Cómo funciona Runtime Monitoring con las EC2 instancias de Amazon - Amazon GuardDuty
Utilice la configuración automatizada de agentes (opción recomendada)Administrar el agente de seguridad manualmenteSiguiente paso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Runtime Monitoring con las EC2 instancias de Amazon

Sus EC2 instancias de Amazon pueden ejecutar varios tipos de aplicaciones y cargas de trabajo en su AWS entorno. Cuando habilita Runtime Monitoring y administra el agente de GuardDuty seguridad, le GuardDuty ayuda a detectar amenazas en sus EC2 instancias de Amazon existentes y, potencialmente, en las nuevas. Esta función también es compatible con las EC2 instancias de Amazon ECS gestionadas por Amazon.

Al habilitar Runtime Monitoring GuardDuty , se pueden consumir eventos de tiempo de ejecución de procesos nuevos y en ejecución en EC2 las instancias de Amazon. GuardDuty requiere un agente de seguridad al que enviar los eventos de tiempo de ejecución desde la EC2 instancia a GuardDuty.

En el caso de EC2 las instancias de Amazon, el agente de GuardDuty seguridad funciona a nivel de instancia. Puedes decidir si quieres monitorizar todas las EC2 instancias de Amazon de tu cuenta o solo algunas de ellas. Si desea administrar instancias determinadas, el agente de seguridad solo será necesario para estas instancias.

GuardDuty también puede consumir eventos de tiempo de ejecución de tareas nuevas y tareas existentes que se ejecutan en EC2 instancias de Amazon dentro de ECS clústeres de Amazon.

Para instalar el agente GuardDuty de seguridad, Runtime Monitoring ofrece las dos opciones siguientes:

Utilice la configuración automática del agente mediante GuardDuty (recomendado)

Utilice una configuración de agente automatizada que permita GuardDuty instalar el agente de seguridad en sus EC2 instancias de Amazon en su nombre. GuardDuty también administra las actualizaciones del agente de seguridad.

De forma predeterminada, GuardDuty instala el agente de seguridad en todas las instancias de su cuenta. Si desea GuardDuty instalar y administrar el agente de seguridad solo para EC2 instancias seleccionadas, añada etiquetas de inclusión o exclusión a las EC2 instancias, según sea necesario.

A veces, es posible que no desees supervisar los eventos de tiempo de ejecución de todas las EC2 instancias de Amazon que pertenecen a tu cuenta. Para los casos en los que desee supervisar los eventos en tiempo de ejecución de una cantidad limitada de instancias, agregue una etiqueta de inclusión como GuardDutyManaged:true a estas instancias determinadas. Empezando por la disponibilidad de la configuración de agentes automatizada para AmazonEC2, si su EC2 instancia tiene una etiqueta de inclusión (GuardDutyManaged:true), GuardDuty respetará la etiqueta y gestionará el agente de seguridad para las instancias seleccionadas, incluso si no habilita explícitamente la configuración de agentes automatizada.

Por otro lado, si hay un número limitado de EC2 instancias para las que no desea supervisar los eventos de tiempo de ejecución, añada una etiqueta de exclusión (GuardDutyManaged:false) a las instancias seleccionadas. GuardDuty respetará la etiqueta de exclusión al no instalar ni administrar el agente de seguridad para estos EC2 recursos.

Impact

Al utilizar la configuración de agentes automatizada en una Cuenta de AWS u otra organización, permite GuardDuty realizar los siguientes pasos en su nombre:

  • GuardDuty crea una SSM asociación para todas las EC2 instancias de Amazon que se SSM gestionan y aparecen en Fleet Manager en la https://console.aws.amazon.com/systems-manager/consola.

  • Uso de etiquetas de inclusión con la configuración automática de agentes desactivada: después de habilitar Runtime Monitoring, si no habilitas la configuración automática de agentes pero agregas una etiqueta de inclusión a tu EC2 instancia de Amazon, significa que estás permitiendo GuardDuty administrar el agente de seguridad en tu nombre. SSMA continuación, la asociación instalará el agente de seguridad en cada instancia que tenga la etiqueta de inclusión (GuardDutyManaged:true).

  • Si habilita la configuración automática del agente, la SSM asociación instalará el agente de seguridad en todas las EC2 instancias que pertenezcan a su cuenta.

  • Uso de etiquetas de exclusión con configuración de agente automatizada: antes de habilitar la configuración automática de agentes, al añadir una etiqueta de exclusión a la EC2 instancia de Amazon, significa que está permitiendo GuardDuty impedir la instalación y la gestión del agente de seguridad para la instancia seleccionada.

    Ahora, al activar la configuración automática del agente, la SSM asociación instalará y gestionará el agente de seguridad en todas las EC2 instancias, excepto en las que estén etiquetadas con la etiqueta de exclusión.

  • GuardDuty crea VPC puntos de enlace en todas las instanciasVPCs, incluidas las compartidasVPCs, siempre que haya al menos una EC2 instancia de Linux VPC que no se encuentre en los estados de instancia terminada o cerrada. Esto incluye el centralizado y el radial. VPC VPCs GuardDuty no admite la creación de un VPC punto final solo para los centralizadosVPC. Para obtener más información sobre el VPC funcionamiento de la centralización, consulte los VPCterminales de interfaz en el AWS documento técnico: Creación de una infraestructura multired escalable y segura. VPC AWS

    Para obtener información sobre los diferentes estados de las instancias, consulta el ciclo de vida de las instancias en la Guía del EC2 usuario de Amazon.

    GuardDuty también es compatibleUso compartido VPC con agentes de seguridad automatizados. Cuando se tengan en cuenta todos los requisitos previos Cuenta de AWS, su organización GuardDuty utilizará lo compartido VPC para recibir eventos en tiempo de ejecución.

    nota

    El uso del VPC terminal no conlleva ningún coste adicional.

  • Junto con el VPC punto final, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el VPC CIDR rango del recurso y también se adapta a él cuando cambia el CIDR rango. Para obtener más información, consulta la VPCCIDRgama en la Guía del VPC usuario de Amazon.

Administrar el agente de seguridad manualmente

Hay dos formas de gestionar EC2 manualmente el agente de seguridad de Amazon:

  • Usa documentos GuardDuty gestionados AWS Systems Manager para instalar el agente de seguridad en las EC2 instancias de Amazon que ya estén SSM gestionadas.

    Siempre que lances una nueva EC2 instancia de Amazon, asegúrate de que esté SSM habilitada.

  • Usa los scripts RPM del administrador de paquetes (RPM) para instalar el agente de seguridad en tus EC2 instancias de Amazon, estén SSM gestionadas o no.

Siguiente paso

Para empezar con la configuración de Runtime Monitoring para monitorizar tus EC2 instancias de Amazon, consultaRequisitos previos para el soporte de EC2 instancias de Amazon.