기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Inspector로 Windows EC2 인스턴스 스캔
<a name="windows-scanning"></a>

 Amazon Inspector는 지원되는 모든 Windows 인스턴스를 자동으로 검색하여 추가 조치 없이 연속 스캔에 포함시킵니다. 지원되는 인스턴스에 대한 자세한 내용은 [Amazon Inspector에서 지원하는 운영 체제 및 프로그래밍 언어](https://docs.aws.amazon.com/inspector/latest/user/supported.html)를 참조하세요. Amazon Inspector는 정기적으로 Windows 스캔을 실행합니다. Windows 인스턴스는 검색 시 스캔되고 그 후 6시간마다 스캔됩니다. 그러나 첫 번째 스캔 후 [기본 스캔 간격을 조정](https://docs.aws.amazon.com/inspector/latest/user/windows-scanning.html#windows-scan-schedule)할 수 있습니다.

 Amazon EC2 스캔이 활성화되면 Amazon Inspector에서 Windows 리소스에 대해 새 SSM 연결 `InspectorDistributor-do-not-delete`, `InspectorInventoryCollection-do-not-delete`, `InvokeInspectorSsmPlugin-do-not-delete`를 생성합니다. Windows 인스턴스에 Amazon Inspector SSM 플러그인을 설치하기 위해 `InspectorDistributor-do-not-delete` SSM 연결에는 [`AWS-ConfigureAWSPackage` SSM 문서](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html)와 [`AmazonInspector2-InspectorSsmPlugin` SSM Distributor 패키지](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)가 사용됩니다. 자세한 내용은 [Windows용 Amazon Inspector SSM 플러그인](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#inspector/latest/user/deep-inspection.html)을 참조하세요. 인스턴스 데이터를 수집하고 Amazon Inspector 조사 결과를 생성하기 위해 `InvokeInspectorSsmPlugin-do-not-delete` SSM 연결은 Amazon Inspector SSM 플러그인을 6시간 간격으로 실행합니다. 하지만[ cron 또는 rate 표현식을 설정하여 이 설정을 사용자 지정](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)할 수 있습니다.

**참고**  
 Amazon Inspector는 업데이트된 OVAL(Open Vulnerability and Assessment Language) 정의 파일을 S3 버킷 `inspector2-oval-prod-{{your-AWS-Region}}`에 스테이징합니다. Amazon S3 버킷에는 스캔에 사용되는 OVAL 정의가 포함되어 있습니다. 이러한 OVAL 정의는 수정해서는 안됩니다. 그렇지 않으면 새로운 CVE가 릴리스될 때 Amazon Inspector가 이를 스캔하지 못하게 됩니다.

## Windows 인스턴스에 대한 Amazon Inspector 스캔 요구 사항
<a name="windows-requirements"></a>

Amazon Inspector에서 Windows 인스턴스를 스캔하려면 인스턴스가 다음 기준을 충족해야 합니다.
+ 인스턴스가 SSM 관리형 인스턴스입니다. 스캔할 인스턴스 설정에 대한 지침은 [SSM 에이전트 구성](scanning-ec2.md#configure-ssm) 섹션을 참조하세요.
+ 인스턴스 운영 체제가 지원되는 Windows 운영 체제 중 하나입니다. 지원되는 운영 체제의 전체 목록은 [Amazon EC2 인스턴스 상태 값지원되는 운영 체제: Amazon EC2 스캔](supported.md#supported-os-ec2) 섹션을 참조하세요.
+ 인스턴스에 Amazon Inspector SSM 플러그인이 설치되어 있습니다. Amazon Inspector는 관리형 인스턴스가 검색되면 자동으로 Amazon Inspector SSM 플러그인을 설치합니다. 플러그인에 대한 자세한 내용은 다음 주제를 참조하세요.

**참고**  
호스트가 외부 인터넷에 액세스할 수 없는 Amazon VPC에서 실행되는 경우 Windows 스캔을 수행하려면 호스트가 리전 Amazon S3 엔드포인트에 액세스할 수 있어야 합니다. Amazon S3 Amazon VPC 엔드포인트를 구성하는 방법을 알아보려면 *Amazon Virtual Private Cloud 사용 설명서*에서 [게이트웨이 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)을 참조하세요. Amazon VPC 엔드포인트 정책이 외부 S3 버킷에 대한 액세스를 제한하는 경우 인스턴스를 평가하는 데 사용되는 OVAL 정의를 AWS 리전 저장하는에서 Amazon Inspector가 유지 관리하는 버킷에 대한 액세스를 구체적으로 허용해야 합니다. 이 버킷의 형식은 `inspector2-oval-prod-{{REGION}}`입니다.

## Windows 인스턴스 스캔을 위한 사용자 지정 일정 설정
<a name="windows-scan-schedule"></a>

SSM을 통해 `InvokeInspectorSsmPlugin-do-not-delete` 연결에 대한 cron 표현식 또는 rate 표현식을 설정하여 Windows Amazon EC2 인스턴스의 스캔 간격을 사용자 지정할 수 있습니다. 자세한 내용은 *AWS Systems Manager 사용 설명서*의 [참조: Systems Manager의 Cron 및 Rate 표현식](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)을 참조하거나 다음 지침을 따르세요.

다음 코드 예제 중 하나를 선택하여 rate 표현식 또는 cron 표현식을 사용하여 Windows 인스턴스의 스캔 주기를 기본 6시간에서 12시간으로 변경할 수 있습니다.

다음 예에서는 `InvokeInspectorSsmPlugin-do-not-delete` 연결에 **AssociationId**를 사용해야 합니다. 다음 AWS CLI 명령을 실행하면 **AssociationID**를 검색할 수 있습니다.

```
$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region {{us-east-1}}
```

**참고**  
**AssociationId**는 리전별이므로 먼저 각에 대한 고유 ID를 검색해야 합니다 AWS 리전. 그런 다음 명령을 실행하여 Windows 인스턴스에 대한 사용자 지정 스캔 일정을 설정하려는 각 리전의 스캔 주기를 변경할 수 있습니다.

------
#### [ Example rate expression ]

```
$ aws ssm update-association \
--association-id "{{YourAssociationId}}" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
```

------
#### [ Example cron expression ]

```
$ aws ssm update-association \
--association-id "{{YourAssociationId}}" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"
```

------