Acceso o desactivación de la inspección profunda Rutas personalizadas para la inspección profunda de Amazon Inspector Programaciones personalizadas para la inspección profunda de Amazon Inspector Lenguajes de programación admitidos

Inspección profunda de Amazon Inspector para instancias de Amazon EC2 basadas en Linux

Amazon Inspector amplía la cobertura de análisis de Amazon EC2 para incluir la inspección profunda. Gracias a la inspección profunda, Amazon Inspector detecta las vulnerabilidades de paquetes de lenguajes de programación de la aplicación en las instancias de Amazon EC2 basadas en Linux. Amazon Inspector analiza las rutas predeterminadas de las bibliotecas de paquetes de lenguajes de programación. Sin embargo, puede configurar rutas personalizadas además de las rutas que Amazon Inspector analiza de forma predeterminada.

nota

Puede utilizar la inspección profunda con la configuración de administración de host predeterminada. Sin embargo, debe crear o usar un rol que esté configurado con los permisos ssm:PutInventory y ssm:GetParameter.

Para realizar análisis de inspección profunda para las instancias de Amazon EC2 basadas en Linux, Amazon Inspector utiliza datos recopilados con el complemento de SSM de Amazon Inspector. Para administrar el complemento de SSM de Amazon Inspector y llevar a cabo la inspección profunda de Linux, Amazon Inspector crea automáticamente la asociación de SSM InvokeInspectorLinuxSsmPlugin-do-not-delete en la cuenta. Amazon Inspector recopila el inventario de aplicaciones actualizado de las instancias de Amazon EC2 basadas en Linux cada 6 horas.

nota

La inspección profunda no es compatible con instancias de Windows o Mac.

En esta sección, se describe cómo administrar la inspección profunda de Amazon Inspector para las instancias de Amazon EC2 y cómo configurar rutas personalizadas para que Amazon Inspector las analice.

Temas

Acceso o desactivación de la inspección profunda
Rutas personalizadas para la inspección profunda de Amazon Inspector
Programaciones personalizadas para la inspección profunda de Amazon Inspector
Lenguajes de programación admitidos

Acceso o desactivación de la inspección profunda

nota

Para cuentas que activan Amazon Inspector después del 17 de abril de 2023, la inspección profunda se activa automáticamente como parte del análisis de Amazon EC2.

Administración de inspección profunda

Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la versión https://console.aws.amazon.com/inspector/2/home
En el panel de navegación, elija Configuración general y, a continuación, elija configuración de análisis de Amazon EC2.
En Inspección profunda de la instancia de Amazon EC2, puede establecer rutas personalizadas para la organización o para su propia cuenta.

Puede comprobar el estado de activación de una sola cuenta mediante programación con la API 2. GetEc DeepInspectionConfiguration Puede comprobar el estado de activación mediante programación de varias cuentas con la API BatchGetMemberEc2DeepInspectionStatus.

Si activó Amazon Inspector antes del 17 de abril de 2023, puede desactivar la inspección profunda a través del banner de la consola o con la API UpdateEc2DeepInspectionConfiguration. Si es administrador delegado de una organización en Amazon Inspector, puede utilizar la API BatchUpdateMemberEc2DeepInspectionStatus para activar la inspección profunda para sí mismo y las cuentas de miembros.

Puede desactivar la inspección profunda a través de la API UpdateEc2DeepInspectionConfiguration. Las cuentas de miembros de una organización no pueden desactivar la inspección profunda. Debe hacerlo el administrador delegado para las cuentas de miembros con la API BatchUpdateMemberEc2DeepInspectionStatus.

Rutas personalizadas para la inspección profunda de Amazon Inspector

Puede configurar rutas personalizadas para que Amazon Inspector las analice durante inspecciones profundas de las instancias de Amazon EC2 de Linux. Al configurar una ruta personalizada, Amazon Inspector analiza los paquetes de ese directorio y de todos los subdirectorios.

Todas las cuentas pueden definir hasta 5 rutas personalizadas. El administrador delegado de una organización puede definir 10 rutas personalizadas.

Amazon Inspector analiza todas las rutas personalizadas, así como las siguientes rutas predeterminadas que Amazon Inspector analiza para todas las cuentas:

/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64

nota

Las rutas personalizadas deben ser rutas locales. Amazon Inspector no analiza rutas de red asignadas, como los montajes del Sistema de archivos de red o los montajes del sistema de archivos de Amazon S3.

Formato de rutas personalizadas

Ninguna ruta personalizada puede tener más de 256 caracteres. A continuación, se muestra un ejemplo del aspecto que podría tener una ruta personalizada:

Ruta de ejemplo

/home/usr1/project01

nota

El límite de paquetes por instancia es de 5000. El tiempo máximo de recopilación de inventario de paquetes es de 15 minutos. Amazon Inspector le recomienda que elija rutas personalizadas para superar estos límites.

Configuración de una ruta personalizada en la consola de Amazon Inspector y con la API de Amazon Inspector

Los siguientes procedimientos describen cómo establecer una ruta personalizada para la inspección profunda de Amazon Inspector en la consola de Amazon Inspector y con la API de Amazon Inspector. Tras establecer una ruta personalizada, Amazon Inspector la incluirá en la siguiente inspección profunda.

Programaciones personalizadas para la inspección profunda de Amazon Inspector

De forma predeterminada, Amazon Inspector recopila un inventario de aplicaciones de las instancias de Amazon EC2 cada 6 horas. Sin embargo, puede ejecutar los siguientes comandos para controlar la frecuencia con la que Amazon Inspector lo hace.

Ejemplo de comando 1: mostrar las asociaciones para ver el ID de asociación y el intervalo actual

El siguiente comando muestra el ID de asociación de la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete.


aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Ejemplo de comando 2: actualizar la asociación para incluir un nuevo intervalo

El siguiente comando usa el ID de asociación para la asociación InvokeInspectorLinuxSsmPlugin-do-not-delete. Puede establecer la frecuencia para schedule-expression desde 6 horas hasta un nuevo intervalo, por ejemplo, 12 horas.


aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

nota

En función del caso de uso, si establece la frecuencia para schedule-expression desde 6 horas hasta un intervalo de 30 minutos, puede superar el límite de inventario diario de SSM. Esto provoca un retraso en los resultados y es posible que encuentre instancias de Amazon EC2 con estados de error parciales.

Lenguajes de programación admitidos

Para las instancias de Linux, la inspección profunda de Amazon Inspector puede producir resultados sobre los paquetes de lenguajes de programación de aplicaciones y los paquetes del sistema operativo.

Para las instancias de Mac y Windows, la inspección profunda de Amazon Inspector puede producir resultados solo para los paquetes del sistema operativo.

Para obtener más información sobre los lenguajes de programación compatibles, consulte Lenguajes de programación admitidos: inspección profunda de Amazon EC2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Análisis de instancias de Amazon EC2

Análisis de instancias EC2 de Windows