运行时监控如何与 Amazon EC2 实例结合使用 - Amazon GuardDuty
使用自动代理配置(推荐)手动管理安全代理后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

运行时监控如何与 Amazon EC2 实例结合使用

Amazon EC2 实例可能会在您的 Amazon 环境中运行多种类型的应用程序和工作负载。当您启用运行时监控并管理 GuardDuty 安全代理时,GuardDuty 可帮助您检测现有 Amazon EC2 实例中的威胁,此外还有可能可以检测新实例中的威胁。此功能还支持由 Amazon ECS 托管的 Amazon EC2 实例。

注意

运行时监控不支持在 Amazon ECS 托管实例上运行的应用程序。

启用运行时监控后,GuardDuty 将能够随时使用来自 Amazon EC2 实例中当前正在运行的进程和新进程的运行时事件。GuardDuty 需要使用安全代理将运行时事件从 EC2 实例发送到 GuardDuty。

对于 Amazon EC2 实例,GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的全部还是部分 Amazon EC2 实例。如果要管理选定的实例,则只有这些实例才需要安全代理。

GuardDuty 还可以使用来自 Amazon ECS 集群内 Amazon EC2 实例中运行的新任务和现有任务的运行时事件。

运行时监控提供了以下两个选项来安装 GuardDuty 安全代理:

通过 GuardDuty 使用自动代理配置(推荐)

使用自动代理配置,将允许 GuardDuty 代表您在 Amazon EC2 实例上安装安全代理。GuardDuty 还会管理安全代理的更新。

默认情况下,GuardDuty 会在您账户中的所有实例上安装安全代理。如果您希望 GuardDuty 仅为选定的 EC2 实例安装和管理安全代理,请根据需要为您的 EC2 实例添加包含标签或排除标签。

有时,您可能不想监控您账户中全部 Amazon EC2 实例的运行时事件。如果您想监控有限数量实例的运行时事件,请为这些实例添加包含标签 GuardDutyManaged:true。从 Amazon EC2 自动代理配置可用之时起,如果您的 EC2 实例具有包含标签 (GuardDutyManaged:true),即使您没有显式启用自动代理配置,GuardDuty 也将遵守该标签并管理选定实例的安全代理。

而如果您不想监控有限数量 EC2 实例的运行时事件,请为这些选定的实例添加排除标签 (GuardDutyManaged:false)。对于这些 EC2 实例,GuardDuty 将会遵守排除标签,既不会安装也不会管理安全代理。

影响

当您在某个 Amazon Web Services 账户或组织中使用自动代理配置时,您将允许 GuardDuty 代表您执行以下步骤:

  • GuardDuty 会为所有由 SSM 托管并在 https://console.aws.amazon.com/systems-manager/ 控制台的实例集管理器下显示的 Amazon EC2 实例创建一个 SSM 关联。

  • 在禁用自动代理配置的情况下使用包含标签:启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示您允许 GuardDuty 代表您管理安全代理。然后,该 SSM 关联将在每个具有包含标签 (GuardDutyManaged:true) 的实例中安装安全代理。

  • 如果您启用自动代理配置:则 SSM 关联将在属于您账户的所有 EC2 实例中安装安全代理。

  • 将排除标签与自动代理配置结合使用:如果您在启用自动代理配置之前向 Amazon EC2 实例添加排除标签,则意味着您允许 GuardDuty 阻止为该选定的实例安装和管理安全代理。

    现在,当您启用自动代理配置时,该 SSM 关联将在所有 EC2 实例中安装和管理安全代理,但使用排除标签标记的实例除外。

  • GuardDuty 会在所有 VPC(包括共享 VPC)中创建 VPC 端点,前提是该 VPC 中至少有一个实例状态不为已终止或正在关闭的 Linux EC2 实例。这包括集中式 VPC 和分支 VPC。GuardDuty 不支持仅为集中式 VPC 创建 VPC 端点。有关集中式 VPC 工作原理的更多信息,请参阅《Amazon 白皮书:构建可扩展且安全的多 VPC Amazon 网络基础设施》中的 Interface VPC endpoints

    有关不同实例状态的信息,请参阅《Amazon EC2 用户指南》中的实例生命周期

    GuardDuty 还支持使用带运行时监控功能的共享 VPC。在考虑组织和 Amazon Web Services 账户的所有先决条件后,GuardDuty 将使用共享 VPC 来接收运行时事件。

    注意

    使用 VPC 端点不会产生额外的成本。

  • 除该 VPC 端点外,GuardDuty 还会创建一个新的安全组。入站(入口)规则负责控制被允许达到与该安全组关联的资源的流量。GuardDuty 会添加与资源的 VPC CIDR 范围相匹配的入站规则,并且还会在 CIDR 范围发生变化时对规则进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 范围

手动管理安全代理

可以通过两种方法来手动管理 Amazon EC2 安全代理:

  • 使用 Amazon Systems Manager 中的 GuardDuty 托管文档在已由 SSM 托管的 Amazon EC2 实例上安装安全代理。

    每当您启动新的 Amazon EC2 实例时,请确保该实例已启用 SSM。

  • 使用 RPM 包管理器(RPM)脚本在 Amazon EC2 实例上安装安全代理,无论这些实例是否由 SSM 托管。

后续步骤

要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅 Amazon EC2 实例支持的先决条件