기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
스캔 Windows EC2 Amazon Inspector가 있는 인스턴스
Amazon Inspector는 지원되는 모든 Windows 인스턴스 및 에는 추가 작업 없이 연속 스캔에 포함됩니다. 지원되는 인스턴스에 대한 자세한 내용은 Amazon Inspector에서 지원하는 운영 체제 및 프로그래밍 언어를 참조하세요. Amazon Inspector 실행 Windows 정기적으로 스캔합니다.Windows 인스턴스는 검색 시 스캔된 다음 6시간마다 스캔됩니다. 그러나 첫 번째 스캔 후 기본 스캔 간격을 조정할 수 있습니다.
Amazon EC2 스캔이 활성화되면 Amazon Inspector는 에 대해 다음과 같은 SSM 연결을 생성합니다.Windows 리소스: InspectorDistributor-do-not-delete, 및 InspectorInventoryCollection-do-not-deleteInvokeInspectorSsmPlugin-do-not-delete. 에 Amazon Inspector SSM 플러그인을 설치하려면 Windows 인스턴스의 경우 InspectorDistributor-do-not-delete SSM 연결은 AWS-ConfigureAWSPackage SSM 문서와 AmazonInspector2-InspectorSsmPlugin SSM 배포자 패키지 를 사용합니다. 자세한 내용은 용 Amazon Inspector SSM 플러그인 정보 Windows 단원을 참조하십시오. 인스턴스 데이터를 수집하고 Amazon Inspector 결과를 생성하기 위해 InvokeInspectorSsmPlugin-do-not-delete SSM 연결은 Amazon Inspector SSM 플러그인을 6시간 간격으로 실행합니다. 그러나 cron 또는 rate 표현식 을 사용하여 이 설정을 사용자 지정할 수 있습니다.
참고
Amazon Inspector 단계에서 Open Vulnerability and Assessment Language(OVAL) 정의 파일을 S3 버킷 로 업데이트했습니다inspector2-oval-prod-. Amazon S3 버킷에는 스캔에 사용되는 OVAL 정의가 포함되어 있습니다. 이러한 OVAL 정의는 수정할 수 없습니다. 그렇지 않으면 Amazon Inspector가 릴리스될 CVEs 때 새 를 스캔하지 않습니다.your-AWS-Region
에 대한 Amazon Inspector 스캔 요구 사항 Windows instances
를 스캔하려면 Windows 인스턴스에서 Amazon Inspector는 인스턴스가 다음 기준을 충족하도록 요구합니다.
-
인스턴스는 SSM 관리형 인스턴스입니다. 스캔할 인스턴스 설정에 대한 지침은 SSM 에이전트 구성 섹션을 참조하세요.
-
인스턴스 운영 체제는 지원되는 Windows 운영 체제. 지원되는 운영 체제의 전체 목록은 Amazon EC2 인스턴스 상태 값 섹션을 참조하세요.
-
인스턴스에 Amazon Inspector SSM 플러그인이 설치되어 있습니다. Amazon Inspector는 검색 시 관리형 인스턴스에 대한 Amazon Inspector SSM 플러그인을 자동으로 설치합니다. 플러그인에 대한 자세한 내용은 다음 주제를 참조하세요.
참고
호스트가 Amazon에서 나가는 인터넷 액세스 VPC 없이 실행 중인 경우 Windows 스캔을 수행하려면 호스트가 리전 Amazon S3 엔드포인트에 액세스할 수 있어야 합니다. Amazon S3 Amazon VPC 엔드포인트를 구성하는 방법을 알아보려면 Amazon Virtual Private Cloud 사용 설명서의 게이트웨이 엔드포인트 생성을 참조하세요. Amazon VPC 엔드포인트 정책에서 외부 S3 버킷에 대한 액세스를 제한 AWS 리전 하는 경우 인스턴스 평가에 사용되는 OVAL정의를 저장하는 에서 Amazon Inspector가 관리하는 버킷에 대한 액세스를 구체적으로 허용해야 합니다. 이 버킷의 형식은 inspector2-oval-prod-입니다.REGION
용 Amazon Inspector SSM 플러그인 정보 Windows
Amazon Inspector SSM 플러그인은 Amazon Inspector가 Windows 인스턴스. Amazon Inspector SSM 플러그인은 Windows 의 인스턴스C:\Program Files\Amazon\Inspector와 실행 가능한 바이너리 파일의 이름은 입니다InspectorSsmPlugin.exe.
Amazon Inspector SSM 플러그인이 수집하는 데이터를 저장하기 위해 다음 파일 위치가 생성됩니다.
-
C:\ProgramData\Amazon\Inspector\Input -
C:\ProgramData\Amazon\Inspector\Output -
C:\ProgramData\Amazon\Inspector\Logs
기본적으로 Amazon Inspector SSM 플러그인은 정상 우선순위 이하로 실행됩니다.
참고
다음을 사용할 수 있음: Windows 기본 호스트 관리 구성 설정이 인 인스턴스. 그러나 ssm:PutInventory 권한을 사용하여 인스턴스 프로파일을 생성해야 합니다.
Amazon Inspector SSM 플러그인 제거
InspectorSsmPlugin.exe 파일이 실수로 삭제된 경우 InspectorDistributor-do-not-delete SSM 연결은 다음에 플러그인을 다시 설치합니다.Windows 스캔 간격. Amazon Inspector SSM 플러그인을 제거하려면 AmazonInspector2-ConfigureInspectorSsmPlugin 문서에서 제거 작업을 사용할 수 있습니다.
또한 Amazon Inspector SSM 플러그인은 모든 에서 자동으로 제거됩니다.Windows Amazon EC2 스캔을 비활성화하면 가 호스트됩니다.
참고
Amazon Inspector 를 비활성화하기 전에 SSM 에이전트를 제거하면 Amazon Inspector SSM 플러그인이 Windows 호스트이지만 더 이상 Amazon Inspector SSM 플러그인으로 데이터를 전송하지 않습니다. 자세한 내용은 Amazon Inspector 비활성화 단원을 참조하십시오.
에 대한 사용자 지정 일정 설정 Windows 인스턴스 스캔
사이의 시간을 사용자 지정할 수 있습니다.Windows Amazon EC2 인스턴스는 를 사용하여 InvokeInspectorSsmPlugin-do-not-delete 연결에 대한 cron 표현식 또는 속도 표현식을 설정하여 스캔합니다SSM. 자세한 내용은 AWS Systems Manager 사용 설명서의 참조: Systems Manager의 Cron 및 Rate 표현식을 참조하거나 다음 지침을 따르세요.
다음 코드 예제 중에서 선택하여 에 대한 스캔 주기를 변경합니다.Windows 속도 표현식 또는 cron 표현식을 사용하는 기본 6시간에서 12시간까지의 인스턴스입니다.
다음 예제에서는 라는 연결에 AssociationId 를 사용해야 합니다InvokeInspectorSsmPlugin-do-not-delete. 다음 AWS CLI 명령을 실행AssociationId하여 를 검색할 수 있습니다.
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
참고
AssociationId 는 리전이므로 먼저 각 에 대한 고유 ID를 검색해야 합니다 AWS 리전. 그런 다음 명령을 실행하여 사용자 지정 스캔 일정을 설정하려는 각 리전의 스캔 주기를 변경할 수 있습니다.Windows 인스턴스.
