Inspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2

Amazon Inspector étend la couverture EC2 d'Amazon en y incluant une inspection approfondie. Grâce à une inspection approfondie, Amazon Inspector détecte les vulnérabilités des packages de langage de programmation d'applications dans vos instances Amazon EC2 basées sur Linux. Amazon Inspector analyse les chemins par défaut pour les bibliothèques de packages de langage de programmation. Cependant, vous pouvez configurer des chemins personnalisés en plus des chemins analysés par défaut par Amazon Inspector.

Note

Vous pouvez utiliser une inspection approfondie avec le paramètre de configuration de gestion d'hôte par défaut. Toutefois, vous devez créer ou utiliser un rôle configuré avec les ssm:GetParameter autorisations ssm:PutInventory et.

Pour effectuer des analyses d'inspection approfondies pour vos instances Amazon basées sur Linux, EC2 Amazon Inspector utilise les données collectées à l'aide du plugin Amazon Inspector SSM. Pour gérer le plug-in Amazon Inspector SSM et effectuer une inspection approfondie pour Linux, Amazon Inspector crée automatiquement l'association SSM InvokeInspectorLinuxSsmPlugin-do-not-delete dans votre compte. Amazon Inspector collecte l'inventaire des applications mis à jour à partir de vos instances EC2 Amazon basées sur Linux toutes les 6 heures.

Note

L'inspection approfondie n'est pas prise en charge pour Windows ou des instances Mac.

Cette section explique comment gérer l'inspection approfondie d'Amazon Inspector pour les EC2 instances Amazon, notamment comment définir des chemins personnalisés à scanner par Amazon Inspector.

Accès ou désactivation de l'inspection approfondie

Note

Pour les comptes qui activent Amazon Inspector après le 17 avril 2023, l'inspection approfondie est automatiquement activée dans le cadre du EC2 scan Amazon.

Pour gérer une inspection approfondie

1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home

2. Dans le volet de navigation, choisissez Paramètres généraux, puis sélectionnez Paramètres de EC2 numérisation Amazon.

3. Dans le cadre de l'inspection approfondie de l' EC2 instance Amazon, vous pouvez définir des chemins personnalisés pour votre organisation ou pour votre propre compte.

Vous pouvez vérifier l'état d'activation par programmation d'un seul compte grâce à l'API GetEc2. DeepInspectionConfiguration Vous pouvez vérifier le statut d'activation de plusieurs comptes par programme à l'aide du BatchGetMemberEc2DeepInspectionStatusAPI.

Si vous avez activé Amazon Inspector avant le 17 avril 2023, vous pouvez activer l'inspection approfondie via la bannière de la console ou le UpdateEc2DeepInspectionConfigurationAPI. Si vous êtes l'administrateur délégué d'une organisation dans Amazon Inspector, vous pouvez utiliser le BatchUpdateMemberEc2DeepInspectionStatusAPI pour activer une inspection approfondie pour vous-même et vos comptes membres.

Vous pouvez désactiver l'inspection approfondie par le biais du UpdateEc2DeepInspectionConfigurationAPI. Les comptes membres d'une organisation ne peuvent pas désactiver l'inspection approfondie. Le compte du membre doit plutôt être désactivé par son administrateur délégué à l'aide du BatchUpdateMemberEc2DeepInspectionStatusAPI.

Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector

Vous pouvez définir des chemins personnalisés à scanner par Amazon Inspector lors d'une inspection approfondie de vos EC2 instances Amazon Linux. Lorsque vous définissez un chemin personnalisé, Amazon Inspector analyse les packages de ce répertoire et tous les sous-répertoires qu'il contient.

Tous les comptes peuvent définir jusqu'à 5 chemins personnalisés. L'administrateur délégué d'une organisation peut définir 10 chemins personnalisés.

Amazon Inspector analyse tous les chemins personnalisés en plus des chemins par défaut suivants, qu'Amazon Inspector analyse pour tous les comptes :

• /usr/lib

• /usr/lib64

• /usr/local/lib

• /usr/local/lib64

Note

Les chemins personnalisés doivent être des chemins locaux. Amazon Inspector n'analyse pas les chemins réseau mappés, tels que les montages du système de fichiers réseau ou les montages du système de fichiers Amazon S3.

Formatage de chemins personnalisés

Un chemin personnalisé ne peut pas comporter plus de 256 caractères. Voici un exemple de ce à quoi peut ressembler un chemin personnalisé :

Exemple de chemin

/home/usr1/project01

Note

La limite de packages par instance est de 5 000. La durée maximale de collecte de l'inventaire des colis est de 15 minutes. Amazon Inspector vous recommande de choisir des chemins personnalisés pour éviter ces limites.

Définition d'un chemin personnalisé dans la console Amazon Inspector et avec l'API Amazon Inspector

Les procédures suivantes décrivent comment définir un chemin personnalisé pour l'inspection approfondie d'Amazon Inspector dans la console Amazon Inspector et avec l'API Amazon Inspector. Une fois que vous avez défini un chemin personnalisé, Amazon Inspector inclut ce chemin dans l'inspection approfondie suivante.

Console

1. Connectez-vous en AWS Management Console tant qu'administrateur délégué et ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home

2. Utilisez le Région AWS sélecteur pour choisir la région dans laquelle vous souhaitez activer le scan standard Lambda.

3. Dans le volet de navigation, choisissez Paramètres généraux, puis sélectionnez Paramètres de EC2 numérisation.

4. Sous Chemins personnalisés pour votre propre compte, choisissez Modifier.

5. Dans les zones de texte des chemins, entrez vos chemins personnalisés.

6. Choisissez Enregistrer.

API

Exécutez le UpdateEc2DeepInspectionConfigurationcommande. Pour packagePaths spécifier un tableau de chemins à scanner.

Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector

Par défaut, Amazon Inspector collecte un inventaire des applications auprès des EC2 instances Amazon toutes les 6 heures. Toutefois, vous pouvez exécuter les commandes suivantes pour contrôler la fréquence à laquelle Amazon Inspector effectue ces opérations.

Exemple de commande 1 : Répertorier les associations pour afficher l'ID d'association et l'intervalle actuel

La commande suivante indique l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete.

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Exemple de commande 2 : Mettre à jour l'association pour inclure un nouvel intervalle

La commande suivante utilise l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete. Vous pouvez définir le taux pour une période comprise schedule-expression entre 6 heures et un nouvel intervalle, par exemple 12 heures.

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

Note

Selon votre cas d'utilisation, si vous définissez le taux schedule-expression entre 6 heures et un intervalle de 30 minutes, vous pouvez dépasser la limite d'inventaire SSM quotidienne. Cela retarde les résultats et vous risquez de rencontrer des EC2 instances Amazon présentant des statuts d'erreur partiels.

Langages de programmation pris en charge

Pour les instances Linux, l'inspection approfondie d'Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications et les packages de système d'exploitation.

Pour les instances Mac et Windows, l'inspection approfondie d'Amazon Inspector peut produire des résultats uniquement pour les packages de systèmes d'exploitation.

Pour plus d'informations sur les langages de programmation pris en charge, consultez Langages de programmation pris en charge : Amazon EC2 Deep Inspection.