EC2SSMGestione las instancias Validación de los requisitos de arquitectura Validar la política de control de servicios de su organización Cuando utilice la configuración de agentes automatizada CPUy límite de memoria Siguiente paso

Requisitos previos para el soporte de EC2 instancias de Amazon

EC2SSMGestione las instancias

Las EC2 instancias de Amazon para las que GuardDuty desea supervisar los eventos de tiempo de ejecución deben gestionarse AWS Systems Manager (SSM). Esto es independiente de si se utiliza GuardDuty para gestionar el agente de seguridad de forma automática o de forma manual (exceptoMétodo 2: mediante el uso de Linux Package Managers).

Para gestionar sus EC2 instancias de Amazon AWS Systems Manager, consulte Configuración de Systems Manager para EC2 instancias de Amazon en la Guía del AWS Systems Manager usuario.

Validación de los requisitos de arquitectura

La arquitectura de la distribución del sistema operativo puede afectar al comportamiento del agente de GuardDuty seguridad. Debe cumplir los siguientes requisitos antes de utilizar Runtime Monitoring for Amazon EC2 instances:

En la siguiente tabla se muestra la distribución del sistema operativo que se ha verificado para admitir el agente GuardDuty de seguridad para EC2 las instancias de Amazon.

Distribución del sistema operativo	Versión del kernel	Compatibilidad del kernel	Arquitectura de CPU
Distribución del sistema operativo	Versión del kernel	Compatibilidad del kernel	x64 () AMD64	Gravitón () ARM64
AL2y AL2 023 Ubuntu 20.04 y Ubuntu 22.04 Debian 11 y Debian 12	5.4, 5.10, 5.15, 6.1, 6.5, 6.8	eBPF, Tracepoints, Kprobe	Soportado	Soportado

Requisitos adicionales: solo si tienes ECS Amazon/Amazon EC2

Para ECS Amazon/AmazonEC2, te recomendamos que utilices la última versión ECS optimizada para Amazon AMIs (con fecha del 29 de septiembre de 2023 o posterior) o que utilices la versión 1.77.0 del ECS agente de Amazon.

Validar la política de control de servicios de su organización

Si ha configurado una política de control de servicios (SCP) para administrar los permisos en su organización, asegúrese de que la política no deniegue el permisoguardduty:SendSecurityTelemetry. Es necesaria GuardDuty para admitir la supervisión del tiempo de ejecución en diferentes tipos de recursos.

Si es una cuenta de miembro, conéctese con el administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte Políticas de control de servicios (SCPs).

Cuando utilice la configuración de agentes automatizada

Para Utilice una configuración de agentes automatizada (recomendado) ello, Cuenta de AWS debe cumplir los siguientes requisitos previos:

Cuando utilices etiquetas de inclusión con una configuración de agente automatizada, GuardDuty para crear una SSM asociación para una nueva instancia, asegúrate de que la nueva instancia esté SSM gestionada y aparezca en Fleet Manager en la https://console.aws.amazon.com/systems-manager/consola.
Cuando utilice etiquetas de exclusión con una configuración de agente automatizada:
- Añada la false etiquetaGuardDutyManaged: antes de configurar el agente GuardDuty automatizado para su cuenta.
  
  Asegúrese de añadir la etiqueta de exclusión a sus EC2 instancias de Amazon antes de lanzarlas. Una vez que hayas activado la configuración automática de agentes para AmazonEC2, cualquier EC2 instancia que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.
- Para que las etiquetas de exclusión funcionen, actualiza la configuración de la instancia para que el documento de identidad de la instancia esté disponible en el servicio de metadatos de la instancia (IMDS). El procedimiento para realizar este paso ya forma parte Habilitación de la supervisión en tiempo de ejecución de tu cuenta.

CPUy límite de memoria para el GuardDuty agente

CPUlímite

El CPU límite máximo para el agente GuardDuty de seguridad asociado a EC2 las instancias de Amazon es del 10 por ciento del total de CPU núcleos v. Por ejemplo, si la EC2 instancia tiene 4 CPU núcleos v, el agente de seguridad puede utilizar un máximo del 40 por ciento del 400 por ciento total disponible.

Memory limit (Límite de memoria)

De la memoria asociada a tu EC2 instancia de Amazon, hay una memoria limitada que el agente GuardDuty de seguridad puede usar.

En la siguiente tabla se muestra el límite de memoria.

Memoria de la EC2 instancia de Amazon	Memoria máxima para el GuardDuty agente
Menos de 8 GB	128 MB
Menos de 32 GB	256 MB
Más o igual a 32 GB	1 GB

Siguiente paso

El siguiente paso es configurar Runtime Monitoring y también administrar el agente de seguridad (automática o manualmente).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos

Para el clúster Fargate (ECSsolo)