Acceso o desactivación de la inspección profunda Acerca del complemento de SSM de Amazon Inspector para Linux Rutas personalizadas para la inspección profunda de Amazon Inspector Programaciones personalizadas para la inspección profunda de Amazon Inspector Lenguajes de programación admitidos

Inspección profunda de Amazon Inspector para instancias de Amazon EC2 basadas en Linux

Amazon Inspector amplía la cobertura de análisis de Amazon EC2 para incluir la inspección profunda. Gracias a la inspección profunda, Amazon Inspector detecta las vulnerabilidades de paquetes de lenguajes de programación de la aplicación en las instancias de Amazon EC2 basadas en Linux. Amazon Inspector analiza las rutas predeterminadas de las bibliotecas de paquetes de lenguajes de programación. Sin embargo, puede configurar rutas personalizadas además de las rutas que Amazon Inspector analiza de forma predeterminada.

nota

Puede utilizar la inspección profunda con la configuración de administración de host predeterminada. Sin embargo, debe crear o usar un rol que esté configurado con los permisos ssm:PutInventory y ssm:GetParameter.

Para realizar análisis de inspección profunda para las instancias de Amazon EC2 basadas en Linux, Amazon Inspector utiliza datos recopilados con el complemento de SSM de Amazon Inspector. Para administrar el complemento de SSM de Amazon Inspector y llevar a cabo la inspección profunda de Linux, Amazon Inspector crea automáticamente la asociación de SSM InvokeInspectorLinuxSsmPlugin-do-not-delete en la cuenta. Amazon Inspector recopila el inventario de aplicaciones actualizado de las instancias de Amazon EC2 basadas en Linux cada 6 horas.

nota

La inspección profunda no es compatible con instancias de Windows o Mac.

En esta sección, se describe cómo administrar la inspección profunda de Amazon Inspector para las instancias de Amazon EC2 y cómo configurar rutas personalizadas para que Amazon Inspector las analice.

Temas

Acceso o desactivación de la inspección profunda
Acerca del complemento de SSM de Amazon Inspector para Linux
Rutas personalizadas para la inspección profunda de Amazon Inspector
Programaciones personalizadas para la inspección profunda de Amazon Inspector
Lenguajes de programación admitidos

Acceso o desactivación de la inspección profunda

nota

Para cuentas que activan Amazon Inspector después del 17 de abril de 2023, la inspección profunda se activa automáticamente como parte del análisis de Amazon EC2.

Administración de inspección profunda

Inicie sesión con las credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home
En el panel de navegación, elija Configuración general y, a continuación, elija configuración de análisis de Amazon EC2.
En Inspección profunda de la instancia de Amazon EC2, puede establecer rutas personalizadas para la organización o para su propia cuenta.

Puede comprobar el estado de activación mediante programación de una sola cuenta con la API GetEc2DeepInspectionConfiguration. Puede comprobar el estado de activación mediante programación de varias cuentas con la API BatchGetMemberEc2DeepInspectionStatus.

Si activó Amazon Inspector antes del 17 de abril de 2023, puede desactivar la inspección profunda a través del banner de la consola o con la API UpdateEc2DeepInspectionConfiguration. Si es administrador delegado de una organización en Amazon Inspector, puede utilizar la API BatchUpdateMemberEc2DeepInspectionStatus para activar la inspección profunda para sí mismo y las cuentas de miembros.

Puede desactivar la inspección profunda a través de la API UpdateEc2DeepInspectionConfiguration. Las cuentas de miembros de una organización no pueden desactivar la inspección profunda. Debe hacerlo el administrador delegado para las cuentas de miembros con la API BatchUpdateMemberEc2DeepInspectionStatus.

Acerca del complemento de SSM de Amazon Inspector para Linux

Amazon Inspector utiliza el complemento de SSM de Amazon Inspector para realizar inspecciones profundas en las instancias de Linux. El complemento de SSM de Amazon Inspector se instala automáticamente en las instancias de Linux en el directorio /opt/aws/inspector/bin. El nombre del archivo ejecutable es inspectorssmplugin.

Amazon Inspector utiliza Systems Manager Distributor para implementar el complemento en la instancia. Para realizar el análisis de inspección profunda, Systems Manager Distributor y Amazon Inspector deben ser compatibles con el sistema operativo de la instancia de Amazon EC2. Para obtener información sobre los sistemas operativos compatibles con Systems Manager Distributor, consulte Plataformas y arquitecturas de paquetes compatibles en la Guía del usuario de AWS Systems Manager.

Amazon Inspector crea los siguientes directorios de archivos para administrar los datos recopilados de la inspección profunda con el complemento de SSM de Amazon Inspector:

/opt/aws/inspector/var/input
/opt/aws/inspector/var/output: el archivo packages.txt de este directorio almacena las rutas completas a los paquetes que la inspección profunda descubre. Si Amazon Inspector detecta el mismo paquete varias veces en la instancia, el archivo packages.txt muestra cada ubicación en la que se encontró el paquete.

Amazon Inspector almacena los registros para el complemento en el directorio /var/log/amazon/inspector.

Desinstalación del complemento de SSM de Amazon Inspector

Si el archivo inspectorssmplugin se elimina sin querer, la asociación de SSM InspectorLinuxDistributor-do-not-delete intentará reinstalar el archivo inspectorssmplugin en el próximo intervalo de análisis.

Si desactiva el análisis de Amazon EC2, el complemento se desinstalará automáticamente de todos los hosts de Linux.

Rutas personalizadas para la inspección profunda de Amazon Inspector

Puede configurar rutas personalizadas para que Amazon Inspector las analice durante inspecciones profundas de las instancias de Amazon EC2 de Linux. Al configurar una ruta personalizada, Amazon Inspector analiza los paquetes de ese directorio y de todos los subdirectorios.

Todas las cuentas pueden definir hasta 5 rutas personalizadas. El administrador delegado de una organización puede definir 10 rutas personalizadas.

Amazon Inspector analiza todas las rutas personalizadas, así como las siguientes rutas predeterminadas que Amazon Inspector analiza para todas las cuentas:

/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64

nota

Las rutas personalizadas deben ser rutas locales. Amazon Inspector no analiza rutas de red asignadas, como los montajes del Sistema de archivos de red o los montajes del sistema de archivos de Amazon S3.

Formato de rutas personalizadas

Ninguna ruta personalizada puede tener más de 256 caracteres. A continuación, se muestra un ejemplo del aspecto que podría tener una ruta personalizada:

Ruta de ejemplo

/home/usr1/project01

nota

El límite de paquetes por instancia es de 5000. El tiempo máximo de recopilación de inventario de paquetes es de 15 minutos. Amazon Inspector le recomienda que elija rutas personalizadas para superar estos límites.

Configuración de una ruta personalizada en la consola de Amazon Inspector y con la API de Amazon Inspector

Los siguientes procedimientos describen cómo establecer una ruta personalizada para la inspección profunda de Amazon Inspector en la consola de Amazon Inspector y con la API de Amazon Inspector. Tras establecer una ruta personalizada, Amazon Inspector la incluirá en la siguiente inspección profunda.

Programaciones personalizadas para la inspección profunda de Amazon Inspector

De forma predeterminada, Amazon Inspector recopila un inventario de aplicaciones de las instancias de Amazon EC2 cada 6 horas. Sin embargo, puede ejecutar los siguientes comandos para controlar la frecuencia con la que Amazon Inspector lo hace.

Ejemplo de comando 1: Mostrar las asociaciones para ver el ID de asociación y el intervalo actual

El siguiente comando muestra el ID de asociación de la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete.


aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Ejemplo de comando 2: Actualizar la asociación para incluir un nuevo intervalo

El siguiente comando usa el ID de asociación para la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete. Puede establecer la frecuencia para schedule-expression desde 6 horas hasta un nuevo intervalo, por ejemplo, 12 horas.


aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

nota

En función del caso de uso, si establece la frecuencia para schedule-expression desde 6 horas hasta un intervalo de 30 minutos, puede superar el límite de inventario diario de SSM. Esto provoca un retraso en los resultados y es posible que encuentre instancias de Amazon EC2 con estados de error parciales.

Lenguajes de programación admitidos

Para las instancias de Linux, la inspección profunda de Amazon Inspector puede producir resultados sobre los paquetes de lenguajes de programación de aplicaciones y los paquetes del sistema operativo.

Para las instancias de Mac y Windows, la inspección profunda de Amazon Inspector puede producir resultados solo para los paquetes del sistema operativo.

Para obtener más información sobre los lenguajes de programación compatibles, consulte Lenguajes de programación compatibles: inspección profunda de Amazon EC2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Análisis de instancias de Amazon EC2

Análisis de instancias EC2 de Windows