Digitalizando Windows EC2 instâncias com o Amazon Inspector - Amazon Inspector
Requisitos de verificação do Amazon Inspector para instâncias do WindowsDefinir horários personalizados para verificações de instâncias do Windows

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Digitalizando Windows EC2 instâncias com o Amazon Inspector

O Amazon Inspector descobre automaticamente todas as instâncias com suporte do Windows e as inclui na verificação contínua sem nenhuma ação extra. Para ter informações sobre quais instâncias são compatíveis, consulte Operating systems and programming languages supported by Amazon Inspector. O Amazon Inspector executa verificações do Windows em intervalos regulares. As instâncias do Windows são verificadas no momento da descoberta e depois a cada 6 horas. No entanto, você pode ajustar o intervalo de verificação padrão após a primeira verificação.

Quando o Amazon EC2 Scanning é ativado, o Amazon Inspector cria as seguintes associações SSM para seus Windows recursos:InspectorDistributor-do-not-delete,, e. InspectorInventoryCollection-do-not-delete InvokeInspectorSsmPlugin-do-not-delete Para instalar o plug-in do SSM do Amazon Inspector em suas instâncias do Windows, a associação InspectorDistributor-do-not-delete do SSM usa o documento AWS-ConfigureAWSPackage do SSM e o pacote AmazonInspector2-InspectorSsmPlugin do SSM Distributor. Para obter mais informações, consulte O plugin Amazon Inspector SSM para. Windows A associação InvokeInspectorSsmPlugin-do-not-delete do SSM executa o plug-in do SSM do Amazon Inspector em intervalos de 6 horas para coletar dados da instância e gerar descobertas do Amazon Inspector. No entanto, você pode personalizar isso definindo uma expressão cron ou uma expressão rate.

nota

O Amazon Inspector envia arquivos de definição de OVAL (Linguagem Aberta de Determinação de Vulnerabilidade) atualizados para o bucket S3 em inspector2-oval-prod-your-AWS-Region. O bucket do Amazon S3 contém definições OVAL usadas nas verificações. Essas definições de OVAL não devem ser modificadas. Caso contrário, o Amazon Inspector não procurará novos CVEs quando eles forem lançados.

Requisitos de verificação do Amazon Inspector para instâncias do Windows

Para verificar uma instância do Windows, o Amazon Inspector exige que a instância atenda aos seguintes critérios:

  • A instância é uma instância gerenciada por SSM. Para obter instruções sobre como configurar sua instância para verificação, consulte Configurar o atendente do SSM.

  • O sistema operacional da instância é um dos sistemas operacionais com suporte pelo Windows. Para obter uma lista completa de sistemas operacionais com suporte, consulte Valores de status das EC2 instâncias da Amazon.

  • A instância tem o plug-in do SSM do Amazon Inspector instalado. O Amazon Inspector instala automaticamente o plug-in do SSM do Amazon Inspector para instâncias gerenciadas após a descoberta. Consulte o próximo tópico para obter detalhes sobre o plug-in.

nota

Se seu host estiver sendo executado em um Amazon VPC sem acesso de saída à Internet, a verificação do Windows exige que seu host consiga acessar endpoints regionais do Amazon S3. Para saber como configurar um endpoint da Amazon VPC do Amazon S3, consulte Criar um endpoint de gateway no Guia do usuário da Amazon Virtual Private Cloud. Se a sua política de endpoint do Amazon VPC está restringindo o acesso a buckets S3 externos, você deve permitir especificamente o acesso ao bucket mantido pelo Amazon Inspector no seu Região da AWS que armazena as definições OVAL usadas para avaliar sua instância. Este bucket tem o seguinte formato: inspector2-oval-prod-REGION.

Definir horários personalizados para verificações de instâncias do Windows

Você pode personalizar o tempo entre as verificações de sua EC2 instância Windows da Amazon definindo uma expressão cron ou uma expressão de taxa para a InvokeInspectorSsmPlugin-do-not-delete associação usando SSM. Para obter mais informações, consulte Referência: expressão cron e expressão rate para Gerenciador de Sistemas no Guia do usuário do AWS Systems Manager ou use as instruções a seguir.

Selecione um dos exemplos de código a seguir para alterar a cadência de verificação das instâncias do Windows das 6 horas padrão para 12 horas usando uma expressão rate ou uma expressão cron.

Os exemplos a seguir exigem que você use o AssociationIdpara a associação chamadaInvokeInspectorSsmPlugin-do-not-delete. Você pode recuperar seu AssociationIdexecutando o seguinte AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

AssociationIdÉ regional, então você precisa primeiro recuperar uma ID exclusiva para cada Região da AWS um. Em seguida, execute o comando para alterar a cadência de verificação em cada região a ser definida um cronograma de verificação personalizado para as instâncias do Windows.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"