Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert Runtime Monitoring mit Amazon EC2 EC2-Instances
Ihre Amazon EC2 EC2-Instances können mehrere Arten von Anwendungen und Workloads in Ihrer AWS Umgebung ausführen. Wenn Sie Runtime Monitoring aktivieren und den GuardDuty Security Agent verwalten, GuardDuty hilft er Ihnen, Bedrohungen in Ihren bestehenden Amazon EC2 EC2-Instances und potenziell neuen zu erkennen. Diese Funktion unterstützt auch von Amazon ECS verwaltete Amazon EC2 EC2-Instances.
Durch die Aktivierung von Runtime Monitoring können Runtime-Ereignisse von aktuell laufenden und neuen Prozessen innerhalb von Amazon EC2 EC2-Instances verarbeitet werden. GuardDuty GuardDuty erfordert einen Security Agent, an den Runtime-Ereignisse von Ihrer EC2-Instance gesendet werden. GuardDuty
Bei Amazon EC2 EC2-Instances arbeitet der GuardDuty Security Agent auf Instance-Ebene. Sie können entscheiden, ob Sie alle oder nur ausgewählte Amazon EC2 EC2-Instances in Ihrem Konto überwachen möchten. Wenn Sie ausgewählte Instances verwalten möchten, ist der Security Agent nur für diese Instances erforderlich.
GuardDuty kann auch Laufzeitereignisse von neuen Aufgaben und bestehenden Aufgaben verarbeiten, die in Amazon EC2 EC2-Instances innerhalb von Amazon ECS-Clustern ausgeführt werden.
Um den GuardDuty Security Agent zu installieren, bietet Runtime Monitoring die folgenden zwei Optionen:
Verwenden Sie die automatische Agentenkonfiguration über GuardDuty (empfohlen)
Verwenden Sie die automatische Agentenkonfiguration, die es GuardDuty ermöglicht, den Security Agent in Ihrem Namen auf Ihren Amazon EC2 EC2-Instances zu installieren. GuardDuty verwaltet auch die Updates für den Security Agent.
GuardDuty Installiert den Security Agent standardmäßig auf allen Instanzen in Ihrem Konto. Wenn Sie den Security Agent nur für ausgewählte EC2-Instances installieren und verwalten möchten GuardDuty , fügen Sie Ihren EC2-Instances nach Bedarf Inklusions- oder Ausschluss-Tags hinzu.
Manchmal möchten Sie möglicherweise nicht die Laufzeitereignisse für alle Amazon EC2 EC2-Instances überwachen, die zu Ihrem Konto gehören. In Fällen, in denen Sie die Runtime-Ereignisse für eine begrenzte Anzahl von Instances überwachen möchten, fügen Sie diesen ausgewählten Instances ein Inclusion-Tag wieGuardDutyManaged: true hinzu. Beginnend mit der Verfügbarkeit der automatisierten Agentenkonfiguration für Amazon EC2 gilt: Wenn Ihre EC2-Instance über ein Inclusion-Tag (GuardDutyManaged:true) verfügt, GuardDuty berücksichtigt das Tag und verwaltet den Security Agent für die ausgewählten Instances, auch wenn Sie die automatische Agentenkonfiguration nicht explizit aktivieren.
Wenn es jedoch eine begrenzte Anzahl von EC2-Instances gibt, für die Sie Laufzeitereignisse nicht überwachen möchten, fügen Sie diesen ausgewählten Instances ein Ausschluss-Tag (GuardDutyManaged:false) hinzu. GuardDuty berücksichtigt das Ausschluss-Tag, indem der Security Agent für diese EC2-Ressourcen weder installiert noch verwaltet wird.
Auswirkung
Wenn Sie die automatische Agentenkonfiguration in einer AWS-Konto oder einer Organisation verwenden, GuardDuty erlauben Sie, die folgenden Schritte in Ihrem Namen durchzuführen:
-
Verwendung von Inclusion-Tags bei deaktivierter automatisierter Agentenkonfiguration — Wenn Sie nach der Aktivierung von Runtime Monitoring die automatische Agentenkonfiguration nicht aktivieren, sondern Ihrer Amazon EC2 EC2-Instance ein Inclusion-Tag hinzufügen, bedeutet dies, dass Sie erlauben, den Security Agent in Ihrem Namen GuardDuty zu verwalten. Die SSM-Zuordnung installiert dann den Security Agent in jeder Instance, die über das Inklusion-Tag (:)
GuardDutyManagedverfügt.true -
Wenn Sie die automatische Agentenkonfiguration aktivieren, installiert die SSM-Zuordnung den Security Agent dann auf allen EC2-Instances, die zu Ihrem Konto gehören.
-
Verwenden von Ausschluss-Tags mit automatisierter Agentenkonfiguration — Bevor Sie die automatische Agentenkonfiguration aktivieren und Ihrer Amazon EC2 EC2-Instance ein Ausschluss-Tag hinzufügen, bedeutet dies, dass Sie die Installation und Verwaltung des Security Agents für diese ausgewählte Instance verhindern. GuardDuty
Wenn Sie nun die automatische Agentenkonfiguration aktivieren, installiert und verwaltet die SSM-Verbindung den Security Agent in allen EC2-Instances mit Ausnahme der Instances, die mit dem Exclusion-Tag gekennzeichnet sind.
-
GuardDuty erstellt VPC-Endpoints in allen VPCs, einschließlich gemeinsam genutzter VPCs, sofern in dieser VPC mindestens eine Linux EC2-Instance vorhanden ist, die sich nicht im Status Beendet oder Herunterfahren der Instance befindet. Informationen zu den verschiedenen Instance-Status finden Sie unter Instance-Lebenszyklus im Amazon EC2 EC2-Benutzerhandbuch.
GuardDuty unterstützt Verwenden einer gemeinsam genutzten VPC mit automatisierten Sicherheitsagenten auch. Wenn alle Voraussetzungen für Ihre Organisation erfüllt sind AWS-Konto, GuardDuty wird die gemeinsam genutzte VPC zum Empfangen von Laufzeitereignissen verwendet.
Anmerkung
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
Den Security Agent manuell verwalten
Es gibt zwei Möglichkeiten, den Security Agent für Amazon EC2 manuell zu verwalten:
-
Verwenden Sie GuardDuty verwaltete Dokumente in AWS Systems Manager , um den Security Agent auf Ihren Amazon EC2 EC2-Instances zu installieren, die bereits über SSM verwaltet werden.
Wenn Sie eine neue Amazon EC2 EC2-Instance starten, stellen Sie sicher, dass sie SSM-aktiviert ist.
-
Verwenden Sie RPM Package Manager (RPM) -Skripts, um den Security Agent auf Ihren Amazon EC2 EC2-Instances zu installieren, unabhängig davon, ob sie SSM-verwaltet werden oder nicht.
Nächster Schritt
Erste Schritte mit der Runtime Monitoring-Konfiguration zur Überwachung Ihrer Amazon EC2 EC2-Instances finden Sie unterVoraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances.
