Acceso o desactivación de la inspección profunda Acerca del complemento de SSM de Amazon Inspector para Linux Rutas personalizadas para la inspección profunda de Amazon Inspector Programaciones personalizadas para la inspección profunda de Amazon Inspector Lenguajes de programación admitidos

Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2

Amazon Inspector amplía la cobertura de EC2 digitalización de Amazon para incluir la inspección profunda. Mediante una inspección exhaustiva, Amazon Inspector detecta las vulnerabilidades de los paquetes de lenguajes de programación de aplicaciones en sus instancias de Amazon EC2 basadas en Linux. Amazon Inspector analiza las rutas predeterminadas de las bibliotecas de paquetes de lenguajes de programación. Sin embargo, puede configurar rutas personalizadas además de las rutas que Amazon Inspector analiza de forma predeterminada.

nota

Puede utilizar la inspección profunda con la configuración de administración de host predeterminada. Sin embargo, debe crear o usar un rol que esté configurado con los permisos ssm:PutInventory y ssm:GetParameter.

Para realizar escaneos de inspección exhaustivos de sus instancias de Amazon basadas en Linux, EC2 Amazon Inspector utiliza los datos recopilados con el complemento Amazon Inspector SSM. Para administrar el complemento de SSM de Amazon Inspector y llevar a cabo la inspección profunda de Linux, Amazon Inspector crea automáticamente la asociación de SSM InvokeInspectorLinuxSsmPlugin-do-not-delete en la cuenta. Amazon Inspector recopila el inventario de aplicaciones actualizado de sus instancias de EC2 Amazon basadas en Linux cada 6 horas.

nota

La inspección profunda no es compatible con Windows o instancias de Mac.

En esta sección se describe cómo gestionar la inspección profunda de Amazon Inspector para EC2 las instancias de Amazon, incluida la forma de configurar rutas personalizadas para que Amazon Inspector las escanee.

Temas

Acceso o desactivación de la inspección profunda
Acerca del complemento de SSM de Amazon Inspector para Linux
Rutas personalizadas para la inspección profunda de Amazon Inspector
Programaciones personalizadas para la inspección profunda de Amazon Inspector
Lenguajes de programación admitidos

Acceso o desactivación de la inspección profunda

nota

Para las cuentas que activen Amazon Inspector después del 17 de abril de 2023, la inspección profunda se activa automáticamente como parte del EC2 escaneo de Amazon.

Administración de inspección profunda

Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la versión https://console.aws.amazon.com/inspector/2/home
En el panel de navegación, selecciona Configuración general y, a continuación, selecciona Configuración de EC2 digitalización de Amazon.
Al inspeccionar en profundidad la EC2 instancia de Amazon, puedes establecer rutas personalizadas para tu organización o para tu propia cuenta.

Puedes comprobar el estado de activación de una sola cuenta mediante programación con la API GetEc2 DeepInspectionConfiguration. Puede comprobar el estado de activación de varias cuentas mediante programación con la BatchGetMemberEc2DeepInspectionStatusAPI.

Si activaste Amazon Inspector antes del 17 de abril de 2023, puedes activar la inspección profunda a través del banner de la consola o el UpdateEc2DeepInspectionConfigurationAPI. Si eres el administrador delegado de una organización en Amazon Inspector, puedes usar la BatchUpdateMemberEc2DeepInspectionStatusAPI para activar la inspección exhaustiva para sus cuentas y las de sus miembros.

Puede desactivar la inspección profunda a través del UpdateEc2DeepInspectionConfigurationAPI. Las cuentas de miembros de una organización no pueden desactivar la inspección profunda. En su lugar, el administrador delegado debe desactivar la cuenta del miembro mediante el BatchUpdateMemberEc2DeepInspectionStatusAPI.

Acerca del complemento de SSM de Amazon Inspector para Linux

Amazon Inspector utiliza el complemento de SSM de Amazon Inspector para realizar inspecciones profundas en las instancias de Linux. El complemento de SSM de Amazon Inspector se instala automáticamente en las instancias de Linux en el directorio /opt/aws/inspector/bin. El nombre del archivo ejecutable es inspectorssmplugin.

Amazon Inspector utiliza el Distribuidor de Systems Manager para implementar el complemento en la instancia. Para realizar escaneos de inspección exhaustivos, Systems Manager Distributor y Amazon Inspector deben ser compatibles con el sistema operativo de su EC2 instancia de Amazon. Para obtener información sobre los sistemas operativos compatibles con el Distribuidor de Systems Manager, consulte Plataformas de paquetes y arquitecturas admitidas en la Guía del usuario de AWS Systems Manager .

Amazon Inspector crea los siguientes directorios de archivos para administrar los datos recopilados de la inspección profunda con el complemento de SSM de Amazon Inspector:

/opt/aws/inspector/var/input
/opt/aws/inspector/var/output: el archivo packages.txt de este directorio almacena las rutas completas a los paquetes que la inspección profunda descubre. Si Amazon Inspector detecta el mismo paquete varias veces en la instancia, el archivo packages.txt muestra cada ubicación en la que se encontró el paquete.

Amazon Inspector almacena los registros para el complemento en el directorio /var/log/amazon/inspector.

Desinstalación del complemento de SSM de Amazon Inspector

Si el archivo inspectorssmplugin se elimina sin querer, la asociación de SSM InspectorLinuxDistributor-do-not-delete intentará reinstalar el archivo inspectorssmplugin en el próximo intervalo de análisis.

Si desactivas el EC2 escaneo de Amazon, el complemento se desinstalará automáticamente de todos los hosts de Linux.

Rutas personalizadas para la inspección profunda de Amazon Inspector

Puede configurar rutas personalizadas para que Amazon Inspector las escanee durante una inspección exhaustiva de sus EC2 instancias de Amazon de Linux. Al configurar una ruta personalizada, Amazon Inspector analiza los paquetes de ese directorio y de todos los subdirectorios.

Todas las cuentas pueden definir hasta 5 rutas personalizadas. El administrador delegado de una organización puede definir 10 rutas personalizadas.

Amazon Inspector analiza todas las rutas personalizadas, así como las siguientes rutas predeterminadas que Amazon Inspector analiza para todas las cuentas:

/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64

nota

Las rutas personalizadas deben ser rutas locales. Amazon Inspector no analiza rutas de red asignadas, como los montajes del Sistema de archivos de red o los montajes del sistema de archivos de Amazon S3.

Formato de rutas personalizadas

Ninguna ruta personalizada puede tener más de 256 caracteres. A continuación, se muestra un ejemplo del aspecto que podría tener una ruta personalizada:

Ruta de ejemplo

/home/usr1/project01

nota

El límite de paquetes por instancia es de 5000. El tiempo máximo de recopilación de inventario de paquetes es de 15 minutos. Amazon Inspector le recomienda que elija rutas personalizadas para superar estos límites.

Configuración de una ruta personalizada en la consola de Amazon Inspector y con la API de Amazon Inspector

Los siguientes procedimientos describen cómo establecer una ruta personalizada para la inspección profunda de Amazon Inspector en la consola de Amazon Inspector y con la API de Amazon Inspector. Tras establecer una ruta personalizada, Amazon Inspector la incluirá en la siguiente inspección profunda.

Programaciones personalizadas para la inspección profunda de Amazon Inspector

De forma predeterminada, Amazon Inspector recopila un inventario de aplicaciones de EC2 las instancias de Amazon cada 6 horas. Sin embargo, puede ejecutar los siguientes comandos para controlar la frecuencia con la que Amazon Inspector lo hace.

Ejemplo de comando 1: mostrar las asociaciones para ver el ID de asociación y el intervalo actual

El siguiente comando muestra el ID de asociación de la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete.


aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Ejemplo de comando 2: actualizar la asociación para incluir un nuevo intervalo

El siguiente comando usa el ID de asociación para la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete. Puede establecer la frecuencia para schedule-expression desde 6 horas hasta un nuevo intervalo, por ejemplo, 12 horas.


aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

nota

En función del caso de uso, si establece la frecuencia para schedule-expression desde 6 horas hasta un intervalo de 30 minutos, puede superar el límite de inventario diario de SSM. Esto provoca un retraso en los resultados y es posible que encuentres EC2 instancias de Amazon con estados de error parciales.

Lenguajes de programación admitidos

Para las instancias de Linux, la inspección profunda de Amazon Inspector puede producir resultados sobre los paquetes de lenguajes de programación de aplicaciones y los paquetes del sistema operativo.

Para las instancias de Mac y Windows, la inspección profunda de Amazon Inspector puede producir resultados solo para los paquetes del sistema operativo.

Para obtener más información sobre los lenguajes de programación compatibles, consulte Lenguajes de programación compatibles: Amazon EC2 Deep Inspection.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escaneo de EC2 instancias de Amazon

Análisis Windows EC2 instancia