运行时监控如何与 Amazon EC2 实例配合使用 - Amazon GuardDuty
使用自动代理配置(推荐)手动管理安全代理后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行时监控如何与 Amazon EC2 实例配合使用

您的 Amazon EC2 实例可以在您的 AWS 环境中运行多种类型的应用程序和工作负载。启用运行时监控并管理 GuardDuty 安全代理后, GuardDuty 可帮助您检测现有 Amazon EC2 实例和可能的新实例中的威胁。此功能还支持亚马逊ECS托管的亚马逊EC2实例。

启用运行时监控可以 GuardDuty 随时使用当前正在运行的运行时事件和 Amazon EC2 实例中的新进程。 GuardDuty 需要安全代理将运行时事件从您的EC2实例发送到 GuardDuty。

对于 Amazon EC2 实例, GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的所有还是部分Amazon EC2 实例。如果要管理选定的实例,则只有这些实例才需要安全代理。

GuardDuty 还可以使用来自新任务和在 Amazon ECS 集群内的 Amazon EC2 实例中运行的现有任务的运行时事件。

要安装 GuardDuty 安全代理,运行时监控提供了以下两个选项:

通过以下方式使用自动代理配置 GuardDuty (推荐)

使用自动代理配置, GuardDuty 允许代表您在 Amazon EC2 实例上安装安全代理。 GuardDuty 还管理安全客户端的更新。

默认情况下, GuardDuty 会在您账户中的所有实例上安装安全代理。如果您只 GuardDuty 想为选定EC2实例安装和管理安全代理,请根据需要向您的EC2实例添加包含或排除标签。

有时,您可能不想监控属于您账户的所有 Amazon EC2 实例的运行时事件。如果您想监控有限数量实例的运行时事件,请为这些实例添加包含标签 GuardDutyManaged:true。从可用于 Amazon 的自动代理配置开始EC2,如果您的EC2实例具有包含标签 (GuardDutyManaged:true),即使您没有明确启用自动代理配置,也 GuardDuty 将使用该标签并管理所选实例的安全代理。

另一方面,如果您不想监控运行时事件的EC2实例数量有限,请为这些选定的实例添加排除标签 (GuardDutyManaged:false)。 GuardDuty 将通过既不安装也不管理这些EC2资源的安全代理来遵守排除标签。

影响

当您在 AWS 账户 或组织中使用自动代理配置时,您 GuardDuty 允许代表您执行以下步骤:

  • GuardDuty 为您SSM管理的所有 Amazon EC2 实例创建一个SSM关联,这些实例在https://console.aws.amazon.com/systems-manager/控制台的 Fleet Manager 下方显示。

  • 在禁用自动代理配置的情况下使用包含标签 — 启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示 GuardDuty 允许您代表自己管理安全代理。 SSM然后,协会将在每个带有包含标签 (GuardDutyManaged:true) 的实例中安装安全代理。

  • 如果您启用自动代理配置,则该SSM协会将在属于您账户的所有EC2实例中安装安全代理。

  • 使用带有自动代理配置的排除标签 — 在启用自动代理配置之前,当您向 Amazon EC2 实例添加排除标签时,这意味着 GuardDuty 允许您阻止为该选定实例安装和管理安全代理。

    现在,当您启用自动代理配置时,该SSM协会将在所有EC2实例中安装和管理安全代理,但标有排除标签的实例除外。

  • GuardDuty 只要至少有一个 Linux EC2 实例未处于已VPC终止或关闭实例状态的 Linux 实例VPC,就会在所有实例中创建终端节点,包括共享VPCs端点。VPCs这包括集中式VPC和分支式VPCs。 GuardDuty 不支持仅为集中式创建VPC端点VPC。有关集中式VPC工作原理的更多信息,请参阅AWS 白皮书《构建可扩展且安全的多VPC AWS 网络基础架构》中的接口VPC端点

    有关不同实例状态的信息,请参阅 Amazon EC2 用户指南中的实例生命周期

    GuardDuty 还支持使用VPC与自动安全代理共享。当您的组织考虑了所有先决条件时 AWS 账户, GuardDuty 将使用共享VPC来接收运行时事件。

    注意

    使用VPC终端节点不会产生额外费用。

  • 除了VPC终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源VPCCIDR范围相匹配的入站规则,并在CIDR范围发生变化时进行调整。有关更多信息,请参阅 Amazon VPC 用户指南中的VPCCIDR范围

手动管理安全代理

有两种方法可以EC2手动管理 Amazon 的安全代理:

  • 使用中的 GuardDuty 托管文档在 AWS Systems Manager 已托SSM管的 Amazon EC2 实例上安装安全代理。

    每当您启动新的 Amazon EC2 实例时,请确保其SSM已启用。

  • 使用RPM包管理器 (RPM) 脚本在您的 Amazon EC2 实例上安装安全代理,无论这些实例是否处于SSM托管状态。

后续步骤

要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅Amazon EC2 实例支持的先决条件