Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 - Amazon Inspector
Accesso o disattivazione dell'ispezione approfonditaInformazioni sul SSM plug-in Amazon Inspector per LinuxPercorsi personalizzati per l'ispezione approfondita di Amazon InspectorPianificazioni personalizzate per l'ispezione approfondita di Amazon InspectorLinguaggi di programmazione compatibili

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2

Amazon Inspector amplia la copertura di scansione di EC2 Amazon per includere l'ispezione approfondita. Con l'ispezione approfondita, Amazon Inspector rileva le vulnerabilità dei pacchetti per i pacchetti di linguaggi di programmazione delle applicazioni nelle istanze Amazon basate su Linux. EC2 Amazon Inspector analizza i percorsi predefiniti per individuare le librerie di pacchetti dei linguaggi di programmazione. Tuttavia, puoi configurare percorsi personalizzati oltre ai percorsi che Amazon Inspector analizza per impostazione predefinita.

Nota

Puoi utilizzare l'ispezione approfondita con l'impostazione Default Host Management Configuration. Tuttavia, è necessario creare un profilo di istanza e allegare le ssm:GetParameter autorizzazioni ssm:PutInventory and.

Per eseguire scansioni di ispezione approfondita per le tue istanze Amazon basate su Linux, EC2 Amazon Inspector utilizza i dati raccolti con il plug-in Amazon Inspector. SSM Per gestire il SSM plug-in Amazon Inspector ed eseguire un'ispezione approfondita per Linux, Amazon Inspector crea automaticamente SSM l'InvokeInspectorLinuxSsmPlugin-do-not-deleteassociazione nel tuo account. Amazon Inspector raccoglie l'inventario aggiornato delle applicazioni dalle tue istanze Amazon basate su Linux ogni 6 ore. EC2

Nota

L'ispezione approfondita non è supportata per Windows per istanze Mac.

Questa sezione descrive come gestire l'ispezione approfondita di Amazon Inspector per EC2 le istanze Amazon, incluso come impostare percorsi personalizzati per la scansione di Amazon Inspector.

Accesso o disattivazione dell'ispezione approfondita

Nota

Per gli account che attivano Amazon Inspector dopo il 17 aprile 2023, l'ispezione approfondita viene attivata automaticamente come parte della scansione di AmazonEC2.

Per gestire l'ispezione approfondita

  1. Accedi utilizzando le tue credenziali, quindi apri la console Amazon Inspector su v2/home https://console.aws.amazon.com/inspector/

  2. Dal pannello di navigazione, scegli Impostazioni generali, quindi scegli Impostazioni di EC2 scansione Amazon.

  3. Nell'ambito dell'ispezione approfondita dell'EC2istanza Amazon, puoi impostare percorsi personalizzati per la tua organizzazione o per il tuo account.

Puoi controllare lo stato di attivazione a livello di codice per un singolo account con 2. GetEc DeepInspectionConfiguration API Puoi controllare lo stato di attivazione a livello di codice per più account con BatchGetMemberEc2DeepInspectionStatus API.

Se hai attivato Amazon Inspector prima del 17 aprile 2023, puoi attivare l'ispezione approfondita tramite il banner della console o il UpdateEc2DeepInspectionConfigurationAPI. Se sei l'amministratore delegato di un'organizzazione in Amazon Inspector, puoi utilizzare il BatchUpdateMemberEc2DeepInspectionStatusAPIper attivare l'ispezione approfondita per te e per i tuoi account membro.

È possibile disattivare l'ispezione approfondita tramite il UpdateEc2DeepInspectionConfigurationAPI. Gli account dei membri di un'organizzazione non possono disattivare l'ispezione approfondita. Invece, l'account membro deve essere disattivato dall'amministratore delegato utilizzando il BatchUpdateMemberEc2DeepInspectionStatus API.

Informazioni sul SSM plug-in Amazon Inspector per Linux

Amazon Inspector utilizza il plug-in Amazon SSM Inspector per eseguire ispezioni approfondite sulle istanze Linux. Il SSM plug-in Amazon Inspector viene installato automaticamente sulle istanze Linux presenti nella directory. /opt/aws/inspector/bin Il nome dell'eseguibile è. inspectorssmplugin

Amazon Inspector utilizza Systems Manager Distributor per distribuire il plug-in sulla tua istanza. Per eseguire scansioni di ispezione approfondita, Systems Manager Distributor e Amazon Inspector devono supportare il sistema operativo delle istanze EC2 Amazon. Per informazioni sui sistemi operativi supportati da Systems Manager Distributor, vedere Piattaforme e architetture di pacchetti supportate nella Guida per l'AWS Systems Manager utente.

Amazon Inspector crea le seguenti directory di file per gestire i dati raccolti per l'ispezione approfondita dal plug-in Amazon Inspector: SSM

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output— Il packages.txt file in questa directory memorizza i percorsi completi dei pacchetti rilevati da Deep Inspection. Se Amazon Inspector rileva lo stesso pacchetto più volte sull'istanza, il packages.txt file elenca ogni posizione in cui è stato trovato il pacchetto.

Amazon Inspector archivia i log del plug-in nella directory. /var/log/amazon/inspector

Disinstallazione del plug-in Amazon SSM Inspector

Se il inspectorssmplugin file viene eliminato inavvertitamente, l'SSMassociazione InspectorLinuxDistributor-do-not-delete proverà a reinstallarlo all'intervallo di scansione inspectorssmplugin successivo.

Se disattivi Amazon EC2 scan, il plugin verrà automaticamente disinstallato da tutti gli host Linux.

Percorsi personalizzati per l'ispezione approfondita di Amazon Inspector

Puoi impostare percorsi personalizzati per la scansione di Amazon Inspector durante l'ispezione approfondita delle tue istanze Amazon EC2 Linux. Quando imposti un percorso personalizzato, Amazon Inspector analizza i pacchetti in quella directory e in tutte le sue sottodirectory.

Tutti gli account possono definire fino a 5 percorsi personalizzati. L'amministratore delegato di un'organizzazione può definire 10 percorsi personalizzati.

Amazon Inspector analizza tutti i percorsi personalizzati oltre ai seguenti percorsi predefiniti, che Amazon Inspector analizza per tutti gli account:

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

Nota

I percorsi personalizzati devono essere percorsi locali. Amazon Inspector non esegue la scansione di percorsi di rete mappati, ad esempio montaggi di Network File System o supporti di file system Amazon S3.

Formattazione di percorsi personalizzati

Un percorso personalizzato non può contenere più di 256 caratteri. Di seguito è riportato un esempio di come potrebbe apparire un percorso personalizzato:

Percorso di esempio

/home/usr1/project01

Nota

Il limite di pacchetti per istanza è 5.000. Il tempo massimo di raccolta dell'inventario dei pacchi è di 15 minuti. Amazon Inspector consiglia di scegliere percorsi personalizzati per evitare questi limiti.

Impostazione di un percorso personalizzato nella console Amazon Inspector e con Amazon Inspector API

Le seguenti procedure descrivono come impostare un percorso personalizzato per l'ispezione approfondita di Amazon Inspector nella console Amazon Inspector e con Amazon Inspector. API Dopo aver impostato un percorso personalizzato, Amazon Inspector lo include nella successiva ispezione approfondita.

Console

  1. Accedi AWS Management Console come amministratore delegato e apri la console Amazon Inspector su v2/home https://console.aws.amazon.com/inspector/

  2. Usa il Regione AWS selettore per scegliere la regione in cui desideri attivare la scansione standard Lambda.

  3. Dal pannello di navigazione, scegli Impostazioni generali, quindi scegli Impostazioni di EC2scansione.

  4. In Percorsi personalizzati per il tuo account, scegli Modifica.

  5. Nelle caselle di testo dei percorsi, inserisci i percorsi personalizzati.

  6. Seleziona Salva.

API

Eseguire UpdateEc2DeepInspectionConfigurationcomando. Per packagePaths specificare una serie di percorsi da scansionare.

Pianificazioni personalizzate per l'ispezione approfondita di Amazon Inspector

Per impostazione predefinita, Amazon Inspector raccoglie un inventario delle applicazioni dalle EC2 istanze Amazon ogni 6 ore. Tuttavia, puoi eseguire i seguenti comandi per controllare la frequenza con cui Amazon Inspector esegue questa operazione.

Comando di esempio 1: elenca le associazioni per visualizzare l'ID dell'associazione e l'intervallo corrente

Il comando seguente mostra l'ID dell'associazioneInvokeInspectorLinuxSsmPlugin-do-not-delete. 

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Comando di esempio 2: Aggiorna l'associazione per includere un nuovo intervallo

Il comando seguente utilizza l'ID dell'associazione per l'associazioneInvokeInspectorLinuxSsmPlugin-do-not-delete. È possibile impostare la frequenza schedule-expression da 6 ore a un nuovo intervallo, ad esempio 12 ore. 

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
Nota

A seconda del caso d'uso, se imposti la frequenza schedule-expression da 6 ore a un intervallo di 30 minuti, puoi superare il limite giornaliero di inventario ssm. Ciò causa un ritardo nei risultati e potresti riscontrare EC2 istanze Amazon con stati di errore parziali.

Linguaggi di programmazione compatibili

Per le istanze Linux, l'ispezione approfondita di Amazon Inspector può produrre risultati per i pacchetti di linguaggi di programmazione delle applicazioni e i pacchetti del sistema operativo.

Per le istanze Mac e Windows, l'ispezione approfondita di Amazon Inspector può produrre risultati solo per i pacchetti del sistema operativo.

Per ulteriori informazioni sui linguaggi di programmazione supportati, consulta Linguaggi di programmazione supportati: Amazon EC2 deep inspection.