Copertura del runtime e risoluzione dei problemi per le EC2 istanze Amazon - Amazon GuardDuty
Revisione delle statistiche di coperturaModifica dello stato della copertura con notifiche EventBridgeRisoluzione dei problemi EC2 di copertura del runtime di Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copertura del runtime e risoluzione dei problemi per le EC2 istanze Amazon

Per una EC2 risorsa Amazon, la copertura del runtime viene valutata a livello di istanza. Le tue EC2 istanze Amazon possono eseguire diversi tipi di applicazioni e carichi di lavoro, tra gli altri, nel tuo AWS ambiente. Questa funzionalità supporta anche EC2 le istanze Amazon ECS gestite da Amazon e, se hai ECS cluster Amazon in esecuzione su EC2 un'istanza Amazon, i problemi di copertura a livello di istanza verranno visualizzati nella sezione Amazon EC2 runtime coverage.

Revisione delle statistiche di copertura

Le statistiche di copertura per le EC2 istanze Amazon associate ai tuoi account o ai tuoi account membro sono la percentuale delle EC2 istanze integre rispetto a tutte le EC2 istanze selezionate. Regione AWS L'equazione seguente rappresenta questa percentuale come:

(Istanze integre/Tutte le istanze) *100

Se hai anche distribuito il GuardDuty security agent per i tuoi ECS cluster Amazon, qualsiasi problema di copertura a livello di istanza associato ai ECS cluster Amazon in esecuzione su un'EC2istanza Amazon verrà visualizzato come un problema di copertura del runtime dell'EC2istanza Amazon.

Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.

Console

  • Accedi AWS Management Console e apri la console all'indirizzo. GuardDuty https://console.aws.amazon.com/guardduty/

  • Nel riquadro di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Runtime coverage.

  • Nella scheda Copertura del runtime dell'EC2istanza, puoi visualizzare le statistiche di copertura aggregate in base allo stato di copertura di ogni EC2 istanza Amazon disponibile nella tabella Elenco istanze.

    • Puoi filtrare la tabella dell'elenco delle istanze in base alle seguenti colonne:

      • ID account

      • Tipo di gestione dell'agente

      • Versione dell'agente

      • Stato copertura

      • ID dell'istanza

      • Cluster ARN

  • Se in una delle tue EC2 istanze lo stato di Copertura è impostato su Non integro, la colonna Problema include informazioni aggiuntive sul motivo dello stato Non integro.

API/CLI

  • Eseguila ListCoverageAPIcon l'ID del rilevatore, la regione corrente e l'endpoint del servizio validi. È possibile filtrare e ordinare l'elenco delle istanze utilizzando questo. API

    • Puoi modificare il filter-criteria di esempio con una delle opzioni seguenti per CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando filter-criteria include RESOURCE_TYPE as EC2, Runtime Monitoring non supporta l'uso di ISSUEasAttributeName. Se lo usi, la API risposta risulterà inInvalidInputException.

      Puoi modificare il AttributeName di esempio in sort-criteria con una delle opzioni seguenti:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • È possibile modificare il max-results (fino a 50).

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Esegui GetCoverageStatisticsAPIper recuperare le statistiche aggregate sulla copertura basate su. statisticsType

    • Puoi modificare il statisticsType di esempio con una delle opzioni seguenti:

      • COUNT_BY_COVERAGE_STATUS— Rappresenta le statistiche di copertura per EKS i cluster aggregate per stato di copertura.

      • COUNT_BY_RESOURCE_TYPE— Statistiche di copertura aggregate in base al tipo di AWS risorsa nell'elenco.

      • È possibile modificare il filter-criteria di esempio nel comando. Puoi utilizzare le seguenti opzioni per CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se lo stato di copertura della tua EC2 istanza è Inadeguato, consultaRisoluzione dei problemi EC2 di copertura del runtime di Amazon.

Modifica dello stato della copertura con notifiche EventBridge

Lo stato di copertura della tua EC2 istanza Amazon potrebbe apparire come Non sano. Per sapere quando lo stato della copertura cambia, ti consigliamo di monitorare periodicamente lo stato della copertura e di risolvere i problemi se lo stato diventa Non integro. In alternativa, puoi creare una EventBridge regola Amazon per ricevere una notifica quando lo stato della copertura cambia da Insalutare a Healthy o altro. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus relativo al tuo account.

Schema di esempio delle notifiche

EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.

Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura della tua EC2 istanza Amazon cambia da Healthy aUnhealthy, detail-type dovresti GuardDuty Runtime Protection Unhealthy. Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy aHealthy, sostituisci il valore di detail-type con GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Account AWS ID",
  "time": "event timestamp (string)",
  "region": "Regione AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Risoluzione dei problemi EC2 di copertura del runtime di Amazon

Se lo stato di copertura della tua EC2 istanza Amazon è Inadeguato, puoi visualizzarne il motivo nella colonna Problema.

Se la tua EC2 istanza è associata a un EKS cluster e il security agent per EKS è stato installato manualmente o tramite la configurazione automatica dell'agente, per risolvere il problema di copertura, consulta. Copertura del runtime e risoluzione dei problemi per i EKS cluster Amazon

La tabella seguente elenca i tipi di problemi e i passaggi di risoluzione corrispondenti.

Tipo di problema Messaggio di emissione Fasi per la risoluzione dei problemi

Nessuna segnalazione da parte dell'agente

In attesa di SSM notifica

La ricezione della SSM notifica potrebbe richiedere alcuni minuti.

Assicurati che l'EC2istanza Amazon sia SSM gestita. Per ulteriori informazioni, vedere la procedura riportata in Metodo 1 - Usare AWS Systems Manager inInstallazione manuale del Security Agent.

(Vuoto apposta)

Se gestisci il GuardDuty Security Agent manualmente, assicurati di aver seguito i passaggi seguentiGestione manuale dell'agente di sicurezza per le EC2 risorse Amazon.

Se hai abilitato la configurazione automatica dell'agente:

Verifica che l'VPCendpoint per la tua EC2 istanza Amazon sia configurato correttamente. Per ulteriori informazioni, consulta Convalida VPC della configurazione degli endpoint.

Se la tua organizzazione ha una politica di controllo del servizio (SCP), verifica che il limite delle autorizzazioni non limiti l'autorizzazione. guardduty:SendSecurityTelemetry Per ulteriori informazioni, consulta Convalida della politica di controllo dei servizi dell'organizzazione.

Agente disconnesso

  • Visualizza lo stato del tuo agente di sicurezza. Per ulteriori informazioni, consulta Convalida dello stato di installazione del GuardDuty Security Agent.

  • Visualizza i log del Security Agent per identificare la potenziale causa principale. I log forniscono errori dettagliati che è possibile utilizzare per risolvere autonomamente il problema. I file di registro sono disponibili in. /var/log/amzn-guardduty-agent/

    Faresudo journalctl -u amazon-guardduty-agent.

SSMCreazione dell'associazione non riuscita

GuardDuty SSMl'associazione esiste già nel tuo account

  1. Elimina manualmente l'associazione esistente. Per ulteriori informazioni, vedere Eliminazione delle associazioni nella Guida per l'AWS Systems Manager utente.

  2. Dopo aver eliminato l'associazione, disabilita e riattiva la configurazione GuardDuty automatica dell'agente per AmazonEC2.

Il tuo account ha troppe associazioni SSM

Scegli una delle due opzioni seguenti:

SSMAggiornamento dell'associazione non riuscito

GuardDuty SSMl'associazione non esiste nel tuo account

GuardDuty SSMl'associazione non è presente nel tuo account. Disabilita e riattiva il monitoraggio del runtime.

SSMEliminazione dell'associazione non riuscita

GuardDuty SSMl'associazione non esiste nel tuo account

L'SSMassociazione non è presente nel tuo account. Se l'SSMassociazione è stata eliminata intenzionalmente, non è necessaria alcuna azione.

SSMEsecuzione dell'associazione di istanze non

I requisiti architettonici o altri prerequisiti non sono soddisfatti.

Per informazioni sulle distribuzioni verificate del sistema operativo, vedere. Prerequisiti per il supporto delle EC2 istanze Amazon

Se il problema persiste, i seguenti passaggi ti aiuteranno a identificare e potenzialmente risolvere il problema:

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, in Gestione dei nodi, seleziona State Manager.

  3. Filtra per proprietà Document Name e inserisci AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Seleziona l'ID dell'associazione corrispondente e visualizzane la cronologia di esecuzione.

  5. Utilizzando la cronologia di esecuzione, visualizza gli errori, identifica la potenziale causa principale e prova a risolverla.

VPCCreazione dell'endpoint non riuscita

VPCla creazione di endpoint non è supportata per la condivisione VPC vpcId

Runtime Monitoring supporta l'uso di un file condiviso VPC all'interno di un'organizzazione. Per ulteriori informazioni, consulta Utilizzo condiviso VPC con agenti di sicurezza automatizzati.

Solo quando si utilizza la configurazione condivisa VPC con agente automatizzato

ID dell'account del proprietario 111122223333 per condiviso VPC vpcId non è abilitato né il Runtime Monitoring, né la configurazione automatizzata degli agenti né entrambi

 L'account VPC proprietario condiviso deve abilitare il monitoraggio del runtime e la configurazione automatica degli agenti per almeno un tipo di risorsa (Amazon EKS o Amazon ECS (AWS Fargate)). Per ulteriori informazioni, consulta Prerequisiti specifici per il monitoraggio del GuardDuty runtime.

L'abilitazione privata DNS richiede entrambi enableDnsSupport e enableDnsHostnames VPC gli attributi sono impostati su true for vpcId (Servizio: Ec2, Codice di stato:400, ID richiesta: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Assicuratevi che i seguenti VPC attributi siano impostati su — e. true enableDnsSupport enableDnsHostnames Per ulteriori informazioni, consulta DNSgli attributi nel tuo VPC.

Se utilizzi Amazon VPC Console https://console.aws.amazon.com/vpc/per creare AmazonVPC, assicurati di selezionare sia Abilita DNS nomi host che Abilita DNS risoluzione. Per ulteriori informazioni, consulta le opzioni VPC di configurazione.

Eliminazione VPC dell'endpoint condiviso non riuscita

L'eliminazione condivisa VPC dell'endpoint non è consentita per l'ID dell'account 111122223333, condiviso VPC vpcId, ID dell'account del proprietario 555555555555.
Potenziali passaggi:

  • La disabilitazione dello stato di monitoraggio del runtime dell'account VPC partecipante condiviso non influisce sulla politica condivisa degli VPC endpoint e sul gruppo di sicurezza esistente nell'account del proprietario.

    Per eliminare l'VPCendpoint e il gruppo di sicurezza condivisi, è necessario disabilitare il Runtime Monitoring o lo stato di configurazione automatica dell'agente nell'account proprietario condiviso. VPC

  • L'account VPC partecipante condiviso non può eliminare l'VPCendpoint condiviso e il gruppo di sicurezza ospitati nell'account del proprietario condivisoVPC.

L'agente non effettua la segnalazione

(Vuoto apposta)

Il tipo di problema ha raggiunto la fine del supporto. Se continui a riscontrare questo problema e non lo hai ancora fatto, abilita l'agente GuardDuty automatico per AmazonEC2.

Se il problema persiste, prendi in considerazione la possibilità di disattivare il Runtime Monitoring per alcuni minuti, quindi riattivalo.