Numérisation Windows EC2 d'instances avec Amazon Inspector - Amazon Inspector
Exigences relatives au scan d'Amazon Inspector pour les Windows instancesDéfinition de plannings personnalisés pour les scans Windows par exemple

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation Windows EC2 d'instances avec Amazon Inspector

Amazon Inspector découvre automatiquement toutes les Windows instances prises en charge et les inclut dans le scan continu sans aucune action supplémentaire. Pour plus d'informations sur les instances prises en charge, consultez Systèmes d'exploitation et langages de programmation pris en charge par Amazon Inspector. Amazon Inspector exécute Windows des scans à intervalles réguliers. Windowsles instances sont scannées lors de leur découverte, puis toutes les 6 heures. Vous pouvez toutefois ajuster l'intervalle de numérisation par défaut après le premier scan.

Lorsque Amazon EC2 Scanning est activé, Amazon Inspector crée les associations SSM suivantes pour vos Windows ressources : InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete, etInvokeInspectorSsmPlugin-do-not-delete. Pour installer le plug-in Amazon Inspector SSM sur vos Windows instances, l'association InspectorDistributor-do-not-delete SSM utilise le document SSM et le AWS-ConfigureAWSPackageAmazonInspector2-InspectorSsmPlugin package SSM Distributor. Pour plus d'informations, consultez le plug-in Amazon Inspector SSM pour Windows. Pour collecter les données d'instance et générer les résultats d'Amazon Inspector, l'association InvokeInspectorSsmPlugin-do-not-delete SSM exécute le plug-in Amazon Inspector SSM toutes les 6 heures. Vous pouvez toutefois personnaliser ce paramètre à l'aide d'une expression cron ou rate.

Note

Amazon Inspector place les fichiers de définition OVAL (Open Vulnerability and Assessment Language) mis à jour dans le compartiment S3inspector2-oval-prod-your-AWS-Region. Le compartiment Amazon S3 contient les définitions OVAL utilisées dans les scans. Ces définitions OVAL ne doivent pas être modifiées. Dans le cas contraire, Amazon Inspector ne recherchera pas de nouveaux CVEs produits lors de leur sortie.

Exigences relatives au scan d'Amazon Inspector pour les Windows instances

Pour scanner une Windows instance, Amazon Inspector exige que celle-ci réponde aux critères suivants :

  • L'instance est une instance gérée par SSM. Pour obtenir des instructions sur la configuration de votre instance pour la numérisation, consultezConfiguration de l'agent SSM.

  • Le système d'exploitation de l'instance est l'un des systèmes Windows d'exploitation pris en charge. Pour obtenir la liste complète des systèmes d'exploitation pris en charge, consultezValeurs de statut des EC2 instances Amazon.

  • Le plug-in Amazon Inspector SSM est installé sur l'instance. Amazon Inspector installe automatiquement le plug-in Amazon Inspector SSM pour les instances gérées lors de la découverte. Consultez la rubrique suivante pour plus de détails sur le plugin.

Note

Si votre hôte fonctionne dans un Amazon VPC sans accès Internet sortant, le Windows scan nécessite que votre hôte soit en mesure d'accéder aux points de terminaison Amazon S3 régionaux. Pour savoir comment configurer un point de terminaison Amazon S3 Amazon VPC, consultez la section Créer un point de terminaison de passerelle dans le guide de l'utilisateur Amazon Virtual Private Cloud. Si votre politique de point de terminaison Amazon VPC restreint l'accès aux compartiments S3 externes, vous devez spécifiquement autoriser l'accès au compartiment géré par Amazon Inspector dans votre compartiment Région AWS qui stocke les définitions OVAL utilisées pour évaluer votre instance. Ce compartiment a le format suivant :inspector2-oval-prod-REGION.

Définition de plannings personnalisés pour les scans Windows par exemple

Vous pouvez personnaliser le délai entre les scans de votre EC2 instance Windows Amazon en définissant une expression cron ou une expression de débit pour l'InvokeInspectorSsmPlugin-do-not-deleteassociation à l'aide de SSM. Pour plus d'informations, reportez-vous à la section Reference : Cron and rate expressions for Systems Manager dans le guide de AWS Systems Manager l'utilisateur ou suivez les instructions suivantes.

Sélectionnez l'un des exemples de code suivants pour modifier la cadence de numérisation des Windows instances de 6 heures par défaut à 12 heures à l'aide d'une expression de débit ou d'une expression cron.

Dans les exemples suivants, vous devez utiliser le AssociationIdpour l'association nomméeInvokeInspectorSsmPlugin-do-not-delete. Vous pouvez récupérer votre AssociationIden exécutant la AWS CLI commande suivante :

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
Note

AssociationIdC'est régional, vous devez donc d'abord récupérer un identifiant unique pour chacun Région AWS. Vous pouvez ensuite exécuter la commande pour modifier la cadence de numérisation dans chaque région où vous souhaitez définir un calendrier de scan personnalisé pour les Windows instances.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"