Cobertura de tempo de execução e solução de problemas para a EC2 instância Amazon - Amazon GuardDuty
Análise de estatísticas de coberturaAlteração do status da cobertura com EventBridge notificaçõesSolução de problemas de cobertura EC2 de tempo de execução da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cobertura de tempo de execução e solução de problemas para a EC2 instância Amazon

Para um EC2 recurso da Amazon, a cobertura do tempo de execução é avaliada no nível da instância. Suas EC2 instâncias da Amazon podem executar vários tipos de aplicativos e cargas de trabalho, entre outros, em seu AWS ambiente. Esse recurso também oferece suporte a EC2 instâncias da Amazon ECS gerenciadas pela Amazon e, se você tiver ECS clusters da Amazon em execução em uma EC2 instância da Amazon, os problemas de cobertura no nível da instância aparecerão na cobertura de EC2 tempo de execução da Amazon.

Análise de estatísticas de cobertura

As estatísticas de cobertura das EC2 instâncias da Amazon associadas às suas próprias contas ou às suas contas membros são a porcentagem das EC2 instâncias saudáveis em todas as EC2 instâncias selecionadas Região da AWS. A seguinte equação representa isso como:

(Instâncias íntegras/Todas as instâncias)*100

Se você também implantou o agente de GuardDuty segurança para seus ECS clusters da Amazon, qualquer problema de cobertura no nível da instância associado aos ECS clusters da Amazon em execução em uma EC2 instância da Amazon aparecerá como um problema de cobertura de tempo de execução da EC2 instância da Amazon.

Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.

Console

  • Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  • No painel de navegação, escolha Monitoramento de runtime.

  • Escolha a guia Cobertura de runtime.

  • Na guia Cobertura de tempo de execução da EC2 instância, você pode ver as estatísticas de cobertura agregadas pelo status de cobertura de cada EC2 instância da Amazon que está disponível na tabela da lista de instâncias.

    • Você pode filtrar a tabela Lista de instância pelas seguintes colunas:

      • ID da conta

      • Tipo de gerenciamento de agentes

      • Versão do agente

      • Status da cobertura

      • ID da instância

      • Cluster ARN

  • Se alguma de suas EC2 instâncias tiver o status de Cobertura como Insalubre, a coluna Problema incluirá informações adicionais sobre o motivo do status Insalubre.

API/CLI

  • Execute o ListCoverageAPIcom seu próprio ID de detector válido, região atual e ponto final de serviço. Você pode filtrar e classificar a lista de instâncias usando issoAPI.

    • Você pode alterar o filter-criteria de exemplo com uma das seguintes opções para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando o filter-criteria inclui RESOURCE_TYPE como EC2, o Runtime Monitoring não suporta o uso de ISSUEcomo AttributeName o. Se você usá-lo, a API resposta resultará emInvalidInputException.

      Você pode alterar o AttributeName de exemplo em sort-criteria com uma das seguintes opções:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Você pode alterar o max-results (até 50).

    • Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Execute o GetCoverageStatisticsAPIpara recuperar as estatísticas agregadas de cobertura com base no. statisticsType

    • Você pode alterar o statisticsType de exemplo com uma das seguintes opções:

      • COUNT_BY_COVERAGE_STATUS— Representa estatísticas de cobertura para EKS clusters agregadas por status de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estatísticas de cobertura agregadas com base no tipo de AWS recurso na lista.

      • Você pode alterar o filter-criteria de exemplo no comando. É possível usar as seguintes opções para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se o status da cobertura da sua EC2 instância for Insalubre, consulteSolução de problemas de cobertura EC2 de tempo de execução da Amazon.

Alteração do status da cobertura com EventBridge notificações

O status da cobertura da sua EC2 instância Amazon pode aparecer como Insalubre. Para saber quando o status de cobertura é alterado, recomendamos monitorar o status de cobertura periodicamente e solucionar o problema, se o status se tornar Não íntegro. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou não. Por padrão, GuardDuty publica isso no EventBridge barramento da sua conta.

Exemplo de esquema de notificação

Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.

Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura da sua EC2 instância Amazon mudar de Healthy paraUnhealthy, detail-type deveria serGuardDuty Runtime Protection Unhealthy. Para ser notificado quando o status da cobertura mudar de Unhealthy paraHealthy, substitua o valor de detail-type porGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Conta da AWS ID",
  "time": "event timestamp (string)",
  "region": "Região da AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Solução de problemas de cobertura EC2 de tempo de execução da Amazon

Se o status da cobertura da sua EC2 instância da Amazon for Insalubre, você poderá ver o motivo na coluna Problema.

Se sua EC2 instância estiver associada a um EKS cluster e o agente de segurança tiver EKS sido instalado manualmente ou por meio da configuração automática do agente, para solucionar o problema de cobertura, consulteCobertura de tempo de execução e solução de problemas para EKS clusters da Amazon.

A tabela a seguir lista os tipos de problema e as etapas de solução dos respectivos problemas.

Tipo de problema Emitir mensagem Etapas de solução de problemas

Atendente não sendo relatado

Aguardando SSM notificação

O recebimento da SSM notificação pode levar alguns minutos.

Certifique-se de que a EC2 instância da Amazon seja SSM gerenciada. Para obter mais informações, consulte as etapas em Método 1 - Usando o AWS Systems Manager emInstalando o agente de segurança manualmente.

(Intencionalmente vazio)

Se você estiver gerenciando o agente de GuardDuty segurança manualmente, certifique-se de seguir as etapas abaixoGerenciando o agente de segurança manualmente para EC2 recursos da Amazon.

Caso tenha ativado a configuração automatizada do agente:

Valide se o VPC endpoint da sua EC2 instância Amazon está configurado corretamente. Para obter mais informações, consulte Validando a configuração do VPC endpoint.

Se sua organização tiver uma política de controle de serviços (SCP), confirme se o limite de permissões não está restringindo a permissão. guardduty:SendSecurityTelemetry Para obter mais informações, consulte Validando sua política de controle de serviço da organização.

Atendente desconectado

  • Visualize o status do agente de segurança. Para obter mais informações, consulte Validando o status GuardDuty de instalação do agente de segurança.

  • Visualize os logs do agente de segurança para identificar a possível causa raiz. Os logs fornecem os detalhes dos erros que podem ser usados para solucionar o problema autonomamente. Esses arquivos de log estão disponíveis em /var/log/amzn-guardduty-agent/.

    Faça sudo journalctl -u amazon-guardduty-agent.

SSMFalha na criação da associação

GuardDuty SSMa associação já existe na sua conta

  1. Excluir a associação atual manualmente. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  2. Depois de excluir a associação, desative e reative a configuração GuardDuty automática do agente para a AmazonEC2.

Sua conta tem muitas SSM associações

Escolha uma das seguintes duas opções:

  • Exclua todas as SSM associações não utilizadas. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  • Verifique se sua conta se qualifica para um aumento de cota. Para obter informações, consulte as cotas do Systems Manager no Referência geral da AWS.

SSMFalha na atualização da associação

GuardDuty SSMa associação não existe na sua conta

GuardDuty SSMa associação não está presente em sua conta. Desabilite e, em seguida, reabilite o Monitoramento de runtime.

SSMFalha na exclusão da associação

GuardDuty SSMa associação não existe na sua conta

A SSM associação não está presente na sua conta. Se a SSM associação foi excluída intencionalmente, nenhuma ação será necessária.

SSMFalha na execução da associação de instâncias

Os requisitos arquitetônicos ou outros pré-requisitos não foram atendidos.

Para obter informações sobre distribuições verificadas do sistema operacional, consulte Pré-requisitos para suporte a instâncias da Amazon EC2.

Caso esse problema persista, as etapas a seguir ajudarão a identificar e possivelmente resolver o problema:

  1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, em Gerenciamento de nó, selecione State Manager.

  3. Filtrar pela propriedade Nome do documento e inserir AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Selecione o ID da associação correspondente e visualize seu Histórico de execução.

  5. Usando o histórico de execução, visualize as falhas, identifique a possível causa raiz e tente resolvê-la.

VPCFalha na criação do endpoint

VPCcriação de endpoint não suportada para compartilhamento VPC vpcId

O Runtime Monitoring suporta o uso de um compartilhamento VPC dentro de uma organização. Para obter mais informações, consulte Uso compartilhado VPC com agentes de segurança automatizados.

Somente ao usar a configuração compartilhada VPC com agente automatizado

O ID da conta do 111122223333 proprietário compartilhado VPC vpcId não tem o Runtime Monitoring, a configuração automatizada do agente ou ambos ativados

 A conta compartilhada do VPC proprietário deve habilitar o Runtime Monitoring e a configuração automática do agente para pelo menos um tipo de recurso (Amazon EKS ou Amazon ECS (AWS Fargate)). Para obter mais informações, consulte Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty .

Habilitar o privado DNS requer ambos enableDnsSupport e enableDnsHostnames VPC os atributos definidos como true for vpcId (Serviço: Ec2, Código de status: 400, ID da solicitação:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Certifique-se de que os VPC atributos a seguir estejam definidos como trueenableDnsSupport enableDnsHostnames e. Para obter mais informações, consulte DNSatributos em seu VPC.

Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/para criar o AmazonVPC, certifique-se de selecionar Habilitar DNS nomes de host e Ativar DNS resolução. Para obter mais informações, consulte VPCas opções de configuração.

Falha na exclusão VPC do endpoint compartilhado

A exclusão compartilhada VPC do endpoint não é permitida para ID da conta111122223333, ID da conta compartilhada VPC vpcId e ID da conta do proprietário. 555555555555
Etapas possíveis:

  • Desabilitar o status do Runtime Monitoring da conta compartilhada do VPC participante não afeta a política de VPC endpoint compartilhado e o grupo de segurança que existe na conta do proprietário.

    Para excluir o VPC endpoint compartilhado e o grupo de segurança, você deve desativar o Runtime Monitoring ou o status de configuração automatizada do agente na conta do VPC proprietário compartilhada.

  • A conta compartilhada do VPC participante não pode excluir o VPC endpoint compartilhado e o grupo de segurança hospedados na conta compartilhada do VPC proprietário.

Agente não sendo relatado

(Intencionalmente vazio)

Não há mais suporte para o tipo de problema. Se você continuar enfrentando esse problema e ainda não o fez, habilite o agente GuardDuty automatizado para a AmazonEC2.

Se o problema ainda persistir, considere desabilitar o Monitoramento de runtime por alguns minutos e depois habilitá-lo novamente.