運行時監控如何與 Amazon EC2 實例配合使用 - Amazon GuardDuty
使用自動化代理程式組態 (建議)手動管理安全代理下一步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

運行時監控如何與 Amazon EC2 實例配合使用

Amazon EC2 執行個體可以在您的 AWS 環境中執行多種類型的應用程式和工作負載。啟用執行階段監控並管理 GuardDuty 安全代理程式時,可 GuardDuty 協助您偵測現有 Amazon EC2 執行個體中的威脅,以及可能是新執行個體的威脅。此功能也支援 Amazon ECS 受管 Amazon EC2 執行個體。

啟用執行階段監控 GuardDuty 可讓您使用 Amazon EC2 執行個體內目前執行中和新處理程序的執行時期事件。 GuardDuty 需要安全性代理程式才能將執行階段事件從EC2執行個體傳送至 GuardDuty。

對於 Amazon EC2 執行個體, GuardDuty 安全代理程式會在執行個體層級運作。您可以決定是否要監控帳戶中的所有 Amazon 執行個體或選擇性 Amazon EC2 執行個體。如果您想要管理選擇性執行個體,只有這些執行個體才需要安全性代理程式。

GuardDuty 也可以從 Amazon ECS 叢集中的 Amazon EC2 執行個體中執行的新任務和現有任務中使用執行時期事件。

若要安裝 Sec GuardDuty urity Agent,執行階段監控提供下列兩個選項:

透過使用自動化代理程式組態 GuardDuty (建議)

使用允許 GuardDuty 您在 Amazon EC2 執行個體上安裝安全代理程式的自動化代理程式組態。 GuardDuty 也會管理安全代理程式的更新。

根據預設, GuardDuty 會在您帳戶中的所有執行個體上安裝安全代理程式。如果您只想 GuardDuty 為所選EC2執行個體安裝和管理安全代理程式,請視需要在EC2執行個體中新增包含或排除標記。

有時候,您可能不想監控屬於您帳戶的所有 Amazon EC2 執行個體的執行階段事件。如果您想要監視有限數量執行個體的執行階段事件,請將包含標籤新增為GuardDutyManaged:true至這些選取的執行個體。從 Amazon 提供自動化代理程式組態開始EC2,如果您的EC2執行個體具有包含標籤 (GuardDutyManaged:true),即使您未明確啟用自動化代理程式組態,仍 GuardDuty會為所選執行個體接受標籤並管理安全代理程式。

另一方面,如果您不想監視執行階段事件的EC2執行個體數量有限,請在這些選取的執行個體中新增排除標記 (GuardDutyManaged:false)。 GuardDuty 會安裝管理這些EC2資源的安全代理程式,以遵循排除標籤。

影響

當您在 AWS 帳戶 或組織中使用自動化代理程式設定時,您 GuardDuty 允許代表您採取下列步驟:

  • GuardDuty 為所有受管理的 Amazon EC2 執行個體建立一個SSM關聯,這些執行個體會顯示在https://console.aws.amazon.com/systems-manager/主控台的叢集SSM管理員下方。

  • 在停用自動化代理程式組態的情況下使用包含標籤 — 啟用執行階段監控之後,當您未啟用自動化代理程式組態,但在 Amazon EC2 執行個體新增包含標籤時,表示您 GuardDuty 允許代表您管理安全代理程式。SSM然後,關聯會在每個具有包含標籤 (GuardDutyManaged:true) 的執行個體中安裝安全性代理程式。

  • 如果您啟用自動化代理程式組態 — SSM 關聯會接著會在屬於您帳戶的所有EC2執行個體中安裝 Security Agent。

  • 使用具有自動化代理程式組態的排除標籤 — 啟用自動化代理程式組態之前,當您將排除標籤新增至 Amazon EC2 執行個體時,表示您允許禁止 GuardDuty 為此選取的執行個體安裝和管理安全代理程式。

    現在,當您啟用自動化代理程式設定時,SSM關聯會會在所有EC2執行個體中安裝和管理安全代理程式,但標記為排除標籤的執行個體除外。

  • GuardDuty 只要其中至少有一個 Linux EC2 執行個體不處於終止或往下移動執行個體狀態VPCs,就會在所有執行個體 (包括共用) 中建立VPC端點。VPCs VPC有關不同執行個體狀態的資訊,請參閱 Amazon EC2 使用者指南中的執行個體生命週期

    GuardDuty 也支持使用VPC與自動安全代理程式共用。當您的組織考慮所有必要條件時 AWS 帳戶, GuardDuty 會使用共用VPC來接收執行階段事件。

    注意

    使用VPC端點不會產生額外費用。

手動管理安全代理

有兩種方式可以手動管理 Amazon 的安全代理程EC2式:

  • 使用中的 GuardDuty 受管文件,在 AWS Systems Manager 已受管的 Amazon EC2 執行個體上安裝安全代SSM理程式。

    每當您啟動新的 Amazon EC2 執行個體時,請確保SSM已啟用該執行個體。

  • 使用RPM套件管理員 (RPM) 指令碼在 Amazon EC2 執行個體上安裝安全代理程式,無論它們是否SSM受管。

下一步驟

若要開始使用執行階段監控組態來監控 Amazon EC2 執行個體,請參閱Amazon EC2 執行個體支援先決條件