Runtime Monitoring が Amazon EC2インスタンスと連携する方法 - Amazon GuardDuty
自動エージェント設定を使用する (推奨)セキュリティエージェントの手動管理次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring が Amazon EC2インスタンスと連携する方法

Amazon EC2インスタンスは、 AWS 環境で複数のタイプのアプリケーションとワークロードを実行できます。Runtime Monitoring を有効にして GuardDuty セキュリティエージェントを管理すると、 GuardDuty は既存の Amazon EC2インスタンスおよび新しいインスタンスの脅威を検出するのに役立ちます。この機能は Amazon ECSマネージド Amazon EC2インスタンスもサポートしています。

Runtime Monitoring を有効にすると、Amazon EC2インスタンス内で現在実行中のプロセスと新しいプロセスからのランタイムイベントを消費する GuardDuty 準備が整います。 では、EC2インスタンスから にランタイムイベントを送信するためにセキュリティエージェント GuardDuty が必要です GuardDuty。

Amazon EC2インスタンスの場合、 GuardDuty セキュリティエージェントはインスタンスレベルで動作します。アカウント内のすべての Amazon インスタンスまたは選択的な Amazon EC2インスタンスをモニタリングするかどうかを決定できます。選択的インスタンスを管理する場合、セキュリティエージェントはこれらのインスタンスにのみ必要です。

GuardDuty は、Amazon ECSクラスター内の Amazon EC2インスタンスで実行されている新しいタスクや既存のタスクからのランタイムイベントを使用することもできます。

GuardDuty セキュリティエージェントをインストールするには、Runtime Monitoring に次の 2 つのオプションがあります。

を使用して自動エージェント設定を使用する GuardDuty (推奨)

ユーザーに代わって が Amazon EC2インスタンス GuardDuty にセキュリティエージェントをインストールすることを許可する自動エージェント設定を使用します。 はセキュリティエージェントの更新 GuardDuty も管理します。

デフォルトでは、 GuardDuty はアカウント内のすべてのインスタンスにセキュリティエージェントをインストールします。選択したEC2インスタンスにのみセキュリティエージェントをインストールおよび管理 GuardDuty する場合は、必要に応じてEC2インスタンスに包含タグまたは除外タグを追加します。

アカウントに属するすべての Amazon EC2インスタンスのランタイムイベントをモニタリングしたくない場合があります。限られた数のインスタンスのランタイムイベントをモニタリングする場合は、選択したインスタンスに包含タグを GuardDutyManagedtrue として追加します。Amazon の自動エージェント設定の可用性以降、EC2インスタンスに包含タグ (GuardDutyManagedtrue) GuardDuty がある場合EC2、自動エージェント設定を明示的に有効にしない場合でも、 はタグを尊重し、選択したインスタンスのセキュリティエージェントを管理します。

一方、ランタイムイベントをモニタリングしたくないEC2インスタンスが限られている場合は、選択したインスタンスに除外タグ (GuardDutyManagedfalse) を追加します。 は、これらのEC2リソースのセキュリティエージェントをインストール管理もしないことで、除外タグ GuardDuty を尊重します。

Impact

または組織で AWS アカウント 自動エージェント設定を使用する場合、 GuardDuty がユーザーに代わって次の手順を実行することを許可します。

  • GuardDuty は、SSM管理され、https://console.aws.amazon.com/systems-manager/コンソールの Fleet Manager の下に表示されるすべての Amazon EC2インスタンスに対して 1 つのSSM関連付けを作成します。

  • 自動エージェント設定を無効にして包含タグを使用する – Runtime Monitoring を有効にした後、自動エージェント設定を有効にせずに Amazon EC2インスタンスに包含タグを追加すると、ユーザーに代わってセキュリティエージェントの管理 GuardDuty が許可されることを意味します。SSM 関連付けは、包含タグ (GuardDutyManagedtrue) を持つ各インスタンスにセキュリティエージェントをインストールします。

  • 自動エージェント設定を有効にすると、SSM関連付けはアカウントに属するすべてのEC2インスタンスにセキュリティエージェントをインストールします。

  • 自動エージェント設定で除外タグを使用する – 自動エージェント設定を有効にする前に、Amazon EC2インスタンスに除外タグを追加すると、選択したインスタンスのセキュリティエージェントのインストールと管理を禁止することを GuardDuty に許可していることになります。

    これで、自動エージェント設定を有効にすると、SSM関連付けは、除外タグが付けられたインスタンスを除くすべてのEC2インスタンスにセキュリティエージェントをインストールおよび管理します。

  • GuardDuty はVPCs、終了またはシャットダウンされたEC2インスタンス状態にない Linux インスタンスVPCが に少なくとも 1 つある限りVPCs、共有 を含むすべての にVPCエンドポイントを作成します。さまざまなインスタンス状態の詳細については、「Amazon ユーザーガイド」の「インスタンスのライフサイクル」を参照してください。 EC2

    GuardDuty は もサポートしています自動セキュリティエージェントVPCと共有 の使用。組織と のすべての前提条件が考慮されると AWS アカウント、 GuardDuty は共有 を使用してランタイムイベントVPCを受信します。

    注記

    VPC エンドポイントの使用に追加料金はかかりません。

セキュリティエージェントの手動管理

Amazon のセキュリティエージェントEC2を手動で管理するには、次の 2 つの方法があります。

  • で GuardDuty マネージドドキュメントを使用して AWS Systems Manager 、すでにSSM管理されている Amazon EC2インスタンスにセキュリティエージェントをインストールします。

    新しい Amazon EC2インスタンスを起動するたびに、そのインスタンスSSMが有効になっていることを確認します。

  • RPM パッケージマネージャー (RPM) スクリプトを使用して、SSM管理されているかどうかにかかわらず、Amazon EC2インスタンスにセキュリティエージェントをインストールします。

次のステップ

Amazon EC2インスタンスをモニタリングするための Runtime Monitoring 設定を開始するには、「」を参照してくださいAmazon EC2インスタンスのサポートの前提条件