Come funziona il monitoraggio del runtime con le EC2 istanze Amazon - Amazon GuardDuty
Utilizza la configurazione automatica degli agenti (scelta consigliata)Gestisci l'agente di sicurezza manualmenteApprofondimenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona il monitoraggio del runtime con le EC2 istanze Amazon

Le tue EC2 istanze Amazon possono eseguire diversi tipi di applicazioni e carichi di lavoro nel tuo AWS ambiente. Quando abiliti il Runtime Monitoring e gestisci il GuardDuty security agent, ti GuardDuty aiuta a rilevare le minacce nelle EC2 istanze Amazon esistenti e in quelle potenzialmente nuove. Questa funzionalità supporta anche le EC2 istanze Amazon ECS gestite da Amazon.

L'abilitazione del Runtime GuardDuty Monitoring consente di utilizzare gli eventi di runtime provenienti dai processi attualmente in esecuzione e dai nuovi processi all'interno EC2 delle istanze Amazon. GuardDuty richiede un agente di sicurezza per inviare gli eventi di runtime dall'EC2istanza a GuardDuty.

Per EC2 le istanze Amazon, il GuardDuty security agent opera a livello di istanza. Puoi decidere se monitorare tutte le istanze Amazon o solo alcune EC2 istanze Amazon nel tuo account. Se desideri gestire istanze selettive, il security agent è necessario solo per queste istanze.

GuardDuty può anche utilizzare eventi di runtime da nuove attività e attività esistenti eseguite in EC2 istanze Amazon all'interno di ECS cluster Amazon.

Per installare l'agente GuardDuty di sicurezza, Runtime Monitoring offre le seguenti due opzioni:

Utilizza la configurazione automatica degli agenti tramite GuardDuty (consigliato)

Utilizza la configurazione automatizzata dell'agente che consente GuardDuty di installare il security agent sulle tue EC2 istanze Amazon per tuo conto. GuardDuty gestisce anche gli aggiornamenti del security agent.

Per impostazione predefinita, GuardDuty installa il security agent su tutte le istanze dell'account. Se desideri GuardDuty installare e gestire il Security Agent solo per alcune EC2 istanze, aggiungi tag di inclusione o esclusione alle EC2 istanze, se necessario.

A volte, potresti non voler monitorare gli eventi di runtime per tutte le EC2 istanze Amazon che appartengono al tuo account. Nei casi in cui desideri monitorare gli eventi di runtime per un numero limitato di istanze, aggiungi un tag di inclusione comeGuardDutyManaged: true a queste istanze selezionate. A partire dalla disponibilità della configurazione automatica dell'agente per AmazonEC2, se la tua EC2 istanza ha un tag di inclusione (GuardDutyManaged:true), GuardDuty rispetterà il tag e gestirà il security agent per le istanze selezionate anche quando non abiliti esplicitamente la configurazione automatica dell'agente.

D'altra parte, se esiste un numero limitato di EC2 istanze per le quali non desideri monitorare gli eventi di runtime, aggiungi un tag di esclusione (GuardDutyManaged:false) a queste istanze selezionate. GuardDuty rispetterà il tag di esclusione non installando gestendo il security agent per queste risorse. EC2

Impatto

Quando utilizzi la configurazione automatica degli agenti in un'organizzazione Account AWS o in un'organizzazione, autorizzi GuardDuty a eseguire le seguenti operazioni per tuo conto:

  • GuardDuty crea un'SSMassociazione per tutte le EC2 istanze Amazon SSM gestite e visualizzate in Fleet Manager nella https://console.aws.amazon.com/systems-manager/console.

  • Utilizzo dei tag di inclusione con la configurazione automatica dell'agente disabilitata: dopo aver abilitato il Runtime Monitoring, quando non abiliti la configurazione automatica dell'agente ma aggiungi il tag di inclusione alla tua EC2 istanza Amazon, significa che stai autorizzando GuardDuty la gestione del security agent per tuo conto. SSMassociation installerà quindi il security agent in ogni istanza che ha il tag di inclusione (GuardDutyManaged:true).

  • Se abiliti la configurazione automatica dell'agente, l'SSMassociazione installerà quindi il security agent in tutte le EC2 istanze che appartengono al tuo account.

  • Utilizzo dei tag di esclusione con la configurazione automatica dell'agente: prima di abilitare la configurazione automatica dell'agente, quando aggiungi il tag di esclusione alla tua EC2 istanza Amazon, significa che stai autorizzando GuardDuty a impedire l'installazione e la gestione del security agent per l'istanza selezionata.

    Ora, quando abiliti la configurazione automatica dell'agente, l'SSMassociazione installerà e gestirà il security agent in tutte le EC2 istanze ad eccezione di quelle contrassegnate con il tag di esclusione.

  • GuardDuty crea VPC endpoint in tutte le istanzeVPCs, comprese quelle condiviseVPCs, purché vi sia almeno un'EC2istanza Linux VPC che non si trova nello stato di terminazione o di chiusura dell'istanza. Ciò include la versione centralizzata e quella parlata. VPC VPCs GuardDuty non supporta la creazione di un VPC endpoint solo per utenti centralizzati. VPC Per ulteriori informazioni sul VPC funzionamento della soluzione centralizzata, consulta Interface VPC endpoints nel AWS Whitepaper - Building a Scalable and Secure Multi-Network Infrastructure. VPC AWS

    Per informazioni sui diversi stati delle istanze, consulta il ciclo di vita dell'istanza nella Amazon EC2 User Guide.

    GuardDuty supporta anche. Utilizzo condiviso VPC con agenti di sicurezza automatizzati Quando tutti i prerequisiti sono stati presi in considerazione per l'organizzazione Account AWS, GuardDuty utilizzerà gli elementi condivisi VPC per ricevere eventi di runtime.

    Nota

    Non sono previsti costi aggiuntivi per l'utilizzo dell'VPCendpoint.

  • Oltre all'VPCendpoint, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'VPCCIDRintervallo della risorsa e si adatta anche quando l'intervallo cambia. CIDR Per ulteriori informazioni, consulta la sezione VPCCIDRrange nella Amazon VPC User Guide.

Gestisci l'agente di sicurezza manualmente

Esistono due modi per gestire EC2 manualmente il Security Agent per Amazon:

  • Utilizza i documenti GuardDuty gestiti AWS Systems Manager per installare il security agent sulle tue EC2 istanze Amazon già SSM gestite.

    Ogni volta che avvii una nuova EC2 istanza Amazon, assicurati che sia SSM abilitata.

  • Usa gli script RPM package manager (RPM) per installare il security agent sulle tue EC2 istanze Amazon, indipendentemente dal fatto che siano gestite SSM o meno.

Approfondimenti

Per iniziare a utilizzare la configurazione di Runtime Monitoring per monitorare le tue EC2 istanze Amazon, consultaPrerequisiti per il supporto delle EC2 istanze Amazon.