Voraussetzungen für die Unterstützung Amazon EC2 Amazon-Instances - Amazon GuardDuty
EC2Instanzen SSM verwaltenValidierung der architektonischen AnforderungenÜberprüfung der Servicesteuerungsrichtlinie Ihres UnternehmensBei Verwendung der automatisierten AgentenkonfigurationCPUund SpeicherlimitNächster Schritt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Unterstützung Amazon EC2 Amazon-Instances

Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer EC2 Amazon-Instances. Wenn diese Voraussetzungen erfüllt sind, finden Sie weitere Informationen unter GuardDuty Runtime Monitoring aktivieren.

EC2Instanzen SSM verwalten

Die EC2 Amazon-Instances, für die Sie Laufzeitereignisse überwachen GuardDuty möchten, müssen AWS Systems Manager (SSM) verwaltet werden. Dies gilt unabhängig davon, ob GuardDuty Sie den Security Agent automatisch oder manuell verwalten (außerMethode 2 — Verwenden von Linux-Paketmanagern).

Informationen zur Verwaltung Ihrer EC2 Amazon-Instances mit AWS Systems Manager finden Sie unter Systems Manager für EC2 Amazon-Instances einrichten im AWS Systems Manager Benutzerhandbuch.

Validierung der architektonischen Anforderungen

Die Architektur Ihrer Betriebssystemverteilung kann sich auf das Verhalten des GuardDuty Security Agents auswirken. Sie müssen die folgenden Anforderungen erfüllen, bevor Sie Runtime Monitoring für EC2 Amazon-Instances verwenden können:

  • Die folgende Tabelle zeigt die Betriebssystemdistribution, für die verifiziert wurde, dass sie den GuardDuty Security Agent für EC2 Amazon-Instances unterstützt.

    Betriebssystem-Verteilung1 Kernel-Version Kernel-Unterstützung CPUArchitektur
    x64 () AMD64 Graviton () ARM64

    • AL2und AL2 023

    • Ubuntu 20.04 und Ubuntu 22.04

    • Debian 11 und Debian 12

    5.4, 5.10, 5.15, 6.1, 6.5, 6.8

    eBPF, Tracepoints, Kprobe

    Unterstützt

    Unterstützt

    1 Support für verschiedene Betriebssysteme — GuardDuty hat die Unterstützung für die Verwendung von Runtime Monitoring auf den in der obigen Tabelle aufgeführten Betriebssystemen überprüft. Wenn Sie ein anderes Betriebssystem verwenden, erhalten Sie möglicherweise alle erwarteten Sicherheitswerte, die für die GuardDuty aufgelisteten Betriebssystem-Distributionen verifiziert wurden.

  • Zusätzliche Anforderungen — Nur wenn Sie Amazon ECS /Amazon haben EC2

    Für Amazon ECS /Amazon empfehlen wirEC2, die neueste Version zu verwenden, die für Amazon ECS optimiert ist AMIs (vom 29. September 2023 oder später), oder die ECS Amazon-Agent-Version v1.77.0 zu verwenden.

Überprüfung der Servicesteuerungsrichtlinie Ihres Unternehmens

Wenn Sie eine Dienststeuerungsrichtlinie (SCP) zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, stellen Sie sicher, dass die Berechtigungsgrenzen nicht guardduty:SendSecurityTelemetry einschränkend sind. Sie ist erforderlich GuardDuty , um Runtime Monitoring für verschiedene Ressourcentypen zu unterstützen.

Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung SCPs für Ihre Organisation finden Sie unter Richtlinien zur Servicesteuerung (SCPs).

Bei Verwendung der automatisierten Agentenkonfiguration

Dazu Verwenden Sie die automatische Agentenkonfiguration (empfohlen) AWS-Konto müssen Sie die folgenden Voraussetzungen erfüllen:

  • Wenn Sie Inclusion-Tags mit automatisierter Agentenkonfiguration verwenden, GuardDuty um eine SSM Zuordnung für eine neue Instanz zu erstellen, stellen Sie sicher, dass die neue Instanz SSM verwaltet wird und in der https://console.aws.amazon.com/systems-manager/Konsole unter Fleet Manager angezeigt wird.

  • Wenn Sie Ausschluss-Tags mit automatisierter Agentenkonfiguration verwenden:

    • Fügen Sie das false TagGuardDutyManaged: hinzu, bevor Sie den GuardDuty automatisierten Agenten für Ihr Konto konfigurieren.

      Stellen Sie sicher, dass Sie Ihren EC2 Amazon-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon aktiviert habenEC2, wird jede EC2 Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

    • Damit die Ausnahmetags funktionieren, aktualisieren Sie die Instance-Konfiguration, sodass das Instance-Identitätsdokument im Instance-Metadatenservice (IMDS) verfügbar ist. Das Verfahren Laufzeitüberwachung aktivieren für diesen Schritt ist bereits Teil Ihres Accounts.

CPUund Speicherlimit für den GuardDuty Agenten

CPULimit

Das maximale CPU Limit für den GuardDuty Security Agent, der EC2 Amazon-Instances zugeordnet ist, liegt bei 10 Prozent der gesamten CPU V-Cores. Wenn Ihre EC2 Instance beispielsweise über 4 CPU V-Cores verfügt, kann der Security Agent maximal 40 Prozent der insgesamt verfügbaren 400 Prozent verwenden.

Speicherlimit

Aus dem Speicher, der Ihrer EC2 Amazon-Instance zugeordnet ist, steht ein begrenzter Speicher zur Verfügung, den der GuardDuty Security Agent verwenden kann.

Die folgende Tabelle zeigt das Speicherlimit.

Speicher der EC2 Amazon-Instance

Maximaler Arbeitsspeicher für den GuardDuty Agenten

Weniger als 8 GB

128 MB

Weniger als 32 GB

256 MB

Mehr als oder gleich 32 GB

1 GB

Nächster Schritt

Der nächste Schritt besteht darin, Runtime Monitoring zu konfigurieren und auch den Security Agent (automatisch oder manuell) zu verwalten.