Amazon Inspector로 Windows EC2 인스턴스 스캔
Amazon Inspector는 지원되는 모든 Windows 인스턴스를 자동으로 검색하여 추가 조치 없이 연속 스캔에 포함시킵니다. 지원되는 인스턴스에 대한 자세한 내용은 Amazon Inspector에서 지원하는 운영 체제 및 프로그래밍 언어를 참조하세요. Amazon Inspector는 정기적으로 Windows 스캔을 실행합니다. Windows 인스턴스는 검색 시 스캔되고 그 후 6시간마다 스캔됩니다. 그러나 첫 번째 스캔 후 기본 스캔 간격을 조정할 수 있습니다.
Amazon EC2 스캔이 활성화되면 Amazon Inspector에서 Windows 리소스에 대해 새 SSM 연결 InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete, InvokeInspectorSsmPlugin-do-not-delete를 생성합니다. Windows 인스턴스에 Amazon Inspector SSM 플러그인을 설치하기 위해 InspectorDistributor-do-not-delete SSM 연결에는 AWS-ConfigureAWSPackage SSM 문서와 AmazonInspector2-InspectorSsmPlugin SSM Distributor 패키지가 사용됩니다. 자세한 내용은 Windows용 Amazon Inspector SSM 플러그인 정보 단원을 참조하세요. 인스턴스 데이터를 수집하고 Amazon Inspector 조사 결과를 생성하기 위해 InvokeInspectorSsmPlugin-do-not-delete SSM 연결은 Amazon Inspector SSM 플러그인을 6시간 간격으로 실행합니다. 하지만 cron 또는 rate 표현식을 설정하여 이 설정을 사용자 지정할 수 있습니다.
참고
Amazon Inspector는 업데이트된 OVAL(Open Vulnerability and Assessment Language) 정의 파일을 S3 버킷 inspector2-oval-prod-에 스테이징합니다. Amazon S3 버킷에는 스캔에 사용되는 OVAL 정의가 포함되어 있습니다. 이러한 OVAL 정의는 수정해서는 안됩니다. 그렇지 않으면 새로운 CVE가 릴리스될 때 Amazon Inspector가 이를 스캔하지 못하게 됩니다.your-AWS-Region
Windows 인스턴스에 대한 Amazon Inspector 스캔 요구 사항
Amazon Inspector에서 Windows 인스턴스를 스캔하려면 인스턴스가 다음 기준을 충족해야 합니다.
-
인스턴스가 SSM 관리형 인스턴스입니다. 스캔할 인스턴스 설정에 대한 지침은 SSM 에이전트 구성 섹션을 참조하세요.
-
인스턴스 운영 체제가 지원되는 Windows 운영 체제 중 하나입니다. 지원되는 운영 체제의 전체 목록은 Amazon EC2 인스턴스 상태 값 섹션을 참조하세요.
-
인스턴스에 Amazon Inspector SSM 플러그인이 설치되어 있습니다. Amazon Inspector는 관리형 인스턴스가 검색되면 자동으로 Amazon Inspector SSM 플러그인을 설치합니다. 플러그인에 대한 자세한 내용은 다음 주제를 참조하세요.
참고
호스트가 외부 인터넷에 액세스할 수 없는 Amazon VPC에서 실행되는 경우 Windows 스캔을 수행하려면 호스트가 리전 Amazon S3 엔드포인트에 액세스할 수 있어야 합니다. Amazon S3 Amazon VPC 엔드포인트를 구성하는 방법을 알아보려면 Amazon Virtual Private Cloud 사용 설명서에서 게이트웨이 엔드포인트 생성을 참조하세요. Amazon VPC 엔드포인트 정책이 외부 S3 버킷에 대한 액세스를 제한하는 경우, 인스턴스를 평가하는 데 사용되는 OVAL 정의가 저장되어 있고 AWS 리전의 Amazon Inspector에서 유지 관리하는 버킷에 대한 액세스를 특별히 허용해야 합니다. 이 버킷의 형식은 inspector2-oval-prod-입니다.REGION
Windows용 Amazon Inspector SSM 플러그인 정보
Amazon Inspector에서 Windows 인스턴스를 스캔하려면 Amazon Inspector SSM 플러그인이 필요합니다. Amazon Inspector SSM 플러그인은 Windows 인스턴스의 C:\Program Files\Amazon\Inspector에 자동으로 설치되며 실행 가능한 바이너리 파일의 이름은 InspectorSsmPlugin.exe입니다.
Amazon Inspector SSM 플러그인에서 수집한 데이터를 저장하기 위해 다음과 같은 파일 위치가 생성됩니다.
-
C:\ProgramData\Amazon\Inspector\Input -
C:\ProgramData\Amazon\Inspector\Output -
C:\ProgramData\Amazon\Inspector\Logs
기본적으로 Amazon Inspector SSM 플러그인은 일반 우선 순위보다 낮은 우선 순위로 실행됩니다.
참고
Windows 인스턴스는 기본 호스트 관리 구성 설정으로 사용할 수 있습니다. 그러나 ssm:PutInventory 및 ssm:GetParameter 권한으로 구성된 역할을 생성하거나 사용해야 합니다.
Amazon Inspector SSM 플러그인 제거
InspectorSsmPlugin.exe 파일이 실수로 삭제된 경우 InspectorDistributor-do-not-delete SSM 연결을 통해 다음 Windows 스캔 간격에 플러그인이 재설치됩니다. Amazon Inspector SSM 플러그인을 제거하려는 경우 AmazonInspector2-ConfigureInspectorSsmPlugin 문서에서 제거 작업을 사용하면 됩니다.
또한 Amazon EC2 스캔을 비활성화하면 Amazon Inspector SSM 플러그인이 모든 Windows 호스트에서 자동으로 제거됩니다.
참고
Amazon Inspector를 비활성화하기 전에 SSM 에이전트를 제거하면 Amazon Inspector SSM 플러그인은 Windows 호스트에 남아 있지만 더 이상 Amazon Inspector SSM 플러그인으로 데이터를 보내지 않습니다. 자세한 내용은 Amazon Inspector 비활성화 단원을 참조하세요.
Windows 인스턴스 스캔을 위한 사용자 지정 일정 설정
SSM을 통해 InvokeInspectorSsmPlugin-do-not-delete 연결에 대한 cron 표현식 또는 rate 표현식을 설정하여 Windows Amazon EC2 인스턴스의 스캔 간격을 사용자 지정할 수 있습니다. 자세한 내용은 AWS Systems Manager 사용 설명서의 참조: Systems Manager의 Cron 및 Rate 표현식을 참조하거나 다음 지침을 따르세요.
다음 코드 예제 중 하나를 선택하여 rate 표현식 또는 cron 표현식을 사용하여 Windows 인스턴스의 스캔 주기를 기본 6시간에서 12시간으로 변경할 수 있습니다.
다음 예에서는 InvokeInspectorSsmPlugin-do-not-delete 연결에 AssociationId를 사용해야 합니다. 다음 AWS CLI 명령을 실행하면 AssociationID를 검색할 수 있습니다.
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
참고
AssociationID는 리전 단위이므로 먼저 각 AWS 리전에 대한 고유 ID를 검색해야 합니다. 그런 다음 명령을 실행하여 Windows 인스턴스에 대한 사용자 지정 스캔 일정을 설정하려는 각 리전의 스캔 주기를 변경할 수 있습니다.
