Análisis Windows EC2instancias con Amazon Inspector - Amazon Inspector
Requisitos de escaneo de Amazon Inspector para Windows instancesAcerca del SSM complemento Amazon Inspector para WindowsEstablecer horarios personalizados para Windows escaneos de instancias

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis Windows EC2instancias con Amazon Inspector

Amazon Inspector descubre automáticamente todos los dispositivos compatibles Windows instancias y las incluye en un escaneo continuo sin ninguna acción adicional. Para obtener información sobre las instancias compatibles, consulte Sistemas operativos y lenguajes de programación compatibles con Amazon Inspector. Amazon Inspector ejecuta Windows escanea a intervalos regulares. Windows las instancias se escanean en el momento de su detección y, después, cada 6 horas. Sin embargo, puede ajustar el intervalo de escaneo predeterminado después del primer escaneo.

Cuando se activa EC2 el escaneo de Amazon, Amazon Inspector crea las siguientes SSM asociaciones para su Windows recursos: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, yInvokeInspectorSsmPlugin-do-not-delete. Para instalar el SSM complemento Amazon Inspector en su Windows en algunos casos, la InspectorDistributor-do-not-delete SSM asociación utiliza el AWS-ConfigureAWSPackageSSMdocumento y el paquete AmazonInspector2-InspectorSsmPlugin SSM Distributor. Para obtener más información, consulte Acerca del SSM complemento Amazon Inspector para Windows. Para recopilar datos de instancias y generar las conclusiones de Amazon Inspector, la InvokeInspectorSsmPlugin-do-not-delete SSM asociación ejecuta el SSM complemento Amazon Inspector cada 6 horas. Sin embargo, puede personalizar esta configuración mediante una expresión cron o de tasa.

nota

Amazon Inspector coloca los archivos de definición actualizados de Open Vulnerability and Assessment Language (OVAL) en el bucket de S3inspector2-oval-prod-your-AWS-Region. El bucket de Amazon S3 contiene OVAL las definiciones que se utilizan en los escaneos. Estas OVAL definiciones no deben modificarse. De lo contrario, Amazon Inspector no buscará nuevos CVEs cuando se publiquen.

Requisitos de escaneo de Amazon Inspector para Windows instances

Para escanear un Windows Por ejemplo, Amazon Inspector requiere que la instancia cumpla los siguientes criterios:

  • La instancia es una instancia SSM gestionada. Para obtener las instrucciones de configuración de instancias para análisis, consulte Configuración del SSM agente.

  • El sistema operativo de la instancia es uno de los compatibles Windows sistemas operativos. Para ver una lista completa de los sistemas operativos admitidos, consulte Sistemas operativos compatibles: Amazon EC2 scan.

  • La instancia tiene instalado el SSM complemento Amazon Inspector. Amazon Inspector instala automáticamente el SSM complemento Amazon Inspector para las instancias gestionadas al detectarlas. Consulte la siguiente sección para obtener información acerca del complemento.

nota

Si su proveedor de alojamiento se ejecuta en Amazon VPC sin acceso saliente a Internet, Windows el escaneo requiere que su anfitrión pueda acceder a los puntos de conexión regionales de Amazon S3. Para obtener información sobre cómo configurar un punto de VPC conexión Amazon S3, consulte Crear un punto de enlace de puerta de enlace en la Guía del usuario de Amazon Virtual Private Cloud. Si su política de VPC puntos de conexión de Amazon restringe el acceso a buckets S3 externos, debe permitir específicamente el acceso al bucket que Amazon Inspector mantiene en su servidor y Región de AWS que almacena las OVAL definiciones utilizadas para evaluar su instancia. Este bucket tiene el siguiente formato: inspector2-oval-prod-REGION.

Acerca del SSM complemento Amazon Inspector para Windows

El SSM complemento Amazon Inspector es necesario para que Amazon Inspector escanee su Windows instancias. El SSM complemento Amazon Inspector se instala automáticamente en tu Windows instancias en C:\Program Files\Amazon\Inspector y se nombra el archivo binario ejecutableInspectorSsmPlugin.exe.

Las siguientes ubicaciones de archivos se crean para almacenar los datos que recopila el SSM complemento Amazon Inspector:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

De forma predeterminada, el SSM complemento Amazon Inspector se ejecuta con una prioridad inferior a la normal.

nota

Puede escanear Windows instancias con la configuración de administración de hosts predeterminada. Sin embargo, debe crear un perfil de instancia y adjuntar el ssm:PutInventory permiso.

Desinstalar el complemento Amazon Inspector SSM

Si el InspectorSsmPlugin.exe archivo se elimina inadvertidamente, la InspectorDistributor-do-not-delete SSM asociación volverá a instalar el complemento la próxima vez Windows intervalo de escaneo. Si quieres desinstalar el SSM plugin Amazon Inspector, puedes usar la acción Desinstalar del AmazonInspector2-ConfigureInspectorSsmPlugin documento.

Además, el SSM complemento Amazon Inspector se desinstalará automáticamente de todos Windows aloja si desactivas el EC2 escaneo de Amazon.

nota

Si desinstala el SSM agente antes de desactivar Amazon Inspector, el SSM complemento Amazon Inspector permanecerá en el Windows hospeda pero ya no enviará datos al SSM complemento Amazon Inspector. Para obtener más información, consulte Desactivación de Amazon Inspector.

Establecer horarios personalizados para Windows escaneos de instancias

Puedes personalizar el tiempo entre tus Windows La EC2 instancia de Amazon escanea configurando una expresión cron o una expresión de tasa para la InvokeInspectorSsmPlugin-do-not-delete asociación que utilizaSSM. Para obtener más información, consulte Referencia: expresiones cron y rate para Systems Manager en la Guía del usuario de AWS Systems Manager o utilice las siguientes instrucciones.

Seleccione uno de los siguientes ejemplos de código para cambiar la cadencia de escaneo Windows instancias desde las 6 horas predeterminadas hasta las 12 horas que utilizan una expresión de velocidad o una expresión cron.

Los siguientes ejemplos requieren que utilice el AssociationIdpara la asociación nombradaInvokeInspectorSsmPlugin-do-not-delete. Puede recuperar el suyo AssociationIdejecutando el siguiente AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

El AssociationIdes regional, por lo que primero debes recuperar un identificador único para cada uno Región de AWS. A continuación, puede ejecutar el comando para cambiar la cadencia de escaneo en cada región para la que desee establecer un programa de escaneo personalizado Windows instancias.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"