Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memindai Windows EC2 instans dengan Amazon Inspector
Amazon Inspector secara otomatis menemukan semua Windows instans yang didukung dan menyertakannya dalam pemindaian berkelanjutan tanpa tindakan tambahan apa pun. Untuk informasi tentang instans mana yang didukung, lihat Sistem operasi dan bahasa pemrograman yang didukung oleh Amazon Inspector. Amazon Inspector menjalankan Windows pemindaian secara berkala. Windowscontoh dipindai pada penemuan dan kemudian setiap 6 jam. Namun, Anda dapat menyesuaikan interval pemindaian default setelah pemindaian pertama.
Saat EC2 pemindaian Amazon diaktifkan, Amazon Inspector membuat SSM asosiasi berikut untuk Windows sumber daya Anda:InspectorDistributor-do-not-delete
,InspectorInventoryCollection-do-not-delete
, dan. InvokeInspectorSsmPlugin-do-not-delete
Untuk menginstal SSM plugin Amazon Inspector pada Windows instans Anda, InspectorDistributor-do-not-delete
SSM asosiasi menggunakan AWS-ConfigureAWSPackage
SSMdokumen dan paket Distributor. AmazonInspector2-InspectorSsmPlugin
SSM Untuk informasi selengkapnya, lihat Tentang plugin Amazon Inspector SSM untuk Windows. Untuk mengumpulkan data instans dan menghasilkan temuan Amazon Inspector, InvokeInspectorSsmPlugin-do-not-delete
SSM asosiasi menjalankan plugin Amazon SSM Inspector pada interval 6 jam. Namun, Anda dapat menyesuaikan pengaturan ini menggunakan ekspresi cron atau rate.
catatan
Amazon Inspector akan memperbarui file definisi Open Vulnerability and Assessment Language (OVAL) ke bucket S3. inspector2-oval-prod-
Bucket Amazon S3 berisi OVAL definisi yang digunakan dalam pemindaian. OVALDefinisi ini tidak boleh dimodifikasi. Jika tidak, Amazon Inspector tidak akan memindai yang baru CVEs saat dirilis. your-AWS-Region
Persyaratan pemindaian Amazon Inspector untuk instans Windows
Untuk memindai Windows instance, Amazon Inspector mengharuskan instans memenuhi kriteria berikut:
-
Instance adalah instance SSM terkelola. Untuk petunjuk tentang pengaturan instans Anda untuk pemindaian, lihatMengkonfigurasi Agen SSM.
-
Sistem operasi instance adalah salah satu sistem Windows operasi yang didukung. Untuk daftar lengkap sistem operasi yang didukung, lihatSistem operasi yang didukung untuk EC2 pemindaian Amazon.
-
Instans memiliki SSM plugin Amazon Inspector diinstal. Amazon Inspector secara otomatis menginstal SSM plugin Amazon Inspector untuk instans terkelola setelah penemuan. Lihat topik berikutnya untuk detail tentang plugin.
catatan
Jika host Anda berjalan di Amazon VPC tanpa akses internet keluar, Windows pemindaian mengharuskan host Anda untuk dapat mengakses titik akhir Amazon S3 Regional. Untuk mempelajari cara mengonfigurasi titik akhir Amazon S3 Amazon, lihat Membuat VPC titik akhir gateway di Panduan Pengguna Amazon Virtual Private Cloud. Jika kebijakan VPC endpoint Amazon membatasi akses ke bucket S3 eksternal, Anda harus secara khusus mengizinkan akses ke bucket yang dikelola oleh Amazon Inspector yang menyimpan OVAL definisi Wilayah AWS yang digunakan untuk mengevaluasi instans Anda. Bucket ini memiliki format sebagai berikut:inspector2-oval-prod-
. REGION
Tentang plugin Amazon Inspector SSM untuk Windows
SSMPlugin Amazon Inspector diperlukan untuk Amazon Inspector untuk memindai instans Anda. Windows SSMPlugin Amazon Inspector diinstal secara otomatis pada Windows instance AndaC:\Program Files\Amazon\Inspector
, dan file biner yang dapat dieksekusi diberi nama. InspectorSsmPlugin.exe
Lokasi file berikut dibuat untuk menyimpan data yang dikumpulkan oleh SSM plugin Amazon Inspector:
-
C:\ProgramData\Amazon\Inspector\Input
-
C:\ProgramData\Amazon\Inspector\Output
-
C:\ProgramData\Amazon\Inspector\Logs
Secara default, SSM plugin Amazon Inspector berjalan di bawah prioritas normal.
catatan
Anda dapat memindai Windows instance dengan pengaturan Konfigurasi Manajemen Host Default. Namun, Anda harus membuat profil instance dan melampirkan ssm:PutInventory
izin.
Menghapus instalasi plugin Amazon Inspector SSM
Jika InspectorSsmPlugin.exe
file dihapus secara tidak sengaja, InspectorDistributor-do-not-delete
SSM asosiasi akan menginstal ulang plugin pada interval pemindaian berikutnya. Windows Jika Anda ingin menghapus plugin Amazon SSM Inspector, Anda dapat menggunakan tindakan Uninstall pada dokumen. AmazonInspector2-ConfigureInspectorSsmPlugin
Selain itu, SSM plugin Amazon Inspector akan dihapus secara otomatis dari semua Windows host jika Anda menonaktifkan pemindaian Amazon. EC2
catatan
Jika Anda menghapus instalan SSM Agen sebelum menonaktifkan Amazon Inspector, plugin Amazon Inspector akan tetap berada di Windows host tetapi tidak akan lagi mengirim data ke SSM plugin Amazon Inspector. SSM Untuk informasi selengkapnya, lihat Menonaktifkan Amazon Inspector.
Mengatur jadwal khusus untuk pemindaian Windows misalnya
Anda dapat menyesuaikan waktu antara pemindaian EC2 instans Windows Amazon dengan menyetel ekspresi cron atau ekspresi laju untuk InvokeInspectorSsmPlugin-do-not-delete
asosiasi yang digunakan. SSM Untuk informasi selengkapnya, lihat Referensi: Cron dan ekspresi nilai untuk Systems Manager di Panduan AWS Systems Manager Pengguna atau gunakan petunjuk berikut.
Pilih dari contoh kode berikut untuk mengubah irama pemindaian untuk Windows instance dari default 6 jam menjadi 12 jam menggunakan ekspresi laju atau ekspresi cron.
Contoh berikut mengharuskan Anda untuk menggunakan AssociationIduntuk asosiasi bernamaInvokeInspectorSsmPlugin-do-not-delete
. Anda dapat mengambil Anda AssociationIddengan menjalankan AWS CLI
perintah berikut:
$
aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region
us-east-1
catatan
AssociationIdIni Regional, jadi Anda harus terlebih dahulu mengambil ID unik untuk masing-masing Wilayah AWS. Anda kemudian dapat menjalankan perintah untuk mengubah irama pemindaian di setiap Wilayah tempat Anda ingin mengatur jadwal pemindaian khusus untuk Windows instance.