[小ネタ]脆弱性管理ツールFutureVulsをSSMでインストールしてみた

おはようございます、もきゅりんです。

今回はSSMで脆弱性管理ツールFutureVulsをインストールして、EC2に脆弱性診断(スキャン)を実施してみたいと思います。

FutureVulsの導入については、こちらの記事が非常に参考になるかと思います。

アカウント登録から管理設定の作成方法がまとまっています。

当記事では、SSMのRun Commandでスキャナプログラムをインストールしてみます。

脆弱性管理ツールFutureVulsを利用した脆弱性診断手順

やること

  1. SSMの機能が利用できるインスタンスを起動する
  2. FutureVulsのスキャナプログラムをSSMでインストールする
  3. 確認する

1. SSMの機能が利用できるインスタンスを起動する

今回は折角なので、下記記事にならって使い慣れたAmazonEC2RoleforSSMではなく、AmazonSSMManagedInstanceCoreポリシーを使ったRoleを利用して実施しようと思います。

新ポリシー AmazonSSMManagedInstanceCore がサポートされました

Amazon Linux2を選択して、上記ポリシーを設定したRole(AmazonSSMManagedInstanceRole)を作成した後に設定して、

instance role

FutureVuls: trueというタグを設定しておきます。

add tag

起動したらSSMのマネージドインスタンスを確認します。

managed instance

2. FutureVulsのスキャナプログラムをSSMでインストールする

そしたらコマンドを実行します。

run command

AWS-RunShellScriptを検索して選択します。

runshell command

FutureVulsのグループ設定 > スキャナ画面からインストールコマンドを取得します。

vuls command

それをコマンドのパラメータに入力していきます。

ssm command

ターゲットはFutureVuls: true です。

tag

実行します。

command2

成功です。

command success

3. 確認する

成功してしばらくするとサーバが追加されます。

ec2 instance enroll

脆弱性タブで脆弱性を確認できます。

vuls

アップデートをタスクタブからアップデートコマンドをサーバに接続して実行するのも良しですが、AWSと外部連携してSSMアップデートをすると、さらに便利かと思います。

aws connect

以上です。

どなたかのお役に立てば幸いです。

参考

FUTURE VULS ご利用ガイド

脆弱性管理ツールFutureVulsを利用した脆弱性診断手順