Scansione Windows EC2 delle istanze con Amazon Inspector - Amazon Inspector
Requisiti di scansione di Amazon Inspector per le istanze WindowsImpostazione di pianificazioni personalizzate, Windows ad esempio scansioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansione Windows EC2 delle istanze con Amazon Inspector

Amazon Inspector rileva automaticamente tutte le Windows istanze supportate e le include nella scansione continua senza azioni aggiuntive. Per informazioni sulle istanze supportate, consulta Sistemi operativi e linguaggi di programmazione supportati da Amazon Inspector. Amazon Inspector esegue le Windows scansioni a intervalli regolari. Windowsle istanze vengono scansionate al momento del rilevamento e successivamente ogni 6 ore. Tuttavia, è possibile regolare l'intervallo di scansione predefinito dopo la prima scansione.

Quando Amazon EC2 scan è attivato, Amazon Inspector crea le seguenti associazioni SSM per le tue Windows risorse:InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e. InvokeInspectorSsmPlugin-do-not-delete Per installare il plug-in Amazon Inspector SSM sulle tue Windows istanze, l'associazione SSM utilizza il documento InspectorDistributor-do-not-delete SSM e il pacchetto AWS-ConfigureAWSPackage SSM Distributor. AmazonInspector2-InspectorSsmPlugin Per ulteriori informazioni, consulta il plugin Amazon Inspector SSM per. Windows Per raccogliere dati sulle istanze e generare risultati di Amazon Inspector, l'associazione InvokeInspectorSsmPlugin-do-not-delete SSM esegue il plug-in Amazon Inspector SSM a intervalli di 6 ore. Tuttavia, puoi personalizzare questa impostazione utilizzando un cron o un'espressione rate.

Nota

Amazon Inspector inserisce i file di definizione Open Vulnerability and Assessment Language (OVAL) aggiornati nel bucket S3. inspector2-oval-prod-your-AWS-Region Il bucket Amazon S3 contiene le definizioni OVAL utilizzate nelle scansioni. Queste definizioni OVAL non devono essere modificate. In caso contrario, Amazon Inspector non ne cercherà di nuovi al CVEs momento del rilascio.

Requisiti di scansione di Amazon Inspector per le istanze Windows

Per eseguire la scansione di un'Windowsistanza, Amazon Inspector richiede che l'istanza soddisfi i seguenti criteri:

  • L'istanza è un'istanza gestita da SSM. Per istruzioni sulla configurazione dell'istanza per la scansione, consultaConfigurazione dell'agente SSM.

  • Il sistema operativo dell'istanza è uno dei sistemi Windows operativi supportati. Per un elenco completo dei sistemi operativi supportati, vedereValori di stato EC2 delle istanze Amazon.

  • Nell'istanza è installato il plug-in Amazon Inspector SSM. Amazon Inspector installa automaticamente il plug-in Amazon Inspector SSM per le istanze gestite al momento del rilevamento. Per informazioni dettagliate sul plug-in, consulta l'argomento successivo.

Nota

Se l'host è in esecuzione su un Amazon VPC senza accesso a Internet in uscita, Windows la scansione richiede che l'host sia in grado di accedere agli endpoint Amazon S3 regionali. Per informazioni su come configurare un endpoint Amazon VPC Amazon S3, consulta Creare un endpoint gateway nella Amazon Virtual Private Cloud User Guide. Se la tua policy sugli endpoint di Amazon VPC limita l'accesso ai bucket S3 esterni, devi specificamente consentire l'accesso al bucket gestito da Amazon Inspector nel Regione AWS tuo che memorizza le definizioni OVAL utilizzate per valutare l'istanza. Questo bucket ha il seguente formato:. inspector2-oval-prod-REGION

Impostazione di pianificazioni personalizzate, Windows ad esempio scansioni

Puoi personalizzare l'intervallo tra le scansioni delle tue EC2 istanze Windows Amazon impostando un'espressione cron o un'espressione rate per l'InvokeInspectorSsmPlugin-do-not-deleteassociazione tramite SSM. Per ulteriori informazioni, consultate Reference: Cron and rate expressions for Systems Manager nella Guida per l'AWS Systems Manager utente o utilizzate le seguenti istruzioni.

Seleziona uno dei seguenti esempi di codice per modificare la cadenza di scansione per Windows le istanze da 6 ore predefinita a 12 ore utilizzando un'espressione rate o un'espressione cron.

Gli esempi seguenti richiedono l'utilizzo di AssociationIdfor l'associazione denominata. InvokeInspectorSsmPlugin-do-not-delete È possibile recuperare il file AssociationIdeseguendo il AWS CLI comando seguente:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Nota

AssociationIdÈ regionale, quindi devi prima recuperare un ID univoco per ciascuno. Regione AWSÈ quindi possibile eseguire il comando per modificare la cadenza di scansione in ciascuna regione in cui si desidera impostare una pianificazione di scansione personalizzata per Windows le istanze.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"