コンテンツにスキップ

Inspector連携#

Amazon Inspector」を連携してスキャン結果を取り込み、FutureVuls上で管理できます。

予めAWS認証情報の設定が必要のため、「外部連携 > AWS連携」でAWSの認証情報を登録してください。

以下がInspector連携のスキャン対象です。

Amazon EC2のスキャン#

EC2インスタンスのスキャン結果をFutureVuls上で管理する手順は以下の通りです。

  1. Amazon Inspectorの有効化
  2. SSMエージェントの設定
  3. Amazon Inspectorのスキャン結果確認
  4. Futurevuls上でインスタンスを登録
  5. スキャン実行

2023-3-29リリース」より以前にAWS認証設定を行った場合は、更新が必要です。
FutureVulsで利用するポリシー」を参照し、 FutureVulsAssumeRole のIAM Policyに Action として inspector2:ListCoverageinspector2:ListFindings を追加してください。

Amazon Inspectorの有効化#

  1. Amazon Inspector コンソール」を開き、使用を開始する をクリックします。
  2. Inspectorをアクティブ化 をクリックします。
  3. Inspector > 設定 > アカウント管理 から、Amazon EC2スキャン をアクティブ化します。

AmazonEC2スキャンアクティブ化

SSMエージェントの設定#

インスタンスにSSMエージェントのインストール、アクセス許可をし、Inspectorによるスキャンができるように設定します。 設定方法の詳細は「Amazon EC2インスタンスのスキャン」を参照してください。

エージェントレススキャンを利用する場合

エージェントレススキャンを利用する場合、本セクションはスキップが可能です。 詳細な手順やエージェントレススキャンを利用する際の注意点については以下のブログ記事をご参照ください。

Amazon Inspector と FutureVuls で実現する EC2 のエージェントレス脆弱性スキャン:ハンズオンガイド

SSMエージェントをインストールと起動#

インスタンスにSSMエージェントをインストールします。インストール方法はAMIによりSSMエージェントがプリインストールされてるか、OSにより異なりますので、「SSM Agentの使用」を参照してください。

Systems Managerにインスタンスのアクセス許可を設定#

Fleet Managerコンソールからデフォルトのホスト管理設定を有効にするか、もしくは AmazonSSMManagedInstanceCore ポリシーのIAMロールを連携したいインスタンスにアタッチします。 詳細は「Systems Managerにインスタンスのアクセス許可を設定する」を参照してください。

Amazon Inspectorのスキャン結果確認#

Inspector > 検出結果 > インスタンス別 から、連携したいインスタンスのスキャン結果を確認できたらAWS上の設定は完了です。

検出結果

FutureVuls上でインスタンスを登録#

Inspector上で脆弱性が検出されたら、FutureVuls上でインスタンスを登録します。 サーバ > サーバ追加 > EC2インスタンス追加 から、連携したいインスタンスを選択します。

インスタンス追加

スキャン実行#

サーバ詳細タブに 手動スキャン ボタンが表示されます。 スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。

手動スキャン

AWS Lambdaのスキャン#

AWS Lambda関数のスキャン結果をFutureVuls上で管理する手順は以下の通りです。

  1. Amazon Inspectorの有効化
  2. AWS Lambdaのスキャン結果確認
  3. FutureVuls上でAWS Lambda関数を登録
  4. スキャン実行

ランタイムのサポートについては、「サポートされているLambda関数のランタイム」を参照してください。

コンテナイメージタイプのLambda関数はAWS Inspectorによるスキャンがサポートされていないため、FutureVulsで登録できません。

AWS Lambdaのスキャン機能を利用するにあたり、「2024-4-1リリース」より以前にAWS認証設定を行った場合は、更新が必要です。

Lambda関数をFutureVulsへ登録する場合は、「FutureVulsで利用するポリシー」を参照し、 FutureVulsAssumeRole のIAM Policyに Action として lambda:GetFunctionlambda:ListFunctionsを追加してください。

Amazon Inspectorの有効化#

  1. Amazon Inspector コンソール」を開き、使用を開始する をクリックします。
  2. Inspectorをアクティブ化 をクリックします。
  3. Inspector > 設定 > アカウント管理 から、AWS Lambdaスキャン をアクティブ化します。

AWS Lambda 標準スキャンアクティブ化

AWS Lambdaのスキャン結果確認#

Inspector > 検出結果 > Lambda関数別 から、連携したいLambda関数のスキャン結果を確認できたらAWS上の設定は完了です。

検出結果

FutureVuls上でAWS Lambda関数を登録#

FutureVuls上でAWS Lambda 関数を登録する方法は2種類あります。

AWS Lambda関数を登録できる対象

AWS Lambda関数は、サーバ種別が疑似サーバのサーバに登録することができます。

また、1つのサーバ上に複数の Lambda 関数を登録できます。

登録方法1: FutureVuls上でLambda関数を一括登録#

  1. サーバ > サーバ追加 > 擬似サーバ追加 から、AWS Lambda 関数登録に使う擬似サーバを登録します。
  2. サーバ詳細 > AWS Lambda 関数 > 一括追加 に、グループのAWS認証情報に紐付く Lambda 関数の一覧が表示されます。
  3. 一覧の中から、登録したい関数名を選択します。(複数選択可能)

関数追加

登録方法2: Lambda関数のARNを指定して登録#

  1. AWS コンソールの関数の詳細ページにて、関数の ARN をコピーします。 関数ARN
  2. サーバ詳細 > AWS Lambda関数 > 追加 から、先程コピーした Lambda関数の ARN を Lambda関数の ARN を入力します。

関数追加

スキャン実行#

サーバ詳細タブに 手動スキャン ボタンが表示されます。 スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。

手動スキャン