Instalación manual del agente de seguridad - Amazon GuardDuty
Error de falta de memoriaValidar el estado de instalación del agente de GuardDuty seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Instalación manual del agente de seguridad

GuardDuty proporciona los dos métodos siguientes para instalar el agente GuardDuty de seguridad en las EC2 instancias de Amazon. Antes de continuar, asegúrese de seguir los pasos que se indican en Requisito previo: crear manualmente el punto de conexión de Amazon VPC.

Elige un método de acceso preferido para instalar el agente de seguridad en tus EC2 recursos de Amazon.

Para usar este método, asegúrate de que tus EC2 instancias de Amazon estén AWS Systems Manager gestionadas y, a continuación, instala el agente.

AWS Systems Manager EC2 instancia de Amazon gestionada

Sigue los siguientes pasos para AWS Systems Manager gestionar tus EC2 instancias de Amazon.

  • AWS Systems Managerle ayuda a gestionar sus AWS aplicaciones y recursos end-to-end y a posibilitar operaciones seguras a escala.

    Para gestionar sus EC2 instancias de Amazon AWS Systems Manager, consulte Configuración de Systems Manager para EC2 instancias de Amazon en la Guía del AWS Systems Manager usuario.

  • En la siguiente tabla se muestran los nuevos AWS Systems Manager documentos GuardDuty gestionados:

    Nombre del documento Tipo de documento Finalidad

    AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    Distributor

    Para empaquetar el agente GuardDuty de seguridad.

    AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin

    Comando

    Ejecutar el script de instalación o desinstalación para instalar el GuardDuty agente de seguridad.

    Para obtener más información AWS Systems Manager, consulte los documentos de Amazon EC2 Systems Manager en la Guía del AWS Systems Manager usuario.

Para servidores de Debian

Las imágenes de máquina de Amazon (AMIs) para el servidor Debian proporcionadas por AWS requieren que instale el AWS Systems Manager agente (agente SSM). Tendrá que realizar un paso adicional para instalar el agente SSM y poder gestionar sus instancias del servidor Amazon EC2 Debian mediante SSM. Para obtener información sobre los pasos que debe seguir, consulte Instalación manual del agente de SSM en instancias de servidor Debian en la Guía del usuario de AWS Systems Manager .

Para instalar el GuardDuty agente para la EC2 instancia de Amazon mediante AWS Systems Manager

  1. Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos

  3. En Propiedad de Amazon, elija AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Elija Run Command (Ejecutar comando).

  5. Ingrese los siguientes parámetros del Comando de ejecución

    • Acción: elija Instalar.

    • Tipo de instalación: elija Instalar o desinstalar.

    • Nombre: AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    • Versión: si permanece vacío, obtendrá la última versión del agente de GuardDuty seguridad. Para obtener más información acerca de las versiones de lanzamiento, GuardDuty agente de seguridad para EC2 instancias de Amazon.

  6. Selecciona la EC2 instancia de Amazon de destino. Puedes seleccionar una o más EC2 instancias de Amazon. Para obtener más información, consulte Ejecución de comandos de AWS Systems Manager desde la consola en la Guía de usuario de AWS Systems Manager

  7. Valide si la instalación del GuardDuty agente está en buen estado. Para obtener más información, consulte Validar el estado de instalación del agente de GuardDuty seguridad.

Con este método, puede instalar el agente GuardDuty de seguridad ejecutando scripts RPM o Debian. En función de los sistemas operativos, puede elegir el método que prefiera:

  • Utilice scripts RPM para instalar el agente de seguridad en las distribuciones AL2 del sistema operativo AL2 023, RedHat CentOS o Fedora.

  • Utilice los scripts de Debian para instalar el agente de seguridad en las distribuciones de sistema operativo Ubuntu o Debian. Para obtener información sobre las distribuciones de Ubuntu y Debian compatibles, consulte Validación de los requisitos de arquitectura.

RPM installation
importante

Recomendamos comprobar la firma RPM del agente GuardDuty de seguridad antes de instalarlo en su máquina.

  1. Compruebe la firma RPM del agente de GuardDuty seguridad

    1. Prepare la plantilla

      Prepare los comandos con la clave pública adecuada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3. Sustituya el valor del Región de AWS identificador de AWS cuenta y la versión del GuardDuty agente para acceder a los scripts del RPM.

      • Clave pública 

        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/publickey.pem

      • GuardDuty firma RPM del agente de seguridad:

        Firma de x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.sig
        Firma de arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.sig

      • Enlaces de acceso a los scripts RPM en el bucket de Amazon S3:

        Enlace de acceso para x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.rpm
        Enlace de acceso para arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.rpm
      Región de AWS Nombre de la región AWS ID de cuenta
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Medio Oriente (Baréin) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Bombay) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      il-central-1 Israel (Tel Aviv) 870907303882
    2. Descargar la plantilla

      En el siguiente comando para descargar la clave pública apropiada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3, asegúrese de sustituir el ID de cuenta por el ID de Cuenta de AWS apropiado y la región por la región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.rpm ./amazon-guardduty-agent-1.5.0.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/x86_64/amazon-guardduty-agent-1.5.0.x86_64.sig ./amazon-guardduty-agent-1.5.0.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.5.0/publickey.pem ./publickey.pem
    3. Importar la clave pública

      Utilice el siguiente comando para importar la clave pública a la base de datos:

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
    4. Verificación de la firma

      Utilice el siguiente comando para verificar la firma

      gpg --verify amazon-guardduty-agent-1.5.0.x86_64.sig amazon-guardduty-agent-1.5.0.x86_64.rpm

      Si aprueba la verificación, verá un mensaje similar al resultado que se muestra a continuación. Ahora puede proceder a instalar el agente de GuardDuty seguridad mediante RPM.

      Ejemplo de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Si la verificación falla, significa que la firma en RPM ha sido potencialmente manipulada. Debe eliminar la clave pública de la base de datos e intentar de nuevo el proceso de verificación.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

    sudo rpm -ivh amazon-guardduty-agent-1.5.0.x86_64.rpm

  4. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte Validar el estado de instalación del agente de GuardDuty seguridad.

Debian installation
importante

Recomendamos comprobar la firma Debian del agente de GuardDuty seguridad antes de instalarlo en su máquina.

  1. Compruebe la firma de Debian del agente GuardDuty de seguridad

    1. Prepare plantillas para la clave pública adecuada, la firma del paquete de Debian amd64, la firma del paquete de Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en buckets de Amazon S3.

      En las plantillas siguientes, sustituya el valor del identificador de AWS cuenta y la Región de AWS versión del GuardDuty agente para acceder a los scripts de los paquetes de Debian.

      • Clave pública 

        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/publickey.pem

      • GuardDuty firma Debian del agente de seguridad:

        Firma de amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.sig
        Firma de arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.sig

      • Enlaces de acceso a los scripts Debian en el bucket de Amazon S3:

        Enlace de acceso para amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.deb
        Enlace de acceso para arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/arm64/amazon-guardduty-agent-1.5.0.arm64.deb
      Región de AWS Nombre de la región AWS ID de cuenta
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Medio Oriente (Baréin) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Bombay) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      il-central-1 Israel (Tel Aviv) 870907303882
    2. Descargue la clave pública adecuada, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3

      En los siguientes comandos, sustituya el identificador de cuenta por el Cuenta de AWS identificador correspondiente y la región por su región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.deb ./amazon-guardduty-agent-1.5.0.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/amd64/amazon-guardduty-agent-1.5.0.amd64.sig ./amazon-guardduty-agent-1.5.0.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.5.0/publickey.pem ./publickey.pem

    3. Importar la clave pública a la base de datos

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    4. Verificación de la firma

      gpg --verify amazon-guardduty-agent-1.5.0.amd64.sig amazon-guardduty-agent-1.5.0.amd64.deb

      Tras una verificación correcta, verá un mensaje similar al siguiente resultado:

      Ejemplo de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Ahora puede proceder a instalar el agente GuardDuty de seguridad mediante Debian.

      Sin embargo, si se produce un error en la verificación, significa que la firma en el paquete Debian ha sido potencialmente manipulada.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

    sudo dpkg -i amazon-guardduty-agent-1.5.0.amd64.deb

  4. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte Validar el estado de instalación del agente de GuardDuty seguridad.

Error de falta de memoria

Si se produce un out-of-memory error al instalar o actualizar EC2 manualmente el agente de GuardDuty seguridad para Amazon, consulteSolución de problemas de memoria insuficiente.

Validar el estado de instalación del agente de GuardDuty seguridad

Una vez realizados los pasos para instalar el agente GuardDuty de seguridad, utilice los siguientes pasos para validar el estado del agente:

Para validar si el agente GuardDuty de seguridad está en buen estado

  1. Conéctese con SSH desde Linux o macOS.

  2. Ejecute el siguiente comando para comprobar el estado del agente de GuardDuty seguridad:

    sudo systemctl status amazon-guardduty-agent

Si desea ver los registros de instalación del agente de seguridad, están disponibles en /var/log/amzn-guardduty-agent/.

Para ver los registros, realice sudo journalctl -u amazon-guardduty-agent.