Prerequisiti per il supporto delle EC2 istanze Amazon - Amazon GuardDuty
Rendi le EC2 istanze gestite tramite SSMConvalida dei requisiti relativi all'architetturaConvalida della politica di controllo dei servizi della tua organizzazioneQuando si utilizza la configurazione automatica degli agentiLimite di CPU e memoriaApprofondimenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per il supporto delle EC2 istanze Amazon

Questa sezione include i prerequisiti per il monitoraggio del comportamento di runtime delle EC2 istanze Amazon. Una volta soddisfatti questi prerequisiti, consulta. Abilitazione del monitoraggio del GuardDuty runtime

Rendi le EC2 istanze gestite tramite SSM

Le EC2 istanze Amazon per le quali desideri GuardDuty monitorare gli eventi di runtime devono essere gestite AWS Systems Manager (SSM). Questo indipendentemente dal fatto che tu lo utilizzi GuardDuty per gestire automaticamente il Security Agent o lo gestisci manualmente. Tuttavia, quando gestisci l'agente manualmente utilizzando il manualeMetodo 2: utilizzo dei gestori di pacchetti Linux, non è necessario che le EC2 istanze siano gestite tramite SSM.

Per gestire le tue EC2 istanze Amazon con AWS Systems Manager, consulta Configurazione delle EC2 istanze di Systems Manager per Amazon nella Guida per l'AWS Systems Manager utente.

Nota per le istanze basate su Fedora EC2

AWS Systems Manager non supporta la distribuzione del sistema operativo Fedora. Dopo aver abilitato il Runtime Monitoring, usa il metodo manuale (Metodo 2: utilizzo dei gestori di pacchetti Linux) per installare il security agent nelle istanze basate su EC2 Fedora.

Per informazioni sulle piattaforme supportate, vedi Piattaforme e architetture a pacchetto supportate nella Guida per l'utente.AWS Systems Manager

Convalida dei requisiti relativi all'architettura

L'architettura della distribuzione del sistema operativo potrebbe influire sul comportamento del GuardDuty Security Agent. È necessario soddisfare i seguenti requisiti prima di utilizzare Runtime Monitoring per EC2 le istanze Amazon:

  • La tabella seguente mostra la distribuzione del sistema operativo che è stata verificata per supportare il GuardDuty security agent per EC2 le istanze Amazon.

    Distribuzione del sistema operativo1 Versione del kernel2 Supporto del kernel Architettura della CPU
    x64 () AMD64 Gravitone () ARM64

    AL2 e AL2 023

    Ubuntu 20.04 e Ubuntu 22.04

    Debian 11 e Debian 12

    5.4 3, 5.10, 5.15, 36.1, 6.5, 6.8

    eBPF, Tracepoints, Kprobe

    Supportato

    Supportato

    Ubuntu 24.04

    		 6.8

    RedHat 9.4

    5,14

    4Fedora 34.0

    5.11, 5.17

    CentOS Stream 9

    5,14

    1. Supporto per vari sistemi operativi: GuardDuty ha verificato il supporto per l'utilizzo del Runtime Monitoring sui sistemi operativi elencati nella tabella precedente. Utilizzando un sistema operativo diverso, è possibile ottenere tutto il valore di sicurezza previsto che GuardDuty è stato verificato e fornito nelle distribuzioni del sistema operativo elencate.

    2. Per qualsiasi versione del kernel, è necessario impostare il CONFIG_DEBUG_INFO_BTF flag su y (che significa true). Ciò è necessario per consentire al GuardDuty Security Agent di funzionare come previsto.

    3. Per le versioni del kernel 5.10 e precedenti, il GuardDuty security agent utilizza la memoria bloccata nella RAM (RLIMIT_MEMLOCK) per funzionare come previsto. Se il RLIMIT_MEMLOCK valore del sistema è impostato su un valore troppo basso, si GuardDuty consiglia di impostare i limiti rigidi e morbidi su almeno 32 MB. Per informazioni sulla verifica e la modifica del RLIMIT_MEMLOCK valore predefinito, vedere. Visualizzazione e aggiornamento dei valori RLIMIT_MEMLOCK

    4. Fedora non è una piattaforma supportata per la configurazione automatica degli agenti. È possibile implementare il GuardDuty security agent su Fedora utilizzando. Metodo 2: utilizzo dei gestori di pacchetti Linux

  • Requisiti aggiuntivi: solo se disponi di Amazon ECS/Amazon EC2

    Per Amazon ECS/Amazon EC2, ti consigliamo di utilizzare la versione più recente ottimizzata per Amazon ECS AMIs (datata 29 settembre 2023 o successiva) o di utilizzare la versione dell'agente Amazon ECS v1.77.0.

Visualizzazione e aggiornamento dei valori RLIMIT_MEMLOCK

Quando il RLIMIT_MEMLOCK limite del sistema è troppo basso, il GuardDuty Security Agent potrebbe non funzionare come previsto. GuardDuty raccomanda che sia i limiti rigidi che quelli flessibili siano di almeno 32 MB. Se non aggiorni i limiti, non GuardDuty sarà possibile monitorare gli eventi di runtime della risorsa. Quando RLIMIT_MEMLOCK supera i limiti minimi indicati, l'aggiornamento di tali limiti diventa facoltativo.

È possibile modificare il RLIMIT_MEMLOCK valore predefinito prima o dopo l'installazione del GuardDuty security agent.

Per visualizzare RLIMIT_MEMLOCK i valori

  1. Esegui ps aux | grep guardduty. Questo produrrà l'ID del processo (pid).

  2. Copia l'ID del processo (pid) dall'output del comando precedente.

  3. Esegui grep "Max locked memory" /proc/pid/limits dopo averlo sostituito pid con l'ID di processo copiato dal passaggio precedente.

    Verrà visualizzata la quantità massima di memoria bloccata per l'esecuzione del GuardDuty Security Agent.

Per aggiornare RLIMIT_MEMLOCK i valori

  1. Se il /etc/systemd/system.conf.d/NUMBER-limits.conf file esiste, commenta la riga DefaultLimitMEMLOCK di questo file. Questo file imposta un valore predefinito RLIMIT_MEMLOCK con priorità alta, che sovrascrive le impostazioni nel /etc/systemd/system.conf file.

  2. Apri il /etc/systemd/system.conf file e decommenta la riga che contiene. #DefaultLimitMEMLOCK=

  3. Aggiorna il valore predefinito fornendo RLIMIT_MEMLOCK limiti rigidi e flessibili di almeno 32 MB. L'aggiornamento dovrebbe assomigliare a questo:DefaultLimitMEMLOCK=32M:32M. Il formato è soft-limit:hard-limit.

  4. Esegui sudo reboot.

Convalida della politica di controllo dei servizi della tua organizzazione

Se hai impostato una policy di controllo dei servizi (SCP) per gestire le autorizzazioni nella tua organizzazione, verifica che il limite delle autorizzazioni non sia restrittivo. guardduty:SendSecurityTelemetry È necessario per supportare il monitoraggio del runtime GuardDuty su diversi tipi di risorse.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione SCPs dell'organizzazione, consulta le politiche di controllo del servizio (SCPs).

Quando si utilizza la configurazione automatica degli agenti

Per Utilizza la configurazione automatica degli agenti (scelta consigliata) farlo, Account AWS è necessario soddisfare i seguenti prerequisiti:

  • Quando utilizzi tag di inclusione con configurazione automatica degli agenti, per GuardDuty creare un'associazione SSM per una nuova istanza, assicurati che la nuova istanza sia gestita tramite SSM e venga visualizzata in Fleet Manager nella console. https://console.aws.amazon.com/systems-manager/

  • Quando si utilizzano i tag di esclusione con la configurazione automatica degli agenti:

    • Aggiungi il false tagGuardDutyManaged: prima di configurare l'agente GuardDuty automatico per il tuo account.

      Assicurati di aggiungere il tag di esclusione alle tue EC2 istanze Amazon prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi EC2 istanza che viene avviata senza un tag di esclusione sarà coperta dalla configurazione GuardDuty automatizzata dell'agente.

    • Affinché i tag di esclusione funzionino, aggiorna la configurazione dell'istanza in modo che il documento di identità dell'istanza sia disponibile nel servizio di metadati dell'istanza (IMDS). La procedura per eseguire questo passaggio è già inclusa nel tuo accountAbilitazione del monitoraggio del runtime.

Limite di CPU e memoria per GuardDuty l'agente

Limite della CPU

Il limite massimo di CPU per il GuardDuty security agent associato alle EC2 istanze Amazon è pari al 10% del totale dei core vCPU. Ad esempio, se l' EC2 istanza ha 4 core vCPU, il security agent può utilizzare al massimo il 40 percento del 400 percento totale disponibile.

Memory limit (Limite memoria)

Dalla memoria associata alla tua EC2 istanza Amazon, c'è una memoria limitata che il GuardDuty Security Agent può utilizzare.

La tabella seguente mostra il limite di memoria.

Memoria dell' EC2 istanza Amazon

Memoria massima per l' GuardDuty agente

Meno di 8 GB

128 MB

Meno di 32 GB

256 MB

Maggiore o uguale a 32 GB

1 GB

Approfondimenti

Il passaggio successivo consiste nella configurazione del Runtime Monitoring e nella gestione del security agent (automaticamente o manualmente).