Scanning Windows EC2Instanzen mit Amazon Inspector - Amazon Inspector
Amazon Inspector-Scananforderungen für Windows -InstancesÜber das Amazon SSM Inspector-Plugin für WindowsEinstellung benutzerdefinierter Zeitpläne für Windows Instanzscans

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scanning Windows EC2Instanzen mit Amazon Inspector

Amazon Inspector erkennt automatisch alle unterstützten Windows Instanzen und nimmt sie ohne zusätzliche Aktionen in ein kontinuierliches Scannen auf. Informationen darüber, welche Instances unterstützt werden, finden Sie unter Von Amazon Inspector unterstützte Betriebssysteme und Programmiersprachen. Amazon Inspector läuft Windows scannt in regelmäßigen Abständen. Windows Instanzen werden bei Entdeckung und dann alle 6 Stunden gescannt. Sie können das Standard-Scan-Intervall jedoch nach dem ersten Scan anpassen.

Wenn EC2 Amazon-Scanning aktiviert ist, erstellt Amazon Inspector die folgenden SSM Verknüpfungen für Ihre Windows Ressourcen: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, undInvokeInspectorSsmPlugin-do-not-delete. Um das Amazon SSM Inspector-Plugin auf Ihrem Windows Für Instanzen verwendet der InspectorDistributor-do-not-delete SSM Verband das AWS-ConfigureAWSPackageSSMDokument und das AmazonInspector2-InspectorSsmPluginSSMDistributor-Paket. Weitere Informationen finden Sie unter Über das Amazon SSM Inspector-Plugin für Windows. Um Instance-Daten zu sammeln und Amazon Inspector-Ergebnisse zu generieren, führt der InvokeInspectorSsmPlugin-do-not-delete SSM Verband das Amazon SSM Inspector-Plugin in Intervallen von 6 Stunden aus. Sie können diese Einstellung jedoch mithilfe eines Cron- oder Rate-Ausdrucks anpassen.

Anmerkung

Amazon Inspector stellt aktualisierte Definitionsdateien der Open Vulnerability and Assessment Language (OVAL) im S3-Bucket bereitinspector2-oval-prod-your-AWS-Region. Der Amazon S3 S3-Bucket enthält OVAL Definitionen, die in Scans verwendet werden. Diese OVAL Definitionen sollten nicht geändert werden. Andernfalls sucht Amazon Inspector bei der Veröffentlichung nicht nach neuen CVEs Produkten.

Amazon Inspector-Scananforderungen für Windows -Instances

Um ein zu scannen Windows Instance, Amazon Inspector verlangt, dass die Instance die folgenden Kriterien erfüllt:

  • Die Instance ist eine SSM verwaltete Instance. Anweisungen zum Einrichten Ihrer Instanz für das Scannen finden Sie unterDen SSM Agenten konfigurieren.

  • Das Betriebssystem der Instanz ist eines der unterstützten Windows Betriebssysteme. Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unterStatuswerte für EC2 Amazon-Instances.

  • Auf der Instance ist das Amazon SSM Inspector-Plugin installiert. Amazon Inspector installiert bei Entdeckung automatisch das Amazon SSM Inspector-Plug-In für verwaltete Instances. Einzelheiten zum Plugin finden Sie im nächsten Thema.

Anmerkung

Wenn Ihr Host in einem Amazon VPC ohne ausgehenden Internetzugang läuft, Windows Für das Scannen muss Ihr Host auf regionale Amazon S3 S3-Endpunkte zugreifen können. Informationen zur Konfiguration eines Amazon S3 VPC S3-Amazon-Endpunkts finden Sie unter Erstellen eines Gateway-Endpunkts im Amazon Virtual Private Cloud-Benutzerhandbuch. Wenn Ihre VPC Amazon-Endpunktrichtlinie den Zugriff auf externe S3-Buckets einschränkt, müssen Sie ausdrücklich den Zugriff auf den von Amazon Inspector verwalteten Bucket in Ihrem zulassen AWS-Region , in dem die OVAL Definitionen gespeichert sind, die zur Bewertung Ihrer Instance verwendet werden. Dieser Bucket hat das folgende Format:. inspector2-oval-prod-REGION

Über das Amazon SSM Inspector-Plugin für Windows

Das Amazon SSM Inspector-Plugin ist erforderlich, damit Amazon Inspector Ihre Daten scannen kann Windows Instanzen. Das Amazon SSM Inspector-Plugin wird automatisch auf Ihrem installiert Windows Instanzen inC:\Program Files\Amazon\Inspector, und die ausführbare Binärdatei wird benanntInspectorSsmPlugin.exe.

Die folgenden Dateispeicherorte werden erstellt, um Daten zu speichern, die das Amazon SSM Inspector-Plugin sammelt:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Standardmäßig wird das Amazon SSM Inspector-Plugin mit niedrigerer Priorität ausgeführt.

Anmerkung

Sie können Folgendes verwenden … Windows Instances mit der Standardeinstellung für die Host-Management-Konfiguration. Sie müssen jedoch ein Instanzprofil mit der entsprechenden ssm:PutInventory Berechtigung erstellen.

Deinstallation des Amazon Inspector-Plug-ins SSM

Wenn die InspectorSsmPlugin.exe Datei versehentlich gelöscht wird, installiert die InspectorDistributor-do-not-delete SSM Assoziation das Plugin beim nächsten Mal neu Windows Scan-Intervall. Wenn Sie das Amazon SSM Inspector-Plugin deinstallieren möchten, können Sie die Aktion Deinstallieren für das AmazonInspector2-ConfigureInspectorSsmPlugin Dokument verwenden.

Darüber hinaus wird das Amazon SSM Inspector-Plugin automatisch von allen deinstalliert Windows hostet, wenn Sie das EC2 Amazon-Scannen deaktivieren.

Anmerkung

Wenn Sie den SSM Agenten deinstallieren, bevor Sie Amazon Inspector deaktivieren, verbleibt das Amazon SSM Inspector-Plugin auf dem Windows Host, sendet aber keine Daten mehr an das Amazon SSM Inspector-Plugin. Weitere Informationen finden Sie unter Amazon Inspector deaktivieren.

Einstellung benutzerdefinierter Zeitpläne für Windows Instanzscans

Sie können die Zeit zwischen Ihren anpassen Windows Die EC2 Amazon-Instance scannt, indem sie einen Cron-Ausdruck oder einen Rate-Ausdruck für die InvokeInspectorSsmPlugin-do-not-delete Assoziation festlegt, die verwendetSSM. Weitere Informationen finden Sie unter Referenz: Cron- und Rate-Ausdrücke für Systems Manager im AWS Systems Manager Benutzerhandbuch oder verwenden Sie die folgenden Anweisungen.

Wählen Sie eines der folgenden Codebeispiele aus, um die Scan-Takenz für zu ändern Windows Instanzen von der Standardeinstellung von 6 Stunden bis 12 Stunden, wobei entweder ein Rate-Ausdruck oder ein Cron-Ausdruck verwendet wird.

In den folgenden Beispielen müssen Sie die AssociationIdfür die angegebene InvokeInspectorSsmPlugin-do-not-delete Assoziation verwenden. Sie können Ihre abrufen, AssociationIdindem Sie den folgenden AWS CLI Befehl ausführen:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Anmerkung

Da AssociationIdes sich um Regional handelt, müssen Sie zunächst für jede ID eine eindeutige ID abrufen AWS-Region. Anschließend können Sie den Befehl ausführen, um die Scanfrequenz in jeder Region zu ändern, für die Sie einen benutzerdefinierten Scanzeitplan festlegen möchten Windows Instanzen.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"