Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux - Amazon Inspector
Acessar ou desabilitar a inspeção profundaSobre o plug-in do SSM do Amazon Inspector para LinuxCaminhos personalizados para a inspeção profunda do Amazon InspectorProgramações personalizadas para a inspeção profunda do Amazon InspectorLinguagens de programação compatíveis

Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux

O Amazon Inspector expandiu a cobertura de verificação do Amazon EC2 para incluir a inspeção profunda. Com a inspeção profunda, o Amazon Inspector detecta vulnerabilidades em pacotes da linguagem de programação de aplicações nas instâncias do Amazon EC2 baseadas em Linux. O Amazon Inspector verifica os caminhos padrão para bibliotecas de pacotes de linguagens de programação. No entanto, você pode configurar caminhos personalizados além dos caminhos que o Amazon Inspector verifica por padrão.

nota

Você pode usar a inspeção profunda com a configuração de gerenciamento do host padrão. No entanto, você deve criar ou usar um perfil configurado com as permissões ssm:PutInventory e ssm:GetParameter.

Para executar verificações de inspeção profunda das instâncias do Amazon EC2 baseadas em Linux, o Amazon Inspector usa os dados coletados com seu plug-in do SSM. Para gerenciar o plug-in do SSM do Amazon Inspector e realizar a inspeção profunda no Linux, o Amazon Inspector cria automaticamente a associação InvokeInspectorLinuxSsmPlugin-do-not-delete do SSM na sua conta. O Amazon Inspector coleta o inventário atualizado de aplicações das instâncias do Amazon EC2 baseadas em Linux a cada 6 horas.

nota

A inspeção profunda não é compatível com instâncias do Windows ou do Mac.

Esta seção descreve como gerenciar a inspeção profunda do Amazon Inspector para instâncias do Amazon EC2, inclusive como definir caminhos personalizados para o Amazon Inspector verificar.

Acessar ou desabilitar a inspeção profunda

nota

A inspeção profunda é ativada automaticamente como parte da verificação do Amazon EC2 para contas que habilitaram o Amazon Inspector após 17 de abril de 2023.

Como gerenciar a inspeção profunda

  1. Faça login usando suas credenciais e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. No painel de navegação, selecione Configurações gerais, em seguida, Configurações de verificação do Amazon EC2.

  3. Em Inspeção profunda de instâncias do Amazon EC2, você pode definir caminhos personalizados para sua organização ou para sua própria conta.

Você pode verificar o status de ativação programaticamente para uma única conta com a API GetEc2DeepInspectionConfiguration. Você pode verificar o status de ativação programaticamente para múltiplas contas com a API BatchGetMemberEc2DeepInspectionStatus.

Se você tiver ativado o Amazon Inspector antes de 17 de abril de 2023, poderá ativar a inspeção detalhada por meio do banner do console ou da API UpdateEc2DeepInspectionConfiguration. Se você for o administrador delegado de uma organização no Amazon Inspector, poderá usar a API BatchUpdateMemberEc2DeepInspectionStatus para habilitar a inspeção profunda para você e para as contas-membro.

Você pode desativar a inspeção detalhada por meio da API UpdateEc2DeepInspectionConfiguration. As contas de membros de uma organização não podem desativar a inspeção detalhada. Em vez disso, a conta de membro deve ser desativada pelo administrador delegado usando a API BatchUpdateMemberEc2DeepInspectionStatus.

Sobre o plug-in do SSM do Amazon Inspector para Linux

O Amazon Inspector usa o plug-in do SSM do Amazon Inspector para realizar a inspeção profunda das instâncias do Linux. O plug-in do SSM do Amazon Inspector é instalado automaticamente nas instâncias do Linux no diretório /opt/aws/inspector/bin. O nome do executável é inspectorssmplugin.

O Amazon Inspector usa o Systems Manager Distributor para implantar o plug-in na instância. Para realizar verificações de inspeção profunda, seu sistema operacional da instância do Amazon EC2 deve ter suporte do Systems Manager Distributor e do Amazon Inspector. Para ter informações sobre os sistemas operacionais compatíveis com o Systems Manager Distributor, consulte Plataformas de pacotes e arquiteturas compatíveis no Guia do usuário do AWS Systems Manager.

O Amazon Inspector cria os seguintes diretórios de arquivos para gerenciar dados coletados para inspeção detalhada pelo plug-in SSM do Amazon Inspector:

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output: o arquivo packages.txt neste diretório armazena os caminhos completos para os pacotes encontrados pela inspeção profunda. Se o Amazon Inspector detectar o mesmo pacote várias vezes em sua instância, o arquivo packages.txt listará cada local em que o pacote foi encontrado.

O Amazon Inspector armazena os registros do plug-in no diretório /var/log/amazon/inspector.

Desinstalar o plug-in do SSM do Amazon Inspector

Se o arquivo inspectorssmplugin for excluído inadvertidamente, a associação InspectorLinuxDistributor-do-not-delete do SSM tentará reinstalar o arquivo inspectorssmplugin no próximo intervalo de verificação.

Se você desabilitar a verificação do Amazon EC2, o plug-in será desinstalado automaticamente de todos os hosts do Linux.

Caminhos personalizados para a inspeção profunda do Amazon Inspector

Você pode configurar caminhos personalizados para que o Amazon Inspector verifique durante a execução de uma inspeção profunda das instâncias do Amazon EC2 para Linux. Quando você define um caminho personalizado, o Amazon Inspector verifica os pacotes nesse diretório e todos os subdiretórios dentro dele.

Todas as contas podem definir até 5 caminhos personalizados. O administrador delegado de uma organização pode definir 10 caminhos personalizados.

O Amazon Inspector verifica todos os caminhos personalizados, além dos seguintes caminhos padrão que são verificados para todas as contas:

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

nota

Os caminhos personalizados devem ser caminhos locais. O Amazon Inspector não verifica os caminhos de rede mapeados, como montagens do Network File System ou montagens do sistema de arquivos do Amazon S3.

Formatar caminhos personalizados

Caminhos personalizados não podem conter mais do que 256 caracteres. Veja a seguir um exemplo da aparência de um caminho personalizado:

Exemplo de caminho

/home/usr1/project01

nota

O limite de pacotes por instância é de 5.000. O tempo máximo de coleta do inventário de pacotes é de 15 minutos. O Amazon Inspector recomenda que você escolha caminhos personalizados para evitar esses limites.

Configurar um caminho personalizado no console do Amazon Inspector e com a API do Amazon Inspector

Os procedimentos a seguir descrevem como definir um caminho personalizado para a inspeção profunda do Amazon Inspector no console do Amazon Inspector e com a API do Amazon Inspector. Depois de definir um caminho personalizado, o Amazon Inspector inclui o caminho na próxima inspeção profunda.

Console

  1. Faça login no AWS Management Console como administrador delegado e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. Use o seletor de Região da AWS para escolher a região em que deseja ativar a verificação padrão do Lambda.

  3. No painel de navegação, selecione Configurações gerais, em seguida, Configurações de verificação do EC2.

  4. Em Caminhos personalizados para sua própria conta, selecione Editar.

  5. Insira seus caminhos personalizados nas caixas de texto do caminho.

  6. Escolha Salvar.

API

Execute o comando UpdateEc2DeepInspectionConfiguration. Para especificar os packagePaths uma matriz de caminhos a serem verificados.

Programações personalizadas para a inspeção profunda do Amazon Inspector

Por padrão, o Amazon Inspector coleta o inventário de aplicações das instâncias do Amazon EC2 a cada 6 horas. No entanto, você pode executar os seguintes comandos para controlar a frequência com que o Amazon Inspector faz isso.

Exemplo de comando 1: listar associações para visualizar o ID da associação e o intervalo atual

O comando a seguir mostra o ID da associação InvokeInspectorLinuxSsmPlugin-do-not-delete. 

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Exemplo de comando 2: atualizar a associação para incluir o novo intervalo

O comando a seguir usa o ID da associação InvokeInspectorLinuxSsmPlugin-do-not-delete. Você pode definir o intervalo para schedule-expression de 6 horas até um novo intervalo, como 12 horas. 

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
nota

Dependendo do seu caso de uso, se você definir o intervalo para schedule-expression de 6 horas a um intervalo de 30 minutos, poderá exceder o limite diário de inventário de ssm. Isso faz com que os resultados sejam atrasados e você pode encontrar instâncias do Amazon EC2 com status de erro parcial.

Linguagens de programação compatíveis

Para instâncias do Linux, a inspeção profunda do Amazon Inspector pode produzir descobertas para pacotes da linguagem de programação de aplicações e do sistema operacional.

Para instâncias do Mac e do Windows, a inspeção profunda do Amazon Inspector pode produzir descobertas somente para pacotes de sistema operacional.

Para ter mais informações sobre as linguagens de programação compatíveis, consulte Supported programming languages: Amazon EC2 deep inspection.