运行时监控如何与 Amazon EC2 实例配合使用 - Amazon GuardDuty
使用自动代理配置(推荐)手动管理安全代理后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行时监控如何与 Amazon EC2 实例配合使用

您的 Amazon EC2 实例可以在您的 Amazon 环境中运行多种类型的应用程序和工作负载。启用运行时监控并管理 GuardDuty 安全代理后, GuardDuty 可帮助您检测现有 Amazon EC2 实例以及可能的新实例中的威胁。此功能还支持亚马逊 ECS 托管的 Amazon EC2 实例。

启用运行时监控可以 GuardDuty 随时使用当前正在运行的运行时事件以及 Amazon EC2 实例中的新进程。 GuardDuty 需要安全代理将运行时事件从您的 EC2 实例发送到 GuardDuty。

对于 Amazon EC2 实例, GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的所有还是部分的 Amazon EC2 实例。如果要管理选定实例,则只有这些实例才需要安全代理。

GuardDuty 还可以使用在 Amazon ECS 集群内的 Amazon EC2 实例中运行的新任务和现有任务的运行时事件。

要安装 GuardDuty 安全代理,运行时监控提供了以下两个选项:

通过以下方式使用自动代理配置 GuardDuty (推荐)

使用允许 GuardDuty 代表您在 Amazon EC2 实例上安装安全代理的自动代理配置。 GuardDuty 还管理安全客户端的更新。

默认情况下, GuardDuty 会在您账户中的所有实例上安装安全代理。如果您只 GuardDuty 想为选定的 EC2 实例安装和管理安全代理,请根据需要为您的 EC2 实例添加包含或排除标签。

有时,您可能不想监控属于您账户的所有 Amazon EC2 实例的运行时事件。如果您想监控有限数量的实例的运行时事件,请将包含标签添加为GuardDutyManaged:true到这些选定的实例。从可用于 Amazon EC2 的自动代理配置开始,如果您的 EC2 实例具有包含标签 (GuardDutyManaged:true),即使您没有明确启用自动代理配置,也 GuardDuty将遵守该标签并管理所选实例的安全代理。

另一方面,如果您不想监控运行时事件的 EC2 实例数量有限,请为这些选定的实例添加排除标签 (GuardDutyManaged:false)。 GuardDuty 将通过既不安装也不管理这些 EC2 资源的安全代理来遵守排除标签。

影响

当您在 Amazon Web Services 账户 或组织中使用自动代理配置时,您 GuardDuty 允许代表您执行以下步骤:

  • GuardDuty 为所有 SSM 托管并显示在 https://console.aws.amazon.com/systems-manager/ 控制台的 F leet Manager 下的 Amazon EC2 实例创建一个 SSM 关联。

  • 在禁用自动代理配置的情况下使用包含标签 — 启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示 GuardDuty 允许您代表您管理安全代理。然后,SSM 关联将在每个带有包含标签 (GuardDutyManaged:true) 的实例中安装安全代理。

  • 如果您启用自动代理配置 — SSM 关联将在属于您账户的所有 EC2 实例中安装安全代理。

  • 在自动代理配置中使用排除标签 — 在启用自动代理配置之前,当您向 Amazon EC2 实例添加排除标签时,表示 GuardDuty 允许您阻止为该选定实例安装和管理安全代理。

    现在,当您启用自动代理配置时,SSM 关联将在所有 EC2 实例中安装和管理安全代理,但标有排除标签的实例除外。

  • GuardDuty 在所有 VPC(包括共享 VPC)中创建 VPC 终端节点,前提是该 VPC 中至少有一个未处于已终止或关闭实例状态的 Linux EC2 实例。有关不同实例状态的信息,请参阅 Amazon EC2 Linux 实例用户指南中的实例生命周期

    GuardDuty 还支持使用带有自动安全代理的共享 VPC。当您的组织考虑了所有先决条件时 Amazon Web Services 账户, GuardDuty 将使用共享 VPC 接收运行时事件。

    注意

    使用 GuardDuty 创建的 VPC 终端节点无需支付额外费用。

手动管理安全代理

有两种方法可以手动管理 Amazon EC2 的安全代理:

  • 使用中的 GuardDuty 托管文档在 Amazon Systems Manager 已由 SSM 托管的 Amazon EC2 实例上安装安全代理。

    无论何时启动新的 Amazon EC2 实例,都要确保该实例已启用 SSM。

  • 使用 RPM 包管理器 (RPM) 脚本在您的 Amazon EC2 实例上安装安全代理,无论这些实例是否由 SSM 托管。

后续步骤

要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅支持 Amazon EC2 实例的先决条件