本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon Inspector 中管理問題清單
使用 Amazon Inspector,您可以用不同的方式管理您的問題清單。您可以根據問題清單的狀態來篩選問題清單。您可以根據篩選條件來搜尋問題清單。您可以建立隱藏規則,從問題清單排除問題清單。您也可以將問題清單匯出至 AWS Security Hub CSPM Amazon EventBridge 和 Amazon Simple Storage Service (Amazon S3)。
**Topics**
+ [篩選 Amazon Inspector 調查結果](findings-managing-filtering.md)
+ [隱藏 Amazon Inspector 調查結果](findings-managing-supression-rules.md)
+ [匯出 Amazon Inspector 調查結果報告](findings-managing-exporting-reports.md)
+ [使用 Amazon EventBridge 建立對 Amazon Inspector 調查結果的自訂回應 EventBridge](findings-managing-automating-responses.md)
# 篩選 Amazon Inspector 調查結果
您可以使用篩選條件來篩選 Amazon Inspector 問題清單。如果問題清單不符合篩選條件,Amazon Inspector 會從檢視中排除問題清單。本節說明如何使用篩選條件來篩選 Amazon Inspector 問題清單。
## 在 Amazon Inspector 主控台中建立篩選條件
在每個問題清單檢視中,您可以使用篩選功能來尋找具有特定特性的問題清單。當您移至不同的標籤式檢視時,會移除篩選條件。
篩選條件是由篩選條件條件組成,其中包含與篩選條件值配對的篩選條件屬性。不符合篩選條件的調查結果會從調查結果清單中排除。例如,若要查看與管理員帳戶相關聯的所有問題清單,您可以選擇 AWS 帳戶 ID 屬性,並將其與 12 位數 AWS 帳戶 ID 的值配對。
有些篩選條件適用於所有問題清單,其他篩選條件則僅適用於特定資源類型或問題清單類型。
**將篩選條件套用至問題清單檢視**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 在導覽窗格中,選擇**調查結果**。預設檢視會顯示所有處於**作用中**狀態的問題清單。
1. 若要依條件篩選問題清單,請選取*新增篩選條件*列以查看該檢視所有適用篩選條件的清單。不同的篩選條件可在不同的檢視中使用。
1. 從清單中選擇您要依其篩選的條件。
1. 從條件輸入窗格中,輸入所需的篩選條件值來定義該條件。
1. 選擇**套用**,將該篩選條件套用至您目前的結果。您可以再次選取篩選條件輸入列,以繼續新增其他篩選條件。
1. (選用) 若要檢視隱藏或關閉的問題清單,請在篩選列中選擇**作用中**,然後選擇**隱藏**或**關閉**。選擇**全部顯示**,即可在相同檢視中查看作用中、隱藏和已關閉的問題清單。
# 隱藏 Amazon Inspector 調查結果
您可以建立隱藏規則來隱藏符合條件的問題清單。例如,您可以建立抑制規則,根據問題清單的嚴重性評分來隱藏問題清單。如果 Amazon Inspector 產生符合您禁止規則的調查結果,Amazon Inspector 會禁止調查結果並將其隱藏在檢視中。Amazon Inspector 會存放隱藏的問題清單,直到問題清單修復為止。修正隱藏的問題清單後,Amazon Inspector 會關閉問題清單。您可以在 主控台中檢視隱藏的問題清單。
您可以建立隱藏規則,以排定最重要問題清單的優先順序。隱藏規則不會對問題清單產生任何影響,因為它們只會從檢視中隱藏問題清單。您無法建立關閉或修復問題清單的禁止規則。您也可以[AWS Security Hub CSPM 使用 Amazon EventBridge 規則在 中隱藏不需要的問題清單](https://aws.amazon.com/blogs/security/how-to-create-auto-suppression-rules-in-aws-security-hub/)。本節中的程序說明如何建立、檢視、編輯和刪除禁止規則。
**注意**
只有組織的委派管理員可以建立和管理禁止規則。
## 建立禁止規則
您可以建立隱藏規則來篩選預設顯示的問題清單。您可以使用 [CreateFilter](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFilter.html) API 並以程式設計方式建立抑制規則,並將 指定`SUPPRESS`為 的值`action`。
**注意**
只有獨立的帳戶和 Amazon Inspector 委派管理員才能建立和管理禁止規則。組織中的成員不會在導覽窗格中看到隱藏規則的選項。
**建立抑制規則 (主控台)**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 在導覽窗格中,選擇**隱藏規則**。然後,選擇 **Create role** (建立角色)。
1. 針對每個條件,執行下列動作:
+ 選取篩選條件列,以查看您可以新增至禁止規則的篩選條件清單。
+ 選取禁止規則的篩選條件。
1. 完成新增條件後,請輸入規則的名稱和選用的描述。
1. 選擇**儲存規則**。Amazon Inspector 會立即套用新的禁止規則,並隱藏任何符合條件的問題清單。
## 檢視隱藏的問題清單
根據預設,Amazon Inspector 不會在 Amazon Inspector 主控台中顯示隱藏的問題清單。不過,您可以檢視特定規則隱藏的問題清單。
**檢視隱藏的問題清單 **
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 在導覽窗格中,選取**隱藏規則**。
1. 在禁止規則清單中,選取規則的標題。
## 編輯禁止規則
您可以隨時變更禁止規則。
**修改禁止規則 **
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 從導覽窗格中,選擇**隱藏規則**。
1. 選擇您要變更的禁止規則名稱,然後選擇**編輯**。
1. 進行預期的變更,然後選擇**儲存**。
## 刪除禁止規則
您可以刪除禁止規則。如果您刪除隱藏規則,Amazon Inspector 會停止隱藏符合規則條件且不受其他規則抑制的新問題清單和現有問題清單的出現。
刪除禁止規則之後,符合規則條件的新問題清單和現有問題清單出現的狀態為**作用中**。這表示它們預設會出現在 Amazon Inspector 主控台上。此外,Amazon Inspector 會將這些調查結果發佈至 AWS Security Hub CSPM 和 Amazon EventBridge 做為事件。
**刪除禁止規則**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 在導覽窗格中,選取**隱藏規則**。
1. 選取您要刪除之禁止規則標題旁的核取方塊。
1. 選擇**刪除**,然後確認您的選擇以永久刪除規則。
# 匯出 Amazon Inspector 調查結果報告
問題清單報告是 CSV 或 JSON 檔案,可提供問題清單的詳細快照。您可以將問題清單報告匯出至 AWS Security Hub CSPM Amazon EventBridge 和 Amazon Simple Storage Service (Amazon S3)。當您設定問題清單報告時,您可以指定要包含在其中的問題清單。根據預設,問題清單報告會包含所有作用中問題清單的資料。如果您是組織的委派管理員,您的調查結果報告會包含組織中所有成員帳戶的資料。若要自訂問題清單報告,請建立並套用[篩選條件](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)。
匯出問題清單報告時,Amazon Inspector 會使用您指定的 AWS KMS key 來加密問題清單資料。Amazon Inspector 加密問題清單資料後,會將問題清單報告存放在您指定的 Amazon S3 儲存貯體中。您的 AWS KMS 金鑰必須在與 Amazon S3 儲存貯體 AWS 區域 相同的 中使用。您的 AWS KMS 金鑰政策必須允許 Amazon Inspector 使用它,而且您的 Amazon S3 儲存貯體政策必須允許 Amazon Inspector 將物件新增至其中。匯出問題清單報告後,您可以從 Amazon S3 儲存貯體下載報告,或將其轉移至新位置。您也可以使用 Amazon S3 儲存貯體做為其他匯出問題清單報告的儲存庫。
本節說明如何在 Amazon Inspector 主控台中匯出問題清單報告。下列任務需要您驗證許可、設定 Amazon S3 儲存貯體、設定 AWS KMS key,以及設定和匯出問題清單報告。
**注意**
如果您使用 Amazon Inspector [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) API 匯出問題清單報告,您只能檢視作用中的問題清單。如果您想要檢視隱藏或關閉的問題清單,則必須指定 `SUPPRESSED`或 `CLOSED`做為[篩選條件](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html)的一部分。
**Topics**
+ [步驟 1:驗證您的許可](#findings-managing-exporting-permissions)
+ [步驟 2:設定 S3 儲存貯體](#findings-managing-exporting-bucket-perms)
+ [步驟 3:設定 AWS KMS key](#findings-managing-exporting-KMS)
+ [步驟 4:設定和匯出問題清單報告](#findings-managing-exporting-console)
+ [故障診斷錯誤](#findings-managing-access-error)
## 步驟 1:驗證您的許可
**注意**
第一次匯出問題清單報告後,步驟 1–3 為選用。遵循這些步驟取決於您是否想要使用相同的 Amazon S3 儲存貯體,以及其他匯出 AWS KMS key 的問題清單報告。如果您想要在完成步驟 1–3 之後以程式設計方式匯出問題清單報告,請使用 Amazon Inspector API 的 [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) 操作。
從 Amazon Inspector 匯出問題清單報告之前,請確認您擁有匯出問題清單報告所需的許可,並設定資源以加密和儲存報告。若要驗證您的許可,請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較,以匯出問題清單報告。
**Amazon Inspector**
對於 Amazon Inspector,確認您可執行下列動作:
+ `inspector2:ListFindings`
+ `inspector2:CreateFindingsReport`
這些動作可讓您擷取帳戶的調查結果資料,並在調查結果報告中匯出該資料。
如果您計劃以程式設計方式匯出大型報告,您也可以驗證您是否可執行下列動作:`inspector2:GetFindingsReportStatus`、 檢查報告的狀態,以及 `inspector2:CancelFindingsReport`,以取消進行中的匯出。
**AWS KMS**
對於 AWS KMS,確認您可執行下列動作:
+ `kms:GetKeyPolicy`
+ `kms:PutKeyPolicy`
這些動作可讓您擷取和更新 AWS KMS key 您希望 Amazon Inspector 用來加密報告的 金鑰政策。
若要使用 Amazon Inspector 主控台匯出報告,也請確認您可以執行下列 AWS KMS 動作:
+ `kms:DescribeKey`
+ `kms:ListAliases`
這些動作可讓您擷取和顯示 AWS KMS keys 您帳戶 的相關資訊。然後,您可以選擇其中一個金鑰來加密您的報告。
如果您計劃建立新的 KMS 金鑰來加密報告,您也需要執行 `kms:CreateKey`動作。
**Amazon S3**
對於 Amazon S3,確認您可執行下列動作:
+ `s3:CreateBucket`
+ `s3:DeleteObject`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
+ `s3:PutObjectAcl`
這些動作可讓您建立和設定您希望 Amazon Inspector 存放報告的 S3 儲存貯體。它們也可讓您從儲存貯體新增和刪除物件。
如果您打算使用 Amazon Inspector 主控台匯出報告,請同時驗證您是否可執行 `s3:ListAllMyBuckets`和 `s3:GetBucketLocation`動作。這些動作可讓您擷取和顯示您帳戶 S3 儲存貯體的相關資訊。然後,您可以選擇其中一個儲存貯體來存放報告。
如果您不被允許執行一或多個必要動作,請在 AWS 繼續下一個步驟之前向管理員尋求協助。
## 步驟 2:設定 S3 儲存貯體
驗證您的許可後,您就可以設定要存放問題清單報告的 S3 儲存貯體。它可以是您自己的帳戶的現有儲存貯體,或另一個 擁有 AWS 帳戶 的現有儲存貯體,而且您可以存取。如果您想要將報告存放在新的儲存貯體中,請先建立儲存貯體再繼續。
S3 儲存貯體必須與您要匯出的調查結果資料 AWS 區域 位於相同的 中。例如,如果您在美國東部 (維吉尼亞北部) 區域使用 Amazon Inspector,並且想要匯出該區域的調查結果資料,則儲存貯體也必須位於美國東部 (維吉尼亞北部) 區域。
此外,儲存貯體的政策必須允許 Amazon Inspector 將物件新增至儲存貯體。本主題說明如何更新儲存貯體政策,並提供要新增至政策的 陳述式範例。如需新增和更新儲存貯體政策的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。
如果您想要將報告存放在另一個帳戶擁有的 S3 儲存貯體中,請與儲存貯體的擁有者合作,以更新儲存貯體的政策。同時取得儲存貯體的 URI。匯出報告時,您需要輸入此 URI。
**更新儲存貯體政策**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/s3](https://console.aws.amazon.com//s3) 的 Amazon S3 主控台。
1. 在導覽窗格中,選擇 **儲存貯體**。
1. 選擇您要存放問題清單報告的 S3 儲存貯體。
1. 選擇**許可**索引標籤。
1. 在**儲存貯體政策**區段中,選擇**編輯**。
1. 將下列範例陳述式複製到剪貼簿:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:report/*"
}
}
}
]
}
```
------
1. 在 Amazon S3**Amazon S3 主控台的儲存貯體政策**編輯器中,將上述陳述式貼到政策中,以將其新增至政策。
當您新增 陳述式時,請確定語法有效。儲存貯體政策使用 JSON 格式。這表示您需要在陳述式之前或之後新增逗號,具體取決於您將陳述式新增至政策的位置。如果您將陳述式新增為最後一個陳述式,請在上述陳述式的關閉架構之後新增逗號。如果您將其新增為第一個陳述式或在兩個現有陳述式之間新增,請在陳述式的關閉架構之後新增逗號。
1. 使用您環境的正確值更新陳述式,其中:
+ *amzn-s3-demo-bucket* 是儲存貯體的名稱。
+ *111122223333* 是 的帳戶 ID AWS 帳戶。
+ *區域*是您 AWS 區域 使用 Amazon Inspector 並希望允許 Amazon Inspector 將報告新增至儲存貯體的 。例如,`us-east-1`美國東部 (維吉尼亞北部) 區域。
**注意**
如果您在手動啟用的 中使用 Amazon Inspector AWS 區域,也請將適當的區域代碼新增至 `Service` 欄位的值。此欄位指定 Amazon Inspector 服務主體。
例如,如果您在中東 (巴林) 區域使用 Amazon Inspector,而該區域具有區域碼 `me-south-1`,請在 陳述式`inspector2.me-south-1.amazonaws.com`中將 取代`inspector2.amazonaws.com`為 。
請注意,範例陳述式會定義使用兩個 IAM 全域條件索引鍵的條件:
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) – 此條件允許 Amazon Inspector 僅為您的帳戶將報告新增至儲存貯體。它可防止 Amazon Inspector 將報告新增至其他帳戶的儲存貯體。更具體地說, 條件指定哪個帳戶可以使用 儲存貯體處理`aws:SourceArn`條件指定的資源和動作。
若要將其他帳戶的報告存放在儲存貯體中,請將每個其他帳戶的帳戶 ID 新增至此條件。例如:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) – 此條件會根據要新增至儲存貯體的物件來源,限制對儲存貯體的存取。它 AWS 服務 可防止其他 將物件新增至儲存貯體。這也可防止 Amazon Inspector 在為您的帳戶執行其他動作時,將物件新增至儲存貯體。更具體地說,條件允許 Amazon Inspector 只有在物件是調查結果報告時,才將物件新增至儲存貯體,而且只有在這些報告是由帳戶和條件中指定的區域中建立時,才允許。
若要允許 Amazon Inspector 執行其他帳戶的指定動作,請將每個額外帳戶的 Amazon Resource Name (ARNs) 新增至此條件。例如:
```
"aws:SourceArn": [
"arn:aws:inspector2:Region:111122223333:report/*",
"arn:aws:inspector2:Region:444455556666:report/*",
"arn:aws:inspector2:Region:123456789012:report/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn`條件指定的帳戶應相符。
在與 Amazon S3 的交易期間,這兩種條件都有助於防止 Amazon Inspector 用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。 Amazon S3 雖然我們不建議這麼做,但您可以從儲存貯體政策中移除這些條件。
1. 當您完成更新儲存貯體政策時,請選擇**儲存變更**。
## 步驟 3:設定 AWS KMS key
驗證您的許可並設定 S3 儲存貯體後,判斷 AWS KMS key 您希望 Amazon Inspector 使用哪個儲存貯體來加密問題清單報告。金鑰必須是客戶受管的對稱加密 KMS 金鑰。此外,金鑰必須 AWS 區域 與您設定存放報告的 S3 儲存貯體位於相同的 。
金鑰可以是來自您自己的帳戶的現有 KMS 金鑰,或另一個帳戶擁有的現有 KMS 金鑰。如果您想要使用新的 KMS 金鑰,請先建立金鑰再繼續。如果您想要使用另一個帳戶擁有的現有金鑰,請取得金鑰的 Amazon Resource Name (ARN)。當您從 Amazon Inspector 匯出報告時,將需要輸入此 ARN。如需有關建立和檢閱 KMS 金鑰設定的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[管理金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)。
在您決定要使用的 KMS 金鑰之後,請授予 Amazon Inspector 使用金鑰的許可。否則,Amazon Inspector 將無法加密和匯出報告。若要授予 Amazon Inspector 使用金鑰的許可,請更新金鑰的金鑰政策。如需金鑰政策和管理 KMS 金鑰存取的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的 [中的金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
**注意**
下列程序用於更新現有金鑰,以允許 Amazon Inspector 使用它。如果您沒有現有的金鑰,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
**更新金鑰政策**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS KMS 主控台。
1. 在導覽窗格中,選擇 **Customer managed keys** (客戶受管金鑰)。
1. 選擇您要用來加密報告的 KMS 金鑰。金鑰必須是對稱加密 (**SYMMETRIC\$1DEFAULT**) 金鑰。
1. 在**金鑰政策**標籤中,選擇**編輯**。如果您沒有看到具有**編輯**按鈕的金鑰政策,您必須先選取**切換到政策檢視**。
1. 將下列範例陳述式複製到剪貼簿:
```
{
"Sid": "Allow Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
```
1. 在 AWS KMS 主控台的**金鑰政策**編輯器中,將上述陳述式貼到金鑰政策中,以將其新增至政策。
當您新增 陳述式時,請確定語法有效。金鑰政策使用 JSON 格式。這表示您需要在陳述式之前或之後新增逗號,具體取決於您將陳述式新增至政策的位置。如果您將陳述式新增為最後一個陳述式,請在上述陳述式的關閉架構之後新增逗號。如果您將其新增為第一個陳述式或在兩個現有陳述式之間新增,請在陳述式的關閉架構之後新增逗號。
1. 使用您環境的正確值更新陳述式,其中:
+ *111122223333* 是 的帳戶 ID AWS 帳戶。
+ *區域*是您想要允許 Amazon Inspector 使用 金鑰加密報告的 AWS 區域 。例如,`us-east-1`美國東部 (維吉尼亞北部) 區域。
**注意**
如果您在手動啟用的 中使用 Amazon Inspector AWS 區域,也請將適當的區域代碼新增至 `Service` 欄位的值。例如,如果您在中東 (巴林) 區域使用 Amazon Inspector,請將 取代`inspector2.amazonaws.com`為 `inspector2.me-south-1.amazonaws.com`。
如同上述步驟中儲存貯體政策的範例陳述式,此範例中`Condition`的欄位會使用兩個 IAM 全域條件索引鍵:
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) – 此條件允許 Amazon Inspector 僅針對您的帳戶執行指定的動作。更具體地說,它會決定哪些帳戶可以對`aws:SourceArn`條件指定的資源和動作執行指定的動作。
若要允許 Amazon Inspector 為其他帳戶執行指定的動作,請將每個額外帳戶的帳戶 ID 新增至此條件。例如:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) – 此條件可防止其他 AWS 服務 執行指定的動作。這也可防止 Amazon Inspector 在為您的帳戶執行其他動作時使用 金鑰。換句話說,它允許 Amazon Inspector 只有在物件是調查結果報告時,才會使用 金鑰加密 S3 物件,而且只有在這些報告是由帳戶和 條件中指定的區域中建立時,才會加密這些物件。
若要允許 Amazon Inspector 為其他帳戶執行指定的動作,請將每個其他帳戶的 ARNs 新增至此條件。例如:
```
"aws:SourceArn": [
"arn:aws:inspector2:us-east-1:111122223333:report/*",
"arn:aws:inspector2:us-east-1:444455556666:report/*",
"arn:aws:inspector2:us-east-1:123456789012:report/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn`條件指定的帳戶應相符。
這些條件有助於防止 Amazon Inspector 在與 交易期間用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS KMS。雖然我們不建議這麼做,但您可以從 陳述式中移除這些條件。
1. 當您完成更新金鑰政策時,請選擇**儲存變更**。
## 步驟 4:設定和匯出問題清單報告
**注意**
您一次只能匯出一個調查結果報告。如果匯出目前正在進行中,您必須等到匯出完成,再匯出另一個問題清單報告。
驗證您的許可並設定 資源來加密和存放問題清單報告後,您就可以設定和匯出報告。
**設定和匯出問題清單報告**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 在導覽窗格中的**調查結果**下,選擇**所有調查結果**。
1. (選用) 透過使用**問題清單**表格上方的篩選條件列,[新增篩選條件](findings-managing-filtering.md)來指定要在報告中包含的問題清單。當您新增條件時,Amazon Inspector 會更新資料表,只包含符合條件的問題清單。資料表提供報告將包含資料的預覽。
**注意**
我們建議您新增篩選條件。如果沒有,報告將包含目前 狀態 AWS 區域 為**作用中**的所有問題清單的資料。如果您是組織的 Amazon Inspector 管理員,這包含組織中所有成員帳戶的調查結果資料。
如果報告包含所有或多個調查結果的資料,產生和匯出報告可能需要很長的時間,而且您一次只能匯出一份報告。
1. 選擇**匯出問題清單**。
1. 在**匯出設定**區段中,針對**匯出檔案類型**,指定報告的檔案格式:
+ 若要建立包含資料的 JavaScript 物件標記法 (.json) 檔案,請選擇 **JSON**。
如果您選擇 **JSON** 選項,報告將包含每個問題清單的所有欄位。如需可能 JSON 欄位的清單,請參閱 Amazon Inspector API 參考中的[問題清單](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Finding.html)資料類型。
+ 若要建立包含資料的逗號分隔值 (.csv) 檔案,請選擇 **CSV**。
如果您選擇 **CSV** 選項,報告將只包含每個問題清單的一部分欄位,約 45 個報告問題清單關鍵屬性的欄位。這些欄位包括:*問題清單類型、標題、嚴重性、狀態、描述、第一個看到、最後一個看到、可用的修正、 AWS 帳戶 ID、資源 ID、資源標籤*和*修復*。這些是擷取每個調查結果的評分詳細資訊和參考 URLs的附加欄位。以下是調查結果報告中 CSV 標頭的範例:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/inspector/latest/user/findings-managing-exporting-reports.html)
1. 在**匯出位置**下,針對 **S3 URI**,指定您要存放報告的 S3 儲存貯體:
+ 若要將報告存放在您的帳戶擁有的儲存貯體中,請選擇**瀏覽 S3**。Amazon Inspector 會顯示您帳戶的 S3 儲存貯體資料表。選取所需儲存貯體的資料列,然後選擇**選擇**。
**提示**
若要指定報告的 Amazon S3 路徑字首,請將斜線 (/) 和字首附加至 **S3 URI** 方塊中的值。然後,Amazon Inspector 會在將報告新增至儲存貯體時包含字首,而 Amazon S3 會產生字首指定的路徑。
例如,如果您想要使用 AWS 帳戶 ID 做為字首,且您的帳戶 ID 為 *111122223333*,請將 附加**/111122223333**至 **S3 URI** 方塊中的值。
*字首*類似於 S3 儲存貯體中的目錄路徑。它可讓您將類似的物件分組到儲存貯體中,就像將類似的檔案一起存放在檔案系統的資料夾中一樣。如需詳細資訊,請參閱《[Amazon Simple Storage Service 使用者指南》中的使用資料夾在 Amazon S3 主控台中組織物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。 **
+ 若要將報告存放在另一個帳戶擁有的儲存貯體中,請輸入儲存貯體的 URI,例如 **s3://DOC-EXAMPLE\$1BUCKET**,其中 *DOC-EXAMPLE\$1BUCKET* 是儲存貯體的名稱。儲存貯體擁有者可以在儲存貯體的 屬性中找到此資訊。
1. 針對 **KMS 金鑰**,指定 AWS KMS key 您要用來加密報告的 :
+ 若要使用自有帳戶中的金鑰,請從清單中選擇金鑰。此清單會顯示您帳戶的客戶受管對稱加密 KMS 金鑰。
+ 若要使用另一個帳戶擁有的金鑰,請輸入金鑰的 Amazon Resource Name (ARN)。金鑰擁有者可以在金鑰的 屬性中找到此資訊。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和金鑰 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1. 選擇 **Export** (匯出)。
Amazon Inspector 會產生問題清單報告、使用您指定的 KMS 金鑰進行加密,並將其新增至您指定的 S3 儲存貯體。根據您選擇包含在報告中的問題清單數量,此程序可能需要幾分鐘或幾小時的時間。匯出完成時,Amazon Inspector 會顯示訊息,指出您的問題清單報告已成功匯出。選擇性地選擇在訊息中**檢視報告**,以導覽至 Amazon S3 中的報告。
請注意,您一次只能匯出一個報告。如果匯出目前正在進行中,請等到匯出完成,再嘗試匯出其他報告。
## 對匯出錯誤進行故障診斷
如果您嘗試匯出問題清單報告時發生錯誤,Amazon Inspector 會顯示說明錯誤的訊息。您可以使用本主題中的資訊做為指南,來識別錯誤的可能原因和解決方案。
例如,確認 S3 儲存貯體位於目前的 中, AWS 區域 且儲存貯體的政策允許 Amazon Inspector 將物件新增至儲存貯體。同時確認 AWS KMS key 已在目前區域中啟用 ,並確保金鑰政策允許 Amazon Inspector 使用金鑰。
解決錯誤之後,請嘗試再次匯出報告。
### 不能有多個報告錯誤
如果您嘗試建立報告,但 Amazon Inspector 已產生報告,您將會收到錯誤,指出**原因:無法有多個進行中的報告**。發生此錯誤是因為 Amazon Inspector 一次只能為帳戶產生一個報告。
若要解決錯誤,您可以等待其他報告完成或取消報告,然後再請求新的報告。
您可以使用 [GetFindingsReportStatus](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetFindingsReportStatus.html) 操作來檢查報告的狀態,此操作會傳回目前正在產生的任何報告的報告 ID。
如果需要,您可以使用 `GetFindingsReportStatus`操作提供的報告 ID,透過 [CancelFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CancelFindingsReport.html) 操作取消目前正在進行的匯出。
# 使用 Amazon EventBridge 建立對 Amazon Inspector 調查結果的自訂回應 EventBridge
Amazon Inspector 在 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 中為新產生的調查結果和彙總調查結果建立事件。Amazon Inspector 也會為調查結果狀態的任何變更建立事件。這表示當您採取重新啟動資源或變更與資源相關聯的標籤等動作時,Amazon Inspector 會為調查結果建立新的事件。當 Amazon Inspector 為更新的問題清單建立新事件時,問題清單會`id`保持不變。
**注意**
如果您的帳戶是 Amazon Inspector 委派的管理員帳戶,EventBridge 會將事件發佈到您的帳戶和產生事件的成員帳戶。
搭配 Amazon Inspector 使用 EventBridge 事件時,您可以自動化任務,協助您回應問題清單顯示的安全性問題。若要根據 EventBridge 事件接收有關 Amazon Inspector 調查結果的通知,您必須[建立 EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)並指定 Amazon Inspector 的目標。EventBridge 規則允許 EventBridge 傳送 Amazon Inspector 調查結果的通知,而目標指定通知的傳送位置。
Amazon Inspector 會在您目前使用 Amazon Inspector AWS 區域 的 中,將事件發送到預設事件匯流排。這表示您必須為啟用 Amazon Inspector 的每個 AWS 區域 設定事件規則,並將 Amazon Inspector 設定為接收 EventBridge 事件。Amazon Inspector 會盡力發出事件。
本節提供您事件結構描述的範例,並說明如何建立 EventBridge 規則。
## 事件結構描述
以下是 EC2 調查結果事件的 Amazon Inspector 事件格式範例。如需其他問題清單類型和事件類型的結構描述範例,請參閱 [Amazon Inspector 事件的 Amazon EventBridge 事件結構描述](eventbridge-integration.md)。
```
{
"version": "0",
"id": "66a7a279-5f92-971c-6d3e-c92da0950992",
"detail-type": "Inspector2 Finding",
"source": "aws.inspector2",
"account": "111122223333",
"time": "2023-01-19T22:46:15Z",
"region": "us-east-1",
"resources": ["i-0c2a343f1948d5205"],
"detail": {
"awsAccountId": "111122223333",
"description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
"exploitAvailable": "YES",
"exploitabilityDetails": {
"lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
},
"findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
"firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
"fixAvailable": "YES",
"lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
"packageVulnerabilityDetails": {
"cvss": [{
"baseScore": 4.7,
"scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
"source": "NVD",
"version": "3.1"
}],
"referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
"relatedVulnerabilities": [],
"source": "UBUNTU_CVE",
"sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
"vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
"vendorSeverity": "medium",
"vulnerabilityId": "CVE-2022-3303",
"vulnerablePackages": [{
"arch": "X86_64",
"epoch": 0,
"fixedInVersion": "0:5.15.0.1027.31~20.04.16",
"name": "linux-image-aws",
"packageManager": "OS",
"remediation": "apt update && apt install --only-upgrade linux-image-aws",
"version": "5.15.0.1026.30~20.04.16"
}]
},
"remediation": {
"recommendation": {
"text": "None Provided"
}
},
"resources": [{
"details": {
"awsEc2Instance": {
"iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
"imageId": "ami-0b7ff1a8d69f1bb35",
"ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
"ipV6Addresses": [],
"launchedAt": "Jan 19, 2023, 7:53:14 PM",
"platform": "UBUNTU_20_04",
"subnetId": "subnet-8213f2a3",
"type": "t2.micro",
"vpcId": "vpc-ab6650d1"
}
},
"id": "i-0c2a343f1948d5205",
"partition": "aws",
"region": "us-east-1",
"type": "AWS_EC2_INSTANCE"
}],
"severity": "MEDIUM",
"status": "ACTIVE",
"title": "CVE-2022-3303 - linux-image-aws",
"type": "PACKAGE_VULNERABILITY",
"updatedAt": "Jan 19, 2023, 10:46:15 PM"
}
}
```
## 建立 EventBridge 規則以通知您 Amazon Inspector 問題清單
若要提高 Amazon Inspector 問題清單的可見性,您可以使用 EventBridge 設定傳送至訊息中樞的自動問題清單提醒。本主題說明如何將 `CRITICAL`和`HIGH`嚴重性問題清單的提醒傳送至電子郵件、Slack 或 Amazon Chime。您將了解如何設定 Amazon Simple Notification Service 主題,然後將該主題連線至 EventBridge 事件規則。
### 步驟 1. 設定 Amazon SNS 主題和端點
若要設定自動提醒,您必須先在 Amazon Simple Notification Service 中設定主題,並新增端點。如需詳細資訊,請參閱 [SNS 指南](https://docs.aws.amazon.com//sns/latest/dg/sns-getting-started.html)。
此程序會建立您要傳送 Amazon Inspector 調查結果資料的位置。SNS 主題可以在建立事件規則期間或之後新增至 EventBridge 事件規則。
------
#### [ Email setup ]
**建立 SNS 主題**
1. 登入 Amazon SNS 主控台,網址為 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)。
1. 從導覽窗格中,選取**主題**,然後選取**建立主題**。
1. 在**建立主題**區段中,選取**標準**。接著,輸入主題名稱,例如 **Inspector\$1to\$1Email**。其他詳細資料是選擇性的。
1. 選擇**建立主題**。這會開啟包含新主題詳細資訊的新面板。
1. 在**訂閱**區段中,選取**建立訂閱**。
1.
1. 從**通訊協定**功能表中,選取**電子郵件**。
1. 在**端點**欄位中,輸入您要接收通知的電子郵件地址。
**注意**
建立訂閱後,您需要透過電子郵件用戶端確認您的訂閱。
1. 選擇**建立訂閱**。
1. 在收件匣中尋找訂閱訊息,然後選擇**確認訂閱**。
------
#### [ Slack setup ]
**建立 SNS 主題**
1. 登入 Amazon SNS 主控台,網址為 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)。
1. 從導覽窗格中,選取**主題**,然後選取**建立主題**。
1. 在**建立主題**區段中,選取**標準**。接著,輸入主題名稱,例如 **Inspector\$1to\$1Slack**。其他詳細資料是選擇性的。選擇**建立主題**以完成端點建立。
**在聊天應用程式用戶端中設定 Amazon Q Developer**
1. 在 的聊天應用程式主控台中導覽至 Amazon Q Developer[https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)。
1. 從**已設定的用戶端**窗格中,選取**設定新的用戶端**。
1. 選擇 **Slack**,然後選擇**設定**以確認。
**注意**
選擇 Slack 時,您必須選取**允許**,確認聊天應用程式中 Amazon Q Developer 存取頻道的許可。
1. 選取**設定新頻道**以開啟組態詳細資訊窗格。
1. 輸入頻道的名稱。
1. 針對 **Slack 頻道**,選擇您要使用的頻道。
1. 在 Slack 中,在頻道名稱上按一下滑鼠右鍵,然後選取複製**連結**,以複製私有頻道的頻道 ID。
1. 在聊天應用程式視窗中 AWS 管理主控台的 Amazon Q Developer 中,將您從 Slack 複製的頻道 ID 貼到**私有頻道 ID **欄位。
1. 在**許可**中,如果您還沒有角色,請選擇使用範本建立 IAM 角色。
1. 針對**政策**範本,選擇**通知許可**。這是聊天應用程式中 Amazon Q Developer 的 IAM 政策範本。此政策為 CloudWatch 警示、事件和日誌以及 Amazon SNS 主題提供必要的讀取和清單許可。
1. 針對**頻道護欄政策**,選擇 **AmazonInspector2ReadOnlyAccess**。
1. 選擇您先前建立 SNS 主題的區域,然後選取您建立的 Amazon SNS 主題,將通知傳送至 Slack 頻道。
1. 選取**設定**。
------
#### [ Amazon Chime setup ]
**建立 SNS 主題**
1. 登入 Amazon SNS 主控台,網址為 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)。
1. 從導覽窗格中選取**主題**,然後選取**建立主題**。
1. 在**建立主題**區段中,選取**標準**。接著,輸入主題名稱,例如 **Inspector\$1to\$1Chime**。其他詳細資料是選擇性的。選擇**建立主題**以完成。
**在聊天應用程式用戶端中設定 Amazon Q Developer**
1. 在 的聊天應用程式主控台中導覽至 Amazon Q Developer[https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)。
1. 從**設定的用戶端**面板中,選取**設定新用戶端**。
1. 選擇 **Chime**,然後選擇**設定**以確認。
1. 在**組態詳細資訊**窗格中,輸入頻道的名稱。
1. 在 Amazon Chime 中,開啟所需的聊天室。
1. 選擇右上角的齒輪圖示,然後選擇**管理 Webhook 和機器人**。
1. 選取**複製 URL**,將 Webhook URL 複製到剪貼簿。
1. 在聊天應用程式視窗中 AWS 管理主控台的 Amazon Q Developer 中,將您複製的 URL 貼到 **Webhook URL** 欄位中。
1. 在**許可**中,如果您還沒有角色,請選擇使用範本建立 IAM 角色。
1. 針對**政策**範本,選擇**通知許可**。這是聊天應用程式中 Amazon Q Developer 的 IAM 政策範本。它為 CloudWatch 警示、事件和日誌以及 Amazon SNS 主題提供必要的讀取和清單許可。
1. 選擇您先前建立 SNS 主題的區域,然後選取您建立的 Amazon SNS 主題,將通知傳送至 Amazon Chime 會議室。
1. 選取**設定**。
------
### 步驟 2. 為 Amazon Inspector 調查結果建立 EventBridge 規則
1. 使用您的 登入資料登入。
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 從導覽窗格中選取**規則**,然後選取**建立規則**。
1. 輸入規則的名稱和選用描述。
1. 選取**具有事件模式的規則**,然後選取**下一步**。
1. 在**事件模式**窗格中,選擇**自訂模式 (JSON 編輯器)**。
1. 將以下 JSON 貼至編輯器中。
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Finding"],
"detail": {
"severity": ["HIGH", "CRITICAL"],
"status": ["ACTIVE"]
}
}
```
**注意**
此模式會針對 Amazon Inspector 偵測到的任何作用中`CRITICAL`或`HIGH`嚴重性調查結果傳送通知。
當您完成進入事件模式時,請選取**下一步**。
1. 在**選取目標**頁面上,選擇 **AWS 服務**。然後,針對**選取目標類型**,選擇 **SNS 主題**。
1. 針對**主題**,選取您在步驟 1 中建立的 SNS 主題名稱。然後選擇**下一步**。
1. 視需要新增選用標籤,然後選擇**下一步**。
1. 檢閱您的規則,然後選擇**建立規則**。
## 適用於 Amazon Inspector 多帳戶環境的 EventBridge
如果您是 Amazon Inspector 委派管理員,根據成員帳戶的適用調查結果,EventBridge 規則會顯示在您的帳戶上。如果您在管理員帳戶中透過 EventBridge 設定問題清單通知,如上節所述,您將會收到多個帳戶的通知。換句話說,除了您自有帳戶產生的問題清單和事件之外,您還會收到成員帳戶產生的問題清單和事件通知。
您可以使用調查結果的 JSON 詳細資訊`accountId`中的 來識別產生 Amazon Inspector 調查結果的成員帳戶。