Verificação das instâncias do EC2 do Windows com o Amazon Inspector - Amazon Inspector

Verificação das instâncias do EC2 do Windows com o Amazon Inspector

O Amazon Inspector descobre automaticamente todas as instâncias com suporte do Windows e as inclui na verificação contínua sem nenhuma ação extra. Para ter informações sobre quais instâncias são compatíveis, consulte Operating systems and programming languages supported by Amazon Inspector. O Amazon Inspector executa verificações do Windows em intervalos regulares. As instâncias do Windows são verificadas no momento da descoberta e depois a cada 6 horas. No entanto, você pode ajustar o intervalo de verificação padrão após a primeira verificação.

Quando a verificação do Amazon EC2 é habilitada, o Amazon Inspector cria as seguintes associações do SSM para os recursos do Windows: InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete. Para instalar o plug-in do SSM do Amazon Inspector em suas instâncias do Windows, a associação InspectorDistributor-do-not-delete do SSM usa o documento AWS-ConfigureAWSPackage do SSM e o pacote AmazonInspector2-InspectorSsmPlugin do SSM Distributor. Para ter mais informações, consulte Sobre o plug-in do SSM do Amazon Inspector para o Windows. A associação InvokeInspectorSsmPlugin-do-not-delete do SSM executa o plug-in do SSM do Amazon Inspector em intervalos de 6 horas para coletar dados da instância e gerar descobertas do Amazon Inspector. No entanto, você pode personalizar isso definindo uma expressão cron ou uma expressão rate.

nota

O Amazon Inspector envia arquivos de definição de OVAL (Linguagem Aberta de Determinação de Vulnerabilidade) atualizados para o bucket S3 em inspector2-oval-prod-your-AWS-Region. O bucket do Amazon S3 contém definições OVAL usadas nas verificações. Essas definições OVAL não devem ser modificadas. Caso contrário, o Amazon Inspector não verificará novas CVEs quando forem lançadas.

Requisitos de verificação do Amazon Inspector para instâncias do Windows

Para verificar uma instância do Windows, o Amazon Inspector exige que a instância atenda aos seguintes critérios:

  • A instância é uma instância gerenciada por SSM. Para obter instruções sobre como configurar sua instância para verificação, consulte Configurar o atendente do SSM.

  • O sistema operacional da instância é um dos sistemas operacionais com suporte pelo Windows. Para obter uma lista completa de sistemas operacionais com suporte, consulte Valores de status para instâncias do Amazon EC2.

  • A instância tem o plug-in do SSM do Amazon Inspector instalado. O Amazon Inspector instala automaticamente o plug-in do SSM do Amazon Inspector para instâncias gerenciadas após a descoberta. Consulte o próximo tópico para obter detalhes sobre o plug-in.

nota

Se seu host estiver sendo executado em um Amazon VPC sem acesso de saída à Internet, a verificação do Windows exige que seu host consiga acessar endpoints regionais do Amazon S3. Para saber como configurar um endpoint da Amazon VPC do Amazon S3, consulte Criar um endpoint de gateway no Guia do usuário da Amazon Virtual Private Cloud. Se sua política de endpoint da Amazon VPC está restringindo o acesso a buckets S3 externos, deverá especificamente permitir o acesso ao bucket mantido pelo Amazon Inspector na Região da AWS que armazena as definições de OVAL usadas para avaliar sua instância. Este bucket tem o seguinte formato: inspector2-oval-prod-REGION.

Sobre o plug-in do SSM do Amazon Inspector para o Windows

O plug-in do SSM do Amazon Inspector é necessário para que o Amazon Inspector verifique suas instâncias do Windows. O plug-in do SSM do Amazon Inspector é instalado automaticamente nas instâncias do Windowsem C:\Program Files\Amazon\Inspector, e o arquivo binário executável é nomeado InspectorSsmPlugin.exe.

Os seguintes locais de arquivo são criados para armazenar dados coletados pelo plug-in do SSM do Amazon Inspector:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Por padrão, o plug-in do SSM do Amazon Inspector é executado abaixo da prioridade normal.

nota

Você pode usar instâncias do Windows com a configuração de gerenciamento do host padrão. No entanto, você deve criar ou usar um perfil configurado com as permissões ssm:PutInventory e ssm:GetParameter.

Desinstalar o plug-in do SSM do Amazon Inspector

Se o arquivo InspectorSsmPlugin.exe for excluído inadvertidamente, a associação de InspectorDistributor-do-not-delete do SSM reinstalará o plug-in no próximo intervalo de verificação do Windows. Se você quiser desinstalar o plug-in do SSM do Amazon Inspector, você poderá usar a ação Desinstalar no documento AmazonInspector2-ConfigureInspectorSsmPlugin.

Além disso, o plug-in do SSM do Amazon Inspector será automaticamente desinstalado de todos os hosts do Windows, se você desativar a verificação do Amazon EC2.

nota

Se você desinstalar o agente do SSM antes de desativar o Amazon Inspector, o plug-in do SSM do Amazon Inspector permanecerá no host do Windows, mas não enviará mais dados para o plug-in do SSM do Amazon Inspector. Para ter mais informações, consulte Desativar o Amazon Inspector.

Definir horários personalizados para verificações de instâncias do Windows

Personalize o tempo entre as verificações das instância do Amazon EC2 do Windows, definindo uma expressão cron ou uma expressão rate para a associação de InvokeInspectorSsmPlugin-do-not-delete usando o SSM. Para obter mais informações, consulte Referência: expressão cron e expressão rate para Gerenciador de Sistemas no Guia do usuário do AWS Systems Manager ou use as instruções a seguir.

Selecione um dos exemplos de código a seguir para alterar a cadência de verificação das instâncias do Windows das 6 horas padrão para 12 horas usando uma expressão rate ou uma expressão cron.

Os exemplos a seguir exigem usar o AssociationID para a associação chamada InvokeInspectorSsmPlugin-do-not-delete. Recupere seu AssociationID executando o seguinte comando: AWS CLI

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

O AssociationID é regional, então você precisa primeiro recuperar um ID exclusivo para cada um Região da AWS. Em seguida, execute o comando para alterar a cadência de verificação em cada região a ser definida um cronograma de verificação personalizado para as instâncias do Windows.

Example rate expression
$ aws ssm update-association \ --association-id "YourAssociationId" \ --association-name "InvokeInspectorSsmPlugin-do-not-delete" \ --schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \ --association-id "YourAssociationId" \ --association-name "InvokeInspectorSsmPlugin-do-not-delete" \ --schedule-expression "cron(0 0/12 * * ? *)"