Cobertura para la EC2 instancia de Amazon - Amazon GuardDuty
Revisión de las estadísticas de coberturaConfiguración de las notificaciones de cambio de estado de coberturaSolución de problemas de cobertura

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cobertura para la EC2 instancia de Amazon

En el caso de un EC2 recurso de Amazon, la cobertura del tiempo de ejecución se evalúa a nivel de instancia. Sus EC2 instancias de Amazon pueden ejecutar varios tipos de aplicaciones y cargas de trabajo, entre otros, en su AWS entorno. Esta función también es compatible con las EC2 instancias de Amazon ECS gestionadas por Amazon y, si tienes ECS clústeres de Amazon ejecutándose en una EC2 instancia de Amazon, los problemas de cobertura a nivel de instancia aparecerán en Amazon EC2 Runtime Coverage.

Revisión de las estadísticas de cobertura

Las estadísticas de cobertura de las EC2 instancias de Amazon asociadas a tus propias cuentas o a las cuentas de tus miembros representan el porcentaje de las EC2 instancias en buen estado respecto a todas las EC2 instancias de la seleccionada Región de AWS. La siguiente ecuación lo representa de la siguiente manera:

(Instancias en buen estado o todas las instancias) *100

Si también has implementado el agente de GuardDuty seguridad para tus ECS clústeres de Amazon, cualquier problema de cobertura a nivel de instancia asociado a los ECS clústeres de Amazon que se ejecuten en una EC2 instancia de Amazon aparecerá como un problema de cobertura del tiempo de ejecución de una EC2 instancia de Amazon.

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

Console

  • Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  • En el panel de navegación, selecciona Runtime Monitoring.

  • Seleccione la pestaña Cobertura del tiempo de ejecución.

  • En la pestaña de cobertura del tiempo de ejecución de la EC2 instancia, puedes ver las estadísticas de cobertura agregadas por el estado de cobertura de cada EC2 instancia de Amazon que está disponible en la tabla de lista de instancias.

    • Puedes filtrar la tabla de listas de instancias por las siguientes columnas:

      • ID de cuenta

      • Tipo de administración del agente

      • Versión del agente

      • Estado de la cobertura

      • ID de instancia

      • Clúster ARN

  • Si alguna de tus EC2 instancias tiene el estado de cobertura en mal estado, la columna Problema incluye información adicional sobre el motivo del estado en mal estado.

API/CLI

  • Ejecútelo ListCoverageAPIcon su propio identificador de detector válido, región actual y punto de conexión del servicio. Puedes filtrar y ordenar la lista de instancias con estoAPI.

    • Puede cambiar el ejemplo de filter-criteria con una de las siguientes opciones para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Cuando se filter-criteria incluye RESOURCE_TYPE como EC2, Runtime Monitoring no admite el uso de ISSUEcomoAttributeName. Si lo usa, la API respuesta dará como resultadoInvalidInputException.

      Puede cambiar el ejemplo de AttributeName en sort-criteria con las siguientes opciones:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Puede cambiar el max-results (hasta 50).

    • Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Ejecute GetCoverageStatisticsAPIpara recuperar las estadísticas agregadas de cobertura basadas enstatisticsType.

    • Puede cambiar el ejemplo de statisticsType a una de las siguientes opciones:

      • COUNT_BY_COVERAGE_STATUS— Representa las estadísticas de cobertura de EKS los clústeres agregadas por estado de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.

      • Puede cambiar el ejemplo de filter-criteria en el comando. Puede usar las siguientes opciones para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar las detectorId correspondientes a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Si el estado de cobertura de su EC2 instancia es Incorrecto, consulteSolución de problemas de cobertura.

Configuración de las notificaciones de cambio de estado de cobertura

El estado de cobertura de tu EC2 instancia de Amazon puede aparecer como Insalubre. Para saber cuándo cambia el estado de la cobertura, te recomendamos que supervises el estado de la cobertura periódicamente y resuelvas los problemas si el estado pasa a ser de mal estado. Como alternativa, puedes crear una EventBridge regla de Amazon para recibir una notificación cuando el estado de la cobertura cambie de Insalubre a Saludable o no. De forma predeterminada, la GuardDuty publica en el EventBridge bus de tu cuenta.

Ejemplo de esquema de notificaciones

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta Crear regla en la Guía del EventBridge usuario de Amazon.

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de tu EC2 instancia de Amazon cambie de Healthy aUnhealthy, detail-type debes GuardDuty Runtime Protection Unhealthy. Para recibir una notificación cuando el estado de la cobertura cambie de Unhealthy aHealthy, sustituya el valor detail-type de por GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Solución de problemas de cobertura

Si el estado de la cobertura de tu EC2 instancia de Amazon es Incorrecto, puedes ver el motivo en la columna Problema.

Si la EC2 instancia está asociada a un EKS clúster y el agente de seguridad EKS se instaló manualmente o mediante una configuración automática del agente, para solucionar el problema de cobertura, consulteCobertura para EKS clústeres de Amazon.

En la siguiente tabla, se enumeran los tipos de problemas y los pasos de solución de problemas correspondientes.

Tipo de problema Mensaje de emisión Pasos para la solución de problemas

No hay ningún agente que denuncie

Esperando la SSM notificación

Asegúrese de que la EC2 instancia de Amazon ya esté SSM gestionada. La recepción de la SSM notificación puede tardar unos minutos.

(Vacío a propósito)

Si administra el agente de GuardDuty seguridad manualmente, asegúrese de seguir los pasos que se indican a continuaciónAdministrar manualmente el agente de seguridad para la EC2 instancia de Amazon.

Si ha activado la configuración automática del agente:

Si su organización tiene una política de control de servicios (SCP), asegúrese de que no deniegue el guardduty:SendSecurityTelemetry permiso. Para obtener más información, consulte Validar la política de control de servicios de su organización.

Agente desconectado

  • Vea el estado de su agente de seguridad. Para obtener más información, consulte Validar el estado de instalación del agente de GuardDuty seguridad.

  • Consulte los registros de los agentes de seguridad para identificar la posible causa raíz. Los registros proporcionan errores detallados que puede utilizar para solucionar el problema usted mismo. Los archivos de registro están disponibles en. /var/log/amzn-guardduty-agent/

    Realice sudo journalctl -u amazon-guardduty-agent.

SSMNo se pudo crear la asociación

GuardDuty SSMla asociación ya existe en tu cuenta

  1. Elimine la asociación existente manualmente. Para obtener más información, consulte Eliminar asociaciones en la Guía del AWS Systems Manager usuario.

  2. Tras eliminar la asociación, deshabilita y vuelve a activar la configuración GuardDuty automática de agentes para AmazonEC2.

Tu cuenta tiene demasiadas asociaciones SSM

Elige una de las dos opciones siguientes:

  • Elimine SSM las asociaciones no utilizadas. Para obtener más información, consulte Eliminar asociaciones en la Guía del AWS Systems Manager usuario.

  • Compruebe si su cuenta es apta para un aumento de cuota. Para obtener más información, consulte Cuotas de Systems Manager Service en Referencia general de AWS.

SSMFalló la actualización de la asociación

GuardDuty SSMla asociación no existe en tu cuenta

GuardDuty SSMla asociación no está presente en tu cuenta. Deshabilite y, a continuación, vuelva a activar Runtime Monitoring.

SSMFalló la eliminación de la asociación

GuardDuty SSMla asociación no existe en su cuenta

La SSM asociación no está presente en tu cuenta. Si la SSM asociación se ha eliminado intencionadamente, no es necesario realizar ninguna acción.

SSMFalló la ejecución de la asociación de instancias

No se cumplen los requisitos arquitectónicos u otros requisitos previos.

Para obtener información sobre las distribuciones de sistemas operativos verificadas, consulte. Requisitos previos para el soporte de EC2 instancias de Amazon

Si sigue teniendo este problema, los siguientes pasos le ayudarán a identificarlo y, si es posible, a resolverlo:

  1. Abre la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, en Administración de nodos, seleccione State Manager.

  3. Filtre por propiedad de nombre de documento e introduzca AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Seleccione el ID de asociación correspondiente y consulte su historial de ejecución.

  5. Utilice el historial de ejecución para ver los errores, identificar la posible causa raíz e intentar resolverla.

VPCFalló la creación del punto final

VPCNo se admite la creación de terminales compartidos VPC vpcId

Runtime Monitoring admite el uso de un recurso compartido VPC dentro de una organización. Para obtener más información, consulte Uso compartido VPC con agentes de seguridad automatizados.

Solo cuando se utiliza una configuración de agente compartida VPC con automatizada

ID de la cuenta del propietario 111122223333 para compartir VPC vpcId no tiene habilitada la monitorización del tiempo de ejecución, la configuración automática de agentes o ambas

 La cuenta de VPC propietario compartida debe habilitar Runtime Monitoring y la configuración automática de agentes para al menos un tipo de recurso (Amazon EKS o Amazon ECS (AWS Fargate)). Para obtener más información, consulte Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución.

La activación de la privacidad DNS requiere que ambos enableDnsSupport enableDnsHostnames VPC atributos estén configurados en true for vpcId (Servicio: Ec2, código de estado: 400, ID de solicitud: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Asegúrese de que los siguientes VPC atributos estén configurados en — ytrue. enableDnsSupport enableDnsHostnames Para obtener más información, consulte DNSlos atributos de su VPC.

Si utilizas Amazon VPC Console https://console.aws.amazon.com/vpc/para crear AmazonVPC, asegúrate de seleccionar Enable DNS hostnames y Enable DNS resolution. Para obtener más información, consulta las opciones VPC de configuración.

No se pudo eliminar el VPC punto final compartido

No se permite eliminar el VPC punto de conexión compartido para el ID de la cuenta 111122223333, compartido VPC vpcId, ID de cuenta del propietario 555555555555.
Posibles pasos:

  • La desactivación del estado de Runtime Monitoring de la cuenta de VPC participante compartida no afecta a la política VPC de puntos finales compartidos ni al grupo de seguridad que existe en la cuenta propietaria.

    Para eliminar el VPC punto de conexión y el grupo de seguridad compartidos, debe deshabilitar Runtime Monitoring o el estado de configuración automática de los agentes en la cuenta de VPC propietario compartida.

  • La cuenta de VPC participante compartida no puede eliminar el VPC punto final compartido ni el grupo de seguridad alojados en la cuenta de VPC propietario compartida.

El agente no presenta informes

(Vacío a propósito)

El tipo de problema ha llegado al final del soporte. Si sigues teniendo este problema y aún no lo has hecho, activa el agente GuardDuty automatizado para AmazonEC2.

Si el problema persiste, considere la posibilidad de deshabilitar Runtime Monitoring durante unos minutos y, a continuación, volver a habilitarlo.