本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Inspector 扫描Windows EC2 实例
Amazon Inspector 会自动发现所有支持的 Windows 实例,并将其纳入连续扫描,无需任何额外操作。有关支持哪些实例的信息,请参阅 Amazon Inspector 支持的操作系统和编程语言。Amazon Inspector 会定期运行 Windows 扫描。Windows 实例在发现时进行扫描,然后每 6 小时扫描一次。但是,可以在首次扫描后调整默认扫描间隔。
激活亚马逊 EC2 扫描后,Amazon Inspector 会为您的Windows资源创建以下 SSM 关联:InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete、和InvokeInspectorSsmPlugin-do-not-delete。若要在 Windows 实例上安装 Amazon Inspector SSM 插件,InspectorDistributor-do-not-delete SSM 关联会使用 AWS-ConfigureAWSPackage SSM 文档和 AmazonInspector2-InspectorSsmPlugin SSM Distributor 程序包。有关更多信息,请参阅 Amazon Inspector SSM 插件。Windows若要收集实例数据并生成 Amazon Inspector 调查发现,InvokeInspectorSsmPlugin-do-not-delete SSM 关联会每 6 小时运行一次 Amazon Inspector SSM 插件。但是,您可以使用 cron 或 rate 表达式自定义此设置。
注意
Amazon Inspector 将更新的开放脆弱性和评测语言 (OVAL) 定义文件暂存到 S3 存储桶 inspector2-oval-prod-。Amazon S3 存储桶包含扫描中使用的 OVAL 定义。不应修改这些 OVAL 定义。否则,Amazon Inspector 在新版本发布 CVEs 时将不会对其进行扫描。your-AWS-Region
Windows 实例的 Amazon Inspector 扫描要求
要扫描 Windows 实例,Amazon Inspector 要求实例满足以下条件:
-
该实例是 SSM 托管实例。有关设置扫描实例的说明,请参阅配置 SSM 代理。
-
实例操作系统是支持的 Windows 操作系统之一。有关支持的操作系统类型的完整列表,请参阅Amazon EC2 实例的状态值。
-
该实例安装了 Amazon Inspector SSM 插件。Amazon Inspector 会在发现托管实例时自动为其安装 Amazon Inspector SSM 插件。有关该插件的详细信息,请参阅下一个主题。
注意
如果主机在 Amazon VPC 中运行,但没有出站互联网访问权限,则 Windows 扫描要求主机能够访问区域 Amazon S3 端点。要了解如何配置 Amazon S3 Amazon VPC 端点,请参阅 Amazon Virtual Private Cloud 用户指南中的创建网关端点。如果您的 Amazon VPC 终端节点策略限制对外部 S3 存储桶的访问,则必须明确允许访问由 Amazon Inspector 维护的存储桶 Amazon Web Services 区域 ,该存储桶存储用于评估您的实例的 OVAL 定义。此存储桶使用以下格式:inspector2-oval-prod-。REGION
为 Windows 实例扫描设置自定义计划
您可以使用 SSM 为InvokeInspectorSsmPlugin-do-not-delete关联设置 cron 表达式或速率表达式,从而自定义 Windows Amazon EC2 实例扫描之间的时间。有关更多信息,请参阅 Amazon Systems Manager 用户指南中的参考:适用于 Systems Manager 的 cron 和 rate 表达式,或使用以下说明。
从以下代码示例中选择一个,使用 rate 表达式或 cron 表达式将 Windows 实例的扫描节奏从默认的 6 小时更改为 12 小时。
以下示例要求您使用名AssociationId为的关联InvokeInspectorSsmPlugin-do-not-delete。你可以AssociationId通过运行以下 Amazon CLI
命令来检索你的:
$aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --regionus-east-1
注意
AssociationId是区域性的,因此您需要先为每个区域检索一个唯一的 ID Amazon Web Services 区域。然后,您可以运行上述命令,在要为 Windows 实例设置自定义扫描计划的每个区域更改扫描节奏。