Scansione Windows delle istanze EC2 con Amazon Inspector - Amazon Inspector
Requisiti di scansione di Amazon Inspector per le istanze WindowsInformazioni sul plug-in Amazon Inspector SSM per WindowsWindowsImpostazione di pianificazioni personalizzate, ad esempio scansioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansione Windows delle istanze EC2 con Amazon Inspector

Nota

Il 31 agosto 2022, Amazon Inspector ha ampliato la copertura di scansione di Amazon EC2 per includere le istanze EC2 eseguite su. Windows

Amazon Inspector rileva automaticamente tutte le Windows istanze supportate e le include nella scansione continua senza azioni aggiuntive. Per informazioni sulle istanze supportate, consulta Sistemi operativi e linguaggi di programmazione supportati da Amazon Inspector.

Amazon Inspector esegue le Windows scansioni a intervalli regolari. Windowsle istanze vengono scansionate al momento del rilevamento e quindi scansionate ogni 6 ore. Tuttavia, è possibile regolare l'intervallo di scansione predefinito dopo la prima scansione.

  1. Quando la scansione di Amazon EC2 è attivata, Amazon Inspector crea nuove associazioni SSM per le Windows tue risorseInspectorDistributor-do-not-delete:, e. InspectorInventoryCollection-do-not-delete InvokeInspectorSsmPlugin-do-not-delete

  2. L'associazione InspectorDistributor-do-not-delete SSM utilizza il documento AWS-ConfigureAWSPackage SSM e il pacchetto AmazonInspector2-InspectorSsmPlugin SSM Distributor per installare il plug-in Amazon Inspector SSM sulle tue istanze. Windows Per ulteriori informazioni, consulta Informazioni sul plug-in Amazon Inspector SSM per Windows.

  3. L'associazione InvokeInspectorSsmPlugin-do-not-delete SSM esegue il plug-in Amazon Inspector SSM a intervalli regolari per raccogliere dati sulle istanze e generare risultati di Amazon Inspector. Per impostazione predefinita, l'intervallo è ogni 6 ore. Tuttavia, è possibile personalizzarlo impostando un'espressione cron o un'espressione di frequenza per l'associazione utilizzando SSM. Per ulteriori informazioni, vedere Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente.

Nota

Amazon Inspector inserisce i file di definizione Open Vulnerability and Assessment Language (OVAL) aggiornati nel bucket S3. inspector2-oval-prod-REGION Questo bucket S3 contiene le definizioni OVAL utilizzate nelle scansioni e non deve essere modificato. La modifica di questa impostazione impedirà ad Amazon Inspector di cercare nuovi CVE non appena vengono rilasciati.

Requisiti di scansione di Amazon Inspector per le istanze Windows

Per eseguire la scansione di un'Windowsistanza, Amazon Inspector richiede che l'istanza soddisfi i seguenti criteri:

  • L'istanza è un'istanza gestita da SSM. Per istruzioni sulla configurazione dell'istanza per la scansione, consultaConfigurazione dell'agente SSM.

  • Il sistema operativo dell'istanza è uno dei sistemi Windows operativi supportati. Per un elenco completo dei sistemi operativi supportati, vedereSistemi operativi supportati per la scansione di Amazon EC2.

  • Nell'istanza è installato il plug-in Amazon Inspector SSM. Amazon Inspector installa automaticamente il plug-in Amazon Inspector SSM per le istanze gestite al momento del rilevamento. Per informazioni dettagliate sul plug-in, consulta l'argomento successivo.

Nota

Se il tuo host è in esecuzione su un Amazon VPC senza accesso a Internet in uscita, Windows la scansione richiede che l'host sia in grado di accedere agli endpoint Amazon S3 regionali. Per informazioni su come configurare un endpoint Amazon VPC Amazon S3, consulta Creare un endpoint gateway nella Amazon Virtual Private Cloud User Guide. Se la tua policy sugli endpoint di Amazon VPC limita l'accesso ai bucket S3 esterni, devi specificamente consentire l'accesso al bucket gestito da Amazon Inspector nel Regione AWS tuo che memorizza le definizioni OVAL utilizzate per valutare l'istanza. Questo bucket ha il seguente formato:. inspector2-oval-prod-REGION

Informazioni sul plug-in Amazon Inspector SSM per Windows

Il plug-in Amazon Inspector SSM è necessario per consentire ad Amazon Inspector di scansionare le istanze. Windows Il plug-in Amazon Inspector SSM viene installato automaticamente sulle Windows istanze in C:\Program Files\Amazon\Inspector e il file binario eseguibile viene denominato. InspectorSsmPlugin.exe

I seguenti percorsi di file vengono creati per archiviare i dati raccolti dal plug-in Amazon Inspector SSM:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Per impostazione predefinita, il plug-in Amazon Inspector SSM viene eseguito con una priorità inferiore a quella normale.

Nota

Puoi scansionare Windows le istanze con l'impostazione Default Host Management Configuration. Tuttavia, è necessario creare un profilo di istanza e allegare l'ssm:PutInventoryautorizzazione.

Disinstallazione del plug-in Amazon Inspector SSM

Se il InspectorSsmPlugin.exe file viene eliminato inavvertitamente, l'associazione InspectorDistributor-do-not-delete SSM reinstallerà il plug-in al successivo intervallo di scansione. Windows Se desideri disinstallare il plug-in Amazon Inspector SSM, puoi utilizzare l'azione di disinstallazione sul documento. AmazonInspector2-ConfigureInspectorSsmPlugin

Inoltre, il plug-in Amazon Inspector SSM verrà disinstallato automaticamente da tutti gli Windows host se disattivi la scansione di Amazon EC2.

Nota

Se disinstalli l'agente SSM prima di disattivare Amazon Inspector, il plug-in Amazon Inspector SSM rimarrà sull'Windowshost ma non invierà più dati al plug-in Amazon Inspector SSM. Per ulteriori informazioni, consulta Disattivazione di Amazon Inspector.

WindowsImpostazione di pianificazioni personalizzate, ad esempio scansioni

Puoi personalizzare l'intervallo tra le scansioni delle tue istanze Windows Amazon EC2 impostando un'espressione cron o un'espressione rate per l'InvokeInspectorSsmPlugin-do-not-deleteassociazione tramite SSM. Per ulteriori informazioni, consultate Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente o utilizzate le seguenti istruzioni.

Seleziona uno dei seguenti esempi di codice per modificare la cadenza di scansione per Windows le istanze da 6 ore predefinita a 12 ore utilizzando un'espressione rate o un'espressione cron.

Gli esempi seguenti richiedono l'utilizzo di AssociationIdfor l'associazione denominata. InvokeInspectorSsmPlugin-do-not-delete È possibile recuperare il file AssociationIdeseguendo il AWS CLI comando seguente:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Nota

AssociationIdÈ regionale, quindi devi prima recuperare un ID univoco per ciascuno. Regione AWSÈ quindi possibile eseguire il comando per modificare la cadenza di scansione in ciascuna regione in cui si desidera impostare una pianificazione di scansione personalizzata per Windows le istanze.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"