SSMスキャン

SSM連携スキャン

AWSの認証情報を登録することで、FutureVulsの画面上からEC2インスタンスを選択しオンデマンドで、スキャンを行うことができます。

SSMのスキャン結果は SSMコマンド履歴 と スキャン履歴 で確認できます。

対象OS (AWS EC2上のインスタンスに限る)

• Amazon Linux
• Amazon Linux 2
• Red Hat
• CentOS
• Debian
• Ubuntu

ローカルスキャンのサーバのみ、SSMを利用したスキャンが実行できます。

スキャナのバージョンがvuls v0.7.0 build-20190605_091348_d2daa3a以降のみSSMスキャンが可能です。
もし古い場合はスキャナのアップデートを行ってください。

SSM連携スキャンの設定

• 事前にAWSの認証情報の登録を完了させてください。
• ローカルスキャンのサーバを対象にした機能です。リモートスキャンのサーバにはご利用いただけません。

AWS環境の設定

• AWSインスタンスの作成
  • AWSのマネージメントコンソールからAWSのインスタンスを作成(OSは対象OS参照)
  • AmazonSSMManagedInstanceCore のポリシーが付与されたロールを作成(AWSドキュメント)
  • 作成したロールを、IAMロールとしてインスタンスに付与
• AWSのインタンスでSSMの登録(公式ドキュメント)
  • sudo yum -y install amazon-ssm-agent (AmazonLinuxの場合その他のOSは上記のドキュメント参照)
  • sudo systemctl start amazon-ssm-agent (AmazonLinuxの場合その他のOSは上記のドキュメント参照)
• SSMの登録確認
  • AWS System Managerの中の マネージドインスタンス に上記のインスタンスが登録されていることを確認

FutureVulsの設定

• Group設定のAWS連携ページにある、 設定する ボタンをクリックする

• awscli をインストールする

  • バージョン1.16.80以上で動作確認済み

• 表示されたコマンド(AWS CLI)をAWSのcliがインストール、設定済み( ssm.CreateDocument, ssm.DeleteDocumentの権限が必要 )の環境で実行して、次へをクリック

• SSM経由スキャン が 設定済み になっていれば完了

SSMとの自動連携

• 上記のSSM設定後に、スキャンが実施されるタイミングで各サーバがSSM連携可能かどうかの情報をFutureVulsに取り込みます。

• サーバリストの SSM連携 カラムが以下のように ○ になっていれば設定完了です。

• AWS認証の設定後にSSMで管理されているサーバを追加した場合は、スキャのタイミングでFutureVulsに自動連携します。

SSMスキャン実行

• サーバ詳細画面にスキャン実行ボタンが現れるので、ボタンを押してスキャンする

• SSMコマンドの実行履歴や実行ステータスは SSMコマンド履歴 から確認するこができる

• スキャンの成功、失敗はスキャン履歴から確認することができる

スキャンが失敗する場合

コマンド履歴に次のようなメッセージが表示される場合は、以下の手順に従って結果を確認してください。

• SSMコマンドの結果（成否）が知りたい場合
  • 対象のAWSアカウントのAmazon Systems Manager > Run Command > コマンド履歴から確認いただけます。
• コマンド実行の詳細なログを確認したい場合
  • SSM Agentログの表示ドキュメント(外部サイト)に従って確認してください。