¿Por qué Amazon Inspector no analiza mis instancias de Amazon EC2?

Descripción breve

Amazon Inspector utiliza AWS Systems Manager y AWS Systems Manager Agent (SSM Agent) para analizar las aplicaciones de software instaladas en sus instancias de Amazon EC2. A continuación, Amazon Inspector analiza los datos de telemetría recopilados por SSM Agent para detectar vulnerabilidades de software. Puede utilizar el panel de control de Amazon Inspector para supervisar el estado de sus instancias de Amazon EC2. Para obtener más información, consulte Scanning Amazon EC2 instances with Amazon Inspector (Analizar instancias de Amazon EC2 con Amazon Inspector).

Si Amazon Inspector no está analizando sus instancias de Amazon EC2, asegúrese de se cumplen las siguientes condiciones:

• SSM Agent está actualizado.
• La instancia de Amazon EC2 está en ejecución.
• El sistema operativo es compatible.
• La conectividad con Systems Manager está configurada.
• Las asociaciones y la aplicación de software de Systems Manager están configuradas.

Resolución

Comprobar la versión de SSM Agent

Amazon Inspector debe tener SSM Agent en ejecución para analizar las instancias de Amazon EC2. Si está utilizando una versión anterior del SSM Agent, es posible que deba actualizarlo para analizar correctamente las instancias de Amazon EC2. Se recomienda automatizar el proceso de actualización de SSM Agent. Para obtener instrucciones, consulte Automatización de las actualizaciones de SSM Agent.

Para actualizar SSM Agent de manera manual, suscríbase a las notificaciones de SSM Agent. A continuación, actualice SSM Agent mediante el comando Run (Ejecutar). También puede suscribirse a las notas de lanzamiento de SSM Agent en el sitio web de GitHub.

Comprobar que la instancia Amazon EC2 esté en ejecución

El estado “EC2 instance stopped” (Instancia de EC2 detenida) significa que Amazon Inspector ha pausado el análisis de la instancia porque la instancia está detenida. Todos los hallazgos existentes persisten hasta que se finalice la instancia. Si se reinicia la instancia, Amazon Inspector reanuda automáticamente el análisis de la instancia. Para reiniciar una instancia de Amazon EC2, consulte Detener e iniciar la instancia.

Comprobar que el sistema operativo es compatible

El estado “Unsupported OS” (Sistema operativo no compatible) significa que la instancia de Amazon EC2 utiliza un sistema operativo o una arquitectura que no es compatible con Amazon Inspector. Si desea comprobar en una tabla los sistemas operativos compatibles para analizar instancias de EC2, consulte Supported operating systems: Amazon EC2 scanning (Sistemas operativos compatibles: análisis de Amazon EC2).

Para comprobar la versión del sistema operativo, siga estos pasos para Linux o Windows:

Sistema operativo Linux

Ejecute el siguiente comando:

cat /etc/os-release
lsb_release -a
hostnamectl

Sistema operativo Windows

Presione la tecla del logotipo de Windows y R, ingrese msinfo32 en el cuadro Ejecutar y, a continuación, elija Aceptar.

Comprobar la conectividad con Systems Manager

Nota: Si su instancia de Amazon EC2 no aparece en la consola de Systems Manager, es posible que necesite una configuración adicional. Para obtener más información, consulte Why is my EC2 instance not appearing under Managed Instances in the Systems Manager console? (¿Por qué mi instancia de EC2 no aparece bajo las instancias administradas en la consola de Systems Manager?)

1.    Abra la consola de Systems Manager en la misma región que Amazon Inspector y su instancia de Amazon EC2.

2.    En el panel de navegación, seleccione Fleet Manager (Administrador de flota).

3.    En Managed nodes (Nodos administrados), compruebe el estado del ping de SSM Agent. Si el estado es Online (En línea), significa que la instancia de Amazon EC2 está conectada a SSM Agent.

Si el estado de ping de SSM Agent es Connection Lost (Conexión perdida), asegúrese de que su instancia de Amazon EC2 cumpla con los requisitos previos de Systems Manager. Si utiliza la versión 3.1.501.0 o superior de SSM Agent, puede utilizar la herramienta de línea de comandos ssm-cli para realizar más diagnósticos y solucionar problemas. Para obtener instrucciones, consulte Solución de problemas de disponibilidad de instancias administradas de Amazon EC2 con ssm-cli.

También puede ejecutar el documento AWSSupport-TroubleshootManagedInstance de Automatización de Systems Manager para confirmar si la instancia cumple los requisitos previos para figurar como instancia administrada. Para obtener más información, consulte AWS Support-TroubleshootManagedInstance.

Comprobar las asociaciones de Systems Manager y la aplicación de software

Amazon Inspector requiere una asociación del administrador de estados de Systems Manager en su cuenta para recopilar el inventario de las aplicaciones de software. Amazon Inspector crea automáticamente una asociación denominada InspectorInventoryCollection-do-not-delete. El estado “No inventory” (Sin inventario) significa que Amazon Inspector no pudo encontrar el inventario de la aplicación de software para analizarlo para su instancia de Amazon EC2.

Comprobar el estado de la asociación

1.    Abra la consola de Systems Manager en la misma región que Amazon Inspector y su instancia de Amazon EC2.

2.    En el panel de navegación, seleccione State Manager (Administrador de estados).

3.    En Associations (Asociaciones), asegúrese de que la asociación InspectorInventoryCollection-do-not-delete existe y que el estado es Success (Correcta).

4.    Si la asociación InspectorInventoryCollection-do-not-delete no existe, ejecute el documento AWS-GatherSoftwareInventory en todas las instancias de Amazon EC2. Elija el ID de asociación de la instancia de Amazon EC2 que no se analizó y, a continuación, elija la pestaña Execution history (Historial de ejecución) para obtener más información.

5.    Si el estado de la asociación InspectorInventoryCollection-do-not-delete es Failed (Error), elija el Association id (ID de asociación) y, a continuación, elija Apply association now (Aplicar asociación ahora).

6.    Vuelva a comprobar el estado de la asociación InspectorInventoryCollection-do-not-delete para confirmar si cambió de Failed (Error) a Success (Correcto).

Nota: Para Windows, se requiere el complemento SSM de Amazon Inspector para escanear instancias EC2 de Windows. Cuando se activa el análisis de EC2, Amazon Inspector crea las nuevas asociaciones de SSM InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete para sus recursos de Windows. Si el Estado de alguna de estas asociaciones es Failed(Falló), intente volver a aplicar la asociación. Si se elimina el archivo InspectorSsmPlugin.exe, la asociación SSM InspectorDistributor-Do-Nt-Delete volverá a instalar el complemento en el siguiente análisis de Windows. Para obtener más información, consulte Scanning Windows EC2 instances with Amazon Inspector (Analizar instancias de Amazon EC2 con Amazon Inspector).

Comprobar que la aplicación de software existe en el nodo

Asegúrese de que haya paquetes de software en el inventario de su instancia de Amazon EC2.

1.    Abra la consola de Systems Manager en la misma región que Amazon Inspector y su instancia de Amazon EC2.

2.    En el panel de navegación, seleccione Fleet Manager (Administrador de flota).

3.    En Managed nodes (Nodos administrados), elija su ID de nodo y, a continuación, elija la pestaña Inventory (Inventario) para comprobar si hay aplicaciones de software.

Comprobar la tasa de inventario de aplicaciones de software

Se recomienda configurar la tasa de recopilación de inventario para que se ejecute cada 30 minutos. Edite la asociación InspectorInventoryCollection-do-not-delete y establezca la tasa de expresiones cron en 30 minutos.

---

Información relacionada

Assessing Amazon Inspector coverage of your AWS environment (Evaluación de la cobertura de Amazon Inspector de su entorno de AWS)

¿Cómo configuro Amazon Inspector Classic para que haga evaluaciones de seguridad en mis instancias de Amazon EC2?