Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Scansione delle istanze Amazon EC2 con Amazon Inspector
Amazon Inspector La scansione di Amazon EC2 estrae i metadati dall'istanza EC2 prima di confrontarli con le regole raccolte dagli avvisi di sicurezza. [Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete per produrre risultati.](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html) Amazon Inspector esegue scansioni di raggiungibilità della rete una volta ogni 12 ore e scansioni di vulnerabilità dei pacchetti con una cadenza variabile che dipende dal metodo di scansione associato all'istanza EC2.
[Le scansioni delle vulnerabilità dei pacchetti possono essere eseguite utilizzando un metodo di scansione [basato su agenti](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) o senza agente.](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless) Entrambi questi metodi di scansione determinano come e quando Amazon Inspector raccoglie l'inventario software da un'istanza EC2 per le scansioni delle vulnerabilità dei pacchetti. Agent-based la scansione raccoglie l'inventario software dalle istanze utilizzando l'agente Amazon EC2 Systems Manager (SSM), mentre la scansione senza agente raccoglie l'inventario software utilizzando le istantanee di Amazon EBS.
Amazon Inspector utilizza i metodi di scansione attivati per il tuo account. Quando attivi Amazon Inspector per la prima volta, il tuo account viene automaticamente registrato alla scansione ibrida, che utilizza entrambi i metodi di scansione. Tuttavia, puoi [modificare questa impostazione](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#scan-mode) in qualsiasi momento. Per informazioni su come attivare un tipo di scansione, vedere [Attivazione di un tipo di scansione](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Questa sezione fornisce informazioni sulla scansione di Amazon EC2.
## Agent-based scansione
### Scansione EC2 migliorata
La scansione EC2 avanzata viene eseguita utilizzando. [Scanner VM Amazon Inspector](inspector-vm-scanner.md) Questo scanner viene installato e aggiornato utilizzando le associazioni SSM. I clienti possono effettuare l'attivazione accedendo alla console Amazon Inspector e visitando la pagina **Impostazioni > Impostazioni** di **scansione**. Scegli **Avvia aggiornamento** per iniziare la scansione EC2 avanzata.
1. Amazon Inspector crea associazioni SSM nel tuo account per raccogliere l'inventario dalle tue istanze. Queste associazioni installano plug-in su singole istanze per raccogliere l'inventario.
1. Utilizzando strumenti di sistema come Systemd e Scheduled Tasks, Inspector VM Scanner estrae l'inventario dei pacchetti da un'istanza e comunica tali informazioni ad Amazon Inspector.
1. Amazon Inspector valuta l'inventario estratto e genera risultati per eventuali vulnerabilità rilevate.
### Scansione standard
Agent-based le scansioni vengono eseguite continuamente utilizzando il plug-in Amazon Inspector SSM su tutte le istanze idonee. Per le scansioni basate su agenti, Amazon Inspector utilizza le associazioni SSM e i plug-in installati tramite queste associazioni per raccogliere l'inventario software dalle tue istanze. [Oltre alle scansioni delle vulnerabilità dei pacchetti dei sistemi operativi, la scansione basata su agenti di Amazon Inspector può anche rilevare le vulnerabilità dei pacchetti per i pacchetti in linguaggi di programmazione delle applicazioni tramite l'ispezione approfondita di Amazon Inspector.](deep-inspection.md)
Il seguente processo spiega come Amazon Inspector utilizza SSM per raccogliere l'inventario ed eseguire scansioni basate su agenti:
1. Amazon Inspector crea associazioni SSM nel tuo account per raccogliere l'inventario dalle tue istanze. Queste associazioni installano plug-in su singole istanze per raccogliere l'inventario.
1. Utilizzando SSM, Amazon Inspector estrae l'inventario dei pacchetti da un'istanza.
1. Amazon Inspector valuta l'inventario estratto e genera risultati per eventuali vulnerabilità rilevate.
**Nota**
Per la scansione basata su agenti, l'istanza Amazon EC2 deve essere gestita da SSM all'interno dello stesso. Account AWS
### Requisiti degli endpoint Amazon VPC per la scansione EC2 avanzata su istanze Amazon EC2 private
Puoi eseguire Enhanced EC2 Scanning su istanze Amazon EC2 su una rete Amazon. Tuttavia, se desideri eseguire Enhanced EC2 Scanning su istanze Amazon EC2 private, devi creare endpoint Amazon VPC. Sono necessari i seguenti endpoint:
+ `com.amazonaws.{{region}}.ec2messages`
+ `com.amazonaws.{{region}}.inspector2-telemetry`
+ `com.amazonaws.{{region}}.s3`
+ `com.amazonaws.{{region}}.ssm`
+ `com.amazonaws.{{region}}.ssmmessages`
{{region}}Dov'è il codice regionale applicabile Regione AWS.
*Per ulteriori informazioni, consulta [Migliorare la sicurezza delle istanze Amazon EC2 utilizzando gli endpoint Amazon VPC per Systems Manager nella Guida per l'](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)utente.AWS Systems Manager *
**Nota**
Al momento, alcuni Regioni AWS non supportano l'endpoint. `com.amazonaws.{{region}}.inspector2-telemetry`
### Istanze idonee
Amazon Inspector utilizzerà il metodo basato su agenti per scansionare un'istanza se soddisfa le seguenti condizioni:
+ L'istanza ha un sistema operativo supportato. Per un elenco dei sistemi operativi supportati, consulta la colonna di **supporto alla Agent-based scansione** di[Sistemi operativi supportati: Amazon EC2 scanning](supported.md#supported-os-ec2).
+ L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon Inspector EC2.
### Agent-based comportamenti di scansione
Quando si utilizza il metodo di scansione basato su agenti, Amazon Inspector avvia nuove scansioni di vulnerabilità delle istanze EC2 nelle seguenti situazioni:
+ Quando avvii una nuova istanza EC2.
+ Quando installi un nuovo software su un'istanza EC2 esistente (Linux e Mac).
+ Quando Amazon Inspector aggiunge un nuovo elemento CVE (Common Vulnerabilities and Exposures) al suo database e tale CVE è rilevante per la tua istanza EC2 (Linux e Mac).
Amazon Inspector aggiorna il campo **Ultima scansione** per un'istanza EC2 quando viene completata una scansione iniziale. Dopodiché, il campo **Ultima scansione viene** aggiornato quando Amazon Inspector valuta l'inventario SSM (ogni 30 minuti per impostazione predefinita) o quando un'istanza viene nuovamente scansionata perché al database Amazon Inspector è stato aggiunto un nuovo CVE che ha un impatto su quell'istanza.
**Puoi verificare quando un'istanza EC2 è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il comando. [https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html)**
### Configurazione dell'agente SSM
Affinché Amazon Inspector rilevi le vulnerabilità del software per un'istanza Amazon EC2 utilizzando il metodo di scansione basato su agenti, l'istanza deve essere un'istanza gestita in Amazon [EC2 Systems](https://docs.aws.amazon.com//systems-manager/latest/userguide/managed_instances.html) Manager (SSM). Un'istanza gestita da SSM ha l'agente SSM installato e in esecuzione e SSM dispone dell'autorizzazione per gestire l'istanza. Se stai già utilizzando SSM per gestire le tue istanze, non sono necessari altri passaggi per le scansioni basate su agenti.
L'agente SSM è installato per impostazione predefinita sulle istanze EC2 create da alcune Amazon Machine Images (AMI). *Per ulteriori informazioni, consulta Informazioni [su SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-ssm-agent.html) nella Guida per l'utente.AWS Systems Manager * Tuttavia, anche se è installato, potrebbe essere necessario attivare l'agente SSM manualmente e concedere l'autorizzazione SSM per gestire l'istanza.
La procedura seguente descrive come configurare un'istanza Amazon EC2 come istanza gestita utilizzando un profilo di istanza IAM. La procedura fornisce anche collegamenti a informazioni più dettagliate nella *Guida per l'AWS Systems Manager utente*.
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)è la politica consigliata da utilizzare quando si collega un profilo di istanza. Questa policy dispone di tutte le autorizzazioni necessarie per la scansione di Amazon Inspector EC2.
**Nota**
Puoi anche automatizzare la gestione SSM di tutte le tue istanze EC2, senza l'uso di profili di istanza IAM, utilizzando SSM Default Host Management Configuration. Per ulteriori informazioni, consulta la pagina [Configurazione di gestione host predefinita](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html).
**Per configurare SSM per un'istanza Amazon EC2**
1. Se non è già installato dal fornitore del sistema operativo, installa l'agente SSM. Per ulteriori informazioni, consulta [Working with SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) Agent.
1. Utilizzare il AWS CLI per verificare che l'agente SSM sia in esecuzione. Per ulteriori informazioni, consulta [Verifica dello stato dell'agente SSM e avvio dell'agente](https://docs.aws.amazon.com//systems-manager/latest/userguide/ssm-agent-status-and-restart.html).
1. Concedi l'autorizzazione a SSM per gestire la tua istanza. Puoi concedere l'autorizzazione creando un profilo di istanza IAM e collegandolo alla tua istanza. Ti consigliamo di utilizzare la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)policy, poiché questa policy ha le autorizzazioni per SSM Distributor, SSM Inventory e SSM State manager, di cui Amazon Inspector ha bisogno per le scansioni. Per istruzioni su come creare un profilo di istanza con queste autorizzazioni e collegarlo a un'istanza, vedere [Configurare le autorizzazioni dell'istanza per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions).
1. (Facoltativo) Attiva gli aggiornamenti automatici per l'agente SSM. Per ulteriori informazioni, consulta [Automazione degli aggiornamenti all'agente SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-automatic-updates.html).
1. (Facoltativo) Configura Systems Manager per utilizzare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Per ulteriori informazioni, consulta [Creazione di endpoint Amazon VPC.](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)
#### Risorse SSM create per la scansione
Amazon Inspector richiede diverse risorse SSM nel tuo account per eseguire le scansioni di Amazon EC2. Le seguenti risorse vengono create quando attivi per la prima volta la scansione di Amazon Inspector EC2:
**Nota**
Se una di queste risorse SSM viene eliminata mentre la scansione Amazon Inspector Amazon EC2 è attivata per il tuo account, Amazon Inspector tenterà di ricrearla all'intervallo di scansione successivo.
`InspectorInventoryCollection-do-not-delete`
Si tratta di un'associazione Systems Manager State Manager (SSM) che Amazon Inspector utilizza per raccogliere l'inventario delle applicazioni software dalle istanze Amazon EC2. Se il tuo account dispone già di un'associazione SSM per la raccolta dell'inventario`InstanceIds*`, Amazon Inspector la utilizzerà invece di crearne una propria.
`InspectorResourceDataSync-do-not-delete`
Si tratta di una sincronizzazione dei dati delle risorse che Amazon Inspector utilizza per inviare i dati di inventario raccolti dalle istanze Amazon EC2 a un bucket Amazon S3 di proprietà di Amazon Inspector. *Per ulteriori informazioni, consulta [Configurazione della sincronizzazione dei dati delle risorse](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-datasync.html) per l'inventario nella Guida per l'utente.AWS Systems Manager *
`InspectorVmScannerDistributor-do-not-delete`
Si tratta di un'associazione SSM che Amazon Inspector utilizza per installarla e aggiornarla [Scanner VM Amazon Inspector](inspector-vm-scanner.md) sulle istanze Amazon EC2.
`InspectorDistributor-do-not-delete`
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione installa il plug-in Amazon Inspector SSM sulle tue istanze Windows. Se il file del plug-in viene eliminato inavvertitamente, questa associazione lo reinstallerà all'intervallo di associazione successivo.
`InvokeInspectorSsmPlugin-do-not-delete`
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in, inoltre puoi utilizzarlo per impostare intervalli personalizzati per le scansioni delle istanze di Windows. Per ulteriori informazioni, consulta [Impostazione di pianificazioni personalizzate per Windows scansioni delle istanze](windows-scanning.md#windows-scan-schedule).
`InspectorLinuxDistributor-do-not-delete`
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione installa il plug-in Amazon Inspector SSM sulle tue istanze Linux.
`InvokeInspectorLinuxSsmPlugin-do-not-delete`
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in.
**Nota**
Quando disattivi la scansione o l'ispezione approfondita di Amazon Inspector Amazon EC2, la risorsa SSM `InvokeInspectorLinuxSsmPlugin-do-not-delete` non viene più richiamata.
## Scansione senza agenti
Amazon Inspector utilizza il metodo di scansione senza agenti su istanze idonee quando l'account è in modalità di scansione ibrida. La modalità di scansione ibrida include scansioni basate su agenti e senza agenti e viene abilitata automaticamente quando si attiva la scansione Amazon EC2.
Per le scansioni senza agenti, Amazon Inspector utilizza le istantanee EBS per raccogliere un inventario software dalle tue istanze. La scansione senza agente analizza le istanze alla ricerca di vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione delle applicazioni.
**Nota**
Durante la scansione delle istanze Linux alla ricerca delle vulnerabilità dei pacchetti del linguaggio di programmazione delle applicazioni, il metodo agentless analizza tutti i percorsi disponibili, mentre la scansione basata su agenti analizza solo i percorsi predefiniti e i percorsi aggiuntivi specificati come parte di. [Ispezione approfondita di Amazon Inspector per istanze Amazon Linux-based EC2](deep-inspection.md) Ciò può comportare che la stessa istanza abbia risultati diversi a seconda che venga scansionata utilizzando il metodo basato su agenti o il metodo senza agenti.
Il seguente processo spiega come Amazon Inspector utilizza gli snapshot EBS per raccogliere l'inventario ed eseguire scansioni senza agenti:
1. Amazon Inspector crea uno snapshot EBS di tutti i volumi collegati all'istanza. Mentre Amazon Inspector lo utilizza, lo snapshot viene archiviato nel tuo account e contrassegnato `InspectorScan` come chiave di tag e un ID di scansione univoco come valore del tag.
1. Amazon Inspector recupera i dati dagli snapshot utilizzando le [API dirette di EBS e li valuta](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-accessing-snapshot.html) per individuare eventuali vulnerabilità. I risultati vengono generati per tutte le vulnerabilità rilevate.
1. Amazon Inspector elimina gli snapshot EBS creati nel tuo account.
### Istanze idonee
Amazon Inspector utilizzerà il metodo agentless per scansionare un'istanza se soddisfa le seguenti condizioni:
+ L'istanza ha un sistema operativo supportato. Per ulteriori informazioni, consulta la colonna > supporto alla Agent-based scansione di[Sistemi operativi supportati: Amazon EC2 scanning](supported.md#supported-os-ec2).
+ Lo stato dell'istanza è pari a `Unmanaged EC2 instance``Stale inventory`, o`No inventory`.
+ L'istanza è supportata da Amazon EBS e ha uno dei seguenti formati di file system:
+ `ext3`
+ `ext4`
+ `xfs`
+ L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon EC2.
+ Il numero di volumi collegati all'istanza è inferiore a 8 e hanno una dimensione combinata inferiore o uguale a 1200 GB.
### Comportamenti di scansione senza agenti
Quando il tuo account è configurato per **la scansione ibrida**, Amazon Inspector esegue scansioni senza agente su istanze idonee ogni 24 ore. Amazon Inspector rileva e analizza le nuove istanze idonee ogni ora, incluse nuove istanze senza agenti SSM o istanze preesistenti con stato modificato in. `SSM_UNMANAGED`
Amazon Inspector aggiorna il campo **Ultima scansione** per un'istanza Amazon EC2 ogni volta che esegue la scansione degli snapshot estratti da un'istanza dopo una scansione senza agente.
Puoi verificare quando un'istanza EC2 è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il comando. [https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html)
## Gestione della modalità di scansione
La modalità di scansione EC2 determina i metodi di scansione che Amazon Inspector utilizzerà per eseguire le scansioni EC2 nel tuo account. **Puoi visualizzare la modalità di scansione del tuo account dalla pagina delle impostazioni di scansione EC2 in Impostazioni generali.** Gli account autonomi o gli amministratori delegati di Amazon Inspector possono modificare la modalità di scansione. Quando imposti la modalità di scansione come amministratore delegato di Amazon Inspector, tale modalità di scansione viene impostata per tutti gli account membri della tua organizzazione. Amazon Inspector offre le seguenti modalità di scansione:
**Agent-based scansione**: in questa modalità di scansione, Amazon Inspector utilizzerà esclusivamente il metodo di scansione basato su agenti per la scansione delle vulnerabilità dei pacchetti. Questa modalità di scansione analizza solo le istanze gestite tramite SSM presenti nel tuo account, ma ha il vantaggio di fornire scansioni continue in risposta a nuovi CVE o modifiche alle istanze. Agent-based la scansione fornisce anche un'ispezione approfondita di Amazon Inspector per le istanze idonee. Questa è la modalità di scansione predefinita per gli account appena attivati.
**Scansione ibrida**: in questa modalità di scansione, Amazon Inspector utilizza una combinazione di metodi basati su agenti e senza agenti per individuare le vulnerabilità dei pacchetti. Per le istanze EC2 idonee su cui è installato e configurato l'agente SSM, Amazon Inspector utilizza il metodo basato su agenti. Per le istanze idonee che non sono gestite tramite SSM, Amazon Inspector utilizzerà il metodo agentless per le istanze idonee. EBS-backed
**Per modificare la modalità di scansione**
1. Accedi utilizzando le tue credenziali, quindi apri la console Amazon Inspector all'indirizzo. [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)
1. Utilizzando il Regione AWS selettore nell'angolo in alto a destra della pagina, seleziona la regione in cui desideri modificare la modalità di scansione EC2.
1. **Dal pannello di navigazione laterale, in **Impostazioni generali, seleziona Impostazioni** di scansione EC2.**
1. In **Modalità di scansione**, seleziona **Modifica**.
1. Scegli una modalità di scansione, quindi seleziona **Salva modifiche**.
## Esclusione delle istanze dalle scansioni di Amazon Inspector
Puoi escludere Windows istanze Linux e dalle scansioni di Amazon Inspector etichettando queste istanze con la chiave. `InspectorEc2Exclusion` La chiave tag non fa distinzione tra maiuscole e minuscole. L'inclusione di un valore di tag è facoltativa. Per informazioni sull'aggiunta di tag, consulta [Etichettare le risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
Quando tagghi un'istanza per l'esclusione dalle scansioni di Amazon Inspector, Amazon Inspector contrassegna l'istanza come esclusa e non crea risultati per essa. Tuttavia, il plug-in Amazon Inspector SSM continuerà a essere richiamato. Per evitare che il plug-in venga richiamato, devi [consentire l'accesso ai tag](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS) nei metadati dell'istanza.
**Nota**
Non ti viene addebitato alcun costo per le istanze escluse.
Inoltre, puoi escludere un'istanza dalle scansioni senza agente contrassegnando con il tag la AWS KMS chiave utilizzata per crittografare quel volume. `InspectorEc2Exclusion` [Per ulteriori informazioni, consulta Etichettatura delle chiavi.](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys)
## Sistemi operativi supportati
Amazon Inspector analizza le istanze Mac, Windows e Linux supportate alla ricerca di vulnerabilità nei pacchetti del sistema operativo. Per le istanze Linux, Amazon Inspector può produrre risultati per i pacchetti di linguaggi di programmazione delle applicazioni che utilizzano. [Ispezione approfondita di Amazon Inspector per istanze Amazon Linux-based EC2](deep-inspection.md) Per le istanze Mac e Windows vengono scansionati solo i pacchetti del sistema operativo.
Per informazioni sui sistemi operativi supportati, inclusi i sistemi operativi che possono essere scansionati senza un agente SSM, consulta. [Valori di stato delle istanze Amazon EC2Sistemi operativi supportati: Amazon EC2 scanning](supported.md#supported-os-ec2)