Copertura del runtime e risoluzione dei problemi per le EC2 istanze Amazon - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copertura del runtime e risoluzione dei problemi per le EC2 istanze Amazon

Per una EC2 risorsa Amazon, la copertura del runtime viene valutata a livello di istanza. Le tue EC2 istanze Amazon possono eseguire diversi tipi di applicazioni e carichi di lavoro, tra gli altri, nel tuo AWS ambiente. Questa funzionalità supporta anche EC2 le istanze Amazon gestite da Amazon ECS e se hai cluster Amazon ECS in esecuzione su un' EC2 istanza Amazon, i problemi di copertura a livello di istanza verranno visualizzati nella sezione Amazon runtime coverage. EC2

Revisione delle statistiche di copertura

Le statistiche di copertura per le EC2 istanze Amazon associate ai tuoi account o ai tuoi account membro sono la percentuale delle EC2 istanze integre rispetto a tutte le EC2 istanze selezionate. Regione AWS L'equazione seguente rappresenta questa percentuale come:

(Istanze integre/Tutte le istanze) *100

Se hai anche distribuito l'agente di GuardDuty sicurezza per i tuoi cluster Amazon ECS, qualsiasi problema di copertura a livello di istanza associato ai cluster Amazon ECS in esecuzione su un'istanza Amazon verrà visualizzato come un problema di copertura del runtime dell' EC2 istanza Amazon EC2 .

Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.

Console
  • Accedi e apri la console all'indirizzo AWS Management Console . GuardDuty https://console.aws.amazon.com/guardduty/

  • Nel pannello di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Runtime coverage.

  • Nella scheda Copertura del runtime dell'EC2 istanza, puoi visualizzare le statistiche di copertura aggregate in base allo stato di copertura di ogni EC2 istanza Amazon disponibile nella tabella Elenco istanze.

    • Puoi filtrare la tabella dell'elenco delle istanze in base alle seguenti colonne:

      • ID account

      • Tipo di gestione dell'agente

      • Versione dell'agente

      • Stato copertura

      • ID dell'istanza

      • ARN del cluster

  • Se in una delle tue EC2 istanze lo stato di Copertura è impostato su Non integro, la colonna Problema include informazioni aggiuntive sul motivo dello stato Non integro.

API/CLI
  • Esegui l'ListCoverageAPI con il tuo ID rilevatore, la regione corrente e l'endpoint del servizio validi. Puoi filtrare e ordinare l'elenco delle istanze utilizzando questa API.

    • Puoi modificare il filter-criteria di esempio con una delle opzioni seguenti per CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando filter-criteria include RESOURCE_TYPE as EC2, Runtime Monitoring non supporta l'uso di ISSUE comeAttributeName. Se lo usi, la risposta dell'API risulteràInvalidInputException.

      Puoi modificare il AttributeName di esempio in sort-criteria con una delle opzioni seguenti:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • È possibile modificare max-results (fino a 50).

    • Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
  • Esegui l'GetCoverageStatisticsAPI per recuperare le statistiche aggregate sulla copertura basate su. statisticsType

    • Puoi modificare il statisticsType di esempio con una delle opzioni seguenti:

      • COUNT_BY_COVERAGE_STATUS: rappresenta le statistiche di copertura per i cluster EKS aggregate per stato di copertura.

      • COUNT_BY_RESOURCE_TYPE— Statistiche di copertura aggregate in base al tipo di AWS risorsa nell'elenco.

      • È possibile modificare il filter-criteria di esempio nel comando. Puoi utilizzare le seguenti opzioni per CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se lo stato di copertura dell' EC2 istanza è Inadeguato, consultaRisoluzione dei problemi EC2 di copertura del runtime di Amazon.

Modifica dello stato della copertura con notifiche EventBridge

Lo stato di copertura della tua EC2 istanza Amazon potrebbe apparire come Non sano. Per sapere quando lo stato della copertura cambia, ti consigliamo di monitorare periodicamente lo stato della copertura e di risolvere i problemi se lo stato diventa Non integro. In alternativa, puoi creare una EventBridge regola Amazon per ricevere una notifica quando lo stato della copertura cambia da Insalutare a Healthy o altro. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus relativo al tuo account.

Schema di esempio delle notifiche

EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.

Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura della tua EC2 istanza Amazon cambia da Healthy aUnhealthy, detail-type dovresti farloGuardDuty Runtime Protection Unhealthy. Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy aHealthy, sostituisci il valore di detail-type conGuardDuty Runtime Protection Healthy.

{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Account AWS ID", "time": "event timestamp (string)", "region": "Regione AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }

Risoluzione dei problemi EC2 di copertura del runtime di Amazon

Se lo stato di copertura della tua EC2 istanza Amazon è Inadeguato, puoi visualizzarne il motivo nella colonna Problema.

Se la tua EC2 istanza è associata a un cluster EKS e l'agente di sicurezza per EKS è stato installato manualmente o tramite la configurazione automatica dell'agente, per risolvere il problema di copertura, consulta. Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS

La tabella seguente elenca i tipi di problemi e le relative procedure di risoluzione.

Tipo di problema Messaggio di emissione Fasi per la risoluzione dei problemi

Nessuna segnalazione da parte dell'agente

In attesa di una notifica via SMS

La ricezione della notifica SSM potrebbe richiedere alcuni minuti.

Assicurati che l' EC2 istanza Amazon sia gestita tramite SSM. Per ulteriori informazioni, vedere la procedura riportata in Metodo 1 - Usare AWS Systems Manager inInstallazione manuale del security agent.

(Vuoto apposta)

Se gestisci il GuardDuty security agent manualmente, assicurati di aver seguito i passaggi seguentiGestione manuale dell'agente di sicurezza per le EC2 risorse Amazon.

Se hai abilitato la configurazione automatica dell'agente:

Verifica che l'endpoint VPC per la tua istanza EC2 Amazon sia configurato correttamente. Per ulteriori informazioni, consulta Convalida della configurazione degli endpoint VPC.

Se la tua organizzazione ha una policy di controllo dei servizi (SCP), verifica che il limite delle autorizzazioni non limiti l'autorizzazione. guardduty:SendSecurityTelemetry Per ulteriori informazioni, consulta Convalida della politica di controllo dei servizi della tua organizzazione.

Agente disconnesso

  • Visualizza lo stato del tuo agente di sicurezza. Per ulteriori informazioni, consulta Convalida dello stato di installazione del GuardDuty Security Agent.

  • Visualizza i log del Security Agent per identificare la potenziale causa principale. I log forniscono errori dettagliati che è possibile utilizzare per risolvere autonomamente il problema. I file di registro sono disponibili in. /var/log/amzn-guardduty-agent/

    Faresudo journalctl -u amazon-guardduty-agent.

Creazione dell'associazione SSM non riuscita

GuardDuty L'associazione SSM esiste già nel tuo account

  1. Elimina manualmente l'associazione esistente. Per ulteriori informazioni, vedere Eliminazione delle associazioni nella Guida per l'AWS Systems Manager utente.

  2. Dopo aver eliminato l'associazione, disabilita e riattiva la configurazione GuardDuty automatica dell'agente per Amazon EC2.

Il tuo account ha troppe associazioni SSM

Scegli una delle due opzioni seguenti:

  • Eliminare tutte le associazioni SSM non utilizzate. Per ulteriori informazioni, consulta Eliminazione delle associazioni nella Guida per l'AWS Systems Manager utente.

  • Verifica se il tuo account è idoneo per un aumento della quota. Per ulteriori informazioni, vedere le quote del servizio Systems Manager nel Riferimenti generali di AWS.

Aggiornamento dell'associazione SSM non riuscito

GuardDuty L'associazione SSM non esiste nel tuo account

GuardDuty L'associazione SSM non è presente nel tuo account. Disabilita e riattiva il monitoraggio del runtime.

Eliminazione dell'associazione SSM non riuscita

GuardDuty L'associazione SSM non esiste nel tuo account

L'associazione SSM non è presente nel tuo account. Se l'associazione SSM è stata eliminata intenzionalmente, non è necessaria alcuna azione.

Esecuzione dell'associazione di istanze SSM non riuscita

I requisiti architettonici o altri prerequisiti non sono soddisfatti.

Per informazioni sulle distribuzioni verificate del sistema operativo, vedere. Prerequisiti per il supporto delle EC2 istanze Amazon

Se il problema persiste, i seguenti passaggi ti aiuteranno a identificare e potenzialmente risolvere il problema:

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, in Gestione dei nodi, seleziona State Manager.

  3. Filtra per proprietà Document Name e inserisci AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Seleziona l'ID dell'associazione corrispondente e visualizzane la cronologia di esecuzione.

  5. Utilizzando la cronologia di esecuzione, visualizza gli errori, identifica la potenziale causa principale e prova a risolverla.

Creazione degli endpoint VPC non riuscita

La creazione di endpoint VPC non è supportata per VPC condiviso vpcId

Il Runtime Monitoring supporta l'uso di un VPC condiviso all'interno di un'organizzazione. Per ulteriori informazioni, consulta Utilizzo di VPC condiviso con agenti di sicurezza automatizzati.

Solo quando si utilizza un VPC condiviso con configurazione automatizzata degli agenti

L'ID dell'account proprietario 111122223333 per il VPC condiviso vpcId non ha né il monitoraggio del runtime né la configurazione automatica degli agenti abilitati o entrambi

L'account proprietario del VPC condiviso deve abilitare il monitoraggio del runtime e la configurazione automatica degli agenti per almeno un tipo di risorsa (Amazon EKS o Amazon ECS ())AWS Fargate. Per ulteriori informazioni, consulta Prerequisiti specifici per il monitoraggio del runtime GuardDuty .

L'abilitazione del DNS privato richiede entrambi enableDnsSupport gli attributi enableDnsHostnames VPC impostati true su vpcId for (Service: Ec2, Status Code:400, Request ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assicurati che i seguenti attributi VPC siano impostati su trueenableDnsSupport e enableDnsHostnames. Per ulteriori informazioni, consulta Attributi DNS nel VPC.

Se utilizzi la console Amazon VPC su https://console.aws.amazon.com/vpc/per creare Amazon VPC, assicurati di selezionare sia Abilita nomi host DNS che Abilita risoluzione DNS. Per ulteriori informazioni, consulta Opzioni di configurazione del VPC.

Eliminazione degli endpoint VPC condivisi non riuscita

L'eliminazione dell'endpoint VPC condiviso non è consentita per ID account, VPC 111122223333 vpcId condiviso, ID account proprietario. 555555555555

Potenziali passaggi:
  • La disabilitazione dello stato di monitoraggio del runtime dell'account partecipante VPC condiviso non influisce sulla policy degli endpoint VPC condivisi e sul gruppo di sicurezza esistente nell'account del proprietario.

    Per eliminare l'endpoint VPC condiviso e il gruppo di sicurezza, devi disabilitare il monitoraggio del runtime o lo stato di configurazione automatica dell'agente nell'account proprietario del VPC condiviso.

  • L'account partecipante VPC condiviso non può eliminare l'endpoint VPC condiviso e il gruppo di sicurezza ospitati nell'account proprietario del VPC condiviso.

L'agente non effettua la segnalazione

(Vuoto apposta)

Il tipo di problema ha raggiunto la fine del supporto. Se continui a riscontrare questo problema e non lo hai ancora fatto, abilita l'agente GuardDuty automatico per Amazon EC2.

Se il problema persiste, prendi in considerazione la possibilità di disattivare il Runtime Monitoring per alcuni minuti, quindi riattivalo.