Runtime Monitoring 如何與 Amazon EC2執行個體搭配使用 - Amazon GuardDuty
使用自動代理程式組態 (建議)手動管理安全代理程式下一步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Runtime Monitoring 如何與 Amazon EC2執行個體搭配使用

您的 Amazon EC2執行個體可以在您的 AWS 環境中執行多種類型的應用程式和工作負載。當您啟用執行期監控和管理 GuardDuty 安全代理程式時, GuardDuty 可協助您偵測現有 Amazon EC2執行個體中的威脅,以及可能的新執行個體。此功能也支援 Amazon ECS受管 Amazon EC2執行個體。

啟用執行期監控可讓 GuardDuty 準備好取用目前執行中的執行期事件,以及 Amazon EC2執行個體內的新程序。 GuardDuty 需要安全代理程式將執行期事件從EC2執行個體傳送至 GuardDuty。

對於 Amazon EC2執行個體, GuardDuty 安全代理程式會在執行個體層級運作。您可以決定是否要監控帳戶中的所有或選擇性 Amazon EC2執行個體。如果您想要管理選擇性執行個體,只有這些執行個體需要安全代理程式。

GuardDuty 也可以使用來自 Amazon ECS叢集內 Amazon EC2執行個體中執行的新任務和現有任務的執行期事件。

若要安裝 GuardDuty 安全代理程式,執行期監控提供下列兩個選項:

透過 使用自動代理程式組態 GuardDuty (建議)

使用自動代理程式組態, GuardDuty 允許 代表您在 Amazon EC2執行個體上安裝安全代理程式。 GuardDuty 也會管理安全代理程式的更新。

根據預設, GuardDuty 會在您帳戶中的所有執行個體上安裝安全代理程式。如果只 GuardDuty 想要為選取的EC2執行個體安裝和管理安全代理程式,請視需要將包含或排除標籤新增至EC2執行個體。

有時,您可能不想監控屬於您帳戶的所有 Amazon EC2執行個體的執行期事件。對於您要監控有限數量執行個體執行期事件的情況,請將包含標籤新增為 GuardDutyManagedtrue 到這些選取的執行個體。從 Amazon 自動代理程式組態的可用性開始EC2,如果您的EC2執行個體具有包含標籤 (GuardDutyManagedtrue),即使您未明確啟用自動代理程式組態, GuardDuty 仍會承兌標籤並管理所選執行個體的安全代理程式。

另一方面,如果您不想監控執行期事件的EC2執行個體數量有限,請將排除標籤 (GuardDutyManagedfalse) 新增至這些選取的執行個體。 GuardDuty 不會安裝管理這些EC2資源的安全代理程式,以履行排除標籤。

影響

當您在 AWS 帳戶 或 組織中使用自動代理程式組態時,您可以代表您 GuardDuty 執行下列步驟:

  • GuardDuty 會為您在https://console.aws.amazon.com/systems-manager/主控台中受SSM管並出現在 Fleet Manager 下的所有 Amazon EC2執行個體建立一個SSM關聯。

  • 使用停用自動代理程式組態的包含標籤 – 啟用執行期監控後,當您未啟用自動代理程式組態,但將包含標籤新增至 Amazon EC2執行個體時,表示您允許代表您 GuardDuty 管理安全代理程式。SSM 然後,關聯將在每個具有包含標籤 (GuardDutyManaged:) 的執行個體中安裝安全代理程式true

  • 如果您啟用自動代理程式組態 – 然後SSM,關聯會在屬於您帳戶的所有EC2執行個體中安裝安全代理程式。

  • 使用具有自動代理程式組態的排除標籤 – 在您啟用自動代理程式組態之前,當您將排除標籤新增至 Amazon EC2執行個體時,表示您允許 GuardDuty 防止安裝和管理此所選執行個體的安全代理程式。

    現在,當您啟用自動代理程式組態時,SSM關聯將在所有EC2執行個體中安裝和管理安全代理程式,除了已標記排除標籤的執行個體之外。

  • GuardDuty 會在所有 中建立VPC端點VPCs,包括共用的 VPCs,只要其中至少有一個 Linux EC2執行個體VPC不在終止或關閉執行個體狀態。這包括集中式VPC和輪輻 VPCs。 GuardDuty 不支援僅為集中式 建立VPC端點VPC。如需集中VPC式 運作方式的詳細資訊,請參閱白皮書中的介面VPC端點 - 建置可擴展且安全的多網路基礎設施。 AWS VPC AWS

    如需有關不同執行個體狀態的資訊,請參閱 Amazon EC2使用者指南 中的執行個體生命週期

    GuardDuty 也支援 使用VPC與自動安全代理程式共用。當您的組織和 考慮所有先決條件時 AWS 帳戶, GuardDuty 將使用共用 VPC 來接收執行期事件。

    注意

    端點的使用無需額外費用VPC。

  • 除了VPC端點之外, GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許到達與安全群組相關聯的資源的流量。 GuardDuty 新增符合資源VPCCIDR範圍的傳入規則,並在CIDR範圍變更時加以調整。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的VPCCIDR範圍

手動管理安全代理程式

EC2 手動管理 Amazon 安全代理程式有兩種方法:

  • 在 中使用 GuardDuty 受管文件 AWS Systems Manager ,在已SSM受管的 Amazon EC2執行個體上安裝安全代理程式。

    每當您啟動新的 Amazon EC2執行個體時,請確定SSM已啟用。

  • 使用RPM套件管理員 (RPM) 指令碼,在您的 Amazon EC2執行個體上安裝安全代理程式,無論是否受到SSM管理。

下一步驟

若要開始使用執行期監控組態來監控您的 Amazon EC2執行個體,請參閱 Amazon EC2執行個體支援的先決條件