Escaneo de Windows EC2 instancias con Amazon Inspector - Amazon Inspector
Requisitos de los análisis de Amazon Inspector para instancias de WindowsConfiguración de programaciones personalizadas para análisis de instancias de Windows

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escaneo de Windows EC2 instancias con Amazon Inspector

Amazon Inspector detecta automáticamente todas las instancias de Windows compatibles y las incluye en análisis continuos sin que tenga que hacer nada más. Para obtener información sobre qué instancias son compatibles, consulte Sistemas operativos y lenguajes de programación admitidos por Amazon Inspector. Amazon Inspector ejecuta análisis de Windows en intervalos regulares. Las instancias de Windows se analizan en cuanto se detectan y, luego, cada 6 horas. Sin embargo, puede ajustar el intervalo de análisis predeterminado después del primer análisis.

Cuando se activa EC2 el escaneo de Amazon, Amazon Inspector crea las siguientes asociaciones de SSM para sus Windows recursos: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, yInvokeInspectorSsmPlugin-do-not-delete. Para instalar el complemento de SSM de Amazon Inspector en las instancias de Windows, la asociación de SSM InspectorDistributor-do-not-delete usa el documento de SSM AWS-ConfigureAWSPackage y el paquete del distribuidor de SSM AmazonInspector2-InspectorSsmPlugin. Para obtener más información, consulte el complemento SSM de Amazon Inspector para Windows. Para recopilar datos de instancias y generar resultados de Amazon Inspector, la asociación de SSM InvokeInspectorSsmPlugin-do-not-delete ejecuta el complemento de SSM de Amazon Inspector en intervalos de 6 horas. Sin embargo, puede personalizar esta configuración con una expresión cron o de frecuencia.

nota

Amazon Inspector clasifica los archivos de definición de Open Vulnerability and Assessment Language (OVAL) en el bucket de S3 inspector2-oval-prod-your-AWS-Region. El bucket de Amazon S3 contiene definiciones de OVAL que se utilizan en los análisis. Estas definiciones de OVAL no deberían modificarse. De lo contrario, Amazon Inspector no buscará nuevos CVEs cuando se publiquen.

Requisitos de los análisis de Amazon Inspector para instancias de Windows

Para analizar una instancia de Windows, Amazon Inspector requiere que la instancia cumpla con los siguientes criterios:

  • La instancia debe ser una instancia administrada en SSM. Para obtener las instrucciones de configuración de instancias para análisis, consulte Configuración del agente de SSM.

  • El sistema operativo de la instancia debe ser un sistema operativo compatible con Windows. Para ver una lista completa de los sistemas operativos admitidos, consulte Valores de estado de EC2 las instancias de Amazon.

  • La instancia ha instalado el complemento de SSM de Amazon Inspector. Amazon Inspector instala automáticamente el complemento de SSM de Amazon Inspector para las instancias administradas al detectarlas. Consulte la siguiente sección para obtener información acerca del complemento.

nota

Si el host se ejecuta en una Amazon VPC sin conexión externa a Internet, el análisis de Windows obliga a que el host pueda acceder a los puntos de conexión regionales de Amazon S3. Para aprender a configurar un punto de conexión de Amazon VPC en Amazon S3, consulte Creación de un punto de conexión de la puerta de enlace en la Guía del usuario de Amazon Virtual Private Cloud. Si su política de puntos de conexión de Amazon VPC restringe el acceso a buckets S3 externos, debe permitir específicamente el acceso al bucket que Amazon Inspector mantiene en su lugar y Región de AWS que almacena las definiciones de OVAL utilizadas para evaluar su instancia. Este bucket tiene el siguiente formato: inspector2-oval-prod-REGION.

Configuración de programaciones personalizadas para análisis de instancias de Windows

Puedes personalizar el tiempo entre los escaneos de tus EC2 instancias de Windows Amazon configurando una expresión cron o una expresión de velocidad para la InvokeInspectorSsmPlugin-do-not-delete asociación mediante SSM. Para obtener más información, consulte Referencia: expresiones cron y rate para Systems Manager en la Guía del usuario de AWS Systems Manager o utilice las siguientes instrucciones.

Seleccione uno de los siguientes ejemplos de código para modificar la cadencia de análisis de las instancias de Windows desde el valor predeterminado de 6 horas hasta 12 horas con una expresión de frecuencia o una expresión cron.

Los siguientes ejemplos requieren que utilices el nombre AssociationIdpara la asociación nombrada. InvokeInspectorSsmPlugin-do-not-delete Puede recuperar el suyo AssociationIdejecutando el siguiente AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

El AssociationIdes regional, por lo que primero debes recuperar un identificador único para cada uno Región de AWS. A continuación, ejecute el comando para modificar la cadencia de análisis en cada región donde quiera configurar una programación de análisis personalizada para las instancias de Windows.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"