SSM連携スキャン#
AWS 連携を利用することで、FutureVuls の画面上から EC2インスタンスを選択し、オンデマンドでスキャンできます。 これにより、通常は EC2インスタンスに SSH 接続などをしてからスキャンする必要がありますが、その手順を簡略化できます。
対象環境
「Vulsスキャン」で FutureVuls に登録されたサーバのみ対象です。
対象OSは「対応環境」をご参照ください。
スキャナのバージョンがvuls v0.7.0以降のでのみSSMスキャンが可能です。 もし古い場合は「スキャナのアップデート」を実行してください。
SSM連携スキャンの設定#
事前に「AWS認証設定」を完了させてください。
AWS EC2インスタンスに対する設定#
SSM 連携したい各 EC2インスタンスに対してこの操作をする必要があります。
ロールの作成と付与#
AmazonSSMManagedInstanceCoreのポリシーが付与された IAM ロールを作成します。(参考)- 作成した IAM ロールを対象の EC2インスタンスに付与します。
SSMエージェントの設定と登録#
対象の AWS 環境に合わせて SSM エージェントをインストールします。(参考)
SSMの登録確認#
AWS の Systems Manager > フリートマネージャー > マネージドノード に上記のインスタンスが登録されていることを確認します。
AWSアカウントに対する設定#
SSM 連携したい EC2がある AWS アカウントに対して行う必要がある設定です。
FutureVuls連携設定が完了しているか確認する#
既に他のグループの SSM 連携等で設定済みの場合は、簡単に連携できます。
-
FutureVuls コンソールで
グループ設定 > 外部連携 > AWSに移動し、SSM 経由スキャンの「設定」ボタンをクリックします。
- 表示されるコマンドを無視して「次へ」ボタンを押します。
SSM 経由スキャンが「設定済」になっていれば設定は完了です。エラーが表示される場合は、以下の手順に従って設定してください。
SSMドキュメントを作成する環境を準備#
FutureVuls が SSM を通じて EC2インスタンスをスキャンするために、まず SSM ドキュメントを作成する環境を準備します。
- 「ヘルプ」を参考に、任意の環境で AWS CLI をインストールします。
- 上記環境で
createDocument、deleteDocumentアクションを実行できるようにします。- 対象の AWS アカウントで上記アクションの権限をもつユーザで認証して操作する。(参考)
- もしくは、対象の AWS アカウント内の EC2インスタンスにこれらのポリシーを付与する。
SSMドキュメントを作成#
-
FutureVuls コンソールで
グループ設定 > 外部連携 > AWSに移動し、SSM 経由スキャンの「設定」ボタンをクリックします。
-
表示されたコマンドを上記の準備した環境で実行します。
-
実行後、「次へ」ボタンを押します。SSM 経由スキャンが「設定済」になっていれば設定は完了です。
SSMとの自動連携#
上記の SSM 連携の設定後に、対象のサーバでスキャナが実行されると、各サーバが SSM 連携可能かどうかの情報が FutureVuls に取り込まれます。
サーバリストの SSM連携 カラムが以下のように ✓ になっていれば設定完了です。
AWS 連携の設定後に SSM で管理するサーバを追加した場合は、スキャンのタイミングで FutureVuls に自動連携されます。
SSMスキャンの実行#
サーバ詳細画面に SSM 経由でのスキャン実行ボタンが現れます。このボタンを押すことで対象サーバをスキャンできます。
SSM コマンドの実行履歴や実行ステータスは AWSタブ > SSMコマンド履歴 から確認できます。
スキャン結果は SSMコマンド履歴 や グループ設定 > スキャン履歴 で確認できます。
SSMスキャンが失敗した場合#
SSM コマンド詳細履歴に、次のようなメッセージが表示された場合は、以下の手順に従って結果を確認してください。
- SSM コマンドの結果(成否)が知りたい場合
- 対象の AWS アカウントにログインして
AWS Systems Manager > Run Command > コマンド履歴へと移動する - コマンド履歴画面で
コマンドIDを検索する
- 対象の AWS アカウントにログインして
- コマンド実行の詳細なログを確認したい場合
- 「SSM Agentログの表示ドキュメント」に従って確認してください