Como o Runtime Monitoring funciona com EC2 instâncias da Amazon - Amazon GuardDuty
Usar a configuração de agente automatizado (recomendado)Gerenciar o agente de segurança manualmentePróxima etapa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Runtime Monitoring funciona com EC2 instâncias da Amazon

Suas EC2 instâncias da Amazon podem executar vários tipos de aplicativos e cargas de trabalho em seu AWS ambiente. Quando você ativa o Runtime Monitoring e gerencia o agente de GuardDuty segurança, GuardDuty ajuda a detectar ameaças em suas EC2 instâncias existentes da Amazon e em instâncias potencialmente novas. Esse recurso também oferece suporte às EC2 instâncias da Amazon gerenciadas pelo Amazon ECS.

A ativação do monitoramento de tempo de execução GuardDuty prepara o consumo de eventos de tempo de execução dos processos atualmente em execução e de novos processos nas EC2 instâncias da Amazon. GuardDuty exige que um agente de segurança envie eventos de tempo de execução da sua EC2 instância para GuardDuty o.

Para EC2 instâncias da Amazon, o agente de GuardDuty segurança opera no nível da instância. Você pode decidir se deseja monitorar todas ou algumas EC2 instâncias da Amazon em sua conta. Se quiser gerenciar as instâncias seletivas, o agente de segurança será solicitado somente para essas instâncias.

GuardDuty também pode consumir eventos de tempo de execução de novas tarefas e tarefas existentes em execução em EC2 instâncias da Amazon dentro dos clusters do Amazon ECS.

Para instalar o agente GuardDuty de segurança, o Runtime Monitoring fornece as duas opções a seguir:

Use a configuração automatizada do agente por meio de GuardDuty (recomendado)

Use a configuração automatizada do agente que permita GuardDuty instalar o agente de segurança em suas EC2 instâncias da Amazon em seu nome. GuardDuty também gerencia as atualizações do agente de segurança.

Por padrão, GuardDuty instala o agente de segurança em todas as instâncias da sua conta. Se você quiser GuardDuty instalar e gerenciar o agente de segurança somente para EC2 instâncias selecionadas, adicione tags de inclusão ou exclusão às suas EC2 instâncias, conforme necessário.

Às vezes, você pode não querer monitorar eventos de tempo de execução para todas as EC2 instâncias da Amazon que pertencem à sua conta. Para casos em que você quiser monitorar os eventos de runtime de um número limitado de instâncias, adicione uma tag de inclusão comoGuardDutyManaged:true a essas instâncias selecionadas. Começando com a disponibilidade da configuração automática do agente para a Amazon EC2, se sua EC2 instância tiver uma tag de inclusão (GuardDutyManaged:true), GuardDuty respeitará a tag e gerenciará o agente de segurança para as instâncias selecionadas, mesmo quando você não habilitar explicitamente a configuração automática do agente.

Por outro lado, se houver um número limitado de EC2 instâncias para as quais você não deseja monitorar eventos de tempo de execução, adicione uma tag de exclusão (GuardDutyManaged:false) a essas instâncias selecionadas. GuardDuty honrará a etiqueta de exclusão sem instalar nem gerenciar o agente de segurança desses EC2 recursos.

Impacto

Ao usar a configuração automatizada de agentes em uma Conta da AWS ou em uma organização, você GuardDuty permite realizar as seguintes etapas em seu nome:

  • GuardDuty cria uma associação SSM para todas as suas EC2 instâncias da Amazon que são gerenciadas por SSM e aparecem no Fleet Manager no https://console.aws.amazon.com/systems-manager/console.

  • Uso de tags de inclusão com a configuração automática do agente desativada — Depois de ativar o Runtime Monitoring, quando você não ativa a configuração automática do agente, mas adiciona a tag de inclusão à sua EC2 instância da Amazon, isso significa que você está autorizando GuardDuty o gerenciamento do agente de segurança em seu nome. A associação SSM então instalará o agente de segurança em cada instância que tiver a tag de inclusão (GuardDutyManaged:true).

  • Se você ativar a configuração automatizada do agente, a associação SSM instalará o agente de segurança em todas as EC2 instâncias pertencentes à sua conta.

  • Uso de tags de exclusão com configuração automática de agentes — Antes de ativar a configuração automática do agente, ao adicionar uma tag de exclusão à sua EC2 instância da Amazon, significa que você está permitindo impedir GuardDuty a instalação e o gerenciamento do agente de segurança para essa instância selecionada.

    Agora, quando você ativa a configuração automatizada do agente, a associação SSM instala e gerencia o agente de segurança em todas as EC2 instâncias, exceto aquelas marcadas com a tag de exclusão.

  • GuardDuty cria endpoints de VPC em todos os VPCs, inclusive compartilhados VPCs, desde que haja pelo menos uma EC2 instância Linux nessa VPC que não esteja nos estados de instância encerrada ou encerrada. Isso inclui a VPC e o spoke centralizados. VPCs GuardDuty não oferece suporte à criação de um VPC endpoint somente para a VPC centralizada. Para obter mais informações sobre como a VPC centralizada funciona, consulte Interface VPC endpoints no Whitepaper — Criando uma infraestrutura de rede AWS multi-VPC escalável e segura. AWS

    Para obter informações sobre diferentes estados de instância, consulte Ciclo de vida da instância no Guia do EC2 usuário da Amazon.

    GuardDuty também suportaComo usar a VPC compartilhada com agentes de segurança automatizados. Quando todos os pré-requisitos forem considerados, sua organização GuardDuty usará a VPC compartilhada para receber eventos de tempo de execução. Conta da AWS

    nota

    Não há custo adicional para usar o endpoint da VPC.

  • Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao intervalo CIDR da VPC para seu recurso e também se adapta a ele quando o intervalo CIDR muda. Para obter mais informações, consulte Intervalo CIDR da VPC no Guia do Usuário da Amazon VPC.

Gerenciar o agente de segurança manualmente

Há duas maneiras de gerenciar EC2 manualmente o agente de segurança da Amazon:

  • Use documentos GuardDuty gerenciados AWS Systems Manager para instalar o agente de segurança em suas EC2 instâncias da Amazon que já são gerenciadas por SSM.

    Sempre que você iniciar uma nova EC2 instância da Amazon, certifique-se de que ela esteja habilitada para SSM.

  • Use scripts do gerenciador de pacotes RPM (RPM) para instalar o agente de segurança em suas EC2 instâncias da Amazon, sejam elas gerenciadas por SSM ou não.

Próxima etapa

Para começar a usar a configuração do Runtime Monitoring para monitorar suas EC2 instâncias da Amazon, consultePré-requisitos para suporte a instâncias da Amazon EC2 .