别](findings-understanding-severity.md)。
调查发现的详细信息因调查发现类型和**受影响的资源**而异。
所有搜索结果都包含发现结果的 AWS 账户 ID 号、严重性、发现**类型**、查找结果的创建日期,以及包含该**资源详细信息的受资源影响**部分。
调查发现**类型**决定了可用于该调查发现的补救措施和漏洞情报信息。根据调查发现类型,将提供不同的调查发现详细信息。
**程序包漏洞**
程序包漏洞调查发现适用于 EC2 实例、ECR 容器映像和 Lambda 函数。有关更多信息,请参阅[程序包漏洞](findings-types.md#findings-types-package)。
程序包漏洞调查发现还包括 [查看 Amazon Inspector 分数并了解漏洞情报详细信息](findings-understanding-score.md)。
此调查发现类型具有以下详细信息:
+ **修复可用** – 表示漏洞是否已在受影响程序包的更新版本中修复。具有下列值之一:
+ `YES`,这意味着所有受影响的程序包都有已修复漏洞的版本。
+ `NO`,这意味着受影响的程序包没有已修复漏洞的版本。
+ `PARTIAL`,这意味着一个或多个(但不是全部)受影响的程序包具有已修复漏洞的版本。
+ **攻击漏洞可用** – 表示漏洞具有已知的攻击风险。
+ `YES`,这意味着在您的环境中发现的漏洞具有已知的攻击风险。Amazon Inspector 无法查看环境中攻击漏洞的利用情况。
+ `NO`,这意味着漏洞没有已知的攻击风险。
+ **受影响的程序包** – 列出了调查发现中标记为易受攻击的各个程序包,以及每个程序包的详细信息:
+ **文件路径** – 与调查发现关联的 EBS 卷 ID 和分区号。此字段出现在使用 [无代理扫描](scanning-ec2.md#agentless) 扫描的 EC2 实例的调查发现中。
+ **已安装版本/已修复版本** – 检测到漏洞的当前已安装程序包的版本号。将已安装的版本号与斜杠(**/**)后的值进行比较。第二个值是修复检测到的漏洞的软件包的版本号,该版本号由与该发现相关的常见漏洞和披露 (CVEs) 或公告提供。如果漏洞已在多个版本中得到修复,则此字段将列出包含修复的最新版本。如果修复不可用,则此值为 `None available`。
**注意**
如果调查发现是在 Amazon Inspector 开始将此字段纳入调查发现之前检测到的,则此字段的值为空。不过,可能提供相应修复。
+ **程序包管理器** – 用于配置此程序包的程序包管理器。
+ **补救** – 如果可通过更新程序包或编程库进行修复,则此部分将包含可以运行的更新命令。您可以复制提供的命令并在环境中运行它。
**注意**
补救命令由供应商数据源提供,可能因系统配置而异。请查看调查发现参考资料或操作系统文档,获取更具体的指导。
+ **漏洞详细信息** – 针对调查发现中确定的 CVE,提供指向相应 Amazon Inspector 首选来源的链接,例如美国国家漏洞数据库(NVD)、REDHAT 或其他操作系统供应商。此外,您还可以看到调查发现的严重性评分。有关严重性评分的更多信息,请参阅 [了解 Amazon Inspector 调查发现的严重性级别](findings-understanding-severity.md)。提供以下评分,以及每项评分的评分向量:
+ [漏洞预测评分系统(EPSS)分数](https://www.first.org/epss/)
+ Inspector 分数
+ 来自 Amazon CVE 的 CVSS 3.1
+ 来自 NVD 的 CVSS 3.1
+ 来自 NVD 的 CVSS 2.0(如果适用,适用于较旧版本) CVEs
+ **相关漏洞** – 指定与调查发现相关的其他漏洞。通常 CVEs ,这些是影响相同软件包版本的其他内容,或者是与发现的 CVE CVEs 属于同一组的其他内容,由供应商确定。
+ **受影响的资源** – 包括有关注册表、存储库、资源类型、映像 ID 和映像操作系统的信息。它还包括诸如上次推送映像的时间、部署了多少 Amazon ECS 任务和 Amazon EKS 容器组(pod)以及过去 24 小时内最后使用该映像的时间。如果您已部署任何 Amazon ECS 任务和 Amazon EKS 容器组(pod),则可以通过选择该字段的值来查看详细信息。这样将引导您进入一个屏幕,您可以在其中查看诸如集群 ARN、过去 24 小时内最后使用资源的时间、资源正在运行和停止的计数,以及工作负载的名称和类型等信息。
**代码漏洞**
代码漏洞调查发现仅适用于 Lambda 函数。有关更多信息,请参阅[代码漏洞](findings-types.md#findings-types-code)。此调查发现类型具有以下详细信息:
+ **修复可用** – 对于代码漏洞,此值始终为 `YES`。
+ **检测器名称** – 用于检测代码漏洞的 Amazon Q 检测器的名称。有关可能的检测的列表,请参阅 [Q 检测器库](https://docs.aws.amazon.com/amazonq/detector-library/)。
+ **检测器标签** – 与检测器关联的 Amazon Q 标签,Amazon Q 使用标签对检测进行分类。
+ **相关的 CWE** — IDs 与代码漏洞相关的常见弱点枚举 (CWE)。
+ **文件路径** – 代码漏洞的文件位置。
+ **漏洞位置** – 对于 Lambda 代码扫描代码漏洞,此字段显示 Amazon Inspector 发现漏洞的确切代码行。
+ **建议的补救措施** – 这提供了如何编辑代码来补救调查发现的建议。
**网络可达性**
网络可达性调查发现仅适用于 EC2 实例。有关更多信息,请参阅[网络可达性](findings-types.md#findings-types-network)。此调查发现类型具有以下详细信息:
+ **开放端口范围** – 可以访问 EC2 实例的端口范围。
+ **开放网络路径** – 显示 EC2 实例的开放访问路径。选择路径上的项目可获取更多信息。
+ **补救** – 推荐关闭开放网络路径的方法。
# 查看 Amazon Inspector 分数并了解漏洞情报详细信息
Amazon Inspector 会为 Amazon Elastic Compute Cloud(Amazon EC2)实例调查发现创建分数。可以在 Amazon Inspector 控制台中查看 Amazon Inspector 分数和漏洞情报详细信息。Amazon Inspector 分数提供了详细信息,您可以将其与[通用漏洞评分系统](https://www.first.org/cvss/v3.1/specification-document)中的指标进行比较。这些详细信息仅适用于[程序包漏洞](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-package)调查发现。本节介绍了如何解释 Amazon Inspector 分数以及如何了解漏洞情报详细信息。
## Amazon Inspector 评分
Amazon Inspector 会为每个 Amazon EC2 调查发现创建一个分数。Amazon Inspector 通过将 CVSS 基本分数信息与来自您的计算环境的信息(例如网络可达性数据和可利用性数据)相关联来确定分数。Amazon Inspector 支持 Amazon、Debian 和 RHEL 供应商。每个供应商都提供 CVSS v3.1 基本分数。对于其他供应商,Amazon Inspector 使用由[国家漏洞数据库(NVD)](https://nvd.nist.gov/vuln)提供的 CVSS 基本分数。
由于 FedRAMP 的要求,Amazon Inspector 使用 CVSS v3.1 基本分数作为默认分数。但是,当 [CVSS 4.0](https://www.first.org/cvss/v4-0/specification-document) 基本分数可用时,它将包含在您的漏洞元数据中。CVSS 4.0 基本分数提供了额外的指标,以改进漏洞评估。您可以在调查发现的漏洞详细信息和导出的调查发现中找到 CVSS 基本分数的来源和版本。
**注意**
Amazon Inspector 分数不适用于运行 Ubuntu 的 Linux 实例。Ubuntu 使用与 CVSS 分数不同的自定义严重性评级系统。
### Amazon Inspector 评分详细信息
打开调查发现的详细信息页面后,您可以选择 **Inspector 分数和漏洞情报**选项卡。此面板显示基础评分与 **Inspector 分数**之间的差异。本节介绍 Amazon Inspector 如何根据程序包的 Amazon Inspector 评分和供应商评分的组合来分配严重性评级。如果评分不同,此面板会显示相应原因。
在 **CVSS 分数指标**部分,您可以看到一个表格,其中包含 CVSS 基础评分指标与 **Inspector 分数**的对比情况。参与对比的指标是 first.org 维护的 [CVSS 规范文档](https://www.first.org/cvss/specification-document)中定义的基础指标。基础指标汇总如下:
**攻击向量**
可利用漏洞的环境。对于 Amazon Inspector 调查发现,这可以是网络、**相邻****网络**或**本地**。
**攻击复杂性**
这描述了攻击者在利用漏洞时面临的难度级别。**低**评分意味着攻击者只需满足很少或根本不需要满足其他条件即可利用该漏洞。**高**评分意味着攻击者需要投入大量精力才能成功利用此漏洞进行攻击。
**所需的权限**
这描述了攻击者利用漏洞所需的权限级别。
**用户互动**
该指标说明成功利用此漏洞进行攻击是否需要除攻击者之外的其他真人用户。
**范围**
这说明一个易受攻击组件中的漏洞是否会影响易受攻击组件安全范围以外的组件中的资源。如果此值为**不变**,则受影响的资源不会影响其他资源。如果此值为**已更改**,则表明可利用易受攻击的组件来影响由不同安全机构管理的资源。
**机密性**
这衡量当漏洞被利用时,对资源内数据机密性的影响程度。其范围为从**无**(不影响机密性)到**高**(资源中的所有信息都会泄露,或者密码或加密密钥等机密信息会泄露)。
**完整性**
这衡量当漏洞被利用时,对受影响资源内数据完整性的影响程度。当攻击者修改受影响资源内的文件时,完整性就会受到威胁。评分范围为从**无**(即攻击者无法通过漏洞修改任何信息)到**高**(如果漏洞被利用,攻击者将可以修改任意或所有文件,或者可能被修改的文件会产生严重后果)。
**可用性**
这衡量当漏洞被利用时,对受影响资源可用性的影响程度。评分范围为从**无**(漏洞完全不影响可用性)到**高**(如果漏洞被利用,攻击者可以完全拒绝对资源的访问或导致服务不可用)。
## 漏洞情报
本节总结了亚马逊提供的有关CVE的现有情报以及网络安全和基础设施安全局 (CISA) 等行业标准安全情报来源。
**注意**
来自 CISA 或 Amazon 的英特尔并不适用于所有 CVEs人。
可以在控制台中或使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html) API 查看漏洞情报详细信息。控制台提供以下详细信息:
**ATT&CK**
本节显示了与 CVE 相关的 MITRE 战术、技巧和程序 (TTPs)。将显示关联 TTPs 项,如果有两个以上适用, TTPs 则可以选择链接以查看完整列表。选择一种战术或技术,可在 MITRE 网站上打开有关相应战术或技术的信息。
**CISA**
此部分包含与漏洞相关联的日期。美国网络安全和基础设施安全局(CISA)根据活动利用情况的证据,将漏洞添加到已知被利用的漏洞目录中的日期,以及 CISA 预计系统修复漏洞的截止日期。此信息来自 CISA。
**已知恶意软件**
此部分列出了利用此漏洞的已知利用包和工具。
**上次报告时间**
此部分显示此漏洞的最后一次已知公开利用日期。
# 了解 Amazon Inspector 调查发现的严重性级别
当 Amazon Inspector 生成漏洞调查发现时,它会自动为调查发现分配严重性评级。严重性评级有助于您评估调查发现并对其进行优先级排序。调查发现的严重性评级对应于数字分数和等级:**信息性**、**低**、**中**、**高**和**严重**。Amazon Inspector 根据[调查发现类型](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html)确定调查发现的严重性评级。本节介绍了 Amazon Inspector 如何确定每种调查发现类型的严重性评级。
## 软件程序包漏洞严重性
Amazon Inspector 使用该 NVD/CVSS 分数作为软件包漏洞严重性评分的基础。该 NVD/CVSS 分数是 NVD 发布并由 CVSS 定义的漏洞严重性分数。该 NVD/CVSS 分数由安全指标组成,例如攻击复杂性、漏洞利用代码成熟度和所需的权限。Amazon Inspector 会生成一个从 1 到 10 的数字评分,以反映漏洞的严重性。Amazon Inspector 将其归类为基础评分,因为它根据漏洞的内在特征反映了漏洞的严重性,而这些特征不会随着时间的推移改变。该评分还假定了不同部署环境中合理的最坏影响。[CVSS v3 标准](https://www.first.org/cvss/specification-document)将 CVSS 评分对应以下严重性评级。
| | |
| --- |--- |
| **评分** | **评级** |
| 0 | 信息性 |
| 0.1—3.9 | 低 |
| 4.0—6.9 | 中 |
| 7.0—8.9 | 高 |
| 9.0—10.0 | 重大 |
程序包漏洞调查发现的严重性也可能是**未分类**。这意味着供应商尚未为检测到的漏洞设置漏洞评分。在这种情况下,我们建议使用发现的参考文献 URLs 来研究该漏洞并做出相应的响应。
程序包漏洞调查发现包括以下评分和相关的评分向量,这些都属于调查发现的详细信息:
+ EPSS 分数
+ Inspector 分数
+ 来自 Amazon CVE 的 CVSS 3.1
+ 来自 NVD 的 CVSS 3.1
+ 来自 NVD 的 CVSS 2.0(如适用)
## 代码漏洞严重性
对于代码漏洞调查发现,Amazon Inspector 使用生成该调查发现的 Amazon Q 检测器定义的严重性级别。使用 CVSS v3 评分系统为每个检测器分配一个严重性。
## 网络可达性严重性
Amazon Inspector 根据暴露的服务、端口和协议以及开放路径的类型来确定网络可达性漏洞的严重性。下表定义了这些严重性评级。**开放路径评级**列中的值表示来自虚拟网关、对等 AWS Direct Connect 网络和网络的 VPCs开放路径。所有其他暴露的服务、端口和协议的严重性评级均为“提醒”。
| | | | | |
| --- |--- |--- |--- |--- |
| **服务** | **TCP 端口** | **UDP 端口** | **互联网路径评级** | **开放路径评级** |
| DHCP | 67、68、546、547 | 67、68、546、547 | 中 | 信息性 |
| Elasticsearch | 9300、9200 | NA | 中 | 信息性 |
| FTP | 21 | 21 | 高 | 中 |
| 全局目录 LDAP | 3268 | NA | 中 | 信息性 |
| 全局目录 LDAP over TLS | 3269 | NA | 中 | 信息性 |
| HTTP | 80 | 80 | 低 | 信息性 |
| HTTPS | 443 | 443 | 低 | 信息性 |
| Kerberos | 88、464、543、544、749、751 | 88、464、749、750、751、752 | 中 | 信息性 |
| LDAP | 389 | 389 | 中 | 信息性 |
| LDAP over TLS | 636 | NA | 中 | 信息性 |
| MongoDB | 27017、27018、27019、28017 | NA | 中 | 信息性 |
| MySQL | 3306 | NA | 中 | 信息性 |
| NetBIOS | 137、139 | 137、138 | 中 | 信息性 |
| NFS | 111、2049、4045、1110 | 111、2049、4045、1110 | 中 | 信息性 |
| Oracle | 1521、1630 | NA | 中 | 信息性 |
| PostgreSQL | 5432 | NA | 中 | 信息性 |
| 打印服务 | 515 | NA | 高 | 中 |
| RDP | 3389 | 3389 | 中 | 低 |
| RPC | 111、135、530 | 111、135、530 | 中 | 信息性 |
| SMB | 445 | 445 | 中 | 信息性 |
| SSH | 22 | 22 | 中 | 低 |
| SQL Server | 1433 | 1434 | 中 | 信息性 |
| Syslog | 601 | 514 | 中 | 信息性 |
| Telnet | 23 | 23 | 高 | 中 |
| WINS | 1512、42 | 1512、42 | 中 | 信息性 |