En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Pourquoi Amazon Inspector ne scanne-t-il pas mes instances Amazon EC2 ?

Lecture de 6 minute(s)
0

J’ai activé Amazon Inspector, mais il ne scanne pas mon instance Elastic Compute Cloud (Amazon EC2). L’état du tableau de bord Amazon Inspector est « Instance EC2 non gérée », « Système d’exploitation non pris en charge », « Erreur interne », « En attente d’un scan initial » ou « Aucun inventaire ».

Brève description

Amazon Inspector utilise AWS Systems Manager et AWS Systems Manager Agent (SSM Agent) pour analyser les applications logicielles installées sur vos instances Amazon EC2. Les données de télémétrie collectées par le SSM Agent sont ensuite analysées par Amazon Inspector pour détecter les vulnérabilités logicielles. Vous pouvez utiliser le tableau de bord Amazon Inspector pour surveiller l’état de vos instances Amazon EC2. Pour plus d’informations, consultez la section Analyse d’instances Amazon EC2 avec Amazon Inspector.

Si Amazon Inspector ne scanne pas vos instances Amazon EC2, assurez-vous que :

  • Le SSM Agent est à jour.
  • L’instance Amazon EC2 est en cours d’exécution.
  • Le système d’exploitation est pris en charge.
  • La connectivité à Systems Manager est configurée.
  • Les associations de Systems Manager et l’application logicielle sont configurées.

Résolution

Vérifiez la version du SSM Agent

Amazon Inspector doit faire fonctionner le SSM Agent pour scanner les instances Amazon EC2. Si vous utilisez une version antérieure du SSM Agent, vous devrez peut-être la mettre à jour pour scanner correctement les instances Amazon EC2. Il est recommandé d’automatiser le processus de mise à jour du SSM Agent. Pour obtenir des instructions, consultez la section Mise à jour automatique du SSM Agent.

Pour mettre à jour le SSM Agent manuellement, abonnez-vous aux notifications du SSM Agent. Ensuite, mettez à jour le SSM Agent à l’aide de la commande Exécuter la commande. Vous pouvez également vous abonner aux notes de mise à jour du SSM Agent sur le site Web de GitHub.

Vérifiez que l’instance Amazon EC2 est en cours d’exécution

L’état « Instance EC2 arrêtée » signifie qu’Amazon Inspector a suspendu l’analyse de l’instance, car celle-ci est dans un état arrêté. Toutes les découvertes existantes persistent jusqu’à la résiliation de l’instance. Si l’instance est redémarrée, Amazon Inspector reprend automatiquement l’analyse de l’instance. Pour redémarrer une instance Amazon EC2, consultez la section Arrêter et démarrer vos instances.

Vérifiez que le système d’exploitation est pris en charge

L’état « Système d’exploitation non pris en charge » signifie que l’instance Amazon EC2 utilise un système d’exploitation ou une architecture non pris en charge par Amazon Inspector. Pour obtenir un tableau répertoriant les systèmes d’exploitation pris en charge pour l’analyse des instances EC2, consultez la section Systèmes d’exploitation pris en charge : Analyse Amazon EC2.

Pour vérifier la version de votre système d’exploitation, procédez comme suit pour Linux ou pour Windows :

Système d’exploitation Linux

Exécutez la commande suivante :

cat /etc/os-release
lsb_release -a
hostnamectl

Système d’exploitation Windows

Choisissez la touche du logo Windows + R, entrez msinfo32 dans la case Ouvrir, puis cliquez sur OK.

Vérifiez la connectivité à Systems Manager

Remarque : si votre instance Amazon EC2 n’apparaît pas dans la console Systems Manager, une configuration supplémentaire peut être requise. Pour plus d’informations, consultez la section Pourquoi mon instance EC2 ne s’affiche-t-elle pas en tant que nœud géré ou affiche-t-elle le statut « Connexion perdue » dans Systems Manager ?

  1. Ouvrez la console Systems Manager dans la même Région qu’Amazon Inspector et votre instance Amazon EC2.
  2. Dans le volet de navigation, choisissez Fleet Manager.
  3. Dans Nœuds gérés, vérifiez le statut ping du SSM Agent. Si le statut est En ligne, votre instance Amazon EC2 est connectée au SSM Agent.

Si le statut ping du SSM Agent est Perte de connexion, assurez-vous que votre instance Amazon EC2 répond aux prérequis de Systems Manager. Si vous utilisez la version 3.1.501.0 ou une version ultérieure du SSM Agent, vous pouvez utiliser l'outil de ligne de commande ssm-cli pour approfondir le diagnostic et le dépannage. Pour obtenir des instructions, consultez Résolution des problèmes de disponibilité des instances gérées Amazon EC2 à l'aide de ssm-cli.

Vous pouvez également exécuter le document AWSSupport-TroubleshootManagedInstance du Systems Manager Automation pour vérifier si l’instance répond aux conditions requises pour être répertoriée en tant qu’instance gérée. Pour plus d’informations, consultez la section AWSSupport-TroubleshootManagedInstance.

Vérifiez les associations du Systems Manager et l’application logicielle

Amazon Inspector nécessite une association Systems Manager State Manager dans votre compte pour collecter l’inventaire des applications logicielles. Amazon Inspector crée automatiquement une association appelée InspectorInventoryCollection-do-not-delete. L’état « Aucun inventaire » signifie qu’Amazon Inspector n’a pas trouvé l’inventaire des applications logicielles à scanner pour rechercher votre instance Amazon EC2.

Vérifiez l’état de l’association

  1. Ouvrez la console Systems Manager dans la même Région qu’Amazon Inspector et votre instance Amazon EC2.
  2. Dans le volet de navigation, choisissez State Manager.
  3. Dans Associations, assurez-vous que l’association InspectorInventoryCollection-do-not-delete existe et que l’État est Succès.
  4. Si l’association InspectorInventoryCollection-do-not-delete n’existe pas, exécutez le document AWS-GatherSoftwareInventory sur toutes les instances Amazon EC2. Choisissez l’ID de l’association pour l’instance Amazon EC2 qui n’a pas été scannée, puis choisissez l’onglet Historique des exécutions pour plus de détails.
  5. Si l’État de l’association InspectorInventoryCollection-do-not-delete est Échec, choisissez l’ID de l’association, puis sélectionnez Appliquer l’association maintenant.
  6. Vérifiez à nouveau l’État de l’association InspectorInventoryCollection-do-not-delete pour confirmer qu’elle est passée de Échec à Succès.

Remarque : pour Windows, le plugin Amazon Inspector SSM est requis pour analyser les instances Windows EC2. Lorsque l’analyse d’EC2 est activée, Amazon Inspector crée les associations SSM InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete et InvokeInspectorSsmPlugin-do-not-delete pour vos ressources Windows. Si l’État de l’une de ces associations est Échec, essayez de réappliquer l’association. Si le fichier InspectorSsmPlugin.exe est supprimé, l’association InspectorDistributor-do-not-delete SSM réinstallera le plugin lors de la prochaine analyse Windows. Pour plus d’informations, consultez la section Analyse d’instances Windows EC2 avec Amazon Inspector.

Vérifiez que l’application logicielle existe dans le nœud

Assurez-vous que l’inventaire contient des packages logiciels pour votre instance Amazon EC2.

  1. Ouvrez la console Systems Manager dans la même Région qu’Amazon Inspector et votre instance Amazon EC2.
  2. Dans le volet de navigation, choisissez Fleet Manager.
  3. Dans Nœuds gérés, choisissez l’ID de votre nœud, puis choisissez l’onglet Inventaire pour rechercher des applications logicielles.

Vérifiez le taux d’inventaire des applications logicielles

Il est recommandé de définir le taux de collecte d’inventaire pour qu’il s’exécute toutes les 30 minutes. Modifiez l’association InspectorInventoryCollection-do-not-delete et définissez le taux d’expression cron pour une durée de 30 minutes.

Informations connexes

Évaluation de la couverture de votre environnement AWS par Amazon Inspector

Comment configurer Amazon Inspector Classic pour exécuter des évaluations de sécurité sur mes instances Amazon EC2 ?

Sujets
Sécurité, identité et conformité
Balises
Amazon Inspector
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents