Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Copertura del runtime e risoluzione dei problemi per le EC2 istanze Amazon
Per una EC2 risorsa Amazon, la copertura del runtime viene valutata a livello di istanza. Le tue EC2 istanze Amazon possono eseguire diversi tipi di applicazioni e carichi di lavoro, tra gli altri, nel tuo AWS ambiente. Questa funzionalità supporta anche EC2 le istanze Amazon gestite da Amazon ECS e se hai cluster Amazon ECS in esecuzione su un' EC2 istanza Amazon, i problemi di copertura a livello di istanza verranno visualizzati nella sezione Amazon runtime coverage. EC2
Argomenti
Revisione delle statistiche di copertura
Le statistiche di copertura per le EC2 istanze Amazon associate ai tuoi account o ai tuoi account membro sono la percentuale delle EC2 istanze integre rispetto a tutte le EC2 istanze selezionate. Regione AWS L'equazione seguente rappresenta questa percentuale come:
(Istanze integre/Tutte le istanze) *100
Se hai anche distribuito l'agente di GuardDuty sicurezza per i tuoi cluster Amazon ECS, qualsiasi problema di copertura a livello di istanza associato ai cluster Amazon ECS in esecuzione su un'istanza Amazon verrà visualizzato come un problema di copertura del runtime dell' EC2 istanza Amazon EC2 .
Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.
Se lo stato di copertura dell' EC2 istanza è Inadeguato, consultaRisoluzione dei problemi EC2 di copertura del runtime di Amazon.
Modifica dello stato della copertura con notifiche EventBridge
Lo stato di copertura della tua EC2 istanza Amazon potrebbe apparire come Non sano. Per sapere quando lo stato della copertura cambia, ti consigliamo di monitorare periodicamente lo stato della copertura e di risolvere i problemi se lo stato diventa Non integro. In alternativa, puoi creare una EventBridge regola Amazon per ricevere una notifica quando lo stato della copertura cambia da Insalutare a Healthy o altro. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus relativo al tuo account.
Schema di esempio delle notifiche
EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.
Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura della tua EC2 istanza Amazon cambia da Healthy
aUnhealthy
, detail-type
dovresti farloGuardDuty Runtime
Protection Unhealthy
. Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy
aHealthy
, sostituisci il valore di detail-type
conGuardDuty Runtime Protection Healthy
.
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Account AWS ID", "time": "event timestamp (string)", "region": "Regione AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
Risoluzione dei problemi EC2 di copertura del runtime di Amazon
Se lo stato di copertura della tua EC2 istanza Amazon è Inadeguato, puoi visualizzarne il motivo nella colonna Problema.
Se la tua EC2 istanza è associata a un cluster EKS e l'agente di sicurezza per EKS è stato installato manualmente o tramite la configurazione automatica dell'agente, per risolvere il problema di copertura, consulta. Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS
La tabella seguente elenca i tipi di problemi e le relative procedure di risoluzione.
Tipo di problema | Messaggio di emissione | Fasi per la risoluzione dei problemi |
---|---|---|
Nessuna segnalazione da parte dell'agente |
In attesa di una notifica via SMS |
La ricezione della notifica SSM potrebbe richiedere alcuni minuti. Assicurati che l' EC2 istanza Amazon sia gestita tramite SSM. Per ulteriori informazioni, vedere la procedura riportata in Metodo 1 - Usare AWS Systems Manager inInstallazione manuale del security agent. |
(Vuoto apposta) |
Se gestisci il GuardDuty security agent manualmente, assicurati di aver seguito i passaggi seguentiGestione manuale dell'agente di sicurezza per le EC2 risorse Amazon. |
|
Se hai abilitato la configurazione automatica dell'agente:
|
||
Verifica che l'endpoint VPC per la tua istanza EC2 Amazon sia configurato correttamente. Per ulteriori informazioni, consulta Convalida della configurazione degli endpoint VPC. |
||
Se la tua organizzazione ha una policy di controllo dei servizi (SCP), verifica che il limite delle autorizzazioni non limiti l'autorizzazione. |
||
Agente disconnesso |
|
|
Creazione dell'associazione SSM non riuscita |
GuardDuty L'associazione SSM esiste già nel tuo account |
|
Il tuo account ha troppe associazioni SSM |
Scegli una delle due opzioni seguenti:
|
|
Aggiornamento dell'associazione SSM non riuscito |
GuardDuty L'associazione SSM non esiste nel tuo account |
GuardDuty L'associazione SSM non è presente nel tuo account. Disabilita e riattiva il monitoraggio del runtime. |
Eliminazione dell'associazione SSM non riuscita |
GuardDuty L'associazione SSM non esiste nel tuo account |
L'associazione SSM non è presente nel tuo account. Se l'associazione SSM è stata eliminata intenzionalmente, non è necessaria alcuna azione. |
Esecuzione dell'associazione di istanze SSM non riuscita |
I requisiti architettonici o altri prerequisiti non sono soddisfatti. |
Per informazioni sulle distribuzioni verificate del sistema operativo, vedere. Prerequisiti per il supporto delle EC2 istanze Amazon Se il problema persiste, i seguenti passaggi ti aiuteranno a identificare e potenzialmente risolvere il problema:
|
Creazione degli endpoint VPC non riuscita |
La creazione di endpoint VPC non è supportata per VPC condiviso |
Il Runtime Monitoring supporta l'uso di un VPC condiviso all'interno di un'organizzazione. Per ulteriori informazioni, consulta Utilizzo di VPC condiviso con agenti di sicurezza automatizzati. |
Solo quando si utilizza un VPC condiviso con configurazione automatizzata degli agenti L'ID dell'account proprietario |
L'account proprietario del VPC condiviso deve abilitare il monitoraggio del runtime e la configurazione automatica degli agenti per almeno un tipo di risorsa (Amazon EKS o Amazon ECS ())AWS Fargate. Per ulteriori informazioni, consulta Prerequisiti specifici per il monitoraggio del runtime GuardDuty . | |
L'abilitazione del DNS privato richiede entrambi |
Assicurati che i seguenti attributi VPC siano impostati su Se utilizzi la console Amazon VPC su https://console.aws.amazon.com/vpc/ |
|
Eliminazione degli endpoint VPC condivisi non riuscita |
L'eliminazione dell'endpoint VPC condiviso non è consentita per ID account, VPC |
Potenziali passaggi:
|
L'agente non effettua la segnalazione |
(Vuoto apposta) |
Il tipo di problema ha raggiunto la fine del supporto. Se continui a riscontrare questo problema e non lo hai ancora fatto, abilita l'agente GuardDuty automatico per Amazon EC2. Se il problema persiste, prendi in considerazione la possibilità di disattivare il Runtime Monitoring per alcuni minuti, quindi riattivalo. |