扫描 Windows EC2使用亚马逊 Inspector 的实例 - Amazon Inspector
Amazon Inspector 的扫描要求 Windows instances关于适用于 Amazon Inspector 的SSM插件 Windows为设置自定义日程安排 Windows 实例扫描

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

扫描 Windows EC2使用亚马逊 Inspector 的实例

Amazon Inspector 会自动发现所有支持的内容 Windows 实例并将其包含在连续扫描中,无需任何额外操作。有关支持哪些实例的信息,请参阅 Amazon Inspector 支持的操作系统和编程语言。亚马逊 Inspector 正在运行 Windows 定期扫描。Windows 在发现时对实例进行扫描,然后每 6 小时扫描一次。但是,您可以在第一次扫描后调整默认扫描间隔

激活亚马逊EC2扫描后,Amazon Inspector 会为您创建以下SSM关联 Windows 资源:InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete、和InvokeInspectorSsmPlugin-do-not-delete。要在你的 Amazon Inspector SSM 插件上安装 Windows 实例,该InspectorDistributor-do-not-deleteSSM协会使用AWS-ConfigureAWSPackageSSM文档AmazonInspector2-InspectorSsmPluginSSM分发服务器包。有关更多信息,请参阅 关于适用于 Amazon Inspector 的SSM插件 Windows。为了收集实例数据并生成 Amazon Inspector 的调查结果,该InvokeInspectorSsmPlugin-do-not-deleteSSM协会每隔 6 小时运行一次 Amazon In SSM spector 插件。但是,您可以使用 cron 或速率表达式自定义此设置

注意

Amazon Inspector 将更新的开放漏洞和评估语言 (OVAL) 定义文件暂存到 S3 存储桶inspector2-oval-prod-your-AWS-Region。Amazon S3 存储桶包含扫描中使用的OVAL定义。不应修改这些OVAL定义。否则,Amazon Inspector 在新版本发布CVEs时将不会对其进行扫描。

Amazon Inspector 的扫描要求 Windows instances

要扫描 Windows 例如,Amazon Inspector 要求该实例满足以下标准:

  • 该实例是一个SSM托管实例。有关设置扫描实例的说明,请参阅配置代SSM理

  • 实例操作系统是支持的操作系统之一 Windows 操作系统。有关支持的操作系统类型的完整列表,请参阅Amazon EC2 实例状态值

  • 该实例安装了 Amazon Inspector SSM 插件。发现后,Amazon Inspector 会自动为托管实例安装 Amazon In SSM spector 插件。有关该插件的详细信息,请参阅下一个主题。

注意

如果您的主机在VPC没有出站互联网访问权限的 Amazon 上运行,Windows 扫描要求您的主机能够访问区域 Amazon S3 终端节点。要了解如何配置 Amazon S3 亚马逊VPC终端节点,请参阅亚马逊虚拟私有云用户指南中的创建网关终端节点。如果您的 Amazon VPC 终端节点策略限制对外部 S3 存储桶的访问,则必须明确允许访问由 Amazon Inspector 维护的存储桶 AWS 区域 ,该存储桶存储用于评估您的实例的OVAL定义。此存储桶使用以下格式:inspector2-oval-prod-REGION

关于适用于 Amazon Inspector 的SSM插件 Windows

亚马逊 Ins SSM pector 需要使用 Amazon Inspector 插件才能扫描你的 Windows 实例。Amazon Ins SSM pector 插件会自动安装在你的 Windows 中的实例C:\Program Files\Amazon\Inspector,并命名为可执行的二进制文件InspectorSsmPlugin.exe

创建以下文件位置是为了存储 Amazon Ins SSM pector 插件收集的数据:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

默认情况下,Amazon Ins SSM pector 插件的运行优先级低于正常水平。

注意

您可以使用 … Windows 具有 “默认主机管理配置” 设置的实例。但是,您必须创建具有ssm:PutInventory权限的实例配置文件

卸载 Amazon Inspect SSM or 插件

如果无意中删除了该InspectorSsmPlugin.exe文件,则该InspectorDistributor-do-not-deleteSSM协会将在下次重新安装该插件 Windows 扫描间隔。如果你想卸载 Amazon Ins SSM pector 插件,你可以使用AmazonInspector2-ConfigureInspectorSsmPlugin文档上的 “卸载” 操作。

此外,Amazon Ins SSM pector 插件将自动从所有插件中卸载 Windows 主机(如果您停用 Amazon EC2 扫描)。

注意

如果你在停用 Amazon Inspector 之前卸载了SSM代理,那么 Amazon Ins SSM pector 插件将保留在 Windows 主机,但将不再向 Amazon Ins SSM pector 插件发送数据。有关更多信息,请参阅 停用 Amazon Inspector

为设置自定义日程安排 Windows 实例扫描

您可以自定义两次之间的时间 Windows Amazon EC2 实例通过使用SSM为InvokeInspectorSsmPlugin-do-not-delete关联设置 cron 表达式或速率表达式进行扫描。有关更多信息,请参阅 AWS Systems Manager 用户指南中的参考:适用于 Systems Manager 的 cron 和 rate 表达式,或使用以下说明。

从以下代码示例中进行选择,以更改扫描节奏 Windows 使用速率表达式或 cron 表达式的实例从默认 6 小时到 12 小时不等。

以下示例要求您使用名AssociationId为的关联InvokeInspectorSsmPlugin-do-not-delete。你可以AssociationId通过运行以下 AWS CLI 命令来检索你的:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
注意

AssociationId是区域性的,因此您需要先为每个区域检索一个唯一的 ID AWS 区域。然后,您可以运行命令来更改要为其设置自定义扫描计划的每个区域的扫描节奏 Windows 实例。

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"