扫描 Windows EC2 使用亚马逊 Inspector 的实例 - Amazon Inspector
Amazon Inspector 的扫描要求 Windows 实例为设置自定义日程安排 Windows 实例扫描
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

扫描 Windows EC2 使用亚马逊 Inspector 的实例

Amazon Inspector 会自动发现所有支持的内容 Windows 实例并将其包含在连续扫描中,无需任何额外操作。有关支持哪些实例的信息,请参阅 Amazon Inspector 支持的操作系统和编程语言。亚马逊 Inspector 正在运行 Windows 定期扫描。Windows 在发现时对实例进行扫描,然后每 6 小时扫描一次。但是,可以在首次扫描后调整默认扫描间隔

激活亚马逊 EC2 扫描后,Amazon Inspector 会为您创建以下 SSM 关联 Windows 资源:InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete、和InvokeInspectorSsmPlugin-do-not-delete。要在你的 Amazon Inspector SSM 插件上安装 Windows 实例,InspectorDistributor-do-not-deleteSSM 关联使用 SSM 文档和 AWS-ConfigureAWSPackage SSM Distrib utor AmazonInspector2-InspectorSsmPlugin软件包。有关更多信息,请参阅 Amazon Inspector SSM 插件 Windows。 为了收集实例数据并生成 Amazon Inspector 的调查结果,InvokeInspectorSsmPlugin-do-not-deleteSSM 协会每隔 6 小时运行一次 Amazon Inspector SSM 插件。但是,您可以使用 cron 或 rate 表达式自定义此设置

注意

Amazon Inspector 将更新的开放脆弱性和评测语言 (OVAL) 定义文件暂存到 S3 存储桶 inspector2-oval-prod-your-AWS-Region。Amazon S3 存储桶包含扫描中使用的 OVAL 定义。不应修改这些 OVAL 定义。否则,Amazon Inspector 在新版本发布 CVEs 时将不会对其进行扫描。

Amazon Inspector 的扫描要求 Windows 实例

要扫描 Windows 例如,Amazon Inspector 要求该实例满足以下标准:

  • 该实例是 SSM 托管实例。有关设置扫描实例的说明,请参阅配置 SSM 代理

  • 实例操作系统是支持的操作系统之一 Windows 操作系统。有关支持的操作系统类型的完整列表,请参阅Amazon EC2 实例的状态值

  • 该实例安装了 Amazon Inspector SSM 插件。Amazon Inspector 会在发现托管实例时自动为其安装 Amazon Inspector SSM 插件。有关该插件的详细信息,请参阅下一个主题。

注意

如果您的主机在没有出站互联网访问权限的 Amazon VPC 中运行,Windows 扫描要求您的主机能够访问区域 Amazon S3 终端节点。要了解如何配置 Amazon S3 Amazon VPC 端点,请参阅 Amazon Virtual Private Cloud 用户指南中的创建网关端点。如果您的 Amazon VPC 终端节点策略限制对外部 S3 存储桶的访问,则必须明确允许访问由 Amazon Inspector 维护的存储桶 Amazon Web Services 区域 ,该存储桶存储用于评估您的实例的 OVAL 定义。此存储桶使用以下格式:inspector2-oval-prod-REGION

为设置自定义日程安排 Windows 实例扫描

您可以自定义两次之间的时间 Windows Amazon EC2 实例通过使用 SSM 为InvokeInspectorSsmPlugin-do-not-delete关联设置 cron 表达式或速率表达式进行扫描。有关更多信息,请参阅 Amazon Systems Manager 用户指南中的参考:适用于 Systems Manager 的 cron 和 rate 表达式,或使用以下说明。

从以下代码示例中进行选择,以更改扫描节奏 Windows 使用速率表达式或 cron 表达式的实例从默认 6 小时到 12 小时不等。

以下示例要求您使用名AssociationId为的关联InvokeInspectorSsmPlugin-do-not-delete。你可以AssociationId通过运行以下 Amazon CLI 命令来检索你的:

$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
注意

AssociationId是区域性的,因此您需要先为每个区域检索一个唯一的 ID Amazon Web Services 区域。然后,您可以运行命令来更改要为其设置自定义扫描计划的每个区域的扫描节奏 Windows 实例。

Example rate expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
Example cron expression
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"