Auf Deep Inspection zugreifen oder diese deaktivieren Benutzerdefinierte Pfade für die Tiefeninspektion mit Amazon Inspector Benutzerdefinierte Zeitpläne für die Tiefeninspektion mit Amazon Inspector Unterstützte Programmiersprachen

Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances

Amazon Inspector erweitert die EC2 Scanabdeckung von Amazon um eine gründliche Inspektion. Mit einer gründlichen Inspektion erkennt Amazon Inspector Paketschwachstellen für Anwendungsprogrammiersprachenpakete in Ihren Linux-basierten EC2 Amazon-Instances. Amazon Inspector scannt Standardpfade für Programmiersprachen-Paketbibliotheken. Sie können jedoch zusätzlich zu den Pfaden, die Amazon Inspector standardmäßig scannt, benutzerdefinierte Pfade konfigurieren.

Anmerkung

Sie können Deep Inspection mit der Einstellung Standard-Host-Management-Konfiguration verwenden. Sie müssen jedoch eine Rolle erstellen oder verwenden, die mit den ssm:GetParameter Berechtigungen ssm:PutInventory und konfiguriert ist.

Um Deep Inspection-Scans für Ihre Linux-basierten EC2 Amazon-Instances durchzuführen, verwendet Amazon Inspector Daten, die mit dem Amazon Inspector SSM-Plugin gesammelt wurden. Um das Amazon Inspector SSM-Plug-In zu verwalten und Deep Inspection für Linux durchzuführen, erstellt Amazon Inspector automatisch die SSM-Verknüpfung InvokeInspectorLinuxSsmPlugin-do-not-delete in Ihrem Konto. Amazon Inspector sammelt alle 6 Stunden aktualisiertes Anwendungsinventar von Ihren Linux-basierten EC2 Amazon-Instances.

Anmerkung

Deep Inspection wird für Windows Mac-Instances nicht unterstützt.

In diesem Abschnitt wird beschrieben, wie Sie Amazon Inspector Deep Inspection für EC2 Amazon-Instances verwalten, einschließlich der Festlegung benutzerdefinierter Pfade für Amazon Inspector zum Scannen.

Themen

Auf Deep Inspection zugreifen oder diese deaktivieren
Benutzerdefinierte Pfade für die Tiefeninspektion mit Amazon Inspector
Benutzerdefinierte Zeitpläne für die Tiefeninspektion mit Amazon Inspector
Unterstützte Programmiersprachen

Auf Deep Inspection zugreifen oder diese deaktivieren

Anmerkung

Für Konten, die Amazon Inspector nach dem 17. April 2023 aktivieren, wird die Tiefeninspektion automatisch als Teil des EC2 Amazon-Scannings aktiviert.

Um die Tiefeninspektion zu verwalten

Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home
Wählen Sie im Navigationsbereich Allgemeine Einstellungen und dann EC2 Amazon-Scaneinstellungen aus.
Unter Deep Inspection of Amazon EC2 Instance können Sie benutzerdefinierte Pfade für Ihre Organisation oder für Ihr eigenes Konto festlegen.

Sie können den Aktivierungsstatus programmgesteuert für ein einzelnes Konto mit der GetEcDeepInspectionConfiguration2-API überprüfen. Sie können den Aktivierungsstatus programmgesteuert für mehrere Konten mit der API überprüfen. BatchGetMemberEc2DeepInspectionStatus

Wenn Sie Amazon Inspector vor dem 17. April 2023 aktiviert haben, können Sie Deep Inspection über das Konsolenbanner oder die UpdateEc2DeepInspectionConfigurationAPI aktivieren. Wenn Sie der delegierte Administrator für eine Organisation in Amazon Inspector sind, können Sie die BatchUpdateMemberEc2DeepInspectionStatusAPI verwenden, um Deep Inspection für sich und Ihre Mitgliedskonten zu aktivieren.

Sie können Deep Inspection über die UpdateEc2DeepInspectionConfigurationAPI deaktivieren. Mitgliedskonten in einer Organisation können Deep Inspection nicht deaktivieren. Stattdessen muss das Mitgliedskonto von seinem delegierten Administrator mithilfe der BatchUpdateMemberEc2DeepInspectionStatusAPI deaktiviert werden.

Benutzerdefinierte Pfade für die Tiefeninspektion mit Amazon Inspector

Sie können benutzerdefinierte Pfade festlegen, damit Amazon Inspector bei der Tiefeninspektion Ihrer EC2 Linux-Amazon-Instances scannt. Wenn Sie einen benutzerdefinierten Pfad festlegen, scannt Amazon Inspector Pakete in diesem Verzeichnis und allen Unterverzeichnissen darin.

Alle Konten können bis zu 5 benutzerdefinierte Pfade definieren. Der delegierte Administrator einer Organisation kann 10 benutzerdefinierte Pfade definieren.

Amazon Inspector scannt alle benutzerdefinierten Pfade zusätzlich zu den folgenden Standardpfaden, die Amazon Inspector für alle Konten scannt:

/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64

Anmerkung

Benutzerdefinierte Pfade müssen lokale Pfade sein. Amazon Inspector scannt keine zugewiesenen Netzwerkpfade, wie z. B. Netzwerkdateisystem-Mounts oder Amazon S3 S3-Dateisystem-Mounts.

Formatieren benutzerdefinierter Pfade

Ein benutzerdefinierter Pfad darf nicht länger als 256 Zeichen sein. Im Folgenden finden Sie ein Beispiel dafür, wie ein benutzerdefinierter Pfad aussehen könnte:

Beispiel für einen Pfad

/home/usr1/project01

Anmerkung

Das Paketlimit pro Instanz beträgt 5.000. Die maximale Zeit für die Erfassung des Paketinventars beträgt 15 Minuten. Amazon Inspector empfiehlt, benutzerdefinierte Pfade zu wählen, um diese Beschränkungen zu umgehen.

Einen benutzerdefinierten Pfad in der Amazon Inspector Inspector-Konsole und mit der Amazon Inspector Inspector-API einrichten

Die folgenden Verfahren beschreiben, wie Sie einen benutzerdefinierten Pfad für Amazon Inspector Deep Inspection in der Amazon Inspector Inspector-Konsole und mit der Amazon Inspector Inspector-API festlegen. Nachdem Sie einen benutzerdefinierten Pfad festgelegt haben, nimmt Amazon Inspector den Pfad in die nächste Tiefeninspektion auf.

Benutzerdefinierte Zeitpläne für die Tiefeninspektion mit Amazon Inspector

Standardmäßig erfasst Amazon Inspector alle 6 Stunden ein Anwendungsinventar von EC2 Amazon-Instances. Sie können jedoch die folgenden Befehle ausführen, um zu steuern, wie oft Amazon Inspector dies tut.

Beispielbefehl 1: Zuordnungen auflisten, um die Zuordnungs-ID und das aktuelle Intervall anzuzeigen

Der folgende Befehl zeigt die Zuordnungs-ID für die Assoziation anInvokeInspectorLinuxSsmPlugin-do-not-delete.


aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Beispielbefehl 2: Die Zuordnung so aktualisieren, dass sie ein neues Intervall einschließt

Der folgende Befehl verwendet die Zuordnungs-ID für die ZuordnungInvokeInspectorLinuxSsmPlugin-do-not-delete. Sie können die Rate für einen Zeitraum schedule-expression zwischen 6 Stunden und einem neuen Intervall, z. B. 12 Stunden, festlegen.


aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

Anmerkung

Je nach Anwendungsfall können Sie das tägliche SSM-Inventarlimit überschreiten, wenn Sie den Tarif für schedule-expression einen Tarif zwischen 6 Stunden und einem Intervall wie 30 Minuten festlegen. Dies führt zu verzögerten Ergebnissen und es kann vorkommen, dass EC2 Amazon-Instances mit teilweisem Fehlerstatus auftreten.

Unterstützte Programmiersprachen

Bei Linux-Instances kann Amazon Inspector Deep Inspector Ergebnisse für Anwendungsprogrammiersprachenpakete und Betriebssystempakete liefern.

Bei Mac- und Windows-Instances kann Amazon Inspector Deep Inspector nur Ergebnisse für Betriebssystempakete liefern.

Weitere Informationen zu unterstützten Programmiersprachen finden Sie unter Unterstützte Programmiersprachen: Amazon EC2 Deep Inspection.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Scannen Amazon EC2 Amazon-Instanzen

Windows EC2 Instanz wird gescannt