기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Windows EC2 Inspector로 인스턴스 스캔하기
Amazon Inspector는 지원되는 모든 Windows 인스턴스를 자동으로 검색하여 추가 조치 없이 연속 스캔에 포함시킵니다. 지원되는 인스턴스에 대한 자세한 내용은 Amazon Inspector에서 지원하는 운영 체제 및 프로그래밍 언어를 참조하십시오. Amazon Inspector는 정기적으로 Windows 스캔을 실행합니다. Windows인스턴스는 검색 시점부터 6시간마다 스캔됩니다. 하지만 첫 번째 스캔 후 기본 스캔 간격을 조정할 수 있습니다.
Amazon EC2 스캐닝이 활성화되면 Amazon Inspector는 Windows 리소스에 대해 다음과 같은 SSM 연결을 생성합니다.InspectorDistributor-do-not-delete,InspectorInventoryCollection-do-not-delete,. InvokeInspectorSsmPlugin-do-not-delete Windows인스턴스에 Amazon Inspector SSM 플러그인을 설치하기 위해 연결은 InspectorDistributor-do-not-delete SSM AWS-ConfigureAWSPackageSSM문서와 AmazonInspector2-InspectorSsmPlugin SSM배포자 패키지를 사용합니다. 자세한 내용은 에 대한 Amazon Inspector SSM 플러그인에 대한 정보 Windows 단원을 참조하십시오. 인스턴스 데이터를 수집하고 Amazon Inspector 결과를 생성하기 위해 InvokeInspectorSsmPlugin-do-not-delete SSM 협회는 6시간 간격으로 Amazon SSM Inspector 플러그인을 실행합니다. 하지만 크론 또는 레이트 표현식을 사용하여 이 설정을 사용자 지정할 수 있습니다.
참고
Amazon Inspector는 업데이트된 미해결 취약성 및 평가 언어 (OVAL) 정의 파일을 S3 버킷에 스테이징합니다. inspector2-oval-prod- Amazon S3 버킷에는 스캔에 사용되는 OVAL 정의가 들어 있습니다. 이러한 OVAL 정의는 수정해서는 안 됩니다. 그렇지 않으면 Amazon Inspector에서 새 제품이 CVEs 출시될 때 검색하지 않습니다.your-AWS-Region
Windows 인스턴스에 대한 Amazon Inspector 스캔 요구 사항
Amazon Inspector에서 Windows 인스턴스를 스캔하려면 인스턴스가 다음 기준을 충족해야 합니다.
-
인스턴스는 SSM 관리형 인스턴스입니다. 스캔할 인스턴스 설정에 대한 지침은 에이전트 구성 SSM 섹션을 참조하세요.
-
인스턴스 운영 체제가 지원되는 Windows 운영 체제 중 하나입니다. 지원되는 운영 체제의 전체 목록은 Amazon EC2 스캔을 지원하는 운영 체제 섹션을 참조하세요.
-
인스턴스에는 Amazon Inspector SSM 플러그인이 설치되어 있습니다. Amazon Inspector는 검색 시 관리형 인스턴스를 위한 Amazon Inspector SSM 플러그인을 자동으로 설치합니다. 플러그인에 대한 자세한 내용은 다음 주제를 참조하세요.
참고
호스트가 송신 인터넷 액세스 VPC 없이 Amazon에서 실행되는 경우 Windows 스캔을 위해서는 호스트가 지역 Amazon S3 엔드포인트에 액세스할 수 있어야 합니다. Amazon S3 Amazon VPC 엔드포인트를 구성하는 방법을 알아보려면 Amazon Virtual Private Cloud 사용 설명서의 게이트웨이 엔드포인트 생성을 참조하십시오. Amazon VPC 엔드포인트 정책이 외부 S3 버킷에 대한 액세스를 제한하는 경우, 인스턴스를 평가하는 데 사용되는 정의를 저장하는 OVAL Amazon Inspector에서 AWS 리전 유지 관리하는 버킷에 대한 액세스를 특별히 허용해야 합니다. 이 버킷의 형식은 inspector2-oval-prod-입니다.REGION
에 대한 Amazon Inspector SSM 플러그인에 대한 정보 Windows
Amazon Inspector에서 인스턴스를 스캔하려면 Amazon Inspector SSM 플러그인이 필요합니다. Windows Amazon Inspector SSM 플러그인이 Windows 인스턴스에 자동으로 설치되고 실행 가능한 바이너리 파일의 이름이 지정됩니다. C:\Program Files\Amazon\Inspector InspectorSsmPlugin.exe
Amazon Inspector SSM 플러그인이 수집하는 데이터를 저장하기 위해 다음과 같은 파일 위치가 생성됩니다.
-
C:\ProgramData\Amazon\Inspector\Input -
C:\ProgramData\Amazon\Inspector\Output -
C:\ProgramData\Amazon\Inspector\Logs
기본적으로 Amazon Inspector SSM 플러그인은 보통 우선순위보다 낮은 우선 순위로 실행됩니다.
참고
기본 호스트 관리 구성 설정으로 Windows 인스턴스를 스캔할 수 있습니다. 하지만 인스턴스 프로필을 만들고 ssm:PutInventory 권한을 첨부해야 합니다.
아마존 SSM 인스펙터 플러그인 제거
InspectorSsmPlugin.exe파일이 실수로 삭제된 경우 InspectorDistributor-do-not-delete SSM 연결은 다음 스캔 간격에 플러그인을 다시 설치합니다. Windows Amazon SSM Inspector 플러그인을 제거하려는 경우 문서에서 제거 작업을 사용할 수 있습니다. AmazonInspector2-ConfigureInspectorSsmPlugin
또한 Amazon 스캐닝을 비활성화하면 Amazon Inspector SSM 플러그인이 모든 Windows 호스트에서 자동으로 제거됩니다. EC2
참고
Amazon Inspector를 비활성화하기 전에 SSM 에이전트를 제거하면 Amazon Inspector 플러그인은 Windows 호스트에 남아 있지만 더 이상 Amazon Inspector SSM 플러그인으로 데이터를 보내지 않습니다. SSM 자세한 내용은 Amazon Inspector 비활성화 단원을 참조하십시오.
Windows 인스턴스 스캔을 위한 사용자 지정 일정 설정
를 사용하여 InvokeInspectorSsmPlugin-do-not-delete 연결에 대한 cron 표현식 또는 rate 식을 설정하여 Windows Amazon EC2 인스턴스 스캔 사이의 시간을 사용자 지정할 수 있습니다. SSM 자세한 내용은 AWS Systems Manager 사용 설명서의 참조: Systems Manager의 Cron 및 Rate 표현식을 참조하거나 다음 지침을 따르세요.
다음 코드 예제 중 하나를 선택하여 rate 표현식 또는 cron 표현식을 사용하여 Windows 인스턴스의 스캔 주기를 기본 6시간에서 12시간으로 변경할 수 있습니다.
다음 예제에서는 이름이 지정된 AssociationId연결에 를 사용해야 합니다. InvokeInspectorSsmPlugin-do-not-delete 다음 AWS CLI
명령을 AssociationId실행하여 검색할 수 있습니다.
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
참고
AssociationId는 지역적이므로 먼저 각 ID의 고유 ID를 검색해야 AWS 리전합니다. 그런 다음 명령을 실행하여 Windows 인스턴스에 대한 사용자 지정 스캔 일정을 설정하려는 각 리전의 스캔 주기를 변경할 수 있습니다.
