本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Inspector 扫描 Windows EC2 实例
注意
2022 年 8 月 31 日,Amazon Inspector 将其 Amazon EC2 扫描覆盖范围扩展至运行 Windows 的 EC2 实例。
Amazon Inspector 会自动发现所有支持的 Windows 实例,并将其纳入连续扫描,无需任何额外操作。有关支持的实例的信息,请参阅Amazon EC2 扫描支持的操作系统。
与扫描基于 Linux 的实例不同,Amazon Inspector 会定期运行 Windows 扫描。Windows 实例最初在发现时进行扫描,然后每 6 小时扫描一次。但是,默认的 6 小时扫描间隔是可调整的。有关更多信息,请参阅 为 Windows 实例扫描设置自定义计划。下面概述了 Amazon Inspector 如何扫描 Windows 实例:
-
激活 Amazon EC2 扫描后,Amazon Inspector 会为 Windows 资源创建新的 SSM 关联:
InspectorDistributor-do-not-delete、InspectorInventoryCollection-do-not-delete和InvokeInspectorSsmPlugin-do-not-delete。 -
InspectorDistributor-do-not-deleteSSM 关联使用 SSM 文档和AWS-ConfigureAWSPackageAmazonInspector2-InspectorSsmPluginSSM 分销商包在您的实例上安装 Amazon Inspector SSM 插件。Windows请参阅关于适用于 Amazon Inspector SSM 插件 Windows了解更多信息。 -
InvokeInspectorSsmPlugin-do-not-deleteSSM 协会定期运行 Amazon Inspector SSM 插件,以收集实例数据并生成 Amazon Inspector 的调查结果。默认情况下,间隔为每 6 小时一次。但是,您可以使用 SSM 为关联设置 cron 表达式或 rate 表达式,自定义这一间隔。有关更多信息,请参阅 Amazon Systems Manager 用户指南中的参考:适用于 Systems Manager 的 cron 和 rate 表达式。
注意
Amazon Inspector 将更新的开放脆弱性和评测语言 (OVAL) 定义文件暂存到 S3 存储桶 inspector2-oval-prod-。此 S3 存储桶包含扫描中使用的 OVAL 定义,不应进行修改。更改此设置将使 Amazon Inspector 无法扫描新发布的 CVE。REGION
Windows 实例的 Amazon Inspector 扫描要求
要扫描 Windows 实例,Amazon Inspector 要求实例满足以下条件:
-
该实例是 SSM 托管实例。有关设置扫描实例的说明,请参阅配置 SSM 代理。
-
实例操作系统是支持的 Windows 操作系统之一。有关支持的操作系统类型的完整列表,请参阅Amazon EC2 扫描支持的操作系统。
-
该实例安装了 Amazon Inspector SSM 插件。发现后,Amazon Inspector 会自动为托管实例安装 Amazon Inspector SSM 插件。有关该插件的详细信息,请参阅下一个主题。
注意
如果主机在 Amazon VPC 中运行,但没有出站互联网访问权限,则 Windows 扫描要求主机能够访问区域 Amazon S3 端点。要了解如何配置 Amazon S3 Amazon VPC 端点,请参阅 Amazon Virtual Private Cloud 用户指南中的创建网关端点。如果您的 Amazon VPC 终端节点策略限制对外部 S3 存储桶的访问,则必须明确允许访问由 Amazon Inspector 维护的存储桶 Amazon Web Services 区域 ,该存储桶存储用于评估您的实例的 OVAL 定义。此存储桶使用以下格式:inspector2-oval-prod-。REGION
关于适用于 Amazon Inspector SSM 插件 Windows
Amazon Inspector 需要使用 Amazon Inspector SSM 插件才能扫描您的Windows实例。Amazon Inspector SSM 插件会自动安装在您的Windows实例上C:\Program Files\Amazon\Inspector,并命名为InspectorSsmPlugin.exe可执行的二进制文件。
创建以下文件位置是为了存储 Amazon Inspector SSM 插件收集的数据:
-
C:\ProgramData\Amazon\Inspector\Input -
C:\ProgramData\Amazon\Inspector\Output -
C:\ProgramData\Amazon\Inspector\Logs
注意
默认情况下,Amazon Inspector SSM 插件的运行优先级低于正常水平。
卸载 Amazon Inspector SSM 插件
如果 InspectorSsmPlugin.exe 文件被无意中删除,则 InspectorDistributor-do-not-delete SSM 关联将在下一个 Windows 扫描间隔重新安装插件。如果你想卸载 Amazon Inspector SSM 插件,你可以使用AmazonInspector2-ConfigureInspectorSsmPlugin文档上的 “卸载” 操作。
此外,如果您停用亚马逊 EC2 扫描,Amazon Inspector SSM 插件将自动从所有Windows主机上卸载。
注意
如果你在停用 Amazon Inspector 之前卸载 SSM 代理,Amazon Inspector SSM 插件将保留在Windows主机上,但将不再向 Amazon Inspector SSM 插件发送数据。有关更多信息,请参阅 停用 Amazon Inspector。
为 Windows 实例扫描设置自定义计划
您可以使用 SSM 为 InvokeInspectorSsmPlugin-do-not-delete 关联设置 cron 表达式或 rate 表达式,从而自定义 Windows Amazon EC2 实例扫描之间的间隔时间。有关更多信息,请参阅 Amazon Systems Manager 用户指南中的参考:适用于 Systems Manager 的 cron 和 rate 表达式,或使用以下说明。
从以下代码示例中选择一个,使用 rate 表达式或 cron 表达式将 Windows 实例的扫描节奏从默认的 6 小时更改为 12 小时。
以下示例要求您使用名AssociationId为的关联InvokeInspectorSsmPlugin-do-not-delete。你可以AssociationId通过运行以下 Amazon CLI
命令来检索你的:
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
注意
AssociationId是区域性的,因此您需要先为每个区域检索一个唯一的 ID Amazon Web Services 区域。然后,您可以运行上述命令,在要为 Windows 实例设置自定义扫描计划的每个区域更改扫描节奏。