Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2 - Amazon GuardDuty
Meninjau statistik cakupanPerubahan status cakupan dengan EventBridge notifikasiMemecahkan masalah cakupan EC2 runtime Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2

Untuk EC2 sumber daya Amazon, cakupan runtime dievaluasi pada tingkat instans. EC2Instans Amazon Anda dapat menjalankan beberapa jenis aplikasi dan beban kerja antara lain di lingkungan Anda. AWS Fitur ini juga mendukung EC2 instans Amazon yang ECS dikelola Amazon dan jika Anda memiliki ECS klaster Amazon yang berjalan di EC2 instans Amazon, masalah cakupan pada tingkat instans akan muncul di bawah cakupan EC2 runtime Amazon.

Meninjau statistik cakupan

Statistik cakupan untuk EC2 instans Amazon yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase EC2 contoh sehat di semua EC2 instance yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:

(Contoh Sehat/Semua contoh) * 100

Jika Anda juga telah menerapkan agen GuardDuty keamanan untuk ECS kluster Amazon Anda, maka masalah cakupan tingkat instans apa pun yang terkait dengan ECS kluster Amazon yang berjalan di EC2 instans Amazon akan muncul sebagai masalah cakupan runtime EC2 instans Amazon.

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime EC2 instance, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap EC2 instans Amazon yang tersedia di tabel daftar Instans.

    • Anda dapat memfilter tabel daftar Instance dengan kolom berikut:

      • ID Akun

      • Jenis manajemen agen

      • Versi agen

      • Status cakupan

      • ID Instance

      • Cluster ARN

  • Jika salah satu EC2 instans Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah menyertakan informasi tambahan tentang alasan status Tidak Sehat.

API/CLI

  • Jalankan ListCoverageAPIdengan ID detektor valid Anda sendiri, Wilayah saat ini, dan titik akhir layanan. Anda dapat memfilter dan mengurutkan daftar instance menggunakan iniAPI.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Ketika filter-criteria termasuk RESOURCE_TYPE sebagai EC2, Runtime Monitoring tidak mendukung penggunaan ISSUEsebagai. AttributeName Jika Anda menggunakannya, API respons akan menghasilkanInvalidInputException.

      Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Jalankan GetCoverageStatisticsAPIuntuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk EKS cluster yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Jika status cakupan EC2 instans Anda tidak sehat, lihatMemecahkan masalah cakupan EC2 runtime Amazon.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan EC2 instans Amazon Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan EC2 instans Amazon Anda berubah dari Healthy keUnhealthy, detail-type seharusnya GuardDuty Runtime Protection Unhealthy. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai dengan detail-type GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan EC2 runtime Amazon

Jika status cakupan EC2 instans Amazon Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.

Jika EC2 instans Anda dikaitkan dengan EKS klaster dan agen keamanan untuk EKS diinstal baik secara manual atau melalui konfigurasi agen otomatis, maka untuk memecahkan masalah cakupan, lihat. Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS

Tabel berikut mencantumkan jenis masalah dan langkah pemecahan masalah yang sesuai.

Jenis masalah Pesan masalah Langkah pemecahan masalah

Tidak Ada Pelaporan Agen

Menunggu SSM pemberitahuan

Menerima SSM pemberitahuan mungkin memakan waktu beberapa menit.

Pastikan EC2 instans Amazon SSM dikelola. Untuk informasi selengkapnya, lihat langkah-langkah di bawah Metode 1 - Dengan menggunakan AWS Systems Manager diMemasang agen keamanan secara manual.

(Kosong dengan sengaja)

Jika Anda mengelola agen GuardDuty keamanan secara manual, pastikan Anda mengikuti langkah-langkah di bawah iniMengelola agen keamanan secara manual untuk EC2 sumber daya Amazon.

Jika Anda telah mengaktifkan konfigurasi agen otomatis:

Validasi bahwa VPC titik akhir untuk EC2 instans Amazon Anda dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi VPC titik akhir.

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. guardduty:SendSecurityTelemetry Untuk informasi selengkapnya, lihat Memvalidasi kebijakan kontrol layanan organisasi Anda.

Agen terputus

  • Lihat status agen keamanan Anda. Untuk informasi selengkapnya, lihat Memvalidasi status instalasi agen GuardDuty keamanan.

  • Lihat log agen keamanan untuk mengidentifikasi akar penyebab potensial. Log memberikan kesalahan terperinci yang dapat Anda gunakan untuk memecahkan masalah sendiri. File log tersedia di bawah/var/log/amzn-guardduty-agent/.

    Lakukansudo journalctl -u amazon-guardduty-agent.

SSMPenciptaan Asosiasi Gagal

GuardDuty SSMasosiasi sudah ada di akun Anda

  1. Hapus asosiasi yang ada secara manual. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  2. Setelah Anda menghapus asosiasi, nonaktifkan lalu aktifkan kembali konfigurasi agen GuardDuty otomatis untuk AmazonEC2.

Akun Anda memiliki terlalu banyak SSM asosiasi

Pilih salah satu dari dua opsi berikut:

  • Hapus SSM asosiasi yang tidak digunakan. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  • Periksa apakah akun Anda memenuhi syarat untuk kenaikan kuota. Untuk informasi selengkapnya, lihat kuota Layanan Systems Manager di bagian. Referensi Umum AWS

SSMPembaruan Asosiasi Gagal

GuardDuty SSMasosiasi tidak ada di akun Anda

GuardDuty SSMasosiasi tidak ada di akun Anda. Nonaktifkan dan kemudian aktifkan kembali Runtime Monitoring.

SSMPenghapusan Asosiasi Gagal

GuardDuty SSMasosiasi tidak ada di akun Anda

SSMAsosiasi tidak ada di akun Anda. Jika SSM asosiasi dihapus dengan sengaja, maka tidak diperlukan tindakan.

SSMEksekusi Asosiasi Instance Gagal

Persyaratan arsitektur atau prasyarat lainnya tidak terpenuhi.

Untuk informasi tentang distribusi sistem operasi terverifikasi, lihatPrasyarat untuk dukungan instans Amazon EC2.

Jika Anda masih mengalami masalah ini, langkah-langkah berikut akan membantu Anda mengidentifikasi dan berpotensi menyelesaikan masalah:

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, di bawah Manajemen node, pilih Manajer Negara.

  3. Filter berdasarkan properti Nama Dokumen dan masukkan AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Pilih ID asosiasi yang sesuai dan lihat riwayat Eksekusinya.

  5. Menggunakan riwayat eksekusi, melihat kegagalan, mengidentifikasi akar penyebab potensial, dan mencoba untuk menyelesaikannya.

VPCPembuatan Endpoint Gagal

VPCpembuatan titik akhir tidak didukung untuk dibagikan VPC vpcId

Runtime Monitoring mendukung penggunaan shared VPC dalam suatu organisasi. Untuk informasi selengkapnya, lihat Menggunakan berbagi VPC dengan agen keamanan otomatis.

Hanya saat menggunakan dibagikan VPC dengan konfigurasi agen otomatis

ID akun pemilik 111122223333 untuk dibagikan VPC vpcId tidak mengaktifkan Runtime Monitoring, konfigurasi agen otomatis, atau keduanya

 Akun VPC pemilik bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS (AWS Fargate)). Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty .

Mengaktifkan privat DNS membutuhkan keduanya enableDnsSupport dan enableDnsHostnames VPC atribut yang disetel ke for true vpcId (Layanan: Ec2, Kode Status: 400, ID Permintaan: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Pastikan bahwa VPC atribut berikut diatur ke trueenableDnsSupport danenableDnsHostnames. Untuk informasi selengkapnya, lihat DNSatribut di VPC.

Jika Anda menggunakan VPC Konsol Amazon di https://console.aws.amazon.com/vpc/untuk membuat AmazonVPC, pastikan untuk memilih Aktifkan DNS nama host dan Aktifkan DNS resolusi. Untuk informasi selengkapnya, lihat opsi VPC konfigurasi.

Penghapusan VPC Titik Akhir Bersama Gagal

Penghapusan VPC endpoint bersama tidak diizinkan untuk ID akun 111122223333, berbagi VPC vpcId, ID akun pemilik 555555555555.
Langkah-langkah potensial:

  • Menonaktifkan status Runtime Monitoring akun VPC peserta bersama tidak memengaruhi kebijakan VPC titik akhir bersama dan grup keamanan yang ada di akun pemilik.

    Untuk menghapus grup VPC endpoint dan keamanan bersama, Anda harus menonaktifkan Runtime Monitoring atau status konfigurasi agen otomatis di akun VPC pemilik bersama.

  • Akun VPC peserta bersama tidak dapat menghapus VPC titik akhir bersama dan grup keamanan yang dihosting di akun VPC pemilik bersama.

Agen tidak melaporkan

(Kosong dengan sengaja)

Jenis masalah telah mencapai akhir dukungan. Jika Anda terus mengalami masalah ini dan belum melakukannya, aktifkan agen GuardDuty otomatis untuk AmazonEC2.

Jika masalah masih berlanjut, pertimbangkan untuk menonaktifkan Runtime Monitoring selama beberapa menit dan kemudian aktifkan lagi.