Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment fonctionne Runtime Monitoring avec les EC2 instances Amazon
Vos EC2 instances Amazon peuvent exécuter plusieurs types d'applications et de charges de travail dans votre AWS environnement. Lorsque vous activez la surveillance du temps d'exécution et que vous gérez l'agent de GuardDuty sécurité, GuardDuty cela vous aide à détecter les menaces dans vos EC2 instances Amazon existantes et dans les nouvelles instances potentielles. Cette fonctionnalité prend également en charge les EC2 instances Amazon ECS gérées par Amazon.
L'activation de la surveillance du temps d'exécution permet de GuardDuty préparer les événements d'exécution provenant des processus en cours d'exécution et des nouveaux processus au sein EC2 des instances Amazon. GuardDuty nécessite qu'un agent de sécurité envoie les événements d'exécution de votre EC2 instance à GuardDuty.
Pour les EC2 instances Amazon, l'agent GuardDuty de sécurité fonctionne au niveau de l'instance. Vous pouvez décider si vous souhaitez surveiller toutes les EC2 instances Amazon de votre compte ou certaines d'entre elles. Si vous souhaitez gérer des instances sélectives, l'agent de sécurité n'est requis que pour ces instances.
GuardDuty peut également consommer des événements d'exécution provenant de nouvelles tâches et de tâches existantes exécutées dans des EC2 instances Amazon au sein de ECS clusters Amazon.
Pour installer l'agent GuardDuty de sécurité, Runtime Monitoring propose les deux options suivantes :
Utiliser la configuration automatique des agents via GuardDuty (recommandé)
Utilisez une configuration d'agent automatisée qui GuardDuty permet d'installer l'agent de sécurité sur vos EC2 instances Amazon en votre nom. GuardDuty gère également les mises à jour de l'agent de sécurité.
Par défaut, GuardDuty installe l'agent de sécurité sur toutes les instances de votre compte. Si vous souhaitez GuardDuty installer et gérer l'agent de sécurité pour certaines EC2 instances uniquement, ajoutez des balises d'inclusion ou d'exclusion à vos EC2 instances, selon vos besoins.
Parfois, il se peut que vous ne souhaitiez pas surveiller les événements d'exécution pour toutes les EC2 instances Amazon associées à votre compte. Dans les cas où vous souhaitez surveiller les événements d'exécution pour un nombre limité d'instances, ajoutez une balise d'inclusion sous la forme GuardDutyManaged
: true
à ces instances sélectionnées. À compter de la disponibilité de la configuration automatique des agents pour AmazonEC2, si votre EC2 instance possède une balise d'inclusion (GuardDutyManaged
:true
), GuardDuty cette balise sera respectée et l'agent de sécurité sera géré pour les instances sélectionnées, même si vous n'activez pas explicitement la configuration automatique des agents.
En revanche, s'il existe un nombre limité d'EC2instances pour lesquelles vous ne souhaitez pas surveiller les événements d'exécution, ajoutez une balise d'exclusion (GuardDutyManaged
:false
) à ces instances sélectionnées. GuardDuty respectera la balise d'exclusion en n'installant ni en ne gérant l'agent de sécurité pour ces EC2 ressources.
Impact
Lorsque vous utilisez la configuration automatique des agents dans une Compte AWS ou plusieurs organisations, vous autorisez GuardDuty à effectuer les étapes suivantes en votre nom :
-
GuardDuty crée une SSM association pour toutes vos EC2 instances Amazon qui sont SSM gérées et apparaissent sous Fleet Manager dans la https://console.aws.amazon.com/systems-manager/
console. -
Utilisation de balises d'inclusion avec désactivation de la configuration automatique des agents : après avoir activé la surveillance du temps d'exécution, lorsque vous n'activez pas la configuration automatique des agents mais que vous ajoutez une balise d'inclusion à votre EC2 instance Amazon, cela signifie que vous êtes autorisé GuardDuty à gérer l'agent de sécurité en votre nom. SSMl'association installera ensuite l'agent de sécurité dans chaque instance dotée de la balise d'inclusion (
GuardDutyManaged
:true
). -
Si vous activez la configuration automatique de l'agent, SSM l'association installera ensuite l'agent de sécurité dans toutes les EC2 instances appartenant à votre compte.
-
Utilisation de balises d'exclusion avec configuration automatique des agents : avant d'activer la configuration automatique des agents, lorsque vous ajoutez des balises d'exclusion à votre EC2 instance Amazon, cela signifie que vous autorisez GuardDuty à empêcher l'installation et la gestion de l'agent de sécurité pour cette instance sélectionnée.
Désormais, lorsque vous activez la configuration automatique de l'agent, l'SSMassociation installe et gère l'agent de sécurité dans toutes les EC2 instances, à l'exception de celles qui sont étiquetées avec la balise d'exclusion.
-
GuardDuty crée des VPC points de terminaison dans tous les environnements VPCsVPCs, y compris partagés, à condition qu'au moins une EC2 instance Linux ne soit VPC pas dans l'état d'instance terminée ou en état d'arrêt. Cela inclut le système centralisé VPC et parléVPCs. GuardDuty ne prend pas en charge la création d'un VPC point de terminaison uniquement pour le système centraliséVPC. Pour plus d'informations sur le VPC fonctionnement de la centralisation, consultez la section VPCPoints de terminaison de l'interface dans le AWS livre blanc intitulé « Création d'une infrastructure multiréseau évolutive et sécurisée ». VPC AWS
Pour plus d'informations sur les différents états des instances, consultez la section Cycle de vie des instances dans le guide de EC2 l'utilisateur Amazon.
GuardDuty prend également en chargeUtilisation partagée VPC avec des agents de sécurité automatisés. Lorsque tous les prérequis sont pris en compte pour votre organisation et Compte AWS que GuardDuty vous utiliserez le partage VPC pour recevoir les événements d'exécution.
Note
Il n'y a aucun coût supplémentaire pour l'utilisation du VPC terminal.
-
En plus du VPC point de terminaison, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la VPC CIDR plage de votre ressource et s'y adapte également lorsque la CIDR plage change. Pour plus d'informations, consultez la section relative à la VPCCIDRgamme dans le guide de VPC l'utilisateur Amazon.
Gestion manuelle de l'agent de sécurité
Il existe deux méthodes pour gérer EC2 manuellement l'agent de sécurité pour Amazon :
-
Utilisez des documents GuardDuty gérés AWS Systems Manager pour installer l'agent de sécurité sur vos EC2 instances Amazon déjà SSM gérées.
Chaque fois que vous lancez une nouvelle EC2 instance Amazon, assurez-vous qu'elle est SSM activée.
-
Utilisez des scripts RPM package manager (RPM) pour installer l'agent de sécurité sur vos EC2 instances Amazon, qu'elles soient SSM gérées ou non.
Étape suivante
Pour démarrer avec la configuration de Runtime Monitoring afin de surveiller vos EC2 instances Amazon, consultezConditions requises pour le support des EC2 instances Amazon.