运行时监控如何与 Amazon EC2 实例配合使用 - Amazon GuardDuty
使用自动代理配置(推荐)手动管理安全代理后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行时监控如何与 Amazon EC2 实例配合使用

您的 Amazon EC2 实例可以在您的 AWS 环境中运行多种类型的应用程序和工作负载。启用运行时监控并管理 GuardDuty 安全代理后, GuardDuty 可帮助您检测现有 Amazon EC2 实例和可能的新实例中的威胁。此功能还支持 Amazon ECS 托管的亚马逊 EC2 实例。

启用运行时监控可以 GuardDuty 随时使用来自当前正在运行的运行时事件和 Amazon EC2 实例中的新进程。 GuardDuty 需要安全代理将运行时事件从您的 EC2 实例发送到 GuardDuty。

对于 Amazon EC2 实例, GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的所有还是部分Amazon EC2 实例。如果要管理选定的实例,则只有这些实例才需要安全代理。

GuardDuty 还可以使用来自新任务和在 Amazon ECS 集群中的 Amazon EC2 实例中运行的现有任务的运行时事件。

要安装 GuardDuty 安全代理,运行时监控提供了以下两个选项:

通过以下方式使用自动代理配置 GuardDuty (推荐)

使用自动代理配置, GuardDuty 允许代表您在 Amazon EC2 实例上安装安全代理。 GuardDuty 还管理安全客户端的更新。

默认情况下, GuardDuty 会在您账户中的所有实例上安装安全代理。如果您只 GuardDuty 想为选定 EC2 实例安装和管理安全代理,请根据需要向您的 EC2 实例添加包含或排除标签。

有时,您可能不想监控属于您账户的所有 Amazon EC2 实例的运行时事件。如果您想监控有限数量实例的运行时事件,请为这些实例添加包含标签 GuardDutyManaged:true。从可用于 Amazon 的自动代理配置开始 EC2,如果您的 EC2 实例具有包含标签 (GuardDutyManaged:true),即使您没有明确启用自动代理配置,也 GuardDuty 将使用该标签并管理所选实例的安全代理。

另一方面,如果您不想监控运行时事件的 EC2 实例数量有限,请为这些选定的实例添加排除标签 (GuardDutyManaged:false)。 GuardDuty 将通过既不安装也不管理这些 EC2 资源的安全代理来遵守排除标签。

影响

当您在 AWS 账户 或组织中使用自动代理配置时,您 GuardDuty 允许代表您执行以下步骤:

  • GuardDuty 为您所有受 SSM 管理并显示在控制台的队列管理器下的 Amazon EC2 实例创建一个 SSM 关联。https://console.aws.amazon.com/systems-manager/

  • 在禁用自动代理配置的情况下使用包含标签 — 启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示 GuardDuty 允许您代表自己管理安全代理。然后,该 SSM 关联将在每个具有包含标签 (GuardDutyManaged:true) 的实例中安装安全代理。

  • 如果您启用自动代理配置 — SSM 关联将在属于您账户的所有 EC2 实例中安装安全代理。

  • 使用带有自动代理配置的排除标签 — 在启用自动代理配置之前,当您向 Amazon EC2 实例添加排除标签时,这意味着 GuardDuty 允许您阻止为该选定实例安装和管理安全代理。

    现在,当您启用自动代理配置时,SSM 关联将在所有实例中安装和管理安全代理,但标有排除标签的 EC2 实例除外。

  • GuardDuty 只要该 VPC 中至少有一个未处于已 VPCs终止或关闭 EC2 实例状态的 Linux 实例,就会在包括共享 VPCs在内的所有终端节点中创建 VPC 终端节点。这包括集中式 VPC 和分支 VPCs。 GuardDuty 不支持仅为集中式 VPC 创建 VPC 终端节点。有关集中式 VPC 工作原理的更多信息,请参阅AWS 白皮书《构建可扩展且安全的多 VPC AWS 网络基础设施》中的 “接口 VPC 终端节点”。

    有关不同实例状态的信息,请参阅 Amazon EC2 用户指南中的实例生命周期

    GuardDuty 还支持将共享 VPC 与自动安全代理结合使用。当您的组织考虑了所有先决条件时 AWS 账户, GuardDuty 将使用共享 VPC 接收运行时事件。

    注意

    使用 VPC 端点不会产生额外的成本。

  • 除了 VPC 终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源的 VPC CIDR 范围相匹配的入站规则,并在 CIDR 范围发生变化时对其进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 范围

手动管理安全代理

有两种方法可以 EC2 手动管理 Amazon 的安全代理:

  • 使用中的 GuardDuty 托管文档在 AWS Systems Manager 已由 SSM 托管的 Amazon EC2 实例上安装安全代理。

    每当您启动新的 Amazon EC2 实例时,请确保其已启用 SSM。

  • 使用 RPM 包管理器 (RPM) 脚本在您的 Amazon EC2 实例上安装安全代理,无论这些实例是否由 SSM 托管。

后续步骤

要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅Amazon EC2 实例支持的先决条件