Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansione Windows EC2istanze con Amazon Inspector
Amazon Inspector rileva automaticamente tutto ciò che è supportato Windows istanze e le include nella scansione continua senza azioni aggiuntive. Per informazioni sulle istanze supportate, consulta Sistemi operativi e linguaggi di programmazione supportati da Amazon Inspector. Amazon Inspector funziona Windows scansioni a intervalli regolari. Windows le istanze vengono analizzate al momento del rilevamento e successivamente ogni 6 ore. Tuttavia, è possibile regolare l'intervallo di scansione predefinito dopo la prima scansione.
Quando Amazon EC2 Scan è attivato, Amazon Inspector crea le seguenti SSM associazioni per Windows risorse: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, eInvokeInspectorSsmPlugin-do-not-delete. Per installare il SSM plug-in Amazon Inspector sul Windows in alcuni casi, l'InspectorDistributor-do-not-deleteSSMassociazione utilizza il AWS-ConfigureAWSPackageSSMdocumento e il pacchetto AmazonInspector2-InspectorSsmPlugin SSMDistributor. Per ulteriori informazioni, consulta Informazioni sul plug-in Amazon Inspector SSM per Windows. Per raccogliere dati sulle istanze e generare risultati di Amazon Inspector, l'InvokeInspectorSsmPlugin-do-not-deleteSSMassociazione esegue il plug-in Amazon SSM Inspector a intervalli di 6 ore. Tuttavia, puoi personalizzare questa impostazione utilizzando un cron o un'espressione di rate.
Nota
Amazon Inspector inserisce i file di definizione di Open Vulnerability and Assessment Language (OVAL) aggiornati nel bucket S3. inspector2-oval-prod- Il bucket Amazon S3 contiene OVAL le definizioni utilizzate nelle scansioni. Queste OVAL definizioni non devono essere modificate. Altrimenti, Amazon Inspector non ne cercherà di nuovi al CVEs momento del rilascio. your-AWS-Region
Requisiti di scansione di Amazon Inspector per Windows Istanze
Per scansionare un Windows Ad esempio, Amazon Inspector richiede che l'istanza soddisfi i seguenti criteri:
-
L'istanza è un'istanza SSM gestita. Per istruzioni sulla configurazione dell'istanza per la scansione, consultaConfigurazione dell'agente SSM.
-
Il sistema operativo dell'istanza è uno dei supportati Windows sistemi operativi. Per un elenco completo dei sistemi operativi supportati, vedereValori di stato EC2 delle istanze Amazon.
-
Nell'istanza è installato il SSM plug-in Amazon Inspector. Amazon Inspector installa automaticamente il SSM plug-in Amazon Inspector per le istanze gestite al momento del rilevamento. Per informazioni dettagliate sul plug-in, consulta l'argomento successivo.
Nota
Se il tuo host è in esecuzione su Amazon VPC senza accesso a Internet in uscita, Windows la scansione richiede che l'host sia in grado di accedere agli endpoint regionali di Amazon S3. Per informazioni su come configurare un endpoint Amazon S3, consulta Create a gateway VPC endpoint nella Amazon Virtual Private Cloud User Guide. Se la tua politica VPC sugli endpoint di Amazon limita l'accesso ai bucket S3 esterni, devi specificamente consentire l'accesso al bucket gestito da Amazon Inspector nel tuo Regione AWS che memorizza le definizioni utilizzate per valutare l'OVAListanza. Questo bucket ha il seguente formato:. inspector2-oval-prod- REGION
Informazioni sul plug-in Amazon Inspector SSM per Windows
Il SSM plug-in Amazon Inspector è necessario per consentire ad Amazon Inspector di scansionare il Windows istanze. Il SSM plug-in Amazon Inspector viene installato automaticamente sul Windows istanze inC:\Program Files\Amazon\Inspector, e il file binario eseguibile viene denominato. InspectorSsmPlugin.exe
I seguenti percorsi di file vengono creati per archiviare i dati raccolti dal SSM plug-in Amazon Inspector:
-
C:\ProgramData\Amazon\Inspector\Input -
C:\ProgramData\Amazon\Inspector\Output -
C:\ProgramData\Amazon\Inspector\Logs
Per impostazione predefinita, il SSM plug-in Amazon Inspector viene eseguito con una priorità inferiore a quella normale.
Nota
È possibile utilizzare… Windows istanze con l'impostazione Default Host Management Configuration. Tuttavia, è necessario creare un profilo di istanza con l'ssm:PutInventoryautorizzazione.
Disinstallazione del plug-in Amazon SSM Inspector
Se il InspectorSsmPlugin.exe file viene eliminato inavvertitamente, l'InspectorDistributor-do-not-deleteSSMassociazione reinstallerà il plugin al momento successivo Windows intervallo di scansione. Se desideri disinstallare il SSM plug-in Amazon Inspector, puoi utilizzare l'azione di disinstallazione sul AmazonInspector2-ConfigureInspectorSsmPlugin documento.
Inoltre, il SSM plug-in Amazon Inspector verrà disinstallato automaticamente da tutti Windows host se disattivi Amazon ScanEC2.
Nota
Se disinstalli l'SSMagente prima di disattivare Amazon Inspector, il plug-in Amazon Inspector rimarrà SSM sul Windows ospita ma non invierà più dati al plug-in Amazon InspectorSSM. Per ulteriori informazioni, consulta Disattivazione di Amazon Inspector.
Impostazione di pianificazioni personalizzate per Windows scansioni delle istanze
Puoi personalizzare l'intervallo di tempo tra i tuoi Windows L'EC2istanza Amazon esegue la scansione impostando un'espressione cron o un'espressione rate per l'InvokeInspectorSsmPlugin-do-not-deleteassociazione utilizzata. SSM Per ulteriori informazioni, consultate Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente o utilizzate le seguenti istruzioni.
Selezionate uno dei seguenti esempi di codice per cui modificare la cadenza di scansione Windows istanze da 6 ore a 12 ore di default che utilizzano un'espressione di velocità o un'espressione cron.
Gli esempi seguenti richiedono l'utilizzo di AssociationIdfor l'associazione denominata. InvokeInspectorSsmPlugin-do-not-delete È possibile recuperare il file AssociationIdeseguendo il seguente AWS CLI
comando:
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
Nota
AssociationIdÈ regionale, quindi devi prima recuperare un ID univoco per ciascuno. Regione AWSÈ quindi possibile eseguire il comando per modificare la cadenza di scansione in ciascuna regione in cui si desidera impostare una pianificazione di scansione personalizzata per Windows istanze.
