Escaneo de Windows EC2 instancias con Amazon Inspector - Amazon Inspector
Requisitos de los análisis de Amazon Inspector para instancias de WindowsAcerca del SSM complemento Amazon Inspector para WindowsConfiguración de programaciones personalizadas para análisis de instancias de Windows

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escaneo de Windows EC2 instancias con Amazon Inspector

Amazon Inspector detecta automáticamente todas las instancias de Windows compatibles y las incluye en análisis continuos sin que tenga que hacer nada más. Para obtener información sobre las instancias compatibles, consulte Sistemas operativos y lenguajes de programación compatibles con Amazon Inspector. Amazon Inspector realiza Windows escaneos a intervalos regulares. Windowslas instancias se escanean en el momento de su detección y, después, cada 6 horas. Sin embargo, puede ajustar el intervalo de escaneo predeterminado después del primer escaneo.

Cuando se activa EC2 el escaneo de Amazon, Amazon Inspector crea las siguientes SSM asociaciones para sus Windows recursos: InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, yInvokeInspectorSsmPlugin-do-not-delete. Para instalar el SSM complemento Amazon Inspector en sus Windows instancias, la InspectorDistributor-do-not-delete SSM asociación utiliza el AWS-ConfigureAWSPackageSSMdocumento y el paquete AmazonInspector2-InspectorSsmPlugin SSM Distributor. Para obtener más información, consulte Acerca del SSM complemento Amazon Inspector para Windows. Para recopilar datos de instancias y generar las conclusiones de Amazon Inspector, la InvokeInspectorSsmPlugin-do-not-delete SSM asociación ejecuta el SSM complemento Amazon Inspector cada 6 horas. Sin embargo, puede personalizar esta configuración mediante una expresión cron o de tasa.

nota

Amazon Inspector coloca los archivos de definición actualizados de Open Vulnerability and Assessment Language (OVAL) en el bucket de S3inspector2-oval-prod-your-AWS-Region. El bucket de Amazon S3 contiene OVAL las definiciones que se utilizan en los escaneos. Estas OVAL definiciones no deben modificarse. De lo contrario, Amazon Inspector no buscará nuevos CVEs cuando se publiquen.

Requisitos de los análisis de Amazon Inspector para instancias de Windows

Para analizar una instancia de Windows, Amazon Inspector requiere que la instancia cumpla con los siguientes criterios:

  • La instancia es una instancia SSM gestionada. Para obtener las instrucciones de configuración de instancias para análisis, consulte Configuración del SSM agente.

  • El sistema operativo de la instancia debe ser un sistema operativo compatible con Windows. Para ver una lista completa de los sistemas operativos admitidos, consulte Sistemas operativos compatibles para el EC2 escaneo de Amazon.

  • La instancia tiene instalado el SSM complemento Amazon Inspector. Amazon Inspector instala automáticamente el SSM complemento Amazon Inspector para las instancias gestionadas al detectarlas. Consulte la siguiente sección para obtener información acerca del complemento.

nota

Si su host se ejecuta en un Amazon VPC sin acceso saliente a Internet, el Windows escaneo requiere que su anfitrión pueda acceder a los puntos de enlace regionales de Amazon S3. Para obtener información sobre cómo configurar un punto de VPC conexión Amazon S3, consulte Crear un punto de enlace de puerta de enlace en la Guía del usuario de Amazon Virtual Private Cloud. Si su política de VPC puntos de conexión de Amazon restringe el acceso a buckets S3 externos, debe permitir específicamente el acceso al bucket que Amazon Inspector mantiene en su servidor y Región de AWS que almacena las OVAL definiciones utilizadas para evaluar su instancia. Este bucket tiene el siguiente formato: inspector2-oval-prod-REGION.

Acerca del SSM complemento Amazon Inspector para Windows

El SSM complemento Amazon Inspector es necesario para que Amazon Inspector escanee sus Windows instancias. El SSM complemento Amazon Inspector se instala automáticamente en Windows C:\Program Files\Amazon\Inspector las instancias y el archivo binario ejecutable recibe un nombreInspectorSsmPlugin.exe.

Las siguientes ubicaciones de archivos se crean para almacenar los datos que recopila el SSM complemento Amazon Inspector:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

De forma predeterminada, el SSM complemento Amazon Inspector se ejecuta con una prioridad inferior a la normal.

nota

Puede escanear Windows instancias con la configuración de administración de hosts predeterminada. Sin embargo, debe crear un perfil de instancia y adjuntar el ssm:PutInventory permiso.

Desinstalar el complemento Amazon Inspector SSM

Si el InspectorSsmPlugin.exe archivo se elimina por error, la InspectorDistributor-do-not-delete SSM asociación volverá a instalar el complemento en el siguiente intervalo de escaneo. Windows Si quieres desinstalar el SSM plugin Amazon Inspector, puedes usar la acción Desinstalar del AmazonInspector2-ConfigureInspectorSsmPlugin documento.

Además, el SSM complemento Amazon Inspector se desinstalará automáticamente de todos los Windows hosts si desactivas el escaneo de AmazonEC2.

nota

Si desinstala el SSM agente antes de desactivar Amazon Inspector, el SSM complemento Amazon Inspector permanecerá en el Windows host pero ya no enviará datos al SSM complemento Amazon Inspector. Para obtener más información, consulte Desactivación de Amazon Inspector.

Configuración de programaciones personalizadas para análisis de instancias de Windows

Puede personalizar el tiempo entre los escaneos de sus EC2 instancias de Windows Amazon configurando una expresión cron o una expresión de frecuencia para la InvokeInspectorSsmPlugin-do-not-delete asociación que utiliceSSM. Para obtener más información, consulte Referencia: expresiones cron y rate para Systems Manager en la Guía del usuario de AWS Systems Manager o utilice las siguientes instrucciones.

Seleccione uno de los siguientes ejemplos de código para modificar la cadencia de análisis de las instancias de Windows desde el valor predeterminado de 6 horas hasta 12 horas con una expresión de frecuencia o una expresión cron.

Los siguientes ejemplos requieren que utilices el nombre AssociationIdpara la asociación nombradaInvokeInspectorSsmPlugin-do-not-delete. Puede recuperar el suyo AssociationIdejecutando el siguiente AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

El AssociationIdes regional, por lo que primero debes recuperar un identificador único para cada uno Región de AWS. A continuación, ejecute el comando para modificar la cadencia de análisis en cada región donde quiera configurar una programación de análisis personalizada para las instancias de Windows.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"