Windows EC2 Instanzen mit Amazon Inspector scannen - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Windows EC2 Instanzen mit Amazon Inspector scannen

Amazon Inspector erkennt automatisch alle unterstützten Windows Instances und nimmt sie ohne zusätzliche Aktionen in kontinuierliche Scans auf. Informationen darüber, welche Instances unterstützt werden, finden Sie unter Von Amazon Inspector unterstützte Betriebssysteme und Programmiersprachen. Amazon Inspector führt in regelmäßigen Abständen Windows Scans durch. WindowsInstances werden bei Entdeckung und dann alle 6 Stunden gescannt. Sie können das Standard-Scan-Intervall jedoch nach dem ersten Scan anpassen.

Wenn EC2 Amazon-Scanning aktiviert ist, erstellt Amazon Inspector die folgenden SSM-Verknüpfungen für Ihre Windows Ressourcen: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, undInvokeInspectorSsmPlugin-do-not-delete. Um das Amazon Inspector SSM-Plugin auf Ihren Windows Instances zu installieren, verwendet die InspectorDistributor-do-not-delete SSM-Zuordnung das AWS-ConfigureAWSPackageSSM-Dokument und das AmazonInspector2-InspectorSsmPluginSSM Distributor-Paket. Weitere Informationen finden Sie unter Das Amazon Inspector SSM-Plugin für Windows. Um Instance-Daten zu sammeln und Amazon Inspector-Ergebnisse zu generieren, führt die InvokeInspectorSsmPlugin-do-not-delete SSM-Vereinigung das Amazon Inspector SSM-Plugin in Intervallen von 6 Stunden aus. Sie können diese Einstellung jedoch mithilfe eines Cron- oder Rate-Ausdrucks anpassen.

Anmerkung

Amazon Inspector stellt aktualisierte OVAL-Definitionsdateien (Open Vulnerability and Assessment Language) im S3-Bucket bereitinspector2-oval-prod-your-AWS-Region. Der Amazon S3 S3-Bucket enthält OVAL-Definitionen, die in Scans verwendet werden. Diese OVAL-Definitionen sollten nicht geändert werden. Andernfalls sucht Amazon Inspector bei der Veröffentlichung nicht nach neuen CVEs Produkten.

Amazon Inspector-Scananforderungen für Windows Instances

Um eine Windows Instance zu scannen, setzt Amazon Inspector voraus, dass die Instance die folgenden Kriterien erfüllt:

  • Die Instance ist eine von SSM verwaltete Instance. Anweisungen zum Einrichten Ihrer Instanz für das Scannen finden Sie unterDen SSM-Agenten konfigurieren.

  • Das Instanzbetriebssystem ist eines der unterstützten Windows Betriebssysteme. Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unterStatuswerte für EC2 Amazon-Instances.

  • Auf der Instance ist das Amazon Inspector SSM-Plugin installiert. Amazon Inspector installiert bei Entdeckung automatisch das Amazon Inspector SSM-Plugin für verwaltete Instances. Einzelheiten zum Plugin finden Sie im nächsten Thema.

Anmerkung

Wenn Ihr Host in einer Amazon VPC ohne ausgehenden Internetzugang läuft, erfordert das Windows Scannen, dass Ihr Host auf regionale Amazon S3 S3-Endpunkte zugreifen kann. Informationen zur Konfiguration eines Amazon S3 S3-Amazon-VPC-Endpunkts finden Sie unter Erstellen eines Gateway-Endpunkts im Amazon Virtual Private Cloud-Benutzerhandbuch. Wenn Ihre Amazon VPC-Endpunktrichtlinie den Zugriff auf externe S3-Buckets einschränkt, müssen Sie ausdrücklich den Zugriff auf den von Amazon Inspector verwalteten Bucket in Ihrem zulassen AWS-Region , in dem die zur Bewertung Ihrer Instance verwendeten OVAL-Definitionen gespeichert sind. Dieser Bucket hat das folgende Format:. inspector2-oval-prod-REGION

Einstellung benutzerdefinierter Zeitpläne für Windows Instanzscans

Sie können die Zeit zwischen Ihren Windows EC2 Amazon-Instance-Scans anpassen, indem Sie einen Cron-Ausdruck oder einen Rate-Ausdruck für die InvokeInspectorSsmPlugin-do-not-delete Zuordnung mithilfe von SSM festlegen. Weitere Informationen finden Sie unter Referenz: Cron- und Rate-Ausdrücke für Systems Manager im AWS Systems Manager Benutzerhandbuch oder verwenden Sie die folgenden Anweisungen.

Wählen Sie eines der folgenden Codebeispiele aus, um die Scan-Taktfrequenz für Windows Instances von der Standardeinstellung 6 Stunden auf 12 Stunden zu ändern, indem Sie entweder einen Rate- oder einen Cron-Ausdruck verwenden.

In den folgenden Beispielen müssen Sie die AssociationIdfür die angegebene Assoziation verwenden. InvokeInspectorSsmPlugin-do-not-delete Sie können Ihre abrufen, AssociationIdindem Sie den folgenden AWS CLI Befehl ausführen:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Anmerkung

Da AssociationIdes sich um Regional handelt, müssen Sie zunächst für jede ID eine eindeutige ID abrufen AWS-Region. Anschließend können Sie den Befehl ausführen, um die Scanfrequenz in jeder Region zu ändern, in der Sie einen benutzerdefinierten Scan-Zeitplan für Windows Instances festlegen möchten.

Example rate expression
$ aws ssm update-association \ --association-id "YourAssociationId" \ --association-name "InvokeInspectorSsmPlugin-do-not-delete" \ --schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \ --association-id "YourAssociationId" \ --association-name "InvokeInspectorSsmPlugin-do-not-delete" \ --schedule-expression "cron(0 0/12 * * ? *)"