En utilisant AWS re:Post, vous acceptez les Conditions d’utilisation
AWS re:Postre:Post

Pourquoi Amazon Inspector n'analyse-t-il pas mes instances Amazon EC2 ?

Lecture de 6 minute(s)
0

J'ai activé Amazon Inspector, mais mon instance Elastic Compute Cloud (Amazon EC2) n'est pas analysée. L'état du tableau de bord Amazon Inspector est « Instance EC2 non gérée », « Système d'exploitation non pris en charge », « Erreur interne », « Analyse initiale en attente » ou « Aucun inventaire ».

Brève description

Amazon Inspector utilise AWS Systems Manager et l'agent AWS Systems Manager (agent SSM) pour analyser les applications logicielles installées sur vos instances Amazon EC2. Les données de télémétrie collectées par l'agent SSM sont ensuite analysées par Amazon Inspector pour détecter les vulnérabilités logicielles. Vous pouvez utiliser le tableau de bord Amazon Inspector pour surveiller l'état de vos instances Amazon EC2. Pour plus d'informations, consultez Numérisation d'instances Amazon EC2 avec Amazon Inspector.

Si Amazon Inspector n'analyse pas vos instances Amazon EC2, assurez-vous que :

  • L'agent SSM est à jour.
  • L'instance Amazon EC2 est en cours d'exécution.
  • Le système d'exploitation est pris en charge.
  • La connectivité à Systems Manager est configurée.
  • Les associations de gestionnaires de systèmes et les applications logicielles sont configurées.

Solution

Vérifiez la version de l'agent SSM

L'agent SSM doit être en cours d'exécution sur Amazon Inspector pour analyser les instances Amazon EC2. Si vous utilisez une ancienne version de l'agent SSM, vous devrez peut-être la mettre à jour pour analyser correctement les instances Amazon EC2. Il est recommandé d'automatiser le processus de mise à jour de l'agent SSM. Pour obtenir des instructions, consultez la section Mise à jour automatique de l'agent SSM.

Pour mettre à jour l'agent SSM manuellement, abonnez-vous aux notifications de l'agent SSM. Ensuite, mettez à jour l'agent SSM à l'aide de la commande Exécuter. Vous pouvez également vous abonner aux notes de mise à jour de l'agent SSM sur le site Web de GitHub.

Vérifiez que l'instance Amazon EC2 est en cours d'exécution

L'état « Instance EC2 arrêtée » signifie qu'Amazon Inspector a suspendu l'analyse de l'instance car celle-ci est dans un état arrêté. Tous les résultats existants sont conservés jusqu'à la fermeture de l'instance. Si l'instance est redémarrée, Amazon Inspector reprend automatiquement l'analyse de l'instance. Pour redémarrer une instance Amazon EC2, consultez Arrêter et démarrer vos instances.

Vérifiez que le système d'exploitation est pris en charge

Le statut « Système d'exploitation non pris en charge » signifie que l'instance Amazon EC2 utilise un système d'exploitation ou une architecture non pris en charge par Amazon Inspector. Pour consulter un tableau répertoriant les systèmes d'exploitation pris en charge pour l'analyse des instances EC2, voir Systèmes d'exploitation pris en charge : numérisation Amazon EC2.

Pour vérifier la version de votre système d'exploitation, procédez comme suit pour Linux ou Windows :

Système d'exploitation Linux

Exécutez la commande suivante :

cat /etc/os-release
lsb_release -a
hostnamectl

Système d'exploitation Windows

Choisissez la touche Windows + R, entrez msinfo32 dans la zone Ouvrir, puis choisissez OK.

Vérifiez la connectivité à Systems Manager

Remarque : Si votre instance Amazon EC2 n'apparaît pas dans la console Systems Manager, une configuration supplémentaire peut être requise. Pour plus d'informations, consultez Pourquoi mon instance EC2 n'apparaît-elle pas sous Instances gérées dans la console Systems Manager ?

1.    Ouvrez la console Systems Manager dans la même région qu'Amazon Inspector et votre instance Amazon EC2.

2.    Dans le volet de navigation, choisissez Fleet Manager.

3.    Dans Nœuds gérés, vérifiez l'état du ping de l'agent SSM. Si le statut est En ligne, votre instance Amazon EC2 est connectée à l'agent SSM.

Si l'état du ping de l'agent SSM est Connexion perdue, assurez-vous que votre instance Amazon EC2 répond aux prérequis de Systems Manager. Si vous utilisez la version 3.1.501.0 ou ultérieure de l'agent SSM, vous pouvez utiliser l'outil de ligne de commande ssm-cli pour un diagnostic et un dépannage plus approfondis. Pour obtenir des instructions, consultez Résolution des problèmes de disponibilité des instances gérées Amazon EC2 à l'aide de ssm-cli.

Vous pouvez également exécuter le document AWSSupport-TroubleshootManaged Systems Manager Automation pour vérifier si l'instance répond aux conditions préalables à répertorier en tant qu'instance gérée. Pour plus d'informations, consultez AWS Support-TroubleshootManageInstance.

Vérifiez les associations et l'application logicielle de Systems Manager

Amazon Inspector nécessite une association Systems Manager State Manager dans votre compte pour collecter l'inventaire des applications logicielles. Amazon Inspector crée automatiquement une association appelée InspectorInventoryCollection-Do-Not-Delete. L'état « Aucun inventaire » signifie qu'Amazon Inspector n'a pas trouvé l'inventaire des applications logicielles à scanner pour rechercher votre instance Amazon EC2.

Vérifiez le statut de l'association

1.    Ouvrez la console Systems Manager dans la même région qu'Amazon Inspector et votre instance Amazon EC2.

2.    Dans le volet de navigation, sélectionnez State Manager.

3.    Dans Associations, assurez-vous que l'association InspectorInventoryCollection-Do-Not-Delete existe et que le statut est réussi.

4.    Si l'association InspectorInventoryCollection-Do-Not-Delete n'existe pas, exécutez le document AWS-GatherSoftwareInventory sur toutes les instances Amazon EC2. Choisissez l'identifiant d'association pour l'instance Amazon EC2 qui n'a pas été scannée, puis choisissez l'onglet Historique des exécutions pour plus de détails.

5.    Si le statut de l'association InspectorInventoryCollection-Do-Not-Delete est Échec, choisissez l'identifiant de l'association, puis choisissez Appliquer l'association maintenant.

6.    Vérifiez à nouveau le statut de l'association InspectorInventoryCollection-Do-Not-Delete pour confirmer qu'il est passé d'Échec à Succès.

Remarque : pour Windows, le plugin Amazon Inspector SSM est requis pour analyser les instances Windows EC2. Lorsque l'analyse EC2 est activée, Amazon Inspector crée les nouvelles associations SSM InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete et InvokeInspectorSsmPlugin-do-not-delete pour vos ressources Windows. Si le Statut de l'une de ces associations est Échec, essayez de réappliquer l'association. Si le fichier InspectorSsmPlugin.exe est supprimé, l'association SSM InspectorDistributor-do-not-delete réinstallera le plug-in lors de la prochaine analyse Windows. Pour plus d'informations, consultez Analyse d'instances EC2 Windows avec Amazon Inspector.

Vérifiez que l'application logicielle existe dans le nœud

Assurez-vous que l'inventaire contient des packages logiciels pour votre instance Amazon EC2.

1.    Ouvrez la console Systems Manager dans la même région qu'Amazon Inspector et votre instance Amazon EC2.

2.    Dans le volet de navigation, choisissez Fleet Manager.

3.    Dans Nœuds gérés, choisissez votre ID de nœud, puis choisissez l'onglet Inventaire pour vérifier la présence d'applications logicielles.

Vérifiez le taux d'inventaire des applications logicielles

Il est recommandé de définir le taux de collecte d'inventaire pour qu'il s'exécute toutes les 30 minutes. Modifiez l'associationInspectorInventoryCollection-Do-Not-Delete et définissez le taux d'expression cron pendant 30 minutes.

Informations connexes

Évaluation de la couverture de votre environnement AWS par Amazon Inspector

Comment configurer Amazon Inspector Classic afin d'exécuter des évaluations de sécurité sur mes instances Amazon EC2 ?

Sujets
Sécurité, identité et conformité
Balises
Amazon Inspector
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 4 mois
Aucun commentaire

Contenus pertinents