Verificação das instâncias do EC2 do Windows com o Amazon Inspector - Amazon Inspector
Requisitos de verificação do Amazon Inspector para instâncias do WindowsSobre o plug-in Amazon Inspector SSM para WindowsDefinir horários personalizados para verificações de instâncias do Windows

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificação das instâncias do EC2 do Windows com o Amazon Inspector

nota

Em 31 de agosto de 2022, o Amazon Inspector expandiu sua cobertura de escaneamento do Amazon EC2 para incluir instâncias EC2 que são executadas em. Windows

O Amazon Inspector descobre automaticamente todas as instâncias com suporte do Windows e as inclui na verificação contínua sem nenhuma ação extra. Para obter informações sobre quais instâncias são suportadas, consulte Sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector.

O Amazon Inspector executa Windows escaneamentos em intervalos regulares. Windowsas instâncias são verificadas na descoberta e, em seguida, verificadas a cada 6 horas. No entanto, você pode ajustar o intervalo de varredura padrão após a primeira varredura.

  1. Quando o escaneamento do Amazon EC2 é ativado, o Amazon Inspector cria novas associações de SSM para os recursos do Windows: InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete.

  2. A associação InspectorDistributor-do-not-delete SSM usa o documento AWS-ConfigureAWSPackage SSM e o pacote AmazonInspector2-InspectorSsmPlugin SSM Distributor para instalar o plug-in Amazon Inspector SSM em suas instâncias. Windows Consulte Sobre o plug-in Amazon Inspector SSM para Windows Para mais informações.

  3. A associação InvokeInspectorSsmPlugin-do-not-delete SSM executa o plug-in Amazon Inspector SSM em intervalos regulares para coletar dados da instância e gerar descobertas do Amazon Inspector. Por padrão, o intervalo é a cada 6 horas. No entanto, você poderá personalizar isso definindo uma expressão cron ou uma expressão rate para a associação usando o SSM. Para obter mais informações, consulte Referência: expressão cron e expressão rate para Gerenciador de Sistemas no Guia do usuário do AWS Systems Manager .

nota

O Amazon Inspector envia arquivos de definição de OVAL (Linguagem Aberta de Determinação de Vulnerabilidade) atualizados para o bucket S3 em inspector2-oval-prod-REGION. Esse bucket do S3 contém as definições de OVAL usadas em verificações e não deve ser modificado. Alterar essa configuração impedirá que o Amazon Inspector verifique novas CVEs à medida que forem lançados.

Requisitos de verificação do Amazon Inspector para instâncias do Windows

Para verificar uma instância do Windows, o Amazon Inspector exige que a instância atenda aos seguintes critérios:

  • A instância é uma instância gerenciada por SSM. Para obter instruções sobre como configurar sua instância para verificação, consulte Configurar o atendente do SSM.

  • O sistema operacional da instância é um dos sistemas operacionais com suporte pelo Windows. Para obter uma lista completa de sistemas operacionais com suporte, consulte Sistemas operacionais com suporte ao escaneamento do Amazon EC2.

  • A instância tem o plug-in Amazon Inspector SSM instalado. O Amazon Inspector instala automaticamente o plug-in Amazon Inspector SSM para instâncias gerenciadas após a descoberta. Consulte o próximo tópico para obter detalhes sobre o plug-in.

nota

Se seu host estiver sendo executado em um Amazon VPC sem acesso de saída à Internet, a verificação do Windows exige que seu host consiga acessar endpoints regionais do Amazon S3. Para saber como configurar um endpoint da Amazon VPC do Amazon S3, consulte Criar um endpoint de gateway no Guia do usuário da Amazon Virtual Private Cloud. Se a sua política de endpoint do Amazon VPC está restringindo o acesso a buckets S3 externos, você deve permitir especificamente o acesso ao bucket mantido pelo Amazon Inspector no seu Região da AWS que armazena as definições OVAL usadas para avaliar sua instância. Este bucket tem o seguinte formato: inspector2-oval-prod-REGION.

Sobre o plug-in Amazon Inspector SSM para Windows

O plug-in Amazon Inspector SSM é necessário para que o Amazon Inspector escaneie suas instâncias. Windows O plug-in Amazon Inspector SSM é instalado automaticamente em suas Windows instâncias emC:\Program Files\Amazon\Inspector, e o arquivo binário executável é nomeado. InspectorSsmPlugin.exe

Os seguintes locais de arquivo são criados para armazenar dados que o plug-in Amazon Inspector SSM coleta:

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

Por padrão, o plug-in Amazon Inspector SSM é executado abaixo da prioridade normal.

nota

Você pode escanear Windows instâncias com a configuração de gerenciamento de host padrão. No entanto, você deve criar um perfil de instância e anexar a ssm:PutInventory permissão.

Desinstalar o plug-in do SSM do Amazon Inspector

Se o arquivo InspectorSsmPlugin.exe for excluído inadvertidamente, a associação de InspectorDistributor-do-not-delete do SSM reinstalará o plug-in no próximo intervalo de verificação do Windows. Se você quiser desinstalar o plug-in Amazon Inspector SSM, você pode usar a ação Desinstalar no documento. AmazonInspector2-ConfigureInspectorSsmPlugin

Além disso, o plug-in Amazon Inspector SSM será automaticamente desinstalado de todos os Windows hosts se você desativar a verificação do Amazon EC2.

nota

Se você desinstalar o Agente SSM antes de desativar o Amazon Inspector, o plug-in SSM do Amazon Inspector permanecerá no Windows host, mas não enviará mais dados para o plug-in SSM do Amazon Inspector. Para ter mais informações, consulte Desativar o Amazon Inspector.

Definir horários personalizados para verificações de instâncias do Windows

Personalize o tempo entre as verificações das instância do Amazon EC2 do Windows, definindo uma expressão cron ou uma expressão rate para a associação de InvokeInspectorSsmPlugin-do-not-delete usando o SSM. Para obter mais informações, consulte Referência: expressão cron e expressão rate para Gerenciador de Sistemas no Guia do usuário do AWS Systems Manager ou use as instruções a seguir.

Selecione um dos exemplos de código a seguir para alterar a cadência de verificação das instâncias do Windows das 6 horas padrão para 12 horas usando uma expressão rate ou uma expressão cron.

Os exemplos a seguir exigem que você use o AssociationIdpara a associação chamadaInvokeInspectorSsmPlugin-do-not-delete. Você pode recuperar seu AssociationIdexecutando o seguinte AWS CLI comando:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
nota

AssociationIdÉ regional, então você precisa primeiro recuperar uma ID exclusiva para cada Região da AWS um. Em seguida, execute o comando para alterar a cadência de verificação em cada região a ser definida um cronograma de verificação personalizado para as instâncias do Windows.

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"