Rendi le istanze EC2 gestite tramite SSM Convalida dei requisiti relativi all'architettura Convalida della politica di controllo dei servizi dell'organizzazione Quando si utilizza la configurazione automatica degli agenti Limite di CPU e memoria Approfondimenti

Prerequisiti per il supporto delle istanze Amazon EC2

Rendi le istanze EC2 gestite tramite SSM

Le istanze Amazon EC2 per le quali desideri GuardDuty monitorare gli eventi di runtime devono essere gestite AWS Systems Manager (SSM). Questo indipendentemente dal fatto che tu lo utilizzi GuardDuty per gestire il security agent automaticamente o manualmente (tranne). Metodo 2 - Utilizzando Linux Package Manager

Per gestire le istanze Amazon EC2 con AWS Systems Manager, consulta Configurazione delle istanze di Systems Manager per Amazon EC2 nella Guida per l'utente.AWS Systems Manager

Convalida dei requisiti relativi all'architettura

L'architettura della distribuzione del sistema operativo potrebbe influire sul comportamento del GuardDuty security agent. È necessario soddisfare i seguenti requisiti prima di utilizzare Runtime Monitoring per le istanze Amazon EC2:

La tabella seguente mostra la distribuzione del sistema operativo che è stata verificata per supportare l'agente GuardDuty di sicurezza per le istanze Amazon EC2.

Distribuzione del sistema operativo	Versione del kernel	Supporto del kernel	Architettura della CPU
Distribuzione del sistema operativo	Versione del kernel	Supporto del kernel	x64 (AMD64)	Graviton (ARM64)
AL2 e AL2023 Ubuntu 20.04 e Ubuntu 22.04 Debian 11 e Debian 12	5.4, 5.10, 5.15, 6.1, 6.5, 6.8	eBPF, Tracepoints, Kprobe	Supportato	Supportato

Requisiti aggiuntivi: solo se disponi di Amazon ECS/Amazon EC2

Per Amazon ECS/Amazon EC2, ti consigliamo di utilizzare le AMI più recenti ottimizzate per Amazon ECS (datate 29 settembre 2023 o successive) o di utilizzare la versione dell'agente Amazon ECS v1.77.0.

Convalida della politica di controllo dei servizi dell'organizzazione

Se hai impostato una policy di controllo dei servizi (SCP) per gestire le autorizzazioni nella tua organizzazione, assicurati che tale policy non neghi l'autorizzazione. guardduty:SendSecurityTelemetry È necessario per GuardDuty supportare il monitoraggio del runtime su diversi tipi di risorse.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione degli SCP per l'organizzazione, consulta le politiche di controllo dei servizi (SCP).

Quando si utilizza la configurazione automatica degli agenti

Per Utilizza la configurazione automatica degli agenti (scelta consigliata) farlo, Account AWS è necessario soddisfare i seguenti prerequisiti:

Quando utilizzi tag di inclusione con configurazione automatica degli agenti, per GuardDuty creare un'associazione SSM per una nuova istanza, assicurati che la nuova istanza sia gestita tramite SSM e venga visualizzata in Fleet Manager nella console https://console.aws.amazon.com/systems-manager/.
Quando si utilizzano tag di esclusione con configurazione automatica degli agenti:
- Aggiungi il false tagGuardDutyManaged: prima di configurare l'agente GuardDuty automatico per il tuo account.
  
  Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
- Affinché i tag di esclusione funzionino, aggiorna la configurazione dell'istanza in modo che il documento di identità dell'istanza sia disponibile nel servizio di metadati dell'istanza (IMDS). La procedura per eseguire questo passaggio è già inclusa nel tuo accountAbilitazione del monitoraggio del runtime.

Limite di CPU e memoria per GuardDuty l'agente

Limite della CPU

Il limite massimo di CPU per il GuardDuty security agent associato alle istanze Amazon EC2 è pari al 10% dei core vCPU totali. Ad esempio, se l'istanza EC2 ha 4 core vCPU, il security agent può utilizzare al massimo il 40 percento del 400 percento totale disponibile.

Memory limit (Limite memoria)

Dalla memoria associata all'istanza Amazon EC2, c'è una memoria limitata che il GuardDuty security agent può utilizzare.

La tabella seguente mostra il limite di memoria.

Memoria dell'istanza Amazon EC2	Memoria massima per l'agente GuardDuty
Meno di 8 GB	128 MB
Meno di 32 GB	256 MB
Maggiore o uguale a 32 GB	1 GB

Approfondimenti

Il passaggio successivo consiste nella configurazione del Runtime Monitoring e nella gestione del security agent (automaticamente o manualmente).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Prerequisiti

Per il cluster Fargate (solo ECS)