AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

なぜ Amazon Inspector が Amazon EC2 インスタンスをスキャンしていないのでしょうか?

所要時間3分
0

Amazon Inspector を起動しましたが、Elastic Compute Cloud (Amazon EC2) インスタンスのスキャンが行われていません。Amazon Inspector ダッシュボードのステータスは「管理されていない EC2 インスタンス」、「サポートされていない OS」、「内部エラー」、「初回スキャンの保留中」または「インベントリなし」となっています。

簡単な説明

Amazon Inspector は、AWS Systems Manager および AWS Systems Manager Agent (SSM Agent) を使用して、Amazon EC2 インスタンスにインストールされたソフトウェアアプリケーションをスキャンします。SSM エージェントによって収集されたテレメトリデータは、Amazon Inspector によってソフトウェアの脆弱性をスキャンします。Amazon Inspector ダッシュボードを使用して、Amazon EC2 インスタンスのステータスを監視することができます。詳細については、「Amazon Inspectorを使用した Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon Inspector が Amazon EC2 インスタンスをスキャンしていない場合は、次のことを確認してください。

  • SSM エージェントが最新版であること。
  • Amazon EC2 インスタンスが稼働していること。
  • サポートされているオペレーティングシステムであること。
  • Systems Manager への接続が構成されていること。
  • Systems Manager の関連付けとソフトウェアアプリケーションが構成されていること。

解決策

SSM Agent のバージョンを確認してください

Amazon Inspector は、Amazon EC2 インスタンスをスキャンするために SSM Agent の実行が必要です。旧バージョンの SSM Agent を使用している場合は、Amazon EC2 インスタンスを正常にスキャンするために更新する必要があるかもしれません。SSM Agent の更新プロセスを自動化することがベストプラクティスです。手順については、「SSM Agent の自動更新」を参照してください。

SSM Agent を手動で更新するには、SSM Agent の通知に登録してください。その後、Run Command を使用して SSM Agentを更新します。GitHub のウェブサイトでSSM Agent リリースノートにも登録できます。

Amazon EC2 インスタンスが稼働しているか確認してください

「EC2 インスタンスが停止」のステータスは、インスタンスが停止状態にあるために Amazon Inspector がスキャンを一時停止したことを意味します。既存の検出結果は、インスタンスが終了するまで継続します。インスタンスを再起動すると、Amazon Inspector は自動的にインスタンスのスキャンを再開します。Amazon EC2 インスタンスを再起動するには、「インスタンスの停止と起動」を参照してください。

オペレーティングシステムがサポートされているか確認してください

「サポートされていない OS」のステータスは、Amazon EC2 インスタンスがAmazon Inspector がサポートしていないオペレーティングシステムまたはアーキテクチャを使用していることを意味します。EC2 インスタンスのスキャンにサポートされているオペレーティングシステムの一覧については、「サポートされているオペレーティングシステム: Amazon EC2 スキャン」を参照してください。

オペレーティングシステムのバージョンを確認するには、次の手順に従って Linux または Windows を選択してください。

Linux OS

以下のコマンドを実行します。

cat /etc/os-release
lsb_release -a
hostnamectl

Windows OS

Windowsロゴキー + Rを選択し、msinfo32Open (開く) ボックスに入力し、[OK] を選択します。

Systems Manager への接続を確認する

注: Amazon EC2 インスタンスが Systems Manager コンソールに表示されない場合、追加の構成が必要な場合があります。詳細については、「EC2 インスタンスが Systems Manager でマネージドノードとして表示されない、または「接続が失われました」というステータスが表示されるのはなぜですか?」を参照してください。

  1. Amazon Inspector と Amazon EC2 インスタンスと同じリージョンでSystems Manager コンソールを開きます。
  2. ナビゲーションペインで、[Fleet Manager] を選択します。
  3. [Managed nodes] (マネージドノード) で、[SSM Agent の ping の状態] を確認します。ステータスが [Online] (オンライン) であれば、Amazon EC2 インスタンスは SSM Agent に接続されています。

[SSM Agent ping status] (SSM Agent の ping ステータス) が [Connection Lost] (接続が失われました) の場合は、Amazon EC2 インスタンスが Systems Manager の前提条件を満たしていることを確認します。SSM Agent バージョン 3.1.501.0 以上を使用している場合は、ssm-cli コマンドラインツールを使用してさらなる診断とトラブルシューティングを行うことができます。手順については、「ssm-cli を使用したAmazon EC2 マネージドインスタンスの可用性のトラブルシューティング」を参照してください。

また、AWSSupport-TroubleshootManagedInstance Systems Manager Automation ドキュメントを実行して、インスタンスがマネージドインスタンスとしてリストされるための前提条件を確認することもできます。詳細については、AWSSupport-TroubleshootManagedInstance を参照してください。

Systems Manager の関連付けとソフトウェアアプリケーションを確認する

Amazon Inspector は、ソフトウェアアプリケーションのインベントリを収集するために、アカウント内に Systems Manager State Manager の関連付けが必要です。Amazon Inspector は自動的に InspectorInventoryCollection-do-not-delete という関連付けを作成します。「インベントリなし」のステータスは、Amazon InspectorがAmazon EC2 インスタンスのスキャンに使用するソフトウェアアプリケーションのインベントリを見つけることができなかったことを意味します。

関連付けのステータスを確認する

  1. Amazon Inspector と Amazon EC2 インスタンスと同じリージョンでSystems Manager コンソールを開きます。
  2. ナビゲーションペインで、[State Manager] (ステートマネージャー) を選択します。
  3. [Associations] (関連付け) で、[InspectorInventoryCollection-do-not-delete] の関連付けが存在し、[Status] (ステータス) が [Success] (成功) であることを確認します。
  4. InspectorInventoryCollection-do-not-delete の関連付けが存在しない場合は、すべての Amazon EC2 インスタンスで AWS-GatherSoftwareInventory ドキュメントを実行してください。スキャンしなかった Amazon EC2 [Association id] (関連付け ID) を選択し、次に [Execution history] (実行履歴) タブを選択して詳細を表示します。
  5. InspectorInventoryCollection-do-not-delete の関連付けの [Status] (ステータス) が [Failed] (失敗)である場合は、[Association id] (関連付け ID) を選択し、[Apply association now] (関連付けを今すぐ適用) します。
  6. InspectorInventoryCollection-do-not-delete の関連付けの [Status] (ステータス) が[ Failed] (失敗) から [Success] (成功) に変わったことを確認してください。

注: Windows の場合、Windows EC2 インスタンスをスキャンするためには Amazon Inspector SSM プラグインが必要です。EC2 スキャンがアクティブになると、Amazon Inspector は Windows リソースに対して新しい SSM 関連付け InspectorDistributor-do-not-deleteInspectorInventoryCollection-do-not-delete、および InvokeInspectorSsmPlugin-do-not-delete を作成します。これらの関連付けのいずれかの [Status] (ステータス) が [Failed] (失敗)している場合は、関連付けを再適用してみてください。InspectorSsmPlugin.exe ファイルが削除された場合、InspectorDistributor-do-not-delete の SSM 関連付けは次回の Windows スキャン時にプラグインを再インストールします。詳細については、「Amazon Inspector を使用した Windows EC2 インスタンスのスキャン」を参照してください。

ノード内にソフトウェアアプリケーションが存在することを確認する

Amazon EC2 インスタンスのインベントリにソフトウェアパッケージが存在することを確認してください。

  1. Amazon Inspector と Amazon EC2 インスタンスと同じリージョンでSystems Manager コンソールを開きます。
  2. ナビゲーションペインで、[Fleet Manager] を選択します。
  3. [Managed nodes] (マネージドノード) で、[Node ID] (ノード ID) を選択し、[Inventory] (インベントリ) タブを選択してソフトウェアアプリケーションを確認します。

ソフトウェアアプリケーションのインベントリの実行頻度を確認する

インベントリ収集の頻度を 30 分ごとに設定することがベストプラクティスです。InspectorInventoryCollection-do-not-delete の関連付けを編集し、cron式の頻度を 30 分に設定します。

関連情報

AWS 環境での Amazon Inspector のカバレッジを評価する

Amazon Inspector Classicを設定して、Amazon EC2 インスタンスでセキュリティ評価を実行するにはどうすればよいですか?

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
Amazon Inspector
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ