本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EC2 实例的覆盖范围
对于 Amazon EC2 资源,运行时间覆盖率是在实例级别进行评估的。您的 Amazon EC2 实例可以在您的 Amazon 环境中运行多种类型的应用程序和工作负载。此功能还支持 Amazon ECS 托管的 Amazon EC2 实例,如果您在 Amazon EC2 实例上运行 Amazon ECS 集群,则实例级别的覆盖问题将显示在 Amazon EC2 运行时覆盖范围之下。
查看覆盖率统计数据
与您自己的账户或成员账户关联的 Amazon EC2 实例的覆盖率统计数据是健康的 EC2 实例占所选所有 EC2 实例的百分比 Amazon Web Services 区域。下式将其表示为:
(运行正常的实例/所有实例)*100
如果您还为 Amazon ECS 集群部署了 GuardDuty 安全代理,则与在 Amazon EC2 实例上运行的 Amazon ECS 集群相关的任何实例级别覆盖问题都将显示为 Amazon EC2 实例运行时覆盖率问题。
选择一种访问方法来查看您账户的覆盖率统计数据。
如果您的 EC2 实例的覆盖状态为 “运行状况不佳”,请参阅排查覆盖问题。
配置覆盖状态变更通知
您的 Amazon EC2 实例的覆盖状态可能显示为 “不健康”。要了解覆盖状态何时发生变化,我们建议您定期监控覆盖状态,并在状态变为 “不健康” 时进行故障排除。或者,您可以创建 Amazon EventBridge 规则,以便在保险状态从 “不健康” 变为 “健康” 或其他情况时收到通知。默认情况下,会在EventBridge 公交车上为您的账户 GuardDuty 发布此内容。
示例通知架构
在 EventBridge 规则中,您可以使用预定义的示例事件和事件模式来接收覆盖状态通知。有关创建 EventBridge 规则的更多信息,请参阅 Amazon EventBridge 用户指南中的创建规则。
此外,您还可以使用以下示例通知架构来创建自定义事件模式。确保替换账户的值。要在您的 Amazon EC2 实例的覆盖状态从变Healthy
为时收到通知Unhealthy
,detail-type
应为 “GuardDuty 运行时保护不健康
”。要在覆盖范围状态从变为时收到通知Healthy
,Unhealthy
请将的detail-type
值替换为 “GuardDuty 运行时保护健康
”。
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Amazon Web Services 账户 ID", "time": "event timestamp (string)", "region": "Amazon Web Services 区域", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
排查覆盖问题
如果您的 Amazon EC2 实例的覆盖状态为 “不健康”,则可以在问题列下查看原因。
如果您的 EC2 实例与 EKS 集群相关联,并且 EKS 的安全代理是手动安装或通过自动代理配置安装的,则要解决覆盖问题,请参阅Amazon EKS 集群的覆盖范围。
下表列出了问题类型和相应的故障排除步骤。
问题类型 | 问题消息 | 故障排除步骤 |
---|---|---|
没有代理报告 |
正在等待 SSM 通知 |
确保 Amazon EC2 实例已由 SSM 托管。接收 SSM 通知可能需要几分钟。 |
(故意为空) |
如果您是手动管理 GuardDuty 安全客户端,请确保按照以下步骤操作手动管理 Amazon EC2 实例的安全代理。 |
|
如果您启用了自动代理配置:
|
||
如果您的组织有服务控制策略 (SCP),请确保它不会拒绝该 |
||
代理已断开连接 |
|
|
创建 SSM 关联失败 |
GuardDuty 您的账户中已存在 SSM 关联 |
|
您的账户有太多的 SSM 关联 |
选择以下两个选项之一:
|
|
SSM 关联更新失败 |
GuardDuty 您的账户中不存在 SSM 关联 |
GuardDuty 您的账户中没有 SSM 关联。禁用,然后重新启用 “运行时监控”。 |
删除 SSM 关联失败 |
GuardDuty 您的账户中不存在 SSM 关联 |
您的账户中没有 SSM 关联。如果故意删除了 SSM 关联,则无需执行任何操作。 |
SSM 实例关联执行失败 |
不符合架构要求或其他先决条件。 |
有关经过验证的操作系统发行版的信息,请参见支持 Amazon EC2 实例的先决条件。 如果您仍然遇到此问题,以下步骤将帮助您识别并解决问题:
|
创建 VPC 终端节点失败 |
共享 VPC |
运行时监控支持在组织内使用共享 VPC。有关更多信息,请参阅 使用带有自动安全代理的共享 VPC。 |
仅当使用带有自动代理配置的共享 VPC 时 共享 VPC 的所有者账户 ID |
共享 VPC 所有者账户必须为至少一种资源类型(Amazon EKS 或 Amazon ECS (Amazon Fargate))启用运行时监控和自动代理配置。有关更多信息,请参阅 特定于 GuardDuty运行时监控的先决条件。 | |
启用私有 DNS 需要将 |
确保以下 VPC 属性设置为 如果您在 https://console.aws.amazon.com/vpc/ |
|
删除共享 VPC 终端节点失败 |
|
可能的步骤:
|
代理未报告 |
(故意为空) |
问题类型已终止支持。如果您仍然遇到此问题但尚未这样做,请为 Amazon EC2 启用 GuardDuty 自动代理。 如果问题仍然存在,请考虑禁用运行时监控几分钟,然后再次启用。 |