Inspector v2がWindows対応したので触ってみました

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

Inspector v2がWindows対応したので触ってみました

目次

手順の概要

  1. Windowsサーバの起動
  2. Inspectorの有効化
  3. マネージドインスタンス化
  4. Inspector確認

実行環境

Windows 2022

手順

Windowsサーバの起動

細かい点を省略し、Windowsを立ち上げます。
ただし、下記二点を考慮すると2016以降のOSがよいでしょう。

注意事項1:SSMエージェントのプリインストールについて
注意事項2:Inspectorcv2のOS対応状況について

参考1:https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-win.html
参考2:https://docs.aws.amazon.com/inspector/latest/user/supported.html
余談ではありますが、AWSのドキュメントに関しては英語版を読む癖をつけたほうがいいです。
英語版が最新版のため、日本語版では対応OSなど重要な部分でも更新がされていないケースが多々あります。
上記ページに関しても英語版のページを参照してください。
※どうしても日本語で読みたい場合は英語版のページを翻訳するといいです。

Inspectorの有効化

Inspectorの有効化をします。
画面右上の「使用を開始する」をクリックしてください。


「Inspectorを有効化」をクリックしてください。
※Inspectorはリージョナルサービスのため、利用したいリージョン毎にこの作業を行う必要があります。

EC2の箇所が0/1となっています。これは1インスタンスが実行中ですが、Inspectorのスキャン対象になっているインスタンスが存在しないことを意味しています。
Inspectorのスキャン対象とするため、先ほど立ち上げたインスタンスをマネージドインスタンス化します。

マネージドインスタンス化

「AmazonSSMManagedInstanceCore」をEC2のロールに紐づけてください。
今回はSSMエージェントがインストールされているOSを選択したので、エージェントのインストールは必要ありません。

Systems managerのコンソールから「Run Command」をクリックしてください。

画面右上の「Run Command」をクリックしてください。

コマンドドキュメントで「AWS-UpdateSSMAgent」と入力し、検索してください。

ターゲットのインスタンスを手動で選択するを選ぶと、インスタンスの一覧が出てきます。
マネージドインスタンス化したいインスタンスにチェックを入れ、最下部にある「実行」をクリックしてください。
※表示されない場合、対象インスタンスの再起動で表示されるようになる場合があります。

コマンドの結果が成功になれば、マネージドインスタンス化が完了です。

Inspector確認


Inspectorに移動をすると、先ほど0%だったものが100%になっています。
分母が増えているのはサーバを別途起動したものなので気にしないでください。


このような形でスキャン結果が表示されます。


詳細についてもこのような形で表示がされます。

※補足ではありますが、Linuxとの違いについて補足をしておきます。
Linuxの場合、新しくソフトウェアをインストールした時や新しいCVEがInspectorのデータベースに追加されたときにスキャンがされていました。
Windowsの場合はデフォルトでは6時間毎にスキャンがされるようです。(コマンドラインで変更可能)
ネットワーク到達性は特記事項がなかったため、Linuxと同様24時間に1回と思われます。

参考:https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ec2.html#windows-scanning

まとめ

WindowsについてもInspector v2が適用できるようになりました。これにより多くのOSが対応したため、Inspectorでの一元管理がだいぶしやすくなったと思います。
とても利便性が高いサービスのため、ぜひご利用いただければと思います。

共同著者: 神津

投稿者プロフィール

takeshige
そろそろGCPに手を出したい