Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansione Windows delle istanze EC2 con Amazon Inspector
Nota
Il 31 agosto 2022, Amazon Inspector ha ampliato la copertura di scansione di Amazon EC2 per includere le istanze EC2 eseguite su. Windows
Amazon Inspector rileva automaticamente tutte le Windows istanze supportate e le include nella scansione continua senza azioni aggiuntive. Per informazioni sulle istanze supportate, consulta Sistemi operativi e linguaggi di programmazione supportati da Amazon Inspector.
Amazon Inspector esegue le Windows scansioni a intervalli regolari. Windowsle istanze vengono scansionate al momento del rilevamento e quindi scansionate ogni 6 ore. Tuttavia, è possibile regolare l'intervallo di scansione predefinito dopo la prima scansione.
-
Quando la scansione di Amazon EC2 è attivata, Amazon Inspector crea nuove associazioni SSM per le Windows tue risorse
InspectorDistributor-do-not-delete
:, e.InspectorInventoryCollection-do-not-delete
InvokeInspectorSsmPlugin-do-not-delete
-
L'associazione
InspectorDistributor-do-not-delete
SSM utilizza il documentoAWS-ConfigureAWSPackage
SSM e il pacchettoAmazonInspector2-InspectorSsmPlugin
SSM Distributor per installare il plug-in Amazon Inspector SSM sulle tue istanze. Windows Per ulteriori informazioni, consulta Informazioni sul plug-in Amazon Inspector SSM per Windows. -
L'associazione
InvokeInspectorSsmPlugin-do-not-delete
SSM esegue il plug-in Amazon Inspector SSM a intervalli regolari per raccogliere dati sulle istanze e generare risultati di Amazon Inspector. Per impostazione predefinita, l'intervallo è ogni 6 ore. Tuttavia, è possibile personalizzarlo impostando un'espressione cron o un'espressione di frequenza per l'associazione utilizzando SSM. Per ulteriori informazioni, vedere Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente.
Nota
Amazon Inspector inserisce i file di definizione Open Vulnerability and Assessment Language (OVAL) aggiornati nel bucket S3. inspector2-oval-prod-
Questo bucket S3 contiene le definizioni OVAL utilizzate nelle scansioni e non deve essere modificato. La modifica di questa impostazione impedirà ad Amazon Inspector di cercare nuovi CVE non appena vengono rilasciati. REGION
Requisiti di scansione di Amazon Inspector per le istanze Windows
Per eseguire la scansione di un'Windowsistanza, Amazon Inspector richiede che l'istanza soddisfi i seguenti criteri:
-
L'istanza è un'istanza gestita da SSM. Per istruzioni sulla configurazione dell'istanza per la scansione, consultaConfigurazione dell'agente SSM.
-
Il sistema operativo dell'istanza è uno dei sistemi Windows operativi supportati. Per un elenco completo dei sistemi operativi supportati, vedereSistemi operativi supportati per la scansione di Amazon EC2.
-
Nell'istanza è installato il plug-in Amazon Inspector SSM. Amazon Inspector installa automaticamente il plug-in Amazon Inspector SSM per le istanze gestite al momento del rilevamento. Per informazioni dettagliate sul plug-in, consulta l'argomento successivo.
Nota
Se il tuo host è in esecuzione su un Amazon VPC senza accesso a Internet in uscita, Windows la scansione richiede che l'host sia in grado di accedere agli endpoint Amazon S3 regionali. Per informazioni su come configurare un endpoint Amazon VPC Amazon S3, consulta Creare un endpoint gateway nella Amazon Virtual Private Cloud User Guide. Se la tua policy sugli endpoint di Amazon VPC limita l'accesso ai bucket S3 esterni, devi specificamente consentire l'accesso al bucket gestito da Amazon Inspector nel Regione AWS tuo che memorizza le definizioni OVAL utilizzate per valutare l'istanza. Questo bucket ha il seguente formato:. inspector2-oval-prod-
REGION
Informazioni sul plug-in Amazon Inspector SSM per Windows
Il plug-in Amazon Inspector SSM è necessario per consentire ad Amazon Inspector di scansionare le istanze. Windows Il plug-in Amazon Inspector SSM viene installato automaticamente sulle Windows istanze in C:\Program Files\Amazon\Inspector
e il file binario eseguibile viene denominato. InspectorSsmPlugin.exe
I seguenti percorsi di file vengono creati per archiviare i dati raccolti dal plug-in Amazon Inspector SSM:
-
C:\ProgramData\Amazon\Inspector\Input
-
C:\ProgramData\Amazon\Inspector\Output
-
C:\ProgramData\Amazon\Inspector\Logs
Per impostazione predefinita, il plug-in Amazon Inspector SSM viene eseguito con una priorità inferiore a quella normale.
Nota
Puoi scansionare Windows le istanze con l'impostazione Default Host Management Configuration. Tuttavia, è necessario creare un profilo di istanza e allegare l'ssm:PutInventory
autorizzazione.
Disinstallazione del plug-in Amazon Inspector SSM
Se il InspectorSsmPlugin.exe
file viene eliminato inavvertitamente, l'associazione InspectorDistributor-do-not-delete
SSM reinstallerà il plug-in al successivo intervallo di scansione. Windows Se desideri disinstallare il plug-in Amazon Inspector SSM, puoi utilizzare l'azione di disinstallazione sul documento. AmazonInspector2-ConfigureInspectorSsmPlugin
Inoltre, il plug-in Amazon Inspector SSM verrà disinstallato automaticamente da tutti gli Windows host se disattivi la scansione di Amazon EC2.
Nota
Se disinstalli l'agente SSM prima di disattivare Amazon Inspector, il plug-in Amazon Inspector SSM rimarrà sull'Windowshost ma non invierà più dati al plug-in Amazon Inspector SSM. Per ulteriori informazioni, consulta Disattivazione di Amazon Inspector.
WindowsImpostazione di pianificazioni personalizzate, ad esempio scansioni
Puoi personalizzare l'intervallo tra le scansioni delle tue istanze Windows Amazon EC2 impostando un'espressione cron o un'espressione rate per l'InvokeInspectorSsmPlugin-do-not-delete
associazione tramite SSM. Per ulteriori informazioni, consultate Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente o utilizzate le seguenti istruzioni.
Seleziona uno dei seguenti esempi di codice per modificare la cadenza di scansione per Windows le istanze da 6 ore predefinita a 12 ore utilizzando un'espressione rate o un'espressione cron.
Gli esempi seguenti richiedono l'utilizzo di AssociationIdfor l'associazione denominata. InvokeInspectorSsmPlugin-do-not-delete
È possibile recuperare il file AssociationIdeseguendo il AWS CLI
comando seguente:
$
aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region
us-east-1
Nota
AssociationIdÈ regionale, quindi devi prima recuperare un ID univoco per ciascuno. Regione AWSÈ quindi possibile eseguire il comando per modificare la cadenza di scansione in ciascuna regione in cui si desidera impostare una pianificazione di scansione personalizzata per Windows le istanze.