本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EC2 实例支持的先决条件
将EC2实例SSM设为托管
您 GuardDuty 要监控其运行时事件的 Amazon EC2 实例必须由 AWS Systems Manager (SSM) 托管。无论您是使用 GuardDuty 自动管理安全客户端还是手动管理安全客户端(除外方法 2-使用 Linux Package Managers),这都是如此。
要使用管理您的亚马逊EC2实例 AWS Systems Manager,请参阅AWS Systems Manager 用户指南中的为亚马逊EC2实例设置 Systems Manager。
验证架构要求
操作系统分发的架构可能会影响 GuardDuty 安全代理的行为。在对 Amazon EC2 实例使用运行时监控之前,您必须满足以下要求:
-
下表显示了经验证可支持 Amazon EC2 实例 GuardDuty 安全代理的操作系统分布。
操作系统发行版 内核版本 内核支持 CPU 架构 x64 () AMD64 Graviton () ARM64 -
AL2还有 AL2 023
-
Ubuntu 20.04 和 Ubuntu 22.04
-
Debian 11 和 Debian 12
5.4、5.10、5.15、6.1、6.5、6.8
e BPF、Tracepoints、Kpro
支持
支持
-
-
其他要求-仅当您拥有亚马逊 ECS /亚马逊时 EC2
对于亚马逊 ECS /亚马逊EC2,我们建议您使用最新的亚马逊ECS优化版AMIs(日期为 2023 年 9 月 29 日或更晚),或者使用亚马逊ECS代理版本 v1.77.0。
验证您的组织服务控制策略
如果您已设置服务控制策略 (SCP) 来管理组织中的权限,请确保该策略不会拒绝该权限guardduty:SendSecurityTelemetry
。它是支持跨不同资源类型的运行时监控所必需的。 GuardDuty
如果您是成员账户,请与关联的委托管理员建立联系。有关为您的组织SCPs进行管理的信息,请参阅服务控制策略 (SCPs)。
使用自动代理配置时
为使用自动代理配置(推荐)此,您 AWS 账户 必须满足以下先决条件:
-
在自动代理配置中使用包含标签时, GuardDuty 要为新实例创建SSM关联,请确保新实例已SSM被管理并显示在https://console.aws.amazon.com/systems-manager/
控制台的 Fleet Manager 下。 -
在自动代理配置中使用排除标签时:
-
在为您的账户配置 GuardDuty 自动代理之前,请添加
GuardDutyManaged
:false
标签。在启动 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后EC2,任何在没有排除标签的情况下启动的EC2实例都将包含在 GuardDuty 自动代理配置中。
-
要使排除标签起作用,请更新实例配置,以便实例元数据服务 (IMDS) 中提供实例身份文档。启用运行时监控对于您的账户,执行此步骤的程序已经是其中的一部分。
-
CPU和 GuardDuty 代理的内存限制
- CPU极限
-
与 Amazon EC2 实例关联 GuardDuty 的安全代理的最大CPU限制为总数 v CPU 核心的 10%。例如,如果您的EC2实例具有 4 v CPU 内核,则安全代理最多可以使用 400% 的可用内核。
- 内存限制
-
从与您的 Amazon EC2 实例关联的内存中, GuardDuty 安全代理可以使用的内存有限。
下表显示了内存限制。
Amazon EC2 实例的内存
GuardDuty 代理的最大内存
小于 8 GB
128MB
小于 32 GB
256 MB
大于或等于 32 GB
1 GB
后续步骤
下一步是配置运行时监控并管理安全代理(自动或手动)。