Analyse Windows EC2instances avec Amazon Inspector - Amazon Inspector
Exigences de numérisation d'Amazon Inspector pour Windows InstancesÀ propos du SSM plugin Amazon Inspector pour WindowsDéfinition de plannings personnalisés pour Windows scans d'instances

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Analyse Windows EC2instances avec Amazon Inspector

Amazon Inspector découvre automatiquement tous les appareils pris en charge Windows instances et les inclut dans le scan continu sans aucune action supplémentaire. Pour plus d'informations sur les instances prises en charge, consultez Systèmes d'exploitation et langages de programmation pris en charge par Amazon Inspector. Amazon Inspector s'exécute Windows scans à intervalles réguliers. Windows les instances sont scannées lors de leur découverte, puis toutes les 6 heures. Toutefois, vous pouvez ajuster l'intervalle de numérisation par défaut après le premier scan.

Lorsque Amazon EC2 Scanning est activé, Amazon Inspector crée les SSM associations suivantes pour votre Windows ressources : InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, etInvokeInspectorSsmPlugin-do-not-delete. Pour installer le SSM plug-in Amazon Inspector sur votre Windows instances, l'InspectorDistributor-do-not-deleteSSMassociation utilise le AWS-ConfigureAWSPackageSSMdocument et le package du AmazonInspector2-InspectorSsmPlugin SSM distributeur. Pour de plus amples informations, veuillez consulter À propos du SSM plugin Amazon Inspector pour Windows. Pour collecter les données d'instance et générer les résultats d'Amazon Inspector, l'InvokeInspectorSsmPlugin-do-not-deleteSSMassociation exécute le SSM plugin Amazon Inspector toutes les 6 heures. Toutefois, vous pouvez personnaliser ce paramètre à l'aide d'une expression cron ou rate.

Note

Amazon Inspector place les fichiers de définition Open Vulnerability and Assessment Language (OVAL) mis à jour dans le compartiment S3inspector2-oval-prod-your-AWS-Region. Le compartiment Amazon S3 contient OVAL les définitions utilisées dans les scans. Ces OVAL définitions ne doivent pas être modifiées. Sinon, Amazon Inspector ne recherchera pas de nouveaux produits CVEs lors de leur sortie.

Exigences de numérisation d'Amazon Inspector pour Windows Instances

Pour scanner un Windows instance, Amazon Inspector exige que l'instance réponde aux critères suivants :

  • L'instance est une instance SSM gérée. Pour obtenir des instructions sur la configuration de votre instance pour la numérisation, consultezConfiguration de l'SSMagent.

  • Le système d'exploitation de l'instance est l'un des systèmes pris en charge Windows systèmes d'exploitation. Pour obtenir la liste complète des systèmes d'exploitation pris en charge, consultezValeurs de statut des EC2 instances Amazon.

  • Le SSM plug-in Amazon Inspector est installé sur l'instance. Amazon Inspector installe automatiquement le SSM plug-in Amazon Inspector pour les instances gérées lors de la découverte. Consultez la rubrique suivante pour plus de détails sur le plugin.

Note

Si votre hébergeur fonctionne sur un Amazon VPC sans accès Internet sortant, Windows l'analyse nécessite que votre hôte puisse accéder aux points de terminaison Amazon S3 régionaux. Pour savoir comment configurer un point de VPC terminaison Amazon S3, consultez la section Créer un point de terminaison de passerelle dans le guide de l'utilisateur Amazon Virtual Private Cloud. Si votre politique de point de VPC terminaison Amazon restreint l'accès aux compartiments S3 externes, vous devez spécifiquement autoriser l'accès au compartiment géré par Amazon Inspector Région AWS qui stocke les OVAL définitions utilisées pour évaluer votre instance. Le format de ce compartiment est le suivant :inspector2-oval-prod-REGION.

À propos du SSM plugin Amazon Inspector pour Windows

Le SSM plug-in Amazon Inspector est nécessaire pour qu'Amazon Inspector puisse scanner votre Windows instances. Le SSM plugin Amazon Inspector est automatiquement installé sur votre Windows instances dansC:\Program Files\Amazon\Inspector, et le fichier binaire exécutable est nomméInspectorSsmPlugin.exe.

Les emplacements de fichiers suivants sont créés pour stocker les données collectées par le SSM plug-in Amazon Inspector :

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Par défaut, le SSM plug-in Amazon Inspector s'exécute avec une priorité inférieure à la normale.

Note

Vous pouvez utiliser … Windows instances avec le paramètre de configuration de gestion d'hôte par défaut. Cependant, vous devez créer un profil d'instance avec cette ssm:PutInventory autorisation.

Désinstaller le plugin Amazon Inspector SSM

Si le InspectorSsmPlugin.exe fichier est supprimé par inadvertance, l'InspectorDistributor-do-not-deleteSSMassociation réinstallera le plugin à la prochaine Windows intervalle de numérisation. Si vous souhaitez désinstaller le SSM plug-in Amazon Inspector, vous pouvez utiliser l'action Désinstaller du AmazonInspector2-ConfigureInspectorSsmPlugin document.

De plus, le SSM plugin Amazon Inspector sera automatiquement désinstallé de tous Windows hébergeurs si vous désactivez le EC2 scan Amazon.

Note

Si vous désinstallez l'SSMagent avant de désactiver Amazon Inspector, le SSM plug-in Amazon Inspector restera sur le Windows héberge mais n'enverra plus de données au SSM plugin Amazon Inspector. Pour de plus amples informations, veuillez consulter Désactivation d'Amazon Inspector.

Définition de plannings personnalisés pour Windows scans d'instances

Vous pouvez personnaliser le temps entre votre Windows L'EC2instance Amazon analyse en définissant une expression cron ou une expression de débit pour l'InvokeInspectorSsmPlugin-do-not-deleteassociation à l'aide SSM de. Pour plus d'informations, reportez-vous à la section Reference : Cron and rate expressions for Systems Manager dans le guide de AWS Systems Manager l'utilisateur ou suivez les instructions suivantes.

Sélectionnez l'un des exemples de code suivants pour modifier la cadence de numérisation pour Windows instances allant de 6 heures à 12 heures par défaut en utilisant soit une expression de taux, soit une expression cron.

Dans les exemples suivants, vous devez utiliser le AssociationIdpour l'association nomméeInvokeInspectorSsmPlugin-do-not-delete. Vous pouvez récupérer votre AssociationIden exécutant la AWS CLI commande suivante :

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Note

AssociationIdC'est régional, vous devez donc d'abord récupérer un identifiant unique pour chacun Région AWS. Vous pouvez ensuite exécuter la commande pour modifier la cadence de numérisation dans chaque région pour laquelle vous souhaitez définir un calendrier de numérisation personnalisé pour Windows instances.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"