Numérisation Windows EC2 d'instances avec Amazon Inspector - Amazon Inspector
Exigences relatives au scan d'Amazon Inspector pour les Windows instancesÀ propos du SSM plugin Amazon Inspector pour WindowsDéfinition de plannings personnalisés pour les scans Windows par exemple

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation Windows EC2 d'instances avec Amazon Inspector

Amazon Inspector découvre automatiquement toutes les Windows instances prises en charge et les inclut dans le scan continu sans aucune action supplémentaire. Pour plus d'informations sur les instances prises en charge, consultez Systèmes d'exploitation et langages de programmation pris en charge par Amazon Inspector. Amazon Inspector exécute Windows des scans à intervalles réguliers. Windowsles instances sont scannées lors de leur découverte, puis toutes les 6 heures. Vous pouvez toutefois ajuster l'intervalle de numérisation par défaut après le premier scan.

Lorsque Amazon EC2 Scanning est activé, Amazon Inspector crée les SSM associations suivantes pour vos Windows ressources : InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, etInvokeInspectorSsmPlugin-do-not-delete. Pour installer le SSM plug-in Amazon Inspector sur vos Windows instances, l'InspectorDistributor-do-not-deleteSSMassociation utilise le AWS-ConfigureAWSPackageSSMdocument et le package AmazonInspector2-InspectorSsmPlugin SSM Distributor. Pour plus d’informations, consultez À propos du SSM plugin Amazon Inspector pour Windows. Pour collecter les données d'instance et générer les résultats d'Amazon Inspector, l'InvokeInspectorSsmPlugin-do-not-deleteSSMassociation exécute le SSM plugin Amazon Inspector toutes les 6 heures. Vous pouvez toutefois personnaliser ce paramètre à l'aide d'une expression cron ou rate.

Note

Amazon Inspector place les fichiers de définition Open Vulnerability and Assessment Language (OVAL) mis à jour dans le compartiment S3inspector2-oval-prod-your-AWS-Region. Le compartiment Amazon S3 contient OVAL les définitions utilisées dans les scans. Ces OVAL définitions ne doivent pas être modifiées. Dans le cas contraire, Amazon Inspector ne recherchera pas de nouveaux CVEs produits lors de leur sortie.

Exigences relatives au scan d'Amazon Inspector pour les Windows instances

Pour scanner une Windows instance, Amazon Inspector exige que celle-ci réponde aux critères suivants :

  • L'instance est une instance SSM gérée. Pour obtenir des instructions sur la configuration de votre instance pour la numérisation, consultezConfiguration de l'SSMagent.

  • Le système d'exploitation de l'instance est l'un des systèmes Windows d'exploitation pris en charge. Pour obtenir la liste complète des systèmes d'exploitation pris en charge, consultezSystèmes d'exploitation pris en charge pour Amazon EC2 Scanning.

  • Le SSM plug-in Amazon Inspector est installé sur l'instance. Amazon Inspector installe automatiquement le SSM plug-in Amazon Inspector pour les instances gérées lors de la découverte. Consultez la rubrique suivante pour plus de détails sur le plugin.

Note

Si votre hôte fonctionne sur un Amazon VPC sans accès Internet sortant, le Windows scan nécessite que votre hôte soit en mesure d'accéder aux points de terminaison Amazon S3 régionaux. Pour savoir comment configurer un point de VPC terminaison Amazon S3, consultez la section Créer un point de terminaison de passerelle dans le guide de l'utilisateur Amazon Virtual Private Cloud. Si votre politique de point de VPC terminaison Amazon restreint l'accès aux compartiments S3 externes, vous devez spécifiquement autoriser l'accès au compartiment géré par Amazon Inspector Région AWS qui stocke les OVAL définitions utilisées pour évaluer votre instance. Ce compartiment a le format suivant :inspector2-oval-prod-REGION.

À propos du SSM plugin Amazon Inspector pour Windows

Le SSM plug-in Amazon Inspector est nécessaire pour qu'Amazon Inspector puisse scanner vos Windows instances. Le SSM plug-in Amazon Inspector est automatiquement installé sur vos Windows instances dansC:\Program Files\Amazon\Inspector, et le fichier binaire exécutable est nomméInspectorSsmPlugin.exe.

Les emplacements de fichiers suivants sont créés pour stocker les données collectées par le SSM plug-in Amazon Inspector :

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Par défaut, le SSM plug-in Amazon Inspector s'exécute avec une priorité inférieure à la normale.

Note

Vous pouvez scanner Windows les instances à l'aide du paramètre de configuration de gestion d'hôte par défaut. Toutefois, vous devez créer un profil d'instance et y associer l'ssm:PutInventoryautorisation.

Désinstaller le plugin Amazon Inspector SSM

Si le InspectorSsmPlugin.exe fichier est supprimé par inadvertance, l'InspectorDistributor-do-not-deleteSSMassociation réinstallera le plug-in au prochain intervalle d'Windowsanalyse. Si vous souhaitez désinstaller le SSM plug-in Amazon Inspector, vous pouvez utiliser l'action Désinstaller du AmazonInspector2-ConfigureInspectorSsmPlugin document.

En outre, le SSM plugin Amazon Inspector sera automatiquement désinstallé de tous les Windows hôtes si vous désactivez le EC2 scan Amazon.

Note

Si vous désinstallez l'SSMagent avant de désactiver Amazon Inspector, le SSM plug-in Amazon Inspector restera sur l'Windowshôte mais n'enverra plus de données au SSM plug-in Amazon Inspector. Pour plus d’informations, consultez Désactivation d'Amazon Inspector.

Définition de plannings personnalisés pour les scans Windows par exemple

Vous pouvez personnaliser le délai entre les scans de votre EC2 instance Windows Amazon en définissant une expression cron ou une expression de débit pour l'InvokeInspectorSsmPlugin-do-not-deleteassociation à utiliserSSM. Pour plus d'informations, reportez-vous à la section Reference : Cron and rate expressions for Systems Manager dans le guide de AWS Systems Manager l'utilisateur ou suivez les instructions suivantes.

Sélectionnez l'un des exemples de code suivants pour modifier la cadence de numérisation des Windows instances de 6 heures par défaut à 12 heures à l'aide d'une expression de débit ou d'une expression cron.

Dans les exemples suivants, vous devez utiliser le AssociationIdpour l'association nomméeInvokeInspectorSsmPlugin-do-not-delete. Vous pouvez récupérer votre AssociationIden exécutant la AWS CLI commande suivante :

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Note

AssociationIdC'est régional, vous devez donc d'abord récupérer un identifiant unique pour chacun Région AWS. Vous pouvez ensuite exécuter la commande pour modifier la cadence de numérisation dans chaque région où vous souhaitez définir un calendrier de scan personnalisé pour les Windows instances.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"