Cobertura para EC2 instância da Amazon - Amazon GuardDuty
Análise de estatísticas de coberturaConfiguração de notificações de alteração do status de coberturaSolução de problemas de cobertura

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cobertura para EC2 instância da Amazon

Para um EC2 recurso da Amazon, a cobertura do tempo de execução é avaliada no nível da instância. Suas EC2 instâncias da Amazon podem executar vários tipos de aplicativos e cargas de trabalho, entre outros, em seu AWS meio ambiente. Esse recurso também oferece suporte a EC2 instâncias da Amazon ECS gerenciadas pela Amazon e, se você tiver ECS clusters da Amazon em execução em uma EC2 instância da Amazon, os problemas de cobertura no nível da instância aparecerão na cobertura de EC2 tempo de execução da Amazon.

Análise de estatísticas de cobertura

As estatísticas de cobertura das EC2 instâncias da Amazon associadas às suas próprias contas ou contas membros são a porcentagem das EC2 instâncias saudáveis em todas as EC2 instâncias selecionadas. Região da AWS. A equação a seguir representa isso como:

(Instâncias ínteis/todas as instâncias) *100

Se você também implantou o agente de GuardDuty segurança para seus ECS clusters da Amazon, qualquer problema de cobertura no nível da instância associado aos ECS clusters da Amazon em execução em uma EC2 instância da Amazon aparecerá como um problema de cobertura de tempo de execução da EC2 instância da Amazon.

Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.

Console

  • Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  • No painel de navegação, escolha Runtime Monitoring.

  • Escolha a guia Cobertura de tempo de execução.

  • Na guia Cobertura de tempo de execução da EC2 instância, você pode ver as estatísticas de cobertura agregadas pelo status de cobertura de cada EC2 instância da Amazon que está disponível na tabela da lista de instâncias.

    • Você pode filtrar a tabela da lista de instâncias pelas seguintes colunas:

      • ID da conta

      • Tipo de gerenciamento de agentes

      • Versão do agente

      • Status da cobertura

      • ID da instância

      • Cluster ARN

  • Se alguma de suas EC2 instâncias tiver o status de Cobertura como Insalubre, a coluna Problema incluirá informações adicionais sobre o motivo do status Insalubre.

API/CLI

  • Execute o ListCoverageAPIcom seu próprio ID de detector válido, região atual e ponto final de serviço. Você pode filtrar e classificar a lista de instâncias usando issoAPI.

    • Você pode alterar o filter-criteria de exemplo com uma das seguintes opções para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando o filter-criteria inclui RESOURCE_TYPE como EC2, o Runtime Monitoring não suporta o uso de ISSUEcomo AttributeName o. Se você usá-lo, a API resposta resultará emInvalidInputException.

      Você pode alterar o AttributeName de exemplo em sort-criteria com uma das seguintes opções:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Você pode alterar o max-results (até 50).

    • Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Execute o GetCoverageStatisticsAPIpara recuperar as estatísticas agregadas de cobertura com base no. statisticsType

    • Você pode alterar o statisticsType de exemplo com uma das seguintes opções:

      • COUNT_BY_COVERAGE_STATUS— Representa estatísticas de cobertura para EKS clusters agregadas por status de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estatísticas de cobertura agregadas com base no tipo de AWS recurso na lista.

      • Você pode alterar o filter-criteria de exemplo no comando. É possível usar as seguintes opções para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se o status da cobertura da sua EC2 instância for Insalubre, consulteSolução de problemas de cobertura.

Configuração de notificações de alteração do status de cobertura

O status da cobertura da sua EC2 instância Amazon pode aparecer como Insalubre. Para saber quando o status da cobertura muda, recomendamos que você monitore o status da cobertura periodicamente e solucione problemas se o status ficar insalubre. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou não. Por padrão, GuardDuty publica isso no EventBridge barramento da sua conta.

Exemplo de esquema de notificação

Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.

Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura da sua EC2 instância Amazon mudar de Healthy paraUnhealthy, o detail-type deve ser GuardDuty Runtime Protection Unhealthy. Para ser notificado quando o status da cobertura mudar de Unhealthy paraHealthy, substitua o valor de detail-type por GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Conta da AWS ID",
  "time": "event timestamp (string)",
  "region": "Região da AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Solução de problemas de cobertura

Se o status da cobertura da sua EC2 instância Amazon for Insalubre, você poderá ver o motivo na coluna Problema.

Se sua EC2 instância estiver associada a um EKS cluster e o agente de segurança tiver EKS sido instalado manualmente ou por meio da configuração automática do agente, para solucionar o problema de cobertura, consulteCobertura para EKS clusters da Amazon.

A tabela a seguir lista os tipos de problemas e as etapas de solução de problemas correspondentes.

Tipo de problema Mensagem de emissão Etapas de solução de problemas

Sem relatórios de agentes

Aguardando SSM notificação

O recebimento da SSM notificação pode levar alguns minutos.

Certifique-se de que a EC2 instância da Amazon seja SSM gerenciada. Para obter mais informações, consulte as etapas em Método 1 - Usando AWS Systems Manager emInstalando o agente de segurança manualmente.

(Vazio de propósito)

Se você estiver gerenciando o agente de GuardDuty segurança manualmente, certifique-se de seguir as etapas abaixoGerenciando o agente de segurança manualmente para a EC2 instância da Amazon.

Se você ativou a configuração automatizada do agente:

Valide se o VPC endpoint da sua EC2 instância Amazon está configurado corretamente. Para obter mais informações, consulte Como faço para validar se a configuração do VPC endpoint está correta?.

Se sua organização tiver uma política de controle de serviços (SCP), confirme se o limite de permissões não está restringindo a permissão. guardduty:SendSecurityTelemetry Para obter mais informações, consulte Validando a política de controle de serviços da sua organização.

Agente desconectado

  • Visualize o status do seu agente de segurança. Para obter mais informações, consulte Validando o status GuardDuty de instalação do agente de segurança.

  • Visualize os registros do agente de segurança para identificar a possível causa raiz. Os registros fornecem erros detalhados que você pode usar para solucionar o problema sozinho. Os arquivos de log estão disponíveis em/var/log/amzn-guardduty-agent/.

    Faça sudo journalctl -u amazon-guardduty-agent.

SSMFalha na criação da associação

GuardDuty SSMa associação já existe na sua conta

  1. Exclua a associação existente manualmente. Para obter mais informações, consulte Excluindo associações no AWS Systems Manager Guia do usuário.

  2. Depois de excluir a associação, desative e reative a configuração GuardDuty automática do agente para a AmazonEC2.

Sua conta tem muitas SSM associações

Escolha uma das duas opções a seguir:

  • Exclua todas as SSM associações não utilizadas. Para obter mais informações, consulte Excluindo associações no AWS Systems Manager Guia do usuário.

  • Verifique se sua conta está qualificada para um aumento de cota. Para obter mais informações, consulte as cotas do Systems Manager Service no Referência geral da AWS.

SSMFalha na atualização da associação

GuardDuty SSMassociação não existe na sua conta

GuardDuty SSMa associação não está presente em sua conta. Desative e reative o Runtime Monitoring.

SSMFalha na exclusão da associação

GuardDuty SSMassociação não existe na sua conta

A SSM associação não está presente na sua conta. Se a SSM associação foi excluída intencionalmente, nenhuma ação será necessária.

SSMFalha na execução da associação de instâncias

Os requisitos arquitetônicos ou outros pré-requisitos não são atendidos.

Para obter informações sobre distribuições verificadas do sistema operacional, consultePré-requisitos para suporte a instâncias da Amazon EC2.

Se você ainda tiver esse problema, as etapas a seguir ajudarão você a identificar e potencialmente resolver o problema:

  1. Abra as AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, em Gerenciamento de nós, selecione State Manager.

  3. Filtrar pela propriedade Nome do documento e inserir AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Selecione o ID da associação correspondente e visualize seu histórico de execução.

  5. Usando o histórico de execução, visualize as falhas, identifique a possível causa raiz e tente resolvê-la.

VPCFalha na criação do endpoint

VPCcriação de endpoint não suportada para compartilhamento VPC vpcId

O Runtime Monitoring suporta o uso de um compartilhamento VPC dentro de uma organização. Para obter mais informações, consulte Uso compartilhado VPC com agentes de segurança automatizados.

Somente ao usar a configuração compartilhada VPC com agente automatizado

ID da conta do proprietário 111122223333 para compartilhado VPC vpcId não tem o Runtime Monitoring, a configuração automatizada do agente ou ambos ativados

 A conta compartilhada do VPC proprietário deve habilitar o Runtime Monitoring e a configuração automática do agente para pelo menos um tipo de recurso (Amazon EKS ou Amazon ECS (AWS Fargate)). Para obter mais informações, consultePré-requisitos específicos para o monitoramento de tempo de execução GuardDuty.

Habilitar o privado DNS requer ambos enableDnsSupport e enableDnsHostnames VPC os atributos definidos como true para vpcId (Serviço: Ec2, Código de status: 400, ID da solicitação: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Certifique-se de que os VPC atributos a seguir estejam definidos como trueenableDnsSupport enableDnsHostnames e. Para obter mais informações, consulte DNSatributos em seu VPC.

Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/para criar o AmazonVPC, certifique-se de selecionar Habilitar DNS nomes de host e Ativar DNS resolução. Para obter mais informações, consulte VPCas opções de configuração.

Falha na exclusão VPC do endpoint compartilhado

A exclusão compartilhada VPC do endpoint não é permitida para o ID da conta 111122223333, compartilhado VPC vpcId, ID da conta do proprietário 555555555555.
Etapas potenciais:

  • Desabilitar o status do Runtime Monitoring da conta compartilhada do VPC participante não afeta a política de VPC endpoint compartilhado e o grupo de segurança que existe na conta do proprietário.

    Para excluir o VPC endpoint compartilhado e o grupo de segurança, você deve desativar o Runtime Monitoring ou o status de configuração automatizada do agente na conta do VPC proprietário compartilhada.

  • A conta compartilhada do VPC participante não pode excluir o VPC endpoint compartilhado e o grupo de segurança hospedados na conta compartilhada do VPC proprietário.

Agente que não está reportando

(Vazio de propósito)

O tipo de problema chegou ao fim do suporte. Se você continuar enfrentando esse problema e ainda não o fez, habilite o agente GuardDuty automatizado para a AmazonEC2.

Se o problema persistir, considere desativar o Runtime Monitoring por alguns minutos e depois habilitá-lo novamente.