Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2 - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2

Untuk EC2 sumber daya Amazon, cakupan runtime dievaluasi pada tingkat instans. EC2Instans Amazon Anda dapat menjalankan beberapa jenis aplikasi dan beban kerja antara lain di lingkungan Anda. AWS Fitur ini juga mendukung EC2 instans Amazon yang dikelola Amazon ECS dan jika Anda memiliki kluster Amazon ECS yang berjalan di EC2 instans Amazon, masalah cakupan pada tingkat instans akan muncul di bawah cakupan runtime Amazon. EC2

Meninjau statistik cakupan

Statistik cakupan untuk EC2 instans Amazon yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase EC2 contoh sehat di semua EC2 instance yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:

(Contoh Sehat/Semua contoh) * 100

Jika Anda juga telah menerapkan agen GuardDuty keamanan untuk kluster Amazon ECS Anda, maka masalah cakupan tingkat instans apa pun yang terkait dengan kluster Amazon ECS yang berjalan di EC2 instans Amazon akan muncul sebagai masalah cakupan runtime instans Amazon EC2 .

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console
  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime EC2 instance, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap EC2 instans Amazon yang tersedia di tabel daftar Instans.

    • Anda dapat memfilter tabel daftar Instance dengan kolom berikut:

      • ID Akun

      • Jenis manajemen agen

      • Versi agen

      • Status cakupan

      • ID Instance

      • Kluster ARN

  • Jika salah satu EC2 instans Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah menyertakan informasi tambahan tentang alasan status Tidak Sehat.

API/CLI
  • Jalankan ListCoverageAPI dengan ID detektor valid Anda sendiri, Wilayah saat ini, dan titik akhir layanan. Anda dapat memfilter dan mengurutkan daftar instance menggunakan API ini.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Saat filter-criteria termasuk RESOURCE_TYPE sebagai EC2, Runtime Monitoring tidak mendukung penggunaan ISSUE sebagai. AttributeName Jika Anda menggunakannya, respons API akan menghasilkanInvalidInputException.

      Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
  • Jalankan GetCoverageStatisticsAPI untuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk kluster EKS yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Jika status cakupan EC2 instans Anda tidak sehat, lihatMemecahkan masalah cakupan EC2 runtime Amazon.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan EC2 instans Amazon Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan ketika status cakupan EC2 instans Amazon Anda berubah dari Healthy keUnhealthy, detail-type seharusnyaGuardDuty Runtime Protection Unhealthy. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai detail-type denganGuardDuty Runtime Protection Healthy.

{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Akun AWS ID", "time": "event timestamp (string)", "region": "Wilayah AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }

Memecahkan masalah cakupan EC2 runtime Amazon

Jika status cakupan EC2 instans Amazon Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.

Jika EC2 instans Anda dikaitkan dengan kluster EKS dan agen keamanan untuk EKS diinstal baik secara manual atau melalui konfigurasi agen otomatis, maka untuk memecahkan masalah cakupan, lihat. Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS

Tabel berikut mencantumkan jenis masalah dan langkah pemecahan masalah yang sesuai.

Jenis masalah Pesan masalah Langkah pemecahan masalah

Tidak Ada Pelaporan Agen

Menunggu notifikasi SSM

Menerima pemberitahuan SSM mungkin memakan waktu beberapa menit.

Pastikan EC2 instans Amazon dikelola SSM. Untuk informasi selengkapnya, lihat langkah-langkah di bawah Metode 1 - Dengan menggunakan AWS Systems Manager diMemasang agen keamanan secara manual.

(Kosong dengan sengaja)

Jika Anda mengelola agen GuardDuty keamanan secara manual, pastikan Anda mengikuti langkah-langkah di bawah iniMengelola agen keamanan secara manual untuk EC2 sumber daya Amazon.

Jika Anda telah mengaktifkan konfigurasi agen otomatis:

Validasi bahwa titik akhir VPC untuk instans EC2 Amazon Anda dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi titik akhir VPC.

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. guardduty:SendSecurityTelemetry Untuk informasi selengkapnya, lihat Memvalidasi kebijakan kontrol layanan organisasi Anda.

Agen terputus

  • Lihat status agen keamanan Anda. Untuk informasi selengkapnya, lihat Memvalidasi status instalasi agen GuardDuty keamanan.

  • Lihat log agen keamanan untuk mengidentifikasi akar penyebab potensial. Log memberikan kesalahan terperinci yang dapat Anda gunakan untuk memecahkan masalah sendiri. File log tersedia di bawah/var/log/amzn-guardduty-agent/.

    Lakukansudo journalctl -u amazon-guardduty-agent.

Pembuatan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM sudah ada di akun Anda

  1. Hapus asosiasi yang ada secara manual. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  2. Setelah Anda menghapus asosiasi, nonaktifkan lalu aktifkan kembali konfigurasi agen GuardDuty otomatis untuk Amazon EC2.

Akun Anda memiliki terlalu banyak asosiasi SSM

Pilih salah satu dari dua opsi berikut:

  • Hapus semua asosiasi SSM yang tidak digunakan. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  • Periksa apakah akun Anda memenuhi syarat untuk kenaikan kuota. Untuk informasi selengkapnya, lihat kuota Layanan Systems Manager di bagian. Referensi Umum AWS

Pembaruan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM tidak ada di akun Anda

GuardDuty Asosiasi SSM tidak ada di akun Anda. Nonaktifkan dan kemudian aktifkan kembali Runtime Monitoring.

Penghapusan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM tidak ada di akun Anda

Asosiasi SSM tidak ada di akun Anda. Jika asosiasi SSM dihapus dengan sengaja, maka tidak ada tindakan yang diperlukan.

Eksekusi Asosiasi Instans SSM Gagal

Persyaratan arsitektur atau prasyarat lainnya tidak terpenuhi.

Untuk informasi tentang distribusi sistem operasi terverifikasi, lihatPrasyarat untuk dukungan instans Amazon EC2 .

Jika Anda masih mengalami masalah ini, langkah-langkah berikut akan membantu Anda mengidentifikasi dan berpotensi menyelesaikan masalah:

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, di bawah Manajemen node, pilih Manajer Negara.

  3. Filter berdasarkan properti Nama Dokumen dan masukkan AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Pilih ID asosiasi yang sesuai dan lihat riwayat Eksekusinya.

  5. Menggunakan riwayat eksekusi, melihat kegagalan, mengidentifikasi akar penyebab potensial, dan mencoba untuk menyelesaikannya.

Pembuatan Titik Akhir VPC Gagal

Pembuatan titik akhir VPC tidak didukung untuk VPC bersama vpcId

Runtime Monitoring mendukung penggunaan VPC bersama dalam suatu organisasi. Untuk informasi selengkapnya, lihat Menggunakan VPC bersama dengan agen keamanan otomatis.

Hanya saat menggunakan VPC bersama dengan konfigurasi agen otomatis

ID akun pemilik 111122223333 untuk VPC bersama vpcId tidak mengaktifkan Runtime Monitoring, konfigurasi agen otomatis, atau keduanya

Akun pemilik VPC bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS ()).AWS Fargate Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty .

Mengaktifkan DNS pribadi memerlukan atribut keduanya dan enableDnsSupport enableDnsHostnames VPC disetel ke true for vpcId (Layanan: Ec2, Kode Status: 400, ID Permintaan:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Pastikan atribut VPC berikut disetel ke trueenableDnsSupport dan. enableDnsHostnames Untuk informasi selengkapnya, lihat atribut DNS di VPC Anda.

Jika Anda menggunakan Konsol VPC Amazon di https://console.aws.amazon.com/vpc/untuk membuat VPC Amazon, pastikan untuk memilih Aktifkan nama host DNS dan Aktifkan resolusi DNS. Untuk informasi selengkapnya, lihat opsi konfigurasi VPC.

Penghapusan Titik Akhir VPC Bersama Gagal

Penghapusan titik akhir VPC bersama tidak diizinkan untuk ID akun, VPC 111122223333 bersama, ID akun pemilik. vpcId 555555555555

Langkah-langkah potensial:
  • Menonaktifkan status Runtime Monitoring akun peserta VPC bersama tidak memengaruhi kebijakan titik akhir VPC bersama dan grup keamanan yang ada di akun pemilik.

    Untuk menghapus titik akhir VPC bersama dan grup keamanan, Anda harus menonaktifkan Pemantauan Waktu Proses atau status konfigurasi agen otomatis di akun pemilik VPC bersama.

  • Akun peserta VPC bersama tidak dapat menghapus titik akhir VPC bersama dan grup keamanan yang dihosting di akun pemilik VPC bersama.

Agen tidak melaporkan

(Kosong dengan sengaja)

Jenis masalah telah mencapai akhir dukungan. Jika Anda terus mengalami masalah ini dan belum melakukannya, aktifkan agen GuardDuty otomatis untuk Amazon EC2.

Jika masalah masih berlanjut, pertimbangkan untuk menonaktifkan Runtime Monitoring selama beberapa menit dan kemudian aktifkan lagi.