Requisitos previos para el soporte de EC2 instancias de Amazon - Amazon GuardDuty
Haga que las EC2 instancias sean gestionadas por SSMValidación de los requisitos de arquitecturaValidar la política de control de servicios de la organizaciónAl utilizar la configuración automatizada de agentesLímite de CPU y memoriaSiguiente paso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para el soporte de EC2 instancias de Amazon

En esta sección se incluyen los requisitos previos para monitorizar el comportamiento en tiempo de ejecución de tus EC2 instancias de Amazon. Una vez cumplidos estos requisitos previos, consulte Habilitación GuardDuty de la supervisión del tiempo.

Haga que las EC2 instancias sean gestionadas por SSM

Las EC2 instancias de Amazon para las que GuardDuty desea supervisar los eventos de tiempo de ejecución deben gestionarse AWS Systems Manager (SSM). Esto es independiente de si utiliza GuardDuty para gestionar el agente de seguridad automáticamente o si lo gestiona manualmente. Sin embargo, si administra el agente manualmente mediante el manualMétodo 2: utilizar administradores de paquetes de Linux, no es necesario que las EC2 instancias se administren mediante SSM.

Para gestionar sus EC2 instancias de Amazon AWS Systems Manager, consulte Configuración de Systems Manager para EC2 instancias de Amazon en la Guía del AWS Systems Manager usuario.

Nota para las instancias basadas en Fedora EC2

AWS Systems Manager no es compatible con la distribución del sistema operativo Fedora. Después de activar la monitorización en tiempo de ejecución, utilice el método manual (Método 2: utilizar administradores de paquetes de Linux) para instalar el agente de seguridad en las instancias basadas en Fedora EC2 .

Para obtener información sobre las plataformas compatibles, consulte Plataformas y arquitecturas de paquetes compatibles en la Guía del usuario.AWS Systems Manager

Validación de los requisitos de arquitectura

La arquitectura de la distribución del sistema operativo puede afectar al comportamiento del agente de GuardDuty seguridad. Debe cumplir los siguientes requisitos antes de utilizar Runtime Monitoring for Amazon EC2 instances:

  • En la siguiente tabla se muestra la distribución del sistema operativo que se ha verificado para admitir el agente GuardDuty de seguridad para EC2 las instancias de Amazon.

    Distribución del sistema operativo1 Versión del kernel2 Compatibilidad del kernel Arquitectura de la CPU
    x64 () AMD64 Gravitón () ARM64

    AL2 y AL2 023

    Ubuntu 20.04 y Ubuntu 22.04

    Debian 11 y Debian 12

    5.4 3, 5.10 3, 5.15, 6.1, 6.5, 6.8

    eBPF, Tracepoints, Kprobe

    Soportado

    Soportado

    Ubuntu 24.04

    		 6.8

    RedHat 9.4

    5.14

    Fedora 34.0 4

    5.11, 5.17

    CentOS Stream 9

    5.14

    1. Soporte para varios sistemas operativos: GuardDuty ha verificado la compatibilidad con el uso de Runtime Monitoring en los sistemas operativos que se enumeran en la tabla anterior. Si utiliza un sistema operativo diferente, es posible que obtenga todo el valor de seguridad esperado que se GuardDuty ha comprobado que ofrece en las distribuciones de sistemas operativos enumeradas.

    2. Para cualquier versión del núcleo, debe establecer el CONFIG_DEBUG_INFO_BTF indicador en y (que significa verdadero). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado.

    3. En las versiones 5.10 y anteriores del núcleo, el agente GuardDuty de seguridad utiliza la memoria bloqueada en la RAM (RLIMIT_MEMLOCK) para funcionar según lo previsto. Si el RLIMIT_MEMLOCK valor del sistema es demasiado bajo, se GuardDuty recomienda establecer los límites fijos y flexibles en al menos 32 MB. Para obtener información sobre cómo comprobar y modificar el RLIMIT_MEMLOCK valor predeterminado, consulteRLIMIT_MEMLOCKVisualización y actualización de valores.

    4. Fedora no es una plataforma compatible para la configuración automática de agentes. Puede implementar el agente GuardDuty de seguridad en Fedora utilizando. Método 2: utilizar administradores de paquetes de Linux

  • Requisitos adicionales: solo si tienes Amazon ECS/Amazon EC2

    Para Amazon ECS/Amazon EC2, le recomendamos que utilice la última versión optimizada para Amazon ECS AMIs (con fecha del 29 de septiembre de 2023 o posterior) o que utilice la versión 1.77.0 del agente de Amazon ECS.

RLIMIT_MEMLOCKVisualización y actualización de valores

Si el RLIMIT_MEMLOCK límite del sistema es demasiado bajo, es posible que el agente de GuardDuty seguridad no funcione según lo diseñado. GuardDuty recomienda que tanto los límites fijos como los límites flexibles sean de 32 MB como mínimo. Si no actualiza los límites, no GuardDuty podrá supervisar los eventos de tiempo de ejecución de su recurso. Cuando RLIMIT_MEMLOCK supere los límites mínimos establecidos, la actualización de estos límites pasa a ser opcional.

Puede modificar el RLIMIT_MEMLOCK valor predeterminado antes o después de instalar el agente GuardDuty de seguridad.

Para ver RLIMIT_MEMLOCK los valores

  1. Ejecute ps aux | grep guardduty. Esto generará el ID del proceso (pid).

  2. Copie el identificador del proceso (pid) del resultado del comando anterior.

  3. Ejecute grep "Max locked memory" /proc/pid/limits después de pid reemplazar el por el ID de proceso copiado del paso anterior.

    Esto mostrará la cantidad máxima de memoria bloqueada para ejecutar el agente GuardDuty de seguridad.

Para actualizar RLIMIT_MEMLOCK los valores

  1. Si el /etc/systemd/system.conf.d/NUMBER-limits.conf archivo existe, comente la línea DefaultLimitMEMLOCK de este archivo. Este archivo establece un valor predeterminado RLIMIT_MEMLOCK con alta prioridad, que sobrescribe la configuración del /etc/systemd/system.conf archivo.

  2. Abre el /etc/systemd/system.conf archivo y quita el comentario de la línea que contiene. #DefaultLimitMEMLOCK=

  3. Actualice el valor predeterminado proporcionando RLIMIT_MEMLOCK límites fijos y flexibles de al menos 32 MB. La actualización debería tener este aspecto:DefaultLimitMEMLOCK=32M:32M. El formato es soft-limit:hard-limit.

  4. Ejecute sudo reboot.

Validar la política de control de servicios de la organización

Si ha configurado una política de control de servicio (SCP) para administrar los permisos en la organización, valide que el límite de permisos no restrinja guardduty:SendSecurityTelemetry. Es necesario GuardDuty para admitir la monitorización del tiempo de ejecución en diferentes tipos de recursos.

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte Políticas de control de servicios (SCPs).

Al utilizar la configuración automatizada de agentes

Para Utilice la configuración automatizada de agentes (opción recomendada) ello, Cuenta de AWS debe cumplir los siguientes requisitos previos:

  • Cuando utilices etiquetas de inclusión con una configuración de agente automatizada, GuardDuty para crear una asociación de SSM para una nueva instancia, asegúrate de que la nueva instancia esté gestionada por SSM y aparezca en Fleet Manager en la consola. https://console.aws.amazon.com/systems-manager/

  • Al utilizar etiquetas de exclusión con configuración automatizada del agente

    • Añada la false etiquetaGuardDutyManaged: antes de configurar el agente GuardDuty automatizado para su cuenta.

      Asegúrese de añadir la etiqueta de exclusión a sus EC2 instancias de Amazon antes de lanzarlas. Una vez que hayas activado la configuración automática de agentes para Amazon EC2, cualquier EC2 instancia que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

    • Para que las etiquetas de exclusión funcionen, actualice la configuración de la instancia de modo que el documento de identidad de la instancia se encuentre disponible en el servicio de metadatos de instancias (IMDS). El procedimiento para seguir este paso ya forma parte Habilitación de la supervisión en tiempo de ejecución para la cuenta.

Límite de CPU y memoria para el GuardDuty agente

Límite de CPU

El límite máximo de CPU para el agente GuardDuty de seguridad asociado a EC2 las instancias de Amazon es del 10 por ciento del total de núcleos de vCPU. Por ejemplo, si la EC2 instancia tiene 4 núcleos de vCPU, el agente de seguridad puede utilizar un máximo del 40 por ciento del 400 por ciento total disponible.

Memory limit (Límite de memoria)

De la memoria asociada a tu EC2 instancia de Amazon, hay una memoria limitada que el agente GuardDuty de seguridad puede usar.

En la siguiente tabla aparece el límite de memoria.

Memoria de la EC2 instancia de Amazon

Memoria máxima para el GuardDuty agente

Menos de 8 GB

128 MB

Menos de 32 GB

256 MB

Mayor o igual que 32 GB

1 GB

Siguiente paso

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución y también administrar el agente de seguridad (automática o manualmente).