Gestion de l'agent de sécurité automatisé pour l'EC2instance Amazon - Amazon GuardDuty
Migration d'un agent EC2 manuel Amazon vers un agent automatiséConfiguration de GuardDuty l'agent pour un compte autonomeConfiguration de GuardDuty l'agent dans un environnement à comptes multiples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'agent de sécurité automatisé pour l'EC2instance Amazon

Note

Avant de continuer, assurez-vous de suivre toutes lesConditions requises pour le support des EC2 instances Amazon.

Migration d'un agent EC2 manuel Amazon vers un agent automatisé

Cette section s'applique à vous Compte AWS si vous gériez auparavant l'agent de sécurité manuellement et que vous souhaitez maintenant utiliser la configuration GuardDuty automatique de l'agent. Si cela ne vous concerne pas, poursuivez la configuration de l'agent de sécurité pour votre compte.

Lorsque vous activez l'agent GuardDuty automatique, GuardDuty gère l'agent de sécurité en votre nom. Pour plus d'informations sur les étapes GuardDuty à suivre, consultezUtiliser la configuration automatique des agents (recommandé).

Nettoyage des ressources

Supprimer SSM l'association

  • Supprimez toute SSM association que vous avez peut-être créée lorsque vous gériez EC2 manuellement l'agent de sécurité pour Amazon. Pour plus d'informations, consultez la section Suppression d'associations.

  • Cela GuardDuty permet de prendre en charge la gestion des SSM actions, que vous utilisiez des agents automatisés au niveau du compte ou au niveau de l'instance (en utilisant des balises d'inclusion ou d'exclusion). Pour plus d'informations sur SSM les actions qui peuvent être entreprises, GuardDuty consultezAutorisations de rôle liées à un service pour GuardDuty.

  • Lorsque vous supprimez une SSM association précédemment créée pour gérer manuellement l'agent de sécurité, il peut y avoir une brève période de chevauchement lors de la GuardDuty création d'une SSM association pour gérer automatiquement l'agent de sécurité. Au cours de cette période, vous pourriez rencontrer des conflits liés à la SSM planification. Pour plus d'informations, consultez Amazon EC2 SSM Scheduling.

Gérez les balises d'inclusion et d'exclusion pour vos EC2 instances Amazon

  • Balises d'inclusion — Lorsque vous n'activez pas la configuration GuardDuty automatique des agents mais que vous balisez l'une de vos EC2 instances Amazon avec une balise d'inclusion (GuardDutyManaged:true), vous GuardDuty créez une SSM association qui installera et gérera l'agent de sécurité sur les EC2 instances sélectionnées. Il s'agit d'un comportement attendu qui vous permet de gérer l'agent de sécurité uniquement sur certaines EC2 instances. Pour plus d’informations, consultez Comment fonctionne Runtime Monitoring avec les EC2 instances Amazon.

    Pour GuardDuty empêcher l'installation et la gestion de l'agent de sécurité, supprimez la balise d'inclusion de ces EC2 instances. Pour plus d'informations, consultez la section Ajouter et supprimer des balises dans le guide de EC2 l'utilisateur Amazon.

  • Balises d'exclusion : lorsque vous souhaitez activer la configuration GuardDuty automatique des agents pour toutes les EC2 instances de votre compte, assurez-vous qu'aucune EC2 instance n'est associée à une balise d'exclusion (GuardDutyManaged:false).

Configuration de GuardDuty l'agent pour un compte autonome

Configure for all instances
Pour configurer la surveillance du temps d'exécution pour toutes les instances de votre compte autonome

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, choisissez Runtime Monitoring.

  3. Dans l'onglet Configuration, choisissez Modifier.

  4. Dans la EC2section, choisissez Activer.

  5. Choisissez Enregistrer.

  6. Vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité sur toutes les EC2 ressources appartenant à votre compte.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Cibles de l'SSMassociation (GuardDutyRuntimeMonitoring-do-not-delete). Notez que la touche Tag apparaît sous la forme InstanceIds.

Using inclusion tag in selected instances
Pour configurer l'agent GuardDuty de sécurité pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les EC2 ressources étiquetées avec les balises d'inclusion.

    Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    1. Ouvrez l'onglet Cibles pour l'SSMassociation créée (GuardDutyRuntimeMonitoring-do-not-delete). La touche Tag apparaît sous la forme de tag : GuardDutyManaged.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos EC2 instances Amazon avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour AmazonEC2, toute EC2 instance lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Sélectionnez l'instance pour laquelle vous souhaitez autoriser les balises.

    3. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    4. Choisissez Autoriser les balises dans les métadonnées de l'instance.

    5. Sous Accès aux balises dans les métadonnées de l'instance, sélectionnez Autoriser.

    6. Choisissez Enregistrer.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture pour l'EC2instance Amazon.

Configuration de GuardDuty l'agent dans un environnement à comptes multiples

Configure for all instances

Si vous avez choisi Activer pour tous les comptes pour la surveillance du temps d'exécution, choisissez l'une des options suivantes pour le compte d' GuardDuty administrateur délégué :

  • Option 1

    Sous Configuration automatique de l'agent, dans la EC2section, sélectionnez Activer pour tous les comptes.

  • Option 2

    • Sous Configuration automatique de l'agent, dans la EC2section, sélectionnez Configurer les comptes manuellement.

    • Sous Administrateur délégué (ce compte), choisissez Activer.

  • Choisissez Enregistrer.

Si vous avez choisi Configurer les comptes manuellement pour la surveillance du temps d'exécution, effectuez les étapes suivantes :

  • Sous Configuration automatique de l'agent, dans la EC2section, sélectionnez Configurer les comptes manuellement.

  • Sous Administrateur délégué (ce compte), choisissez Activer.

  • Choisissez Enregistrer.

Quelle que soit l'option que vous choisissez pour activer la configuration automatique de l'agent pour le compte d' GuardDuty administrateur délégué, vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité sur toutes les EC2 ressources appartenant à ce compte.

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Ouvrez l'onglet Cibles de l'SSMassociation (GuardDutyRuntimeMonitoring-do-not-delete). Notez que la touche Tag apparaît sous la forme InstanceIds.

Using inclusion tag in selected instances
Pour configurer GuardDuty l'agent pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces EC2 instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les EC2 ressources étiquetées avec les balises d'inclusion.

    Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    1. Ouvrez l'onglet Cibles pour l'SSMassociation créée (GuardDutyRuntimeMonitoring-do-not-delete). La touche Tag apparaît sous la forme de tag : GuardDutyManaged.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos EC2 instances Amazon avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour AmazonEC2, toute EC2 instance lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer GuardDuty l'agent pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture pour l'EC2instance Amazon.

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Configure for all instances

Les étapes suivantes supposent que vous avez choisi Activer pour tous les comptes dans la section Runtime Monitoring :

  1. Choisissez Activer pour tous les comptes dans la section Configuration automatique des agents pour Amazon EC2.

  2. Vous pouvez vérifier que l'SSMassociation qui GuardDuty crée (GuardDutyRuntimeMonitoring-do-not-delete) installera et gérera l'agent de sécurité sur toutes les EC2 ressources appartenant à ce compte.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Cibles de l'SSMassociation. Notez que la touche Tag apparaît sous la forme InstanceIds.

Using inclusion tag in selected instances
Pour configurer GuardDuty l'agent pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la true balise GuardDutyManaged : aux EC2 instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces EC2 instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité sur toutes les EC2 ressources appartenant à votre compte.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Cibles de l'SSMassociation (GuardDutyRuntimeMonitoring-do-not-delete). Notez que la touche Tag apparaît sous la forme InstanceIds.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos EC2 instances Amazon avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour AmazonEC2, toute EC2 instance lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour certaines EC2 instances Amazon

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture pour l'EC2instance Amazon.

Le compte d' GuardDuty administrateur délégué peut définir la configuration automatique de l'agent pour la EC2 ressource Amazon afin qu'elle soit automatiquement activée pour les nouveaux comptes membres lorsqu'ils rejoignent l'organisation.

Configure for all instances

Les étapes suivantes supposent que vous avez sélectionné Activer automatiquement pour les nouveaux comptes membres dans la section Surveillance du temps d'exécution :

  1. Dans le volet de navigation, choisissez Runtime Monitoring.

  2. Sur la page Runtime Monitoring, choisissez Modifier.

  3. Sélectionnez Activer automatiquement pour les nouveaux comptes membres. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la configuration automatique des agents pour Amazon EC2 sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette sélection.

  4. Choisissez Enregistrer.

Lorsqu'un nouveau compte membre rejoint l'organisation, cette configuration est automatiquement activée pour lui. GuardDuty Pour gérer l'agent de sécurité pour les EC2 instances Amazon appartenant à ce nouveau compte membre, assurez-vous que toutes les conditions préalables Par EC2 exemple sont remplies.

Lorsqu'une SSM association est créée (GuardDutyRuntimeMonitoring-do-not-delete), vous pouvez vérifier qu'elle installera et gérera l'agent de sécurité sur toutes les EC2 instances appartenant au nouveau compte membre. SSM

Using inclusion tag in selected instances
Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées de votre compte

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'SSMassociation GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les EC2 ressources étiquetées avec les balises d'inclusion.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Cibles pour l'SSMassociation créée. La touche Tag apparaît sous la forme de tag : GuardDutyManaged.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos EC2 instances Amazon avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour AmazonEC2, toute EC2 instance lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour des instances spécifiques de votre compte autonome

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture pour l'EC2instance Amazon.

Configure for all instances

  1. Sur la page Comptes, sélectionnez un ou plusieurs comptes pour lesquels vous souhaitez activer la configuration automatisée de l'agent Runtime Monitoring (Amazon). EC2 Assurez-vous que la surveillance du temps d'exécution est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

  2. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer la configuration automatisée de l'agent Runtime Monitoring (Amazon). EC2

  3. Choisissez Confirmer.

Using inclusion tag in selected instances
Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty de gérer l'agent de sécurité pour vos EC2 instances Amazon étiquetées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents (Runtime Monitoring - Automated agent configuration (EC2).

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos EC2 instances Amazon avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour AmazonEC2, toute EC2 instance lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Ajoutez la false balise GuardDutyManaged : aux EC2 instances que vous ne souhaitez pas GuardDuty surveiller ou détecter de menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez maintenant évaluerCouverture pour l'EC2instance Amazon.