Warum scannt Amazon Inspector meine Amazon EC2-Instances nicht?

Lesedauer: 5 Minute
0

Ich habe Amazon Inspector aktiviert, aber meine Elastic-Compute-Cloud-Instance (Amazon EC2) wird nicht gescannt. Der Amazon-Inspector-Dashboard-Status lautet „Unmanaged EC2 instance“ (Nicht verwaltete EC2-Instance), „Unsupported OS“ (Nicht unterstütztes Betriebssystem), „Internal Error“ (Interner Fehler), „Pending initial scan“ (Fehlender erster Scan) oder „No Inventory“ (Kein Inventar).

Kurzbeschreibung

Amazon Inspector verwendet AWS Systems Manager und den AWS Systems Manager Agent (SSM Agent), um Softwareanwendungen zu scannen, die auf Ihren Amazon-EC2-Instances installiert sind. Die vom SSM-Agenten gesammelten Telemetriedaten werden dann von Amazon Inspector auf Softwareschwachstellen gescannt. Sie können das Amazon-Inspector-Dashboard verwenden, um den Status Ihrer Amazon-EC2-Instances zu überwachen. Weitere Informationen finden Sie unter Amazon-EC2-Instances mit Amazon Inspector scannen.

Wenn Amazon Inspector Ihre Amazon-EC2-Instances nicht scannt, stellen Sie sicher, dass:

  • Der SSM-Agent auf dem neuesten Stand ist.
  • Die Amazon EC2-Instance ausgeführt wird.
  • Das Betriebssystem unterstützt wird.
  • Die Konnektivität zu Systems Manager konfiguriert ist.
  • Systems-Manager-Verknüpfungen und Softwareanwendungen konfiguriert sind.

Lösung

Version des SSM-Agenten überprüfen

Amazon Inspector muss den SSM-Agenten ausführen, um Amazon-EC2-Instances zu scannen. Wenn Sie eine frühere Version des SSM-Agenten verwenden, dann müssen Sie diese möglicherweise aktualisieren, um Amazon-EC2-Instances erfolgreich zu scannen. Dies ist eine bewährte Methode, den Aktualisierungsprozess des SSM-Agenten zu automatisieren. Anweisungen finden Sie unter Automatisches Aktualisieren des SSM-Agenten.

Um den SSM-Agenten zu aktualisieren, abonnieren Sie SSM-Agent-Benachrichtigungen. Aktualisieren Sie dann den SSM-Agenten mit Run Command. Sie können die Versionshinweise für SSM-Agent auch auf der GitHub-Website abonnieren.

Stellen Sie sicher, dass die Amazon-EC2-Instance läuft

Der Status „EC2 instance stopped“ (EC2-Instance gestoppt) bedeutet, dass Amazon Inspector die Suche nach der Instance angehalten hat, da sich die Instance im Status „Stopp“ befindet. Alle vorhandenen Ergebnisse bleiben bestehen, bis die Instance beendet wird. Wenn die Instance neu gestartet wird, setzt Amazon Inspector automatisch die Suche nach der Instance fort. Informationen zum Neustart einer Amazon-EC2-Instance finden Sie unter Ihre Instances starten und stoppen.

Stellen Sie sicher, dass das Betriebssystem unterstützt wird

Der Status „Nicht unterstütztes Betriebssystem“ bedeutet, dass die Amazon-EC2-Instance ein Betriebssystem oder eine Architektur verwendet, die Amazon Inspector nicht unterstützt. Eine Tabelle mit den unterstützten Betriebssystemen für das Scannen von EC2-Instances finden Sie unter Unterstützte Betriebssysteme: Scannen von Amazon EC2.

Gehen Sie für Linux oder Windows wie folgt vor, um Ihre Betriebssystemversion zu überprüfen:

Linux-Betriebssystem

Folgenden Befehl ausführen:

cat /etc/os-release
lsb_release -a
hostnamectl

Windows-Betriebssystem

Drücken Sie Windows-Logo-Taste + R, geben Sie msinfo32 in das Feld Öffnen ein, und wählen Sie dann OK aus.

Konnektivität zu Systems Manager überprüfen

Hinweis: Wenn Ihre Amazon-EC2-Instance nicht in der Systems-Manager-Konsole erscheint, ist möglicherweise eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Warum wird meine EC2-Instance in der Systems-Manager-Konsole nicht unter den verwalteten Instances angezeigt?

1.    Öffnen Sie die Systems-Manager-Konsole in derselben Region wie Amazon Inspector und Ihre Amazon-EC2-Instance.

2.    Wählen Sie im Navigationsbereich Fleet Manager aus.

3.    Überprüfen Sie unter Verwaltete Knoten den Ping-Status des SSM-Agenten. Wenn der Status Online lautet, dann ist Ihre Amazon-EC2-Instance mit dem SSM-Agenten verbunden.

Wenn der Ping-Status des SSM-Agenten****Verbindung verloren lautet, stellen Sie sicher, dass Ihre Amazon-EC2-Instance die Systems-Manager-Voraussetzungen erfüllt. Wenn Sie SSM Agent Version 3.1.501.0 oder höher verwenden, können Sie das Befehlszeilentool ssm-cli für weitere Diagnosen und Problembehebungen verwenden. Eine Anleitung finden Sie unter Problembehandlung bei der Verfügbarkeit verwalteter Amazon-EC2-Instances mithilfe von ssm-cli.

Sie können auch das Dokument AWSSupport-TroubleshootManagedInstance Systems Manager Automation ausführen, um zu überprüfen, ob die Instance die Voraussetzungen erfüllt, um als verwaltete Instance aufgeführt zu werden. Weitere Informationen finden Sie unter AWSSupport-TroubleshootManagedInstance.

Überprüfen Sie die Systems-Manager-Verknüpfungen und die Softwareanwendung

Amazon Inspector benötigt eine System-Manager-State-Manager-Zuordnung in Ihrem Konto, um das Softwareanwendungsinventar erfassen zu können. Amazon Inspector erstellt automatisch eine Zuordnung namens InspectorInventoryCollection-do-not-delete. Der Status „No inventory“ (Kein Inventar) bedeutet, dass Amazon Inspector das Softwareanwendungsinventar nicht finden konnte, um nach Ihrer Amazon-EC2-Instance zu suchen.

Status der Zuordnung überprüfen

1.    Öffnen Sie die Systems-Manager-Konsole in derselben Region wie Amazon Inspector und Ihre Amazon-EC2-Instance.

2.    Wählen Sie im Navigationsbereich State Manager aus.

3.    Vergewissern Sie sich unter Zuordnungen, dass die Zuordnung InspectorInventoryCollection-Do-Not-Delete existiert und der Status****Success (Erfolgreich) ist.

4.    Wenn die Verknüpfung InspectorInventoryCollection-do-not-delete nicht existiert, dann führen Sie das AWS-GatherSoftwareInventory-Dokument auf allen Amazon-EC2-Instances aus. Wählen Sie die Zuordnungs-ID für die Amazon-EC2-Instance, die nicht gescannt wurde, und klicken Sie dann auf die Registerkarte Ausführungsverlauf, um weitere Informationen zu erhalten.

5.    Wenn der Zuordnungsstatus InspectorInventoryCollection-do-not-delete Failed (Fehlgeschlagen) ist, wählen Sie die Zuordnungs-ID und dann Zuordnung jetzt anwenden aus.

6.    Überprüfen Sie erneut den Zuordnungsstatus****InspectorInventoryCollection-do-not-delete, um zu bestätigen, dass er von Fehlgeschlagen auf Erfolgreich geändert wurde.

Hinweis: Für Windows ist das Amazon-Inspector-SSM-Plugin erforderlich, um Windows-EC2-Instances zu scannen. Wenn das EC2-Scannen aktiviert ist, erstellt Amazon Inspector die neuen SSM-Zuordnungen InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete und InvokeInspectorSsmplugin-do-not-delete für Ihre Windows-Ressourcen. Wenn der Status einer dieser Verknüpfungen auf Fehlgeschlagen lautet, versuchen Sie, die Zuordnung erneut anzuwenden. Wenn die Datei InspectorSsmPlugin.exe gelöscht wird, installiert die SSM-Zuordnung InspectorDistributor-do-not-delete das Plugin beim nächsten Windows-Scan erneut. Weitere Informationen finden Sie unter Windows-EC2-Instances mit Amazon Inspector scannen.

Stellen Sie sicher, dass die Softwareanwendung im Knoten vorhanden ist

Stellen Sie sicher, dass das Inventar Softwarepakete für Ihre Amazon-EC2-Instance enthält.

1.    Öffnen Sie die Systems-Manager-Konsole in derselben Region wie Amazon Inspector und Ihre Amazon-EC2-Instance.

2.    Wählen Sie im Navigationsbereich Fleet Manager aus.

3.    Wählen Sie unter Verwaltete Knoten Ihre Knoten-ID und dann die Registerkarte Inventar aus, um nach Softwareanwendungen zu suchen.

Überprüfen Sie die Inventarrate der Softwareanwendungen

Es hat sich bewährt, die Inventarerfassungsrate so festzulegen, dass sie alle 30 Minuten ausgeführt wird. Bearbeiten Sie die Verknüpfung InspectorInventoryCollection-do-not-delete und legen Sie die Cron-Ausdrucksrate auf 30 Minuten fest.


Ähnliche Informationen

Bewertung der Abdeckung Ihrer AWS-Umgebung durch Amazon Inspector

Wie kann ich meine Amazon-EC2-Instances mit Amazon Inspector Classic einer Sicherheitsbewertung unterziehen?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren