Inspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2 - Amazon Inspector
Mengakses atau menonaktifkan inspeksi mendalamTentang SSM plugin Amazon Inspector untuk LinuxJalur khusus untuk inspeksi mendalam Amazon InspectorJadwal khusus untuk inspeksi mendalam Amazon InspectorBahasa pemrograman yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Inspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2

Amazon Inspector memperluas cakupan pemindaian EC2 Amazon untuk menyertakan inspeksi mendalam. Dengan pemeriksaan mendalam, Amazon Inspector mendeteksi kerentanan paket untuk paket bahasa pemrograman aplikasi di instans Amazon berbasis Linux Anda. EC2 Amazon Inspector memindai jalur default untuk pustaka paket bahasa pemrograman. Namun, Anda dapat mengonfigurasi jalur khusus selain jalur yang dipindai Amazon Inspector secara default.

catatan

Anda dapat menggunakan inspeksi mendalam dengan pengaturan Konfigurasi Manajemen Host Default. Namun, Anda harus membuat profil instance dan melampirkan ssm:PutInventory dan ssm:GetParameter izin.

Untuk melakukan pemindaian inspeksi mendalam untuk instans Amazon berbasis Linux, EC2 Amazon Inspector menggunakan data yang dikumpulkan dengan plugin Amazon Inspector. SSM Untuk mengelola SSM plugin Amazon Inspector dan melakukan inspeksi mendalam untuk Linux, Amazon Inspector secara otomatis membuat InvokeInspectorLinuxSsmPlugin-do-not-delete asosiasi SSM di akun Anda. Amazon Inspector mengumpulkan inventaris aplikasi yang diperbarui dari instans Amazon berbasis Linux Anda setiap 6 jam. EC2

catatan

Inspeksi mendalam tidak didukung untuk Windows atau contoh Mac.

Bagian ini menjelaskan cara mengelola inspeksi mendalam Amazon Inspector untuk EC2 instans Amazon, termasuk cara menyetel jalur khusus untuk dipindai Amazon Inspector.

Mengakses atau menonaktifkan inspeksi mendalam

catatan

Untuk akun yang mengaktifkan Amazon Inspector setelah 17 April 2023, inspeksi mendalam diaktifkan secara otomatis sebagai bagian dari pemindaian Amazon. EC2

Untuk mengelola inspeksi mendalam

  1. Masuk menggunakan kredensil Anda, lalu buka konsol Amazon Inspector di v2/home https://console.aws.amazon.com/inspector/

  2. Dari panel navigasi, pilih Pengaturan umum, lalu pilih pengaturan EC2 pemindaian Amazon.

  3. Di bawah Inspeksi mendalam EC2 instans Amazon, Anda dapat mengatur jalur khusus untuk organisasi atau akun Anda sendiri.

Anda dapat memeriksa status aktivasi secara terprogram untuk satu akun dengan 2. GetEc DeepInspectionConfiguration API Anda dapat memeriksa status aktivasi secara terprogram untuk beberapa akun dengan BatchGetMemberEc2DeepInspectionStatus API.

Jika Anda mengaktifkan Amazon Inspector sebelum 17 April 2023, Anda dapat mengaktifkan inspeksi mendalam melalui spanduk konsol atau UpdateEc2DeepInspectionConfigurationAPI. Jika Anda adalah administrator yang didelegasikan untuk organisasi di Amazon Inspector, Anda dapat menggunakan BatchUpdateMemberEc2DeepInspectionStatusAPIuntuk mengaktifkan inspeksi mendalam untuk diri sendiri dan akun anggota Anda.

Anda dapat menonaktifkan inspeksi mendalam melalui UpdateEc2DeepInspectionConfigurationAPI. Akun anggota di organisasi tidak dapat menonaktifkan inspeksi mendalam. Sebagai gantinya, akun anggota harus dinonaktifkan oleh administrator yang didelegasikan menggunakan BatchUpdateMemberEc2DeepInspectionStatus API.

Tentang SSM plugin Amazon Inspector untuk Linux

Amazon Inspector menggunakan plugin Amazon SSM Inspector untuk melakukan inspeksi mendalam pada instans Linux Anda. SSMPlugin Amazon Inspector secara otomatis diinstal pada instance Linux Anda di direktori. /opt/aws/inspector/bin Nama executable adalah. inspectorssmplugin

Amazon Inspector menggunakan Systems Manager Distributor untuk menyebarkan plugin pada instans Anda. Untuk melakukan pemindaian inspeksi mendalam, Systems Manager Distributor dan Amazon Inspector harus mendukung sistem operasi instans EC2 Amazon Anda. Untuk informasi tentang sistem operasi yang didukung oleh Distributor Systems Manager, lihat Platform dan arsitektur paket yang didukung di Panduan AWS Systems Manager Pengguna.

Amazon Inspector membuat direktori file berikut untuk mengelola data yang dikumpulkan untuk pemeriksaan mendalam oleh plugin Amazon Inspector: SSM

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/outputpackages.txt File dalam direktori ini menyimpan jalur lengkap ke paket yang ditemukan oleh inspeksi mendalam. Jika Amazon Inspector mendeteksi paket yang sama beberapa kali pada instance Anda, packages.txt file tersebut akan mencantumkan setiap lokasi tempat paket ditemukan.

Amazon Inspector menyimpan log untuk plugin di direktori. /var/log/amazon/inspector

Menghapus instalasi plugin Amazon Inspector SSM

Jika inspectorssmplugin file dihapus secara tidak sengaja, SSM asosiasi InspectorLinuxDistributor-do-not-delete akan mencoba menginstal ulang inspectorssmplugin file pada interval pemindaian berikutnya.

Jika Anda menonaktifkan EC2 pemindaian Amazon, plugin akan dihapus secara otomatis dari semua host Linux.

Jalur khusus untuk inspeksi mendalam Amazon Inspector

Anda dapat mengatur jalur khusus untuk dipindai Amazon Inspector selama inspeksi mendalam terhadap instans Amazon EC2 Linux Anda. Saat Anda menetapkan jalur kustom, Amazon Inspector memindai paket di direktori itu dan semua sub-direktori di dalamnya.

Semua akun dapat menentukan hingga 5 jalur khusus. Administrator yang didelegasikan untuk organisasi dapat menentukan 10 jalur kustom.

Amazon Inspector memindai semua jalur kustom selain jalur default berikut, yang dipindai Amazon Inspector untuk semua akun:

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

catatan

Jalur khusus harus berupa jalur lokal. Amazon Inspector tidak memindai jalur jaringan yang dipetakan, seperti pemasangan Sistem File Jaringan atau pemasangan sistem file Amazon S3.

Memformat jalur kustom

Jalur kustom tidak boleh lebih dari 256 karakter. Berikut ini adalah contoh bagaimana jalur kustom mungkin terlihat:

Contoh jalur

/home/usr1/project01

catatan

Batas paket per instance adalah 5.000. Waktu pengumpulan persediaan paket maksimum adalah 15 menit. Amazon Inspector merekomendasikan agar Anda memilih jalur khusus untuk menghindari batasan ini.

Menyetel jalur khusus di konsol Amazon Inspector dan dengan Amazon Inspector API

Prosedur berikut menjelaskan cara mengatur jalur kustom untuk inspeksi mendalam Amazon Inspector di konsol Amazon Inspector dan dengan Amazon Inspector. API Setelah Anda menetapkan jalur khusus, Amazon Inspector menyertakan jalur dalam inspeksi mendalam berikutnya.

Console

  1. Masuk ke administrator AWS Management Console sebagai delegasi, dan buka konsol Amazon Inspector di v2/home https://console.aws.amazon.com/inspector/

  2. Gunakan Wilayah AWS pemilih untuk memilih Wilayah tempat Anda ingin mengaktifkan pemindaian standar Lambda.

  3. Dari panel navigasi, pilih Pengaturan umum, lalu pilih pengaturan EC2 pemindaian.

  4. Di bawah Jalur khusus untuk akun Anda sendiri, pilih Edit.

  5. Di kotak teks jalur, masukkan jalur kustom Anda.

  6. Pilih Simpan.

API

Jalankan UpdateEc2DeepInspectionConfigurationperintah. Untuk packagePaths menentukan array jalur untuk memindai.

Jadwal khusus untuk inspeksi mendalam Amazon Inspector

Secara default, Amazon Inspector mengumpulkan inventaris aplikasi dari EC2 instans Amazon setiap 6 jam. Namun, Anda dapat menjalankan perintah berikut untuk mengontrol seberapa sering Amazon Inspector melakukan ini.

Contoh perintah 1: Daftar asosiasi untuk melihat ID asosiasi dan interval saat ini

Perintah berikut menunjukkan ID asosiasi untuk asosiasiInvokeInspectorLinuxSsmPlugin-do-not-delete. 

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Contoh perintah 2: Perbarui asosiasi untuk menyertakan interval baru

Perintah berikut menggunakan ID asosiasi untuk asosiasiInvokeInspectorLinuxSsmPlugin-do-not-delete. Anda dapat mengatur tarif schedule-expression dari 6 jam ke interval baru, seperti 12 jam. 

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
catatan

Tergantung pada kasus penggunaan Anda, jika Anda menetapkan tarif schedule-expression dari 6 jam ke interval seperti 30 menit, Anda dapat melebihi batas persediaan ssm harian. Hal ini menyebabkan hasil tertunda, dan Anda mungkin menemukan EC2 instans Amazon dengan status kesalahan sebagian.

Bahasa pemrograman yang didukung

Untuk instance Linux, inspeksi mendalam Amazon Inspector dapat menghasilkan temuan untuk paket bahasa pemrograman aplikasi dan paket sistem operasi.

Untuk instance Mac dan Windows, inspeksi mendalam Amazon Inspector dapat menghasilkan temuan hanya untuk paket sistem operasi.

Untuk informasi selengkapnya tentang bahasa pemrograman yang didukung, lihat Bahasa pemrograman yang didukung: Inspeksi EC2 mendalam Amazon.