Perché Amazon Inspector non esegue la scansione delle mie istanze Amazon EC2?

Breve descrizione

Amazon Inspector utilizza AWS Systems Manager e Agente AWS Systems Manager (Agente SSM) per eseguire la scansione delle applicazioni software installate sulle istanze Amazon EC2. I dati di telemetria raccolti dall'agente SSM vengono quindi scansionati da Amazon Inspector per individuare eventuali vulnerabilità software. Puoi utilizzare il pannello di controllo di Amazon Inspector per monitorare lo stato delle tue istanze Amazon EC2. Per ulteriori informazioni, consulta Scansione delle istanze Amazon EC2 con Amazon Inspector.

Se Amazon Inspector non esegue la scansione delle tue istanze Amazon EC2, assicurati che:

• L'agente SSM sia aggiornato.
• L'istanza Amazon EC2 sia in esecuzione.
• Il sistema operativo sia supportato.
• La connettività a Systems Manager sia configurata.
• Le associazioni di Systems Manager e l'applicazione software siano configurate.

Risoluzione

Verifica la versione dell'agente SSM

Per eseguire la scansione delle istanze Amazon EC2, Amazon Inspector deve avere l'agente SSM in esecuzione. Se utilizzi una versione precedente dell'agente SSM, per eseguire correttamente la scansione delle istanze Amazon EC2 potresti dover aggiornare la versione. Una best practice consiste nell'automatizzare il processo di aggiornamento dell'agente SSM. Per istruzioni, consulta la pagina Automatically updating SSM Agent (Aggiornamento automatico dell'agente SSM).

Per aggiornare l'agente SSM manualmente, consulta la pagina Subscribe to SSM Agent notifications (Sottoscrizione delle notifiche dell'agente SSM). Quindi, segui la procedura Update the SSM Agent using Run Command (Aggiornamento dell'agente SSM utilizzando il comando Run [Esegui]). Puoi anche sottoscrivere le note di rilascio dell'agente SSM sul sito Web di GitHub.

Verifica che l'istanza Amazon EC2 sia in esecuzione

Lo stato "EC2 instance stopped" (Istanza EC2 interrotta) indica che Amazon Inspector ha sospeso la scansione dell'istanza perché l'istanza si trova in uno stato di arresto. Qualsiasi risultato esistente persiste fino alla chiusura dell'istanza. Se l'istanza viene riavviata, Amazon Inspector riprenderà automaticamente la scansione dell'istanza. Per riavviare un'istanza Amazon EC2, consulta la pagina Stop and start your instances (Interruzione e avvio delle istanze).

Verifica del supporto per il sistema operativo

Lo stato "Unsupported OS" (Sistema operativo non supportato) indica che l'istanza Amazon EC2 utilizza un sistema operativo o un'architettura non supportati da Amazon Inspector. Per una tabella che elenca i sistemi operativi supportati per la scansione delle istanze EC2, consulta la pagina Supported operating systems: Amazon EC2 scanning (Sistemi operativi supportati: scansione di Amazon EC2).

Per verificare la versione del tuo sistema operativo, segui questi passaggi per Linux o Windows:

Sistema operativo Linux

Emetti il seguente comando:

cat /etc/os-release
lsb_release -a
hostnamectl

Sistema operativo Windows

Scegli il tasto logo Windows + R, immetti msinfo32 nella casella Open (Apri), quindi seleziona OK.

Verifica della connettività a Systems Manager

Nota: se la tua istanza Amazon EC2 non appare nella console di Systems Manager, potrebbe essere necessaria una configurazione aggiuntiva. Per ulteriori informazioni, consulta Perché la mia istanza EC2 non compare in Managed Instances (Istanze gestite) nella console di Systems Manager?

1.    Apri la console di Systems Manager nella stessa regione di Amazon Inspector e della tua istanza Amazon EC2.

2.    Nel pannello di navigazione, scegli Fleet Manager.

3.    In Managed nodes (Nodi gestiti), controlla la voce SSM Agent ping status (Stato del ping dell'agente SSM). Se lo stato è Online, significa che l'istanza Amazon EC2 è connessa all'agente SSM.

Se SSM Agent ping status (Stato del ping dell'agente SSM) è Connection Lost (Connessione persa), assicurati che la tua istanza Amazon EC2 soddisfi i prerequisiti di Systems Manager. Se utilizzi l'agente SSM versione 3.1.501.0 o successiva, puoi utilizzare lo strumento della riga di comando ssm-cli per ulteriori diagnosi e risoluzione dei problemi. Per le istruzioni, consulta la pagina Troubleshooting Amazon EC2 managed instance availability using ssm-cli (Risoluzione dei problemi di disponibilità delle istanze gestite di Amazon EC2 tramite ssm-cli).

Per confermare se l'istanza soddisfa i prerequisiti per essere elencata come istanza gestita, puoi anche eseguire il documento di automazione di Systems Manager AWSSupport-TroubleshootManagedInstance. Per ulteriori informazioni, consulta AWSSupport-TroubleshootManagedInstance.

Controllo delle associazioni di Systems Manager e dell'applicazione software

Amazon Inspector richiede un'associazione a Systems Manager State Manager nel tuo account per raccogliere l'inventario delle applicazioni software. Amazon Inspector crea automaticamente un'associazione denominata InspectorInventoryCollection-do-not-delete. Lo stato "No inventory" (Nessun inventario) indica che Amazon Inspector non è riuscito a trovare l'inventario delle applicazioni software da scansionare per la tua istanza Amazon EC2.

Verifica dello stato dell'associazione

1.    Apri la console di Systems Manager nella stessa regione di Amazon Inspector e della tua istanza Amazon EC2.

2.    Nel riquadro di navigazione, scegli State Manager.

3.    In Associations ( Associazioni), assicurati che l'associazione InspectorInventoryCollection-do-not-delete esista e che Status sia Success (Success).

4.    Se l'associazione InspectorInventoryCollection-do-not-delete non esiste, esegui il documento AWS-GatherSoftwareInventory su tutte le istanze Amazon EC2. Scegli l'Association id (ID di associazione) per l'istanza Amazon EC2 la cui scansione non è riuscita, quindi seleziona la scheda Execution history (Cronologia delle esecuzioni) per maggiori dettagli.

5.    Se Status (Stato) dell'associazione InspectorInventoryCollection-do-not-delete è Failed (Non riuscito), scegli l'ID associazione, scegli seleziona Apply association now (Applica ora l'associazione).

6.    Controlla nuovamente lo Status (Stato) dell'associazione InspectorInventoryCollection-do-not-delete per verificare se è passato da Failed (Non riuscito) a Success (Riuscito).

Nota: per Windows, il plug-in Amazon Inspector SSM è necessario per scansionare le istanze EC2 di Windows. Quando la scansione EC2 è attivata, Amazon Inspector crea le nuove associazioni SSM InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete per le tue risorse Windows. Se lo Status (Stato) di una di queste associazioni è Failed (Non riuscito), prova ad applicare nuovamente l'associazione. Se il file InspectorSsmPlugin.exe viene eliminato, l'associazione SSM InspectorDistributor-do-not-delete reinstallerà il plug-in alla successiva scansione di Windows. Per ulteriori informazioni, consulta la pagina Scanning Windows EC2 instances with Amazon Inspector (Scansione delle istanze Amazon EC2 di Windows con Amazon Inspector).

Verificare che l'applicazione software esista nel nodo

Assicurati che nell'inventario siano presenti pacchetti software per la tua istanza Amazon EC2.

1.    Apri la console di Systems Manager nella stessa regione di Amazon Inspector e della tua istanza Amazon EC2.

2.    Nel pannello di navigazione, scegli Fleet Manager.

3.    In Managed nodes (Nodi gestiti), scegli l'ID del tuo nodo, quindi seleziona la scheda Inventory (Inventario) per verificare la presenza di applicazioni software.

Verifica della frequenza di inventario delle applicazioni software

Una best practice consiste nell'impostare la frequenza di raccolta dell'inventario in modo che venga eseguita ogni 30 minuti. Modifica l'associazione InspectorInventoryCollection-do-not-delete e imposta la frequenza dell'espressione cron su 30 minuti.

---

Informazioni correlate

Valutazione della copertura di Amazon Inspector per il tuo ambiente AWS

In che modo posso configurare Amazon Inspector Classic per eseguire le valutazioni di sicurezza sulle istanze Amazon EC2?