翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector による Windows EC2 インスタンスのスキャン
<a name="windows-scanning"></a>

 Amazon Inspector は、サポートされているすべて Windows インスタンスを自動的に検出し、追加のアクションなしで継続的スキャンにそれらを含めます。サポートされているインスタンスの詳細については、「[Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語](https://docs.aws.amazon.com/inspector/latest/user/supported.html)」を参照してください。Amazon Inspector は定期的に Windows スキャンを実行します。Windows インスタンスは検出時にスキャンされ、その後 6 時間ごとにスキャンされます。ただし、最初のスキャン後に[デフォルトのスキャン間隔を調整](https://docs.aws.amazon.com/inspector/latest/user/windows-scanning.html#windows-scan-schedule)できます。

 Amazon EC2 スキャンがアクティブ化されると、Amazon Inspector は Windows リソースに対して以下の SSM 関連付けを作成します: `InspectorDistributor-do-not-delete`、`InspectorInventoryCollection-do-not-delete` および `InvokeInspectorSsmPlugin-do-not-delete`。Windows インスタンスに Amazon Inspector SSM プラグインをインストールするため、`InspectorDistributor-do-not-delete` SSM 関連付けは、[`AWS-ConfigureAWSPackage` SSM ドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html)と [`AmazonInspector2-InspectorSsmPlugin` SSM Distributor パッケージ](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)を使用します。詳細については、「[Windows 向け Amazon Inspector SSM プラグイン](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#inspector/latest/user/deep-inspection.html)」を参照してください。インスタンスデータを収集し、Amazon Inspector の検出結果を生成するため、`InvokeInspectorSsmPlugin-do-not-delete` SSM 関連付けは Amazon Inspector SSM プラグインを 6 時間の間隔で実行します。ただし、[cron 式または rate 式を設定して、この設定をカスタマイズ](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)できます。

**注記**  
 Amazon Inspector は、更新されたオープン脆弱性評価言語 (OVAL) 定義ファイルを S3 バケット `inspector2-oval-prod-{{your-AWS-Region}}` にステージングします。Amazon S3 バケットには、スキャンで使用される OVAL 定義が含まれています。これらの OVAL 定義は変更しないでください。それ以外の場合、Amazon Inspector はリリース時に新しい CVE をスキャンしません。

## Windows インスタンの Amazon Inspector スキャン要件
<a name="windows-requirements"></a>

Windows インスタンスをスキャンするには、Amazon Inspector ではインスタンスが次の基準を満たす必要があります。
+ インスタンスは SSM マネージドインスタンスです。インスタンスをスキャン用に設定する手順については、「[SSM Agent の設定](scanning-ec2.md#configure-ssm)」を参照してください。
+ インスタンスオペレーティングシステムは、サポートされている Windows オペレーティングシステムの 1 つです。サポートされているオペレーティングシステムの完全なリストについては、「[Amazon EC2 インスタンスのステータス値サポートされているオペレーティングシステム: Amazon EC2スキャン](supported.md#supported-os-ec2)」を参照してください。
+ インスタンスには Amazon Inspector SSM プラグインがインストールされています。Amazon Inspector は、マネージドインスタンスの検出時に Amazon Inspector SSM プラグインを自動的にインストールします。プラグインの詳細については、次のトピックを参照してください。

**注記**  
ホストがインターネットにアクセスできない Amazon VPC で動作している場合、Windows スキャンでは、ホストがリージョンの Amazon S3 エンドポイントにアクセスできる必要があります。Amazon S3 Amazon VPC エンドポイントの設定方法については、「*Amazon Virtual Private Cloud User Guide*」の「[Create a gateway endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)」を参照してください。Amazon VPC エンドポイントポリシーが外部 S3 バケットへのアクセスを制限している場合は、インスタンスの評価に使用される OVAL 定義 AWS リージョン を保存する で Amazon Inspector が管理するバケットへのアクセスを特に許可する必要があります。このバケットは次の形式になります。`inspector2-oval-prod-{{REGION}}`

## Windows インスタンススキャンのカスタムスケジュールの設定
<a name="windows-scan-schedule"></a>

SSM を使用して Windows 関連付けの cron 式または rate 式を設定することで、`InvokeInspectorSsmPlugin-do-not-delete` Amazon EC2 インスタンススキャンの間隔をカスタマイズできます。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[リファレンス: Systems Manager の Cron 式および rate 式](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)」を参照するか、次の手順を使用してください。

次のコード例から選択し、rate 式または cron 式を使用して Windows インスタンスのスキャン間隔をデフォルトの 6 時間から 12 時間に変更します。

次の例では、`InvokeInspectorSsmPlugin-do-not-delete` という名前の関連付けに **AssociationId** を使用する必要があります。以下の AWS CLI コマンドを実行して **AssociationId** を取得できます。

```
$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region {{us-east-1}}
```

**注記**  
**AssociationId** はリージョン別であるため、まずそれぞれの一意の ID を取得する必要があります AWS リージョン。その後、コマンドを実行して、Windows インスタンスのカスタムスキャンスケジュールを設定したい各リージョンのスキャン頻度を変更できます。

------
#### [ Example rate expression ]

```
$ aws ssm update-association \
--association-id "{{YourAssociationId}}" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
```

------
#### [ Example cron expression ]

```
$ aws ssm update-association \
--association-id "{{YourAssociationId}}" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"
```

------