Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2 - Amazon Inspector
Acessando ou desativando a inspeção profundaSobre o SSM plug-in Amazon Inspector para LinuxCaminhos personalizados para a inspeção profunda do Amazon InspectorProgramações personalizadas para a inspeção profunda do Amazon InspectorLinguagens de programação compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2

O Amazon Inspector expande a cobertura de escaneamento EC2 da Amazon para incluir uma inspeção profunda. Com uma inspeção profunda, o Amazon Inspector detecta vulnerabilidades de pacotes de linguagens de programação de aplicativos em suas instâncias da Amazon baseadas em Linux. EC2 O Amazon Inspector verifica os caminhos padrão para bibliotecas de pacotes de linguagens de programação. No entanto, você pode configurar caminhos personalizados além dos caminhos que o Amazon Inspector escaneia por padrão.

nota

Você pode usar a inspeção profunda com a configuração de gerenciamento de host padrão. No entanto, você deve criar um perfil de instância e anexar as ssm:PutInventory ssm:GetParameter permissões e.

Para realizar análises de inspeção aprofundadas para suas instâncias Amazon baseadas em Linux, o EC2 Amazon Inspector usa dados coletados com o plug-in Amazon Inspector. SSM Para gerenciar o SSM plug-in do Amazon Inspector e realizar uma inspeção profunda para Linux, o Amazon Inspector cria automaticamente SSM a InvokeInspectorLinuxSsmPlugin-do-not-delete associação em sua conta. O Amazon Inspector coleta o inventário de aplicativos atualizado de suas instâncias Amazon baseadas em Linux a cada 6 horas. EC2

nota

A inspeção profunda não é suportada para Windows ou instâncias do Mac.

Esta seção descreve como gerenciar a inspeção profunda do Amazon Inspector para EC2 instâncias da Amazon, incluindo como definir caminhos personalizados para o Amazon Inspector escanear.

Acessando ou desativando a inspeção profunda

nota

Para contas que ativam o Amazon Inspector após 17 de abril de 2023, a inspeção profunda é ativada automaticamente como parte da verificação da AmazonEC2.

Para gerenciar a inspeção profunda

  1. Faça login usando suas credenciais e, em seguida, abra o console do Amazon Inspector em v2/home https://console.aws.amazon.com/inspector/

  2. No painel de navegação, escolha Configurações gerais e, em seguida, escolha Configurações de digitalização da AmazonEC2.

  3. Em Inspeção profunda da EC2 instância da Amazon, você pode definir caminhos personalizados para sua organização ou para sua própria conta.

Você pode verificar o status de ativação programaticamente para uma única conta com o GetEc 2. DeepInspectionConfiguration API Você pode verificar o status de ativação programaticamente para várias contas com o BatchGetMemberEc2DeepInspectionStatus API.

Se você ativou o Amazon Inspector antes de 17 de abril de 2023, você pode ativar a inspeção profunda por meio do banner do console ou do UpdateEc2DeepInspectionConfigurationAPI. Se você for o administrador delegado de uma organização no Amazon Inspector, você pode usar o BatchUpdateMemberEc2DeepInspectionStatusAPIpara ativar uma inspeção profunda para você e suas contas de membros.

Você pode desativar a inspeção profunda por meio do UpdateEc2DeepInspectionConfigurationAPI. As contas de membros de uma organização não podem desativar a inspeção detalhada. Em vez disso, a conta do membro deve ser desativada pelo administrador delegado usando o BatchUpdateMemberEc2DeepInspectionStatus API.

Sobre o SSM plug-in Amazon Inspector para Linux

O Amazon Inspector usa o plug-in Amazon SSM Inspector para realizar uma inspeção profunda em suas instâncias Linux. O SSM plug-in Amazon Inspector é instalado automaticamente em suas instâncias Linux no /opt/aws/inspector/bin diretório. O nome do executável é inspectorssmplugin.

O Amazon Inspector usa o Systems Manager Distributor para implantar o plug-in na sua instância. Para realizar análises de inspeção aprofundadas, o Systems Manager Distributor e o Amazon Inspector devem oferecer suporte ao sistema operacional da sua instância EC2 Amazon. Para obter informações sobre sistemas operacionais compatíveis com o Systems Manager Distributor, consulte Plataformas e arquiteturas de pacotes suportadas no Guia do AWS Systems Manager usuário.

O Amazon Inspector cria os seguintes diretórios de arquivos para gerenciar dados coletados para inspeção profunda pelo plug-in Amazon Inspector: SSM

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output— O packages.txt arquivo nesse diretório armazena os caminhos completos para os pacotes que a inspeção profunda descobre. Se o Amazon Inspector detectar o mesmo pacote várias vezes em sua instância, o packages.txt arquivo listará cada local onde o pacote foi encontrado.

O Amazon Inspector armazena os registros do plug-in no diretório /var/log/amazon/inspector.

Desinstalando o plug-in Amazon SSM Inspector

Se o inspectorssmplugin arquivo for excluído inadvertidamente, a SSM associação InspectorLinuxDistributor-do-not-delete tentará reinstalar o inspectorssmplugin arquivo no próximo intervalo de verificação.

Se você desativar o EC2 escaneamento da Amazon, o plug-in será automaticamente desinstalado de todos os hosts Linux.

Caminhos personalizados para a inspeção profunda do Amazon Inspector

Você pode definir caminhos personalizados para que o Amazon Inspector escaneie durante uma inspeção profunda de suas instâncias Linux da AmazonEC2. Quando você define um caminho personalizado, o Amazon Inspector escaneia pacotes nesse diretório e em todos os subdiretórios nele.

Todas as contas podem definir até 5 caminhos personalizados. O administrador delegado de uma organização pode definir 10 caminhos personalizados.

O Amazon Inspector verifica todos os caminhos personalizados, além dos seguintes caminhos padrão, que o Amazon Inspector verifica para todas as contas:

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

nota

Os caminhos personalizados devem ser caminhos locais. O Amazon Inspector não escaneia caminhos de rede mapeados, como montagens do sistema de arquivos de rede ou montagens do sistema de arquivos do Amazon S3.

Formatação de caminhos personalizados

Um caminho personalizado não pode ter mais de 256 caracteres. Veja a seguir um exemplo da aparência de um caminho personalizado:

Exemplo de caminho

/home/usr1/project01

nota

O limite de pacotes por instância é de 5.000. O tempo máximo de coleta do inventário de pacotes é de 15 minutos. O Amazon Inspector recomenda que você escolha caminhos personalizados para evitar esses limites.

Definindo um caminho personalizado no console do Amazon Inspector e com o Amazon Inspector API

Os procedimentos a seguir descrevem como definir um caminho personalizado para a inspeção profunda do Amazon Inspector no console do Amazon Inspector e com o Amazon Inspector. API Depois de definir um caminho personalizado, o Amazon Inspector inclui o caminho na próxima inspeção profunda.

Console

  1. Faça login no AWS Management Console como administrador delegado e abra o console do Amazon Inspector em v2/home https://console.aws.amazon.com/inspector/

  2. Use o Região da AWS seletor para escolher a região em que você deseja ativar a digitalização padrão Lambda.

  3. No painel de navegação, escolha Configurações gerais e, em seguida, escolha configurações de EC2digitalização.

  4. Em Caminhos personalizados para sua própria conta, escolha Editar.

  5. Nas caixas de texto do caminho, insira seus caminhos personalizados.

  6. Escolha Salvar.

API

Execute a UpdateEc2DeepInspectionConfigurationcomando. Para especificar os packagePaths uma matriz de caminhos a serem verificados.

Programações personalizadas para a inspeção profunda do Amazon Inspector

Por padrão, o Amazon Inspector coleta um inventário de aplicativos das EC2 instâncias da Amazon a cada 6 horas. No entanto, você pode executar os seguintes comandos para controlar a frequência com que o Amazon Inspector faz isso.

Exemplo de comando 1: Listar associações para visualizar o ID da associação e o intervalo atual

O comando a seguir mostra o ID da associaçãoInvokeInspectorLinuxSsmPlugin-do-not-delete. 

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Exemplo de comando 2: Atualizar a associação para incluir um novo intervalo

O comando a seguir usa o ID da associaçãoInvokeInspectorLinuxSsmPlugin-do-not-delete. Você pode definir a taxa schedule-expression de 6 horas até um novo intervalo, como 12 horas. 

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
nota

Dependendo do seu caso de uso, se você definir a taxa schedule-expression de 6 horas a um intervalo de 30 minutos, poderá exceder o limite diário de inventário de ssm. Isso faz com que os resultados sejam atrasados e você pode encontrar EC2 instâncias da Amazon com status de erro parcial.

Linguagens de programação compatíveis

Para instâncias Linux, a inspeção profunda do Amazon Inspector pode produzir descobertas para pacotes de linguagens de programação de aplicativos e pacotes de sistema operacional.

Para instâncias Mac e Windows, a inspeção profunda do Amazon Inspector pode produzir descobertas somente para pacotes do sistema operacional.

Para obter mais informações sobre as linguagens de programação suportadas, consulte Linguagens de programação suportadas: Amazon EC2 deep inspection.