Runtime Monitoring が Amazon EC2インスタンスと連携する方法 - Amazon GuardDuty
自動エージェント設定を使用する (推奨)セキュリティエージェントの手動管理次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring が Amazon EC2インスタンスと連携する方法

Amazon EC2インスタンスは、環境で AWS 複数のタイプのアプリケーションとワークロードを実行できます。Runtime Monitoring を有効にして GuardDuty セキュリティエージェントを管理すると、既存の Amazon GuardDuty EC2インスタンスや新しいインスタンスの脅威を検出できます。この機能は Amazon ECSマネージド Amazon EC2インスタンスもサポートしています。

Runtime Monitoring を有効にすると、 は現在実行中のプロセスと Amazon EC2インスタンス内の新しいプロセスからのランタイムイベントを使用する GuardDuty 準備が整います。 はEC2、インスタンスからランタイムイベントを送信するためにセキュリティエージェント GuardDuty を必要とします GuardDuty。

Amazon EC2インスタンスの場合、 GuardDuty セキュリティエージェントはインスタンスレベルで動作します。アカウント内のすべての Amazon インスタンスまたは選択的な Amazon EC2インスタンスをモニタリングするかどうかを決定できます。選択的なインスタンスを管理する場合は、これらのインスタンスにのみセキュリティエージェントが必要です。

GuardDuty は、Amazon ECSクラスター内の Amazon EC2インスタンスで実行されている新しいタスクや既存のタスクからのランタイムイベントを使用することもできます。

GuardDuty セキュリティエージェントをインストールするには、Runtime Monitoring に次の 2 つのオプションがあります。

を使用して自動エージェント設定を使用する GuardDuty (推奨)

ユーザーに代わって が Amazon EC2インスタンス GuardDuty にセキュリティエージェントをインストールすることを許可する自動エージェント設定を使用します。 GuardDuty また、 はセキュリティエージェントの更新を管理します。

デフォルトでは、 はアカウント内のすべてのインスタンスにセキュリティエージェント GuardDuty をインストールします。選択したEC2インスタンスに対してのみセキュリティエージェント GuardDuty をインストールおよび管理する場合は、必要に応じてEC2インスタンスに包含タグまたは除外タグを追加します。

アカウントに属するすべての Amazon EC2インスタンスのランタイムイベントをモニタリングしたくない場合があります。限られた数のインスタンスのランタイムイベントをモニタリングする場合は、選択したインスタンスに包含タグを GuardDutyManaged:true として追加します。Amazon の自動エージェント設定の可用性以降EC2、EC2インスタンスに包含タグ (GuardDutyManagedtrue) がある場合、自動エージェント設定を明示的に有効にしない場合でも、 はタグ GuardDuty を尊重し、選択したインスタンスのセキュリティエージェントを管理します。

一方、ランタイムイベントをモニタリングしないEC2インスタンスが限られている場合は、選択したインスタンスに除外タグ (GuardDutyManagedfalse) を追加します。 GuardDuty は、これらのEC2リソースのセキュリティエージェントをインストール管理もしないことで、除外タグを尊重します。

Impact

AWS アカウント または組織で自動エージェント設定を使用する場合、 GuardDuty がユーザーに代わって次の手順を実行することを許可します。

  • GuardDuty は、SSM管理され、https://console.aws.amazon.com/systems-manager/コンソールの Fleet Manager の下に表示されるすべての Amazon EC2インスタンスに対して 1 つのSSM関連付けを作成します。

  • 自動エージェント設定を無効にして包含タグを使用する – Runtime Monitoring を有効にした後、自動エージェント設定を有効にせずに Amazon EC2インスタンスに包含タグを追加すると、 がユーザーに代わってセキュリティエージェント GuardDuty を管理できるようになります。 SSM関連付けは、包含タグ (GuardDutyManagedtrue) を持つ各インスタンスにセキュリティエージェントをインストールします。

  • 自動エージェント設定を有効にすると、SSM関連付けによって、アカウントに属するすべてのEC2インスタンスにセキュリティエージェントがインストールされます。

  • 自動エージェント設定で除外タグを使用する – 自動エージェント設定を有効にする前に、Amazon EC2インスタンスに除外タグを追加すると、選択したインスタンスのセキュリティエージェントのインストールと管理を禁止することを GuardDuty に許可していることになります。

    これで、自動エージェント設定を有効にすると、SSM関連付けは、除外タグが付けられたインスタンスを除くすべてのEC2インスタンスにセキュリティエージェントをインストールおよび管理します。

  • GuardDuty はVPCs、終了またはシャットダウンVPCされたEC2インスタンス状態にない に少なくとも 1 つの Linux インスタンスがある限りVPCs、共有 を含むすべての にVPCエンドポイントを作成します。これには、一元化された VPCとスポークの が含まれますVPCs。 GuardDuty は、一元化された のVPCエンドポイントの作成のみをサポートしていませんVPC。一元化された のVPC仕組みの詳細については、ホワイトペーパーの「インターフェイスVPCエンドポイント - スケーラブルで安全なマルチネットワークインフラストラクチャの構築」を参照してください。 AWS VPC AWS

    さまざまなインスタンス状態の詳細については、「Amazon EC2ユーザーガイド」の「インスタンスのライフサイクル」を参照してください。

    GuardDuty は もサポートしています自動セキュリティエージェントVPCと共有 の使用。組織ですべての前提条件が考慮されると AWS アカウント、 GuardDuty は共有 を使用してランタイムイベントVPCを受信します。

    注記

    VPC エンドポイントの使用に追加料金はかかりません。

  • VPC エンドポイントとともに、 は新しいセキュリティグループ GuardDuty も作成します。インバウンド (イングレス) ルールは、セキュリティグループに関連付けられているリソースに到達できるトラフィックを制御します。 は、リソースVPCCIDRの範囲に一致するインバウンドルール GuardDuty を追加し、CIDR範囲が変更されたときにそれにも適応します。詳細については、「Amazon VPCユーザーガイド」のVPCCIDR「範囲」を参照してください。

セキュリティエージェントの手動管理

Amazon のセキュリティエージェントEC2を手動で管理するには、次の 2 つの方法があります。

  • で GuardDuty マネージドドキュメントを使用して AWS Systems Manager 、既にSSM管理されている Amazon EC2インスタンスにセキュリティエージェントをインストールします。

    新しい Amazon EC2インスタンスを起動するたびに、そのインスタンスSSMが有効になっていることを確認します。

  • RPM パッケージマネージャー (RPM) スクリプトを使用して、SSM管理されているかどうかにかかわらず、Amazon EC2インスタンスにセキュリティエージェントをインストールします。

次のステップ

Amazon EC2インスタンスをモニタリングするための Runtime Monitoring 設定を開始するには、「」を参照してくださいAmazon EC2インスタンスのサポートの前提条件