Creación manual de Amazon VPC Endpoint Instalación manual del agente de seguridad Error de memoria insuficiente Validar el estado de instalación del agente de GuardDuty seguridad

Administrar manualmente el agente de seguridad para la EC2 instancia de Amazon

Después de activar Runtime Monitoring, tendrás que instalar el agente GuardDuty de seguridad manualmente. Al instalar el agente, GuardDuty recibirá los eventos de tiempo de ejecución de las EC2 instancias de Amazon.

Para gestionar el agente GuardDuty de seguridad, debe crear un VPC punto de conexión de Amazon y, a continuación, seguir los pasos para instalar el agente de seguridad manualmente.

Creación manual de Amazon VPC Endpoint

Antes de poder instalar el agente GuardDuty de seguridad, debe crear un punto final de Amazon Virtual Private Cloud (AmazonVPC). Esto te ayudará a GuardDuty recibir los eventos de tiempo de ejecución de tus EC2 instancias de Amazon.

nota

El uso del VPC punto final no conlleva ningún coste adicional.

Para crear un VPC punto de conexión de Amazon

Inicie sesión en el AWS Management Console y abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, en Nube VPC privada, selecciona Endpoints.
Seleccione Crear punto de conexión.
En la página Crear punto de conexión, en Categoría de servicio, elija Otros servicios de punto de conexión.
En Nombre del servicio, escriba com.amazonaws.us-east-1.guardduty-data.

Asegúrese de reemplazar us-east-1 con tu Región de AWS. Debe ser la misma región que la EC2 instancia de Amazon que pertenece a su AWS ID de cuenta.
Elija Verificar el servicio.
Una vez que el nombre del servicio se haya verificado correctamente, elija el VPClugar donde reside la instancia. Añada la siguiente política para restringir el uso de los VPC puntos de conexión de Amazon únicamente a la cuenta especificada. Con el valor de Condition de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar el soporte de Amazon VPC Endpoint a una cuenta IDs específica de su organización, consulteOrganization condition to restrict access to your endpoint.
```
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}
```
El ID de la aws:PrincipalAccount cuenta debe coincidir con la cuenta que contiene el VPC VPC punto final. La siguiente lista muestra cómo compartir el VPC punto final con otros AWS cuentaIDs:
- Para especificar varias cuentas para acceder al VPC punto final, "aws:PrincipalAccount: "111122223333" sustitúyalo por el siguiente bloque:
```
"aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
      ]
```
  Asegúrese de reemplazar el AWS cuenta IDs con la cuenta IDs de las cuentas que necesitan acceder al VPC punto final.
- Para permitir que todos los miembros de una organización accedan al VPC punto final, "aws:PrincipalAccount: "111122223333" sustitúyalo por la siguiente línea:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
  Asegúrese de reemplazar la organización o-abcdef0123 con el identificador de tu organización.
- Para restringir el acceso a un recurso mediante un identificador de organización, agrégalo ResourceOrgID a la política. Para obtener más información, consulte aws:ResourceOrgIDla Guía IAM del usuario.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
En Configuración adicional, seleccione Activar DNS nombre.
En Subredes, elige las subredes en las que reside la instancia.
En Grupos de seguridad, elige un grupo de seguridad que tenga el puerto de entrada 443 habilitado desde tu instancia VPC (o desde tu EC2 instancia de Amazon). Si aún no tienes un grupo de seguridad que tenga activado el puerto de entrada 443, consulta Crear un grupo de seguridad para ti VPC en la Guía del VPC usuario de Amazon.

Si hay algún problema al restringir los permisos de entrada a tu VPC (o a tu instancia), puedes utilizar el puerto 443 entrante desde cualquier dirección IP. (0.0.0.0/0) Sin embargo, GuardDuty te recomienda usar direcciones IP que coincidan con tu CIDR bloque. VPC Para obtener más información, consulta VPCCIDRlos bloques en la Guía del VPC usuario de Amazon.

Instalación manual del agente de seguridad

GuardDuty proporciona los dos métodos siguientes para instalar el agente GuardDuty de seguridad en tus EC2 instancias de Amazon:

Método 1: mediante AWS Systems Manager — Este método requiere que tu EC2 instancia de Amazon sea AWS Systems Manager gestionado.
Método 2: Mediante Linux Package Managers: puede utilizar este método independientemente de que sus EC2 instancias de Amazon estén o no AWS Systems Manager gestionado.

Para usar este método, asegúrate de que tus EC2 instancias de Amazon sean AWS Systems Manager administró y, a continuación, instale el agente.

AWS Systems Manager EC2instancia de Amazon gestionada

Sigue los siguientes pasos para crear tus EC2 instancias de Amazon AWS Systems Manager gestionado.

AWS Systems Managerle ayuda a gestionar sus AWS aplicaciones y recursos end-to-end y permite operaciones seguras a escala.

Para gestionar tus EC2 instancias de Amazon con AWS Systems Manager, consulte Configuración de EC2 instancias de Systems Manager para Amazon en la AWS Systems Manager Guía del usuario.

En la siguiente tabla se muestra el nuevo GuardDuty gestionado AWS Systems Manager documentos:

Nombre del documento	Tipo de documento	Finalidad
`AmazonGuardDuty-RuntimeMonitoringSsmPlugin`	Distributor	Para empaquetar el agente GuardDuty de seguridad.
`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`	Comando	Ejecutar el script de instalación o desinstalación para instalar el GuardDuty agente de seguridad.

Para obtener más información acerca de AWS Systems Manager, consulte los documentos EC2 de Amazon Systems Manager en la AWS Systems Manager Guía del usuario.

Para servidores Debian

Las imágenes de máquina de Amazon (AMIs) para el servidor Debian proporcionadas por AWS requieren que instales el AWS Systems Manager agente (SSMagente). Tendrá que realizar un paso adicional para instalar el SSM agente y poder SSM gestionar sus instancias del servidor Amazon EC2 Debian. Para obtener información sobre los pasos que debe seguir, consulte Instalar manualmente el SSM agente en las instancias del servidor Debian en la AWS Systems Manager Guía del usuario.

Para instalar el GuardDuty agente para la EC2 instancia de Amazon mediante AWS Systems Manager

Abra el icono AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Documentos
En Propiedad de Amazon, seleccionaAmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.
Elija Run Command (Ejecutar comando).
Introduzca los siguientes parámetros de ejecución del comando
- Acción: selecciona Instalar.
- Tipo de instalación: elija Instalar o Desinstalar.
- Nombre: AmazonGuardDuty-RuntimeMonitoringSsmPlugin
- Versión: si permanece vacío, obtendrá la última versión del agente de GuardDuty seguridad. Para obtener más información sobre las versiones de lanzamiento,GuardDuty agente de seguridad para EC2 instancias de Amazon.
Selecciona la EC2 instancia de Amazon de destino. Puedes seleccionar una o más EC2 instancias de Amazon. Para obtener más información, consulte AWS Systems Manager Ejecutar comandos desde la consola en el AWS Systems Manager Guía del usuario
Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información, consulte Validar el estado de instalación del agente de GuardDuty seguridad.

Con este método, puede instalar el agente de GuardDuty seguridad ejecutando RPM scripts o scripts de Debian. En función de los sistemas operativos, puede elegir un método preferido:

Utilice RPM scripts para instalar el agente de seguridad en las distribuciones del sistema operativo AL2 o en la versión AL2 023.
Utilice los scripts de Debian para instalar el agente de seguridad en las distribuciones de sistemas operativos Ubuntu o Debian. Para obtener información sobre las distribuciones de los sistemas operativos Ubuntu y Debian compatibles, consulte. Validación de los requisitos de arquitectura

RPM installation

importante

Se recomienda comprobar la RPM firma del agente GuardDuty de seguridad antes de instalarlo en el equipo.

Compruebe la firma del agente GuardDuty RPM de seguridad

Prepare la plantilla

Prepare los comandos con la clave pública adecuada, la firma de x86_64RPM, la firma de arm64 RPM y el enlace de acceso correspondiente a los RPM scripts alojados en los buckets de Amazon S3. Sustituya el valor de Región de AWS, AWS el identificador de cuenta y la versión del GuardDuty agente para acceder a los RPM scripts.

Clave pública:


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/publickey.pem

GuardDuty RPMfirma del agente de seguridad:

Firma de x86_64 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.sig

Firma de arm64 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.sig

Acceda a los enlaces a los RPM scripts del bucket de Amazon S3:

Enlace de acceso para x86_64 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.rpm

Enlace de acceso para arm64 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.rpm

Región de AWS	Nombres de las regiones	AWS ID de cuenta
`eu-west-1`	Europe (Irlanda)	694911143906
`us-east-1`	Este de EE. UU. (Norte de Virginia)	593207742271
`us-west-2`	Oeste de EE. UU. (Oregón)	733349766148
`eu-west-3`	Europa (París)	665651866788
`us-east-2`	Este de EE. UU. (Ohio)	307168627858
`eu-central-1`	Europe (Fráncfort)	323658145986
`ap-northeast-2`	Asia-Pacífico (Seúl)	914738172881
`eu-north-1`	Europa (Estocolmo)	591436053604
`ap-east-1`	Asia-Pacífico (Hong Kong)	258348409381
`me-south-1`	Medio Oriente (Baréin)	536382113932
`eu-west-2`	Europe (Londres)	892757235363
`ap-northeast-1`	Asia-Pacífico (Tokio)	533107202818
`ap-southeast-1`	Asia-Pacífico (Singapur)	174946120834
`ap-south-1`	Asia Pacific (Bombay)	251508486986
`ap-southeast-3`	Asia-Pacífico (Yakarta)	510637619217
`sa-east-1`	América del Sur (São Paulo)	758426053663
`ap-northeast-3`	Asia-Pacífico (Osaka)	273192626886
`eu-south-1`	Europa (Milán)	266869475730
`af-south-1`	África (Ciudad del Cabo)	197869348890
`ap-southeast-2`	Asia-Pacífico (Sídney)	005257825471
`me-central-1`	Medio Oriente () UAE	000014521398
`us-west-1`	Oeste de EE. UU. (Norte de California)	684579721401
`ca-central-1`	Canadá (centro)	354763396469
`ca-west-1`	Oeste de Canadá (Calgary)	339712888787
`ap-south-2`	Asia-Pacífico (Hyderabad)	950823858135
`eu-south-2`	Europa (España)	919611009337
`eu-central-2`	Europa (Zúrich)	529164026651
`ap-southeast-4`	Asia-Pacífico (Melbourne)	251357961535
`il-central-1`	Israel (Tel Aviv)	870907303882

Descarga la plantilla

En el siguiente comando para descargar la clave pública correspondiente, la firma de x86_64RPM, la firma de arm64 RPM y el enlace de acceso correspondiente a los RPM scripts alojados en los buckets de Amazon S3, asegúrese de sustituir el ID de cuenta por el correspondiente Cuenta de AWS El ID y la región con su región actual.


aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.rpm ./amazon-guardduty-agent-1.3.1.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.sig ./amazon-guardduty-agent-1.3.1.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/publickey.pem ./publickey.pem

Importa la clave pública

Utilice el siguiente comando para importar la clave pública a la base de datos:
```
gpg --import publickey.pem
```
gpg muestra que la importación se realizó correctamente
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
```
Verificación de la firma

Usa el siguiente comando para verificar la firma
```
gpg --verify amazon-guardduty-agent-1.3.1.x86_64.sig amazon-guardduty-agent-1.3.1.x86_64.rpm
```
Si se aprueba la verificación, verás un mensaje similar al siguiente resultado. Ahora puede proceder a instalar el agente GuardDuty de seguridad utilizandoRPM.

Ejemplo de salida:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
```
Si la verificación falla, significa que la firma RPM ha sido potencialmente alterada. Debes eliminar la clave pública de la base de datos y volver a intentar el proceso de verificación.

Ejemplo:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Use el siguiente comando para eliminar la clave pública de la base de datos:
```
gpg --delete-keys AwsGuardDuty
```
Ahora, vuelva a intentar el proceso de verificación.

Conéctate SSH desde Linux o macOS.
Instale el agente GuardDuty de seguridad mediante el siguiente comando:
```
sudo rpm -ivh amazon-guardduty-agent-1.3.1.x86_64.rpm
```
Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulteValidar el estado de instalación del agente de GuardDuty seguridad.

Debian installation

importante

Recomendamos comprobar la firma del agente GuardDuty de seguridad Debian antes de instalarlo en su máquina.

Compruebe la firma de Debian del agente GuardDuty de seguridad

Prepare las plantillas para la clave pública adecuada, la firma del paquete Debian amd64, la firma del paquete Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3.

En las plantillas siguientes, sustituya el valor del Región de AWS, AWS el identificador de cuenta y la versión del GuardDuty agente para acceder a los scripts de los paquetes de Debian.

Clave pública:


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/publickey.pem

GuardDuty firma Debian del agente de seguridad:

Firma de amd64


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.sig

Firma de arm64


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.sig

Acceda a los enlaces a los scripts de Debian en el bucket de Amazon S3:

Enlace de acceso para amd64


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.deb

Enlace de acceso para arm64


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.deb

Región de AWS	Nombres de las regiones	AWS ID de cuenta
`eu-west-1`	Europe (Irlanda)	694911143906
`us-east-1`	Este de EE. UU. (Norte de Virginia)	593207742271
`us-west-2`	Oeste de EE. UU. (Oregón)	733349766148
`eu-west-3`	Europa (París)	665651866788
`us-east-2`	Este de EE. UU. (Ohio)	307168627858
`eu-central-1`	Europe (Fráncfort)	323658145986
`ap-northeast-2`	Asia-Pacífico (Seúl)	914738172881
`eu-north-1`	Europa (Estocolmo)	591436053604
`ap-east-1`	Asia-Pacífico (Hong Kong)	258348409381
`me-south-1`	Medio Oriente (Baréin)	536382113932
`eu-west-2`	Europe (Londres)	892757235363
`ap-northeast-1`	Asia-Pacífico (Tokio)	533107202818
`ap-southeast-1`	Asia-Pacífico (Singapur)	174946120834
`ap-south-1`	Asia Pacific (Bombay)	251508486986
`ap-southeast-3`	Asia-Pacífico (Yakarta)	510637619217
`sa-east-1`	América del Sur (São Paulo)	758426053663
`ap-northeast-3`	Asia-Pacífico (Osaka)	273192626886
`eu-south-1`	Europa (Milán)	266869475730
`af-south-1`	África (Ciudad del Cabo)	197869348890
`ap-southeast-2`	Asia-Pacífico (Sídney)	005257825471
`me-central-1`	Medio Oriente () UAE	000014521398
`us-west-1`	Oeste de EE. UU. (Norte de California)	684579721401
`ca-central-1`	Canadá (centro)	354763396469
`ca-west-1`	Oeste de Canadá (Calgary)	339712888787
`ap-south-2`	Asia-Pacífico (Hyderabad)	950823858135
`eu-south-2`	Europa (España)	919611009337
`eu-central-2`	Europa (Zúrich)	529164026651
`ap-southeast-4`	Asia-Pacífico (Melbourne)	251357961535
`il-central-1`	Israel (Tel Aviv)	870907303882

Descargue la clave pública correspondiente a la descarga, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3

En los siguientes comandos, sustituya el ID de cuenta por el correspondiente Cuenta de AWS ID y la región con tu región actual.


aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.deb ./amazon-guardduty-agent-1.3.1.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.sig ./amazon-guardduty-agent-1.3.1.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/publickey.pem ./publickey.pem

Importe la clave pública a la base de datos


gpg --import publickey.pem

gpg muestra que la importación se realizó correctamente


gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

Verificación de la firma


gpg --verify amazon-guardduty-agent-1.3.1.amd64.sig amazon-guardduty-agent-1.3.1.amd64.deb

Tras una verificación correcta, verás un mensaje similar al siguiente resultado:

Ejemplo de salida:


gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

Ahora puede proceder a instalar el agente GuardDuty de seguridad mediante Debian.

Sin embargo, si la verificación falla, significa que la firma del paquete Debian está potencialmente alterada.

Ejemplo:


gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

Utilice el siguiente comando para eliminar la clave pública de la base de datos:


gpg --delete-keys AwsGuardDuty

Ahora, vuelva a intentar el proceso de verificación.

Conéctate SSH desde Linux o macOS.
Instale el agente GuardDuty de seguridad mediante el siguiente comando:
```
sudo dpkg -i amazon-guardduty-agent-1.3.1.amd64.deb
```
Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulteValidar el estado de instalación del agente de GuardDuty seguridad.

Error de memoria insuficiente

Si se produce un out-of-memory error al instalar o actualizar EC2 manualmente el agente de GuardDuty seguridad para Amazon, consulteSolución de problemas de memoria insuficiente.

Validar el estado de instalación del agente de GuardDuty seguridad

Una vez realizados los pasos para instalar el agente GuardDuty de seguridad, utilice los siguientes pasos para validar el estado del agente:

Para validar si el agente GuardDuty de seguridad está en buen estado

Conéctate SSH desde Linux o macOS.
Ejecute el siguiente comando para comprobar el estado del agente de GuardDuty seguridad:
```
sudo systemctl status amazon-guardduty-agent
```

Si desea ver los registros de instalación del agente de seguridad, están disponibles en/var/log/amzn-guardduty-agent/.

Para ver los registros, haga lo siguientesudo journalctl -u amazon-guardduty-agent.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

EC2Por ejemplo, Amazon: agente automatizado

Actualizar el agente de seguridad manualmente

Administrar manualmente el agente de seguridad para la EC2 instancia de Amazon

Creación manual de Amazon VPC Endpoint

nota

Para crear un VPC punto de conexión de Amazon

Instalación manual del agente de seguridad

AWS Systems Manager EC2instancia de Amazon gestionada

Para servidores Debian

Para instalar el GuardDuty agente para la EC2 instancia de Amazon mediante AWS Systems Manager

importante

Prepare la plantilla

Descarga la plantilla

Importa la clave pública

Verificación de la firma

importante

Prepare las plantillas para la clave pública adecuada, la firma del paquete Debian amd64, la firma del paquete Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3.

Descargue la clave pública correspondiente a la descarga, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3

Error de memoria insuficiente

Validar el estado de instalación del agente de GuardDuty seguridad

Para validar si el agente GuardDuty de seguridad está en buen estado