管理 Amazon EC2 執行個體的自動化安全代理 - Amazon GuardDuty
從 Amazon EC2 手動代理程式遷移到自動代理程式設定獨立帳號的 GuardDuty 代理程式在多帳戶環境中設定 GuardDuty 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Amazon EC2 執行個體的自動化安全代理

注意

在繼續之前,請確保遵循所有Amazon EC2 執行個體支援先決條件.

從 Amazon EC2 手動代理程式遷移到自動代理程式

AWS 帳戶 如果您之前是手動管理安全代理程式,現在想要使用自動 GuardDuty 化代理程式組態,則此區段適用於您的。如果這不適用於您,請繼續為您的帳戶設定安全性代理程式。

當您啟用 GuardDuty 自動化代理程式時,請代表您 GuardDuty 管理安全代理程式。如 GuardDuty 需執行哪些步驟的相關資訊,請參閱使用自動化代理程式組態 (建議)

清除資源

刪除SSM關聯

  • 刪除您EC2手動管理 Amazon 安全代理程式時可能已建立的任何SSM關聯。如需詳細資訊,請參閱刪除關聯

  • 這樣做是為了讓您無論是在帳戶層級還是執行個體層級使用自動化代理程式 (透過使用包含或排除標記),都 GuardDuty 可以管理動SSM作。如 GuardDuty 需可以SSM執行哪些動作的詳細資訊,請參閱服務連結角色權限 GuardDuty

  • 當您刪除先前為手動管理 Security Agent 而建 GuardDuty 立的SSM關聯時,建立用於自動管理 Security Agent 的SSM關聯時,可能會有一段短暫的重疊時間。在此期間,您可能會遇到基於SSM排程的衝突。如需詳細資訊,請參閱 Amazon EC2 SSM 排程

管理 Amazon EC2 執行個體的包含和排除標籤

  • 包含標籤 — 當您未啟用 GuardDuty 自動化代理程式組態,但使用包含標籤 (GuardDutyManaged:true) 標記任何 Amazon EC2 執行個體時,會 GuardDuty 建立SSM關聯,以便在所選EC2執行個體上安裝和管理安全代理程式。這是預期的行為,可協助您僅管理選取EC2執行個體上的 Security Agent。如需詳細資訊,請參閱 運行時監控如何與 Amazon EC2 實例配合使用

    若要 GuardDuty 避免安裝和管理安全性代理程式,請從這些EC2執行個體移除包含標籤。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的新增和刪除標籤

  • 排除標記 — 當您想要為帳戶中的所有EC2執行個體啟用 GuardDuty 自動化代理程式設定時,請確定沒有任何EC2執行個體標記為排除標記 (GuardDutyManaged:false)。

設定獨立帳號的 GuardDuty 代理程式

Configure for all instances
為獨立帳戶中的所有執行個體設定執行階段監控

  1. 登入 AWS Management Console 並開啟 GuardDuty 主控台,位於https://console.aws.amazon.com/guardduty/

  2. 在功能窗格中,選擇 [執行階段監視]。

  3. 組態索引標籤下,選擇編輯

  4. EC2區段中,選擇「啟用」。

  5. 選擇儲存

  6. 您可以確認 GuardDuty 建立的SSM關聯是否會在屬於您帳戶的所有EC2資源上安裝和管理 Security Agent。

    1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    2. 開啟關SSM聯的「目標」標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤鍵顯示為InstanceIds

Using inclusion tag in selected instances
為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標true籤新增至您要 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 您可以確認 GuardDuty 建立的SSM關聯只會在使用包含標籤標記的EC2資源上安裝和管理 Security Agent。

    在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    1. 開啟建立之SSM關聯的 [目標] 索引標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。標籤鍵會顯示為標籤:GuardDutyManaged

Using exclusion tag in selected instances
注意

請務必在啟動 Amazon EC2 執行個體之前將排除標籤新增至 Amazon 執行個體。啟用 Amazon 的自動化代理程式組態後EC2,任何在沒有排除標籤的情況下啟動的EC2執行個體都會涵蓋在 GuardDuty 自動化代理程式組態下。

為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標false籤新增至您想 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標記,請執行下列步驟:

    1. 在執行個體的 [詳細資料] 索引標籤下,檢視執行個體中繼資料中允許標記的狀態。

      如果目前為「已用」,請使用下列步驟將狀態變更為「已啟用」。否則,請跳過這個步驟。

    2. 選取您要允許其標籤的例證。

    3. 在 [動作] 功能表下,選擇 [例項設定]

    4. 選擇「允許在執行個體中繼資料

    5. 在執行個體中繼資料中的標籤存取權下,選取允許

    6. 選擇儲存

  4. 新增排除標籤之後,請執行與 [設定所有執行個體] 索引標籤中指定的相同步驟。

您現在可以評估執行階段Amazon EC2 執行個體涵蓋

在多帳戶環境中設定 GuardDuty 代理程式

Configure for all instances

如果您選擇啟用執行階段監視的所有帳戶,請為委派的 GuardDuty 系統管理員帳戶選擇下列其中一個選項:

  • 選項 1

    自動化代理程式組態下的EC2區段中,選取啟用所有帳戶

  • 選項 2

    • 在 [自動代理程式組態] 下的EC2區段中,選取 [手動設定帳戶]。

    • 在 [委派管理員 (此帳戶)] 下,選擇 [啟用]。

  • 選擇儲存

如果您選擇「手動設定帳戶」進行「執行階段監視」,請執行下列步驟:

  • 在 [自動代理程式組態] 下的EC2區段中,選取 [手動設定帳戶]。

  • 在 [委派管理員 (此帳戶)] 下,選擇 [啟用]。

  • 選擇儲存

無論您選擇哪個選項來啟用委派管理 GuardDuty 員帳戶的自動代理程式組態,您都可以確認 GuardDuty 建立的SSM關聯是否會在屬於此帳戶的所有EC2資源上安裝和管理 Security Agent。

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 開啟關SSM聯的「目標」標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤鍵顯示為InstanceIds

Using inclusion tag in selected instances
為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標true籤新增至您要 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 為這些選取的EC2執行個體安裝和管理安全代理程式。您需要明確啟用自動化代理程式設定。

  3. 您可以確認 GuardDuty 建立的SSM關聯只會在使用包含標籤標記的EC2資源上安裝和管理 Security Agent。

    在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    1. 開啟建立之SSM關聯的 [目標] 索引標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。標籤鍵會顯示為標籤:GuardDutyManaged

Using exclusion tag in selected instances
注意

請務必在啟動 Amazon EC2 執行個體之前將排除標籤新增至 Amazon 執行個體。啟用 Amazon 的自動化代理程式組態後EC2,任何在沒有排除標籤的情況下啟動的EC2執行個體都會涵蓋在 GuardDuty 自動化代理程式組態下。

為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標false籤新增至您想 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標記,請執行下列步驟:

    1. 在執行個體的 [詳細資料] 索引標籤下,檢視執行個體中繼資料中允許標記的狀態。

      如果目前為「已用」,請使用下列步驟將狀態變更為「已啟用」。否則,請跳過這個步驟。

    2. 在 [動作] 功能表下,選擇 [例項設定]

    3. 選擇「允許在執行個體中繼資料

  4. 新增排除標籤之後,請執行與 [設定所有執行個體] 索引標籤中指定的相同步驟。

您現在可以評估執行階段Amazon EC2 執行個體涵蓋

注意

最多可能需要 24 小時才會更新成員帳戶的組態。

Configure for all instances

下列步驟假設您在「執行時期監視」區段中選擇了針對所有帳戶啟用

  1. Amazon 的「自動化代理程式組態」區段中選擇「為所有帳戶啟用」EC2。

  2. 您可以驗證 GuardDuty create (GuardDutyRuntimeMonitoring-do-not-delete) 的SSM關聯將在屬於此帳戶的所有EC2資源上安裝和管理安全代理程式。

    1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    2. 開啟關SSM聯的「目標」標籤。請注意,標籤鍵顯示為InstanceIds

Using inclusion tag in selected instances
為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標true籤新增至您要 GuardDuty 監控和偵測潛在威脅的EC2執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 為這些選取的EC2執行個體安裝和管理安全代理程式。您需要明確啟用自動化代理程式設定。

  3. 您可以確認 GuardDuty 建立的SSM關聯是否會在屬於您帳戶的所有EC2資源上安裝和管理 Security Agent。

    1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    2. 開啟關SSM聯的「目標」標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤鍵顯示為InstanceIds

Using exclusion tag in selected instances
注意

請務必在啟動 Amazon EC2 執行個體之前將排除標籤新增至 Amazon 執行個體。啟用 Amazon 的自動化代理程式組態後EC2,任何在沒有排除標籤的情況下啟動的EC2執行個體都會涵蓋在 GuardDuty 自動化代理程式組態下。

為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標false籤新增至您想 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標記,請執行下列步驟:

    1. 在執行個體的 [詳細資料] 索引標籤下,檢視執行個體中繼資料中允許標記的狀態。

      如果目前為「已用」,請使用下列步驟將狀態變更為「已啟用」。否則,請跳過這個步驟。

    2. 在 [動作] 功能表下,選擇 [例項設定]

    3. 選擇「允許在執行個體中繼資料

  4. 新增排除標籤之後,請執行與 [設定所有執行個體] 索引標籤中指定的相同步驟。

您現在可以評估執行階段Amazon EC2 執行個體涵蓋

委派的 GuardDuty 管理員帳戶可以為 Amazon EC2 資源設定自動代理程式組態,以便在新成員帳戶加入組織時自動啟用。

Configure for all instances

下列步驟假設您已在「執行階段監視」區段下選取「為新成員帳戶啟用自動啟用」:

  1. 在功能窗格中,選擇 [執行階段監視]。

  2. 在「程式實際執行監督」頁面上,選擇編輯

  3. 選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,Amazon 的自動代理程式組態都EC2會自動為其帳戶啟用。只有組織的委派 GuardDuty 管理員帳戶可以修改此選項。

  4. 選擇儲存

當新成員帳戶加入組織時,系統會自動為他們啟用此組態。 GuardDuty 要管理屬於此新成員帳戶的 Amazon EC2 執行個體的安全代理程式,請確保符合所例EC2如有先決條件。

建立SSM關聯後 (GuardDutyRuntimeMonitoring-do-not-delete),您可以驗證SSM關聯是否會在屬於新成員帳戶的所有EC2執行個體上安裝和管理安全代理程式。

Using inclusion tag in selected instances
為您帳戶中選取的執行個體設定 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標true籤新增至您要 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 為這些選取的執行個體安裝和管理安全代理程式。您不需要明確啟用自動化代理程式設定。

  3. 您可以確認 GuardDuty 建立的SSM關聯只會在使用包含標籤標記的EC2資源上安裝和管理 Security Agent。

    1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

    2. 開啟建立之SSM關聯的 [目標] 索引標籤。標籤鍵會顯示為標籤:GuardDutyManaged

Using exclusion tag in selected instances
注意

請務必在啟動 Amazon EC2 執行個體之前將排除標籤新增至 Amazon 執行個體。啟用 Amazon 的自動化代理程式組態後EC2,任何在沒有排除標籤的情況下啟動的EC2執行個體都會涵蓋在 GuardDuty 自動化代理程式組態下。

為獨立帳戶中的特定執行個體設定 GuardDuty 安全性代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標false籤新增至您想 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標記,請執行下列步驟:

    1. 在執行個體的 [詳細資料] 索引標籤下,檢視執行個體中繼資料中允許標記的狀態。

      如果目前為「已用」,請使用下列步驟將狀態變更為「已啟用」。否則,請跳過這個步驟。

    2. 在 [動作] 功能表下,選擇 [例項設定]

    3. 選擇「允許在執行個體中繼資料

  4. 新增排除標籤之後,請執行與 [設定所有執行個體] 索引標籤中指定的相同步驟。

您現在可以評估執行階段Amazon EC2 執行個體涵蓋

Configure for all instances

  1. 在 [帳戶] 頁面上,選取要啟用執行時間監控-自動代理程式組態 (AmazonEC2) 的一或多個帳戶。請確定您在此步驟中選取的帳戶已啟用「執行階段監視」。

  2. 編輯保護計劃中,選擇適當的選項以啟用執行時期監控-自動化代理程式組態 (AmazonEC2)

  3. 選擇確認

Using inclusion tag in selected instances
設定所選執行個體的 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標true籤新增至您要 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 管理已標記 Amazon EC2 執行個體的安全代理程式。您不需要明確啟用自動化代理程式設定 (執行階段監控-自動化代理程式組態 (EC2)

Using exclusion tag in selected instances
注意

請務必在啟動 Amazon EC2 執行個體之前將排除標籤新增至 Amazon 執行個體。啟用 Amazon 的自動化代理程式組態後EC2,任何在沒有排除標籤的情況下啟動的EC2執行個體都會涵蓋在 GuardDuty 自動化代理程式組態下。

設定所選執行個體的 GuardDuty 安全代理程式

  1. 登錄 AWS Management Console 並在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:標false籤新增至您想 GuardDuty 監控或偵測潛在威脅的EC2執行個體。如需新增此標籤的詳細資訊,請參閱將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標記,請執行下列步驟:

    1. 在執行個體的 [詳細資料] 索引標籤下,檢視執行個體中繼資料中允許標記的狀態。

      如果目前為「已用」,請使用下列步驟將狀態變更為「已啟用」。否則,請跳過這個步驟。

    2. 在 [動作] 功能表下,選擇 [例項設定]

    3. 選擇「允許在執行個體中繼資料

  4. 新增排除標籤之後,請執行與 [設定所有執行個體] 索引標籤中指定的相同步驟。

您現在可以評估Amazon EC2 執行個體涵蓋