Amazon Inspector で Windows Server に対して手動でスキャンする方法を教えてください
2025.02.12困っていること
Inspector v2 で Windows Server の脆弱性管理を行うことを検討しています。
動作検証のため、自動実行を待たずにスキャンを手動で実行したいのですが、方法があれば教えてください。
どう対応すればいいの?
Systems Manager の "Run Command" から対象のインスタンスに "AmazonInspector2-InvokeInspectorSsmPlugin" コマンドドキュメントを実行することで、手動での脆弱性スキャンが可能です。
やってみた
SSM エージェントをインストールした以下の Windows Server 2022 の EC2 インスタンスに対して手動スキャンを実行してみます。
スキャンの動作確認のため、脆弱性が指摘されている Apache のパッケージ(2.2.25)をサーバにインストールしておきます。
パッケージのインストール後、マネジメントコンソールから Systems Manager の管理画面を開き、左のメニューから "Run Command" を選択後、画面右上の "Run Command" を押下します。
コマンドドキュメントの選択画面で、"AmazonInspector2-InvokeInspectorSsmPlugin" にチェックを入れます。
スキャン対象の EC2 インスタンスをターゲットに選択し、「実行」を押下します。
ステータスが「成功」になればスキャンが開始されています。
しばらく待つと Inspector の当該 EC2 の管理画面にも、インストールした Apache のバージョンに基づく脆弱性が新規に検出されていることが確認できました。
補足
Windows Server 環境に対して手動スキャンを実行する場合は、"AmazonInspector2-InvokeInspectorSsmPlugin"コマンドを実行してください。
(内容ほぼ同じですが…)以下の記事でも紹介しているので必要な方はご参照いただければと思います。
![[待望の機能]新しいAWS Security HubでExposureを検出してアタックパスの可視化を実際にやってみた #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750239612/user-gen-eyecatch/f6aqhbgtzovsnvsetijl.jpg)
![[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューションに生まれ変わりました #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750182741/user-gen-eyecatch/qkcx7ur7lucwpwcit7rv.jpg)
