Faça com que as instâncias do EC2 sejam gerenciadas por SSM Validação dos requisitos de arquitetura Validando a política de controle de serviços da sua organização Ao usar a configuração automatizada do agente Limite de CPU e memória Próxima etapa

Pré-requisitos para suporte à instância do Amazon EC2

Faça com que as instâncias do EC2 sejam gerenciadas por SSM

As instâncias do Amazon EC2 para as quais você GuardDuty deseja monitorar eventos de tempo de execução devem ser gerenciadas AWS Systems Manager (SSM). Isso ocorre independentemente de você usar GuardDuty para gerenciar o agente de segurança automaticamente ou gerenciá-lo manualmente (excetoMétodo 2 - Usando scripts de instalação do RPM).

Para gerenciar suas instâncias do Amazon EC2 com AWS Systems Manager, consulte Configurando o Systems Manager para instâncias do Amazon EC2 no AWS Systems Manager Guia do usuário.

Validação dos requisitos de arquitetura

A arquitetura da distribuição do sistema operacional pode afetar o comportamento do agente de GuardDuty segurança. Você deve atender aos seguintes requisitos antes de usar o Runtime Monitoring para instâncias do Amazon EC2:

Atualmente, o suporte do Runtime Monitoring para o Amazon EC2 está disponível somente para versões Linux. Embora o suporte para o Ubuntu não esteja disponível no momento, ele estará em um futuro próximo. Para receber notificações sobre atualizações nesta página, assine o feed RSS.

A tabela a seguir mostra a distribuição do sistema operacional que foi verificada para oferecer suporte ao agente GuardDuty de segurança para instâncias do Amazon EC2.

Distribuição do sistema operacional	Versão do kernel	Suporte do kernel	Arquitetura da CPU
Distribuição do sistema operacional	Versão do kernel	Suporte do kernel	x64 (AMD64)	Graviton (ARM64)
AL2 e AL2023	5.4, 5.10, 5.15, 6.1 ^*	eBPF, Tracepoints, Kprobe	Compatível	Compatível

Requisitos adicionais - Somente se você tiver o Amazon ECS/Amazon EC2

Para o Amazon ECS/Amazon EC2, recomendamos que você use as AMIs otimizadas para Amazon ECS mais recentes (datadas de 29 de setembro de 2023 ou posterior) ou use a versão v1.77.0 do agente Amazon ECS.
*Atualmente, com a versão Kernel6.1, não é GuardDuty possível gerar informações Tipos de descoberta de monitoramento de tempo de execução relacionadas a. Eventos de DNS

Validando a política de controle de serviços da sua organização

Se você configurou uma política de controle de serviços (SCP) para gerenciar permissões em sua organização, certifique-se de que a política não negue a permissãoguardduty:SendSecurityTelemetry. É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.

Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento de SCPs para sua organização, consulte Políticas de controle de serviços (SCPs).

Ao usar a configuração automatizada do agente

Para Use a configuração automatizada do agente (recomendado) isso, você Conta da AWS deve atender aos seguintes pré-requisitos:

Ao usar tags de inclusão com configuração automática de agentes, GuardDuty para criar uma associação SSM para uma nova instância, certifique-se de que a nova instância seja gerenciada por SSM e apareça no Fleet Manager no console https://console.aws.amazon.com/systems-manager/.
Ao usar tags de exclusão com a configuração automatizada do agente:
- Adicione a false tagGuardDutyManaged: antes de configurar o agente GuardDuty automatizado para sua conta.
  
  Certifique-se de adicionar a tag de exclusão às suas instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.
- Para que as tags de exclusão funcionem, atualize a configuração da instância para que o documento de identidade da instância esteja disponível no serviço de metadados da instância (IMDS). O procedimento para realizar essa etapa já faz parte da Como habilitar o monitoramento de runtime sua conta.

Limite de CPU e memória para o GuardDuty agente

Limite de CPU

O limite máximo de CPU para o agente GuardDuty de segurança associado às instâncias do Amazon EC2 é de 10% do total de núcleos de vCPU. Por exemplo, se sua instância do EC2 tiver 4 núcleos de vCPU, o agente de segurança poderá usar no máximo 40% do total disponível de 400%.

Limite de memória

Da memória associada à sua instância do Amazon EC2, há uma memória limitada que o agente de GuardDuty segurança pode usar.

A tabela a seguir mostra o limite de memória.

Memória da instância do Amazon EC2	Memória máxima para GuardDuty agente
Menos de 8 GB	128 MB
Menos de 32 GB	256 MB
Maior ou igual a 32 GB	1 GB

Próxima etapa

A próxima etapa é configurar o Runtime Monitoring e também gerenciar o agente de segurança (automática ou manualmente).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pré-requisitos

Para cluster Fargate (somente ECS)