Verificação Windows EC2instâncias com o Amazon Inspector - Amazon Inspector
Requisitos de escaneamento do Amazon Inspector para Windows instânciasSobre o plugin Amazon Inspector para SSM WindowsDefinindo horários personalizados para Windows escaneamentos de instância

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificação Windows EC2instâncias com o Amazon Inspector

O Amazon Inspector descobre automaticamente todos os produtos compatíveis Windows instâncias e as inclui na varredura contínua sem nenhuma ação extra. Para obter informações sobre quais instâncias são suportadas, consulte Sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector. O Amazon Inspector é executado Windows digitaliza em intervalos regulares. Windows as instâncias são verificadas na descoberta e depois a cada 6 horas. No entanto, você pode ajustar o intervalo de varredura padrão após a primeira varredura.

Quando a EC2 digitalização da Amazon é ativada, o Amazon Inspector cria as seguintes SSM associações para o seu Windows recursos: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, InvokeInspectorSsmPlugin-do-not-delete e. Para instalar o SSM plug-in Amazon Inspector no seu Windows Em alguns casos, a InspectorDistributor-do-not-delete SSM associação usa o AWS-ConfigureAWSPackageSSMdocumento e o pacote do AmazonInspector2-InspectorSsmPlugin SSM distribuidor. Para obter mais informações, consulte Sobre o plugin Amazon Inspector para SSM Windows. Para coletar dados de instâncias e gerar descobertas do Amazon Inspector, a InvokeInspectorSsmPlugin-do-not-delete SSM associação executa o plug-in Amazon SSM Inspector em intervalos de 6 horas. No entanto, você pode personalizar essa configuração usando uma expressão cron ou rate.

nota

O Amazon Inspector envia arquivos de definição de Open Vulnerability and Assessment Language (OVAL) atualizados para o bucket S3. inspector2-oval-prod-your-AWS-Region O bucket do Amazon S3 contém OVAL definições usadas em escaneamentos. Essas OVAL definições não devem ser modificadas. Caso contrário, o Amazon Inspector não procurará novos CVEs quando eles forem lançados.

Requisitos de escaneamento do Amazon Inspector para Windows instâncias

Para digitalizar um Windows exemplo, o Amazon Inspector exige que a instância atenda aos seguintes critérios:

  • A instância é uma instância SSM gerenciada. Para obter instruções sobre como configurar sua instância para verificação, consulte Configurando o agente SSM.

  • O sistema operacional da instância é um dos compatíveis Windows sistemas operacionais. Para obter uma lista completa de sistemas operacionais com suporte, consulte Valores de status das EC2 instâncias da Amazon.

  • A instância tem o SSM plug-in Amazon Inspector instalado. O Amazon Inspector instala automaticamente o SSM plug-in Amazon Inspector para instâncias gerenciadas após a descoberta. Consulte o próximo tópico para obter detalhes sobre o plug-in.

nota

Se o seu host estiver sendo executado em uma Amazon VPC sem acesso de saída à Internet, Windows a digitalização exige que seu host seja capaz de acessar endpoints regionais do Amazon S3. Para saber como configurar um endpoint Amazon S3 da Amazon, consulte Criar um VPC endpoint de gateway no Guia do usuário da Amazon Virtual Private Cloud. Se a sua política de VPC endpoint da Amazon está restringindo o acesso a buckets S3 externos, você deve especificamente permitir o acesso ao bucket mantido pelo Amazon Inspector Região da AWS que armazena as OVAL definições usadas para avaliar sua instância. Este bucket tem o seguinte formato: inspector2-oval-prod-REGION.

Sobre o plugin Amazon Inspector para SSM Windows

O SSM plug-in Amazon Inspector é necessário para que o Amazon Inspector escaneie seu Windows instâncias. O SSM plug-in Amazon Inspector é instalado automaticamente no seu Windows instâncias emC:\Program Files\Amazon\Inspector, e o arquivo binário executável é nomeadoInspectorSsmPlugin.exe.

Os seguintes locais de arquivo são criados para armazenar dados que o SSM plug-in Amazon Inspector coleta:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Por padrão, o SSM plug-in do Amazon Inspector é executado abaixo da prioridade normal.

nota

Você pode usar: Windows instâncias com a configuração de gerenciamento de host padrão. No entanto, você deve criar um perfil de instância com a ssm:PutInventory permissão.

Desinstalando o plug-in Amazon SSM Inspector

Se o InspectorSsmPlugin.exe arquivo for excluído inadvertidamente, a InspectorDistributor-do-not-delete SSM associação reinstalará o plug-in na próxima Windows intervalo de varredura. Se quiser desinstalar o SSM plug-in do Amazon Inspector, você pode usar a ação Desinstalar no AmazonInspector2-ConfigureInspectorSsmPlugin documento.

Além disso, o SSM plugin Amazon Inspector será automaticamente desinstalado de todos Windows hospeda se você desativar o EC2 escaneamento da Amazon.

nota

Se você desinstalar o SSM Agente antes de desativar o Amazon Inspector, o plug-in do Amazon Inspector permanecerá SSM no Windows hospeda, mas não enviará mais dados para o plugin Amazon InspectorSSM. Para obter mais informações, consulte Desativar o Amazon Inspector.

Definindo horários personalizados para Windows escaneamentos de instância

Você pode personalizar o tempo entre suas Windows A EC2 instância da Amazon escaneia definindo uma expressão cron ou expressão de taxa para a InvokeInspectorSsmPlugin-do-not-delete associação usando. SSM Para obter mais informações, consulte Referência: expressão cron e expressão rate para Gerenciador de Sistemas no Guia do usuário do AWS Systems Manager ou use as instruções a seguir.

Selecione um dos exemplos de código a seguir para alterar a cadência de digitalização para Windows instâncias das 6 horas padrão a 12 horas usando uma expressão de taxa ou uma expressão cron.

Os exemplos a seguir exigem que você use o AssociationIdpara a associação chamadaInvokeInspectorSsmPlugin-do-not-delete. Você pode recuperar seu AssociationIdexecutando o seguinte AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

AssociationIdÉ regional, então você precisa primeiro recuperar uma ID exclusiva para cada Região da AWS um. Em seguida, você pode executar o comando para alterar a cadência de escaneamento em cada região em que você deseja definir um cronograma de escaneamento personalizado para Windows instâncias.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"