Linux ベースの Amazon インスタンスの Amazon Inspector ディープインスペクション EC2 - Amazon Inspector
ディープインスペクションへのアクセスまたは無効化Linux 用 Amazon Inspector SSMプラグインについてAmazon Inspector ディープインスペクションのカスタムパスAmazon Inspector ディープインスペクションのカスタムスケジュールサポートされているプログラミング言語

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Linux ベースの Amazon インスタンスの Amazon Inspector ディープインスペクション EC2

Amazon Inspector は、Amazon EC2スキャンカバレッジを拡張して詳細な検査を含めます。詳細な検査により、Amazon Inspector は Linux ベースの Amazon EC2インスタンス内のアプリケーションプログラミング言語パッケージのパッケージの脆弱性を検出します。Amazon Inspector は、プログラミング言語パッケージライブラリのデフォルトパスをスキャンします。ただし、Amazon Inspector がデフォルトでスキャンするパスに加えて、カスタムパスを設定することもできます。

注記

ディープインスペクションは、デフォルトのホスト管理設定で使用できます。ただし、インスタンスプロファイルを作成しssm:PutInventory および ssm:GetParameter アクセス許可をアタッチする必要があります。

Linux ベースの Amazon EC2インスタンスのディープインスペクションスキャンを実行するために、Amazon Inspector は Amazon Inspector SSMプラグインで収集されたデータを使用します。Amazon Inspector SSMプラグインを管理し、Linux のディープインスペクションを実行するために、Amazon Inspector はアカウントInvokeInspectorLinuxSsmPlugin-do-not-delete内にSSM関連付けを自動的に作成します。Amazon Inspector は、Linux ベースの Amazon EC2インスタンスから 6 時間ごとに更新されたアプリケーションインベントリを収集します。

注記

ディープインスペクションは ではサポートされていません Windows または Mac インスタンス。

このセクションでは、Amazon Inspector がスキャンするカスタムパスを設定する方法など、Amazon EC2インスタンスの Amazon Inspector ディープインスペクションを管理する方法について説明します。

ディープインスペクションへのアクセスまたは無効化

注記

2023 年 4 月 17 日以降に Amazon Inspector をアクティブ化するアカウントの場合、ディープインスペクションは Amazon EC2スキャンの一部として自動的にアクティブ化されます。

ディープインスペクションを管理するには

  1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインから全般設定 を選択し、Amazon EC2スキャン設定を選択します。

  3. Amazon EC2インスタンス の詳細な検査では、組織または独自のアカウント のカスタムパスを設定できます

アクティベーションステータスは、GetEc2DeepInspectionConfiguration の 1 つのアカウントについてプログラムで確認できますAPI。アクティベーションステータスは、 を使用して複数のアカウントをプログラムで確認できます。 BatchGetMemberEc2DeepInspectionStatus API.

2023 年 4 月 17 日より前に Amazon Inspector をアクティブ化した場合は、コンソールバナーまたは を使用してディープインスペクションをアクティブ化できます。 UpdateEc2DeepInspectionConfiguration API。Amazon Inspector の組織の委任管理者である場合は、 BatchUpdateMemberEc2DeepInspectionStatus API 自分自身とメンバーアカウントのディープインスペクションをアクティブ化します。

ディープインスペクションは、 UpdateEc2DeepInspectionConfiguration API。組織のメンバーアカウントは詳細検査を非アクティブ化することはできません。代わりに、 を使用して、委任された管理者がメンバーアカウントを非アクティブ化する必要があります。 BatchUpdateMemberEc2DeepInspectionStatus API.

Linux 用 Amazon Inspector SSMプラグインについて

Amazon Inspector はAmazon Inspector SSMプラグインを使用して Linux インスタンスの詳細な検査を実行します。Amazon Inspector SSMプラグインは、 /opt/aws/inspector/bin ディレクトリ内の Linux インスタンスに自動的にインストールされます。実行可能ファイルの名前は inspectorssmplugin です。

Amazon Inspector は Systems Manager Distributor を使用して、プラグインをインスタンスにデプロイします。ディープインスペクションスキャンを実行するには、Systems Manager Distributor と Amazon Inspector が Amazon EC2インスタンスオペレーティングシステムをサポートしている必要があります。Systems Manager Distributor がサポートするオペレーティングシステムの詳細については、AWS Systems Manager 「 ユーザーガイド」の「サポートされているパッケージプラットフォームとアーキテクチャ」を参照してください。

Amazon Inspector は、Amazon Inspector SSMプラグインによって詳細検査のために収集されたデータを管理するために、次のファイルディレクトリを作成します。

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output – このディレクトリのpackages.txtファイルは、ディープインスペクションが検出したパッケージへのフルパスを保存します。Amazon Inspector がインスタンスで同じパッケージを複数回検出した場合、packages.txtファイルはパッケージが見つかった各場所を一覧表示します。

Amazon Inspector は、プラグインのログを /var/log/amazon/inspector ディレクトリに保存します。

Amazon Inspector SSMプラグインのアンインストール

inspectorssmplugin ファイルが誤って削除された場合、SSM関連付けInspectorLinuxDistributor-do-not-deleteは次のスキャン間隔でinspectorssmpluginファイルを再インストールしようとします。

Amazon EC2スキャンを無効にすると、プラグインはすべての Linux ホストから自動的にアンインストールされます。

Amazon Inspector ディープインスペクションのカスタムパス

Linux Amazon インスタンスの詳細な検査中に Amazon Inspector がスキャンするカスタムパスを設定できます。 EC2カスタムパスを設定すると、Amazon Inspector はそのディレクトリ内のパッケージと、そのディレクトリ内のすべてのサブディレクトリをスキャンします。

すべてのアカウントで、最大 5 つのカスタムパスを定義できます。組織の委任管理者は、10 個のカスタムパスを定義できます。

Amazon Inspector は、以下のデフォルトパスに加えて、すべてのカスタムパスをスキャンします。Amazon Inspector はすべてのアカウントをスキャンします。

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

注記

カスタムパスはローカルパスである必要があります。Amazon Inspector は、Network File System マウントや Amazon S3 ファイルシステムマウントなどのマップされたネットワークパスをスキャンしません。

カスタムパスのフォーマット

カスタムパスは 256 文字を超えることはできません。以下は、カスタムパスがどのように見えるかの検査者です。

パスの例

/home/usr1/project01

注記

インスタンスあたりのパッケージ制限は 5,000 です。パッケージインベントリの最大収集時間は 15 分です。Amazon Inspector では、これらの制限を避けるためにカスタムパスを選択することをお勧めします。

Amazon Inspector コンソールと Amazon Inspector でのカスタムパスの設定 API

次の手順では、Amazon Inspector コンソールおよび Amazon Inspector Amazon Inspector で Amazon Inspector ディープインスペクションのカスタムパスを設定する方法について説明しますAPI。カスタムパスを設定すると、Amazon Inspector は次のディープインスペクションにパスを含めます。

Console

  1. 委任管理者 AWS Management Console として にサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. AWS リージョン セレクタを使用して、Lambda 標準スキャンを有効にするリージョンを選択します。

  3. ナビゲーションペインから、全般設定 を選択し、EC2スキャン設定 を選択します。

  4. 自分のアカウントのカスタムパス で、編集 を選択します。

  5. パステキストボックスに、カスタムパスを入力します。

  6. [Save] を選択します。

API

を実行UpdateEc2DeepInspectionConfiguration コマンド。packagePaths には、スキャンするパスの配列を指定します。

Amazon Inspector ディープインスペクションのカスタムスケジュール

デフォルトでは、Amazon Inspector は 6 時間ごとに Amazon EC2インスタンスからアプリケーションインベントリを収集します。ただし、次のコマンドを実行して、Amazon Inspector がこれを実行する頻度を制御できます。

コマンド例 1: 関連付けを一覧表示して関連付け ID と現在の間隔を表示する

次のコマンドは、関連付け の関連付け ID を示していますInvokeInspectorLinuxSsmPlugin-do-not-delete

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

コマンド例 2: 関連付けを更新して新しい間隔を含める

次のコマンドは、関連付け の関連付け ID を使用しますInvokeInspectorLinuxSsmPlugin-do-not-delete。レートは 6 時間schedule-expressionから 12 時間などの新しい間隔まで設定できます。

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
注記

ユースケースに応じて、レートを 6 時間schedule-expressionから 30 分などの間隔に設定すると、毎日の ssm インベントリ制限 を超えることができます。これにより、結果が遅延し、部分的なエラーステータスの Amazon EC2インスタンスが発生する可能性があります。

サポートされているプログラミング言語

Linux インスタンスの場合、Amazon Inspector のディープインスペクションは、アプリケーションプログラミング言語パッケージとオペレーティングシステムパッケージの結果を生成できます。

Mac および Windows インスタンスの場合、Amazon Inspector のディープインスペクションはオペレーティングシステムパッケージに対してのみ検出結果を生成できます。

サポートされているプログラミング言語の詳細については、「サポートされているプログラミング言語: Amazon EC2 Deep Inspection」を参照してください。