运行时监控如何与 Amazon EC2 实例结合使用 - Amazon GuardDuty
使用自动代理配置(推荐)手动管理安全代理后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行时监控如何与 Amazon EC2 实例结合使用

Amazon EC2 实例可能会在您的 Amazon 环境中运行多种类型的应用程序和工作负载。当您启用运行时监控并管理 GuardDuty 安全代理时, GuardDuty 可帮助您检测现有 Amazon EC2 实例中的威胁,此外还有可能可以检测新实例中的威胁。此功能还支持由 Amazon ECS 托管的 Amazon EC2 实例。

启用运行时监控后,就可以 GuardDuty 随时使用来自 Amazon EC2 实例中当前正在运行的进程和新进程的运行时事件。 GuardDuty 需要使用安全代理将运行时事件从 EC2 实例发送到 GuardDuty。

对于 Amazon EC2 实例, GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的全部还是部分 Amazon EC2 实例。如果要管理选定的实例,则只有这些实例才需要安全代理。

GuardDuty 也可以使用来自 Amazon ECS 集群内 Amazon EC2 实例中运行的新任务和现有任务的运行时事件。

运行时监控提供了以下两个选项来安装 GuardDuty 安全代理:

通过以下方式使用自动代理配置 GuardDuty (推荐)

使用自动代理配置, GuardDuty 将允许代表您在 Amazon EC2 实例上安装安全代理。 GuardDuty 还会管理安全代理的更新。

默认情况下, GuardDuty 会在您账户中的所有实例上安装安全代理。如果您想 GuardDuty 仅为选定 EC2 实例安装和管理安全代理,请根据需要为 EC2 实例添加包含标签或排除标签。

有时,您可能不想监控您账户中全部 Amazon EC2 实例的运行时事件。如果您想监控有限数量实例的运行时事件,请为这些实例添加包含标签 GuardDutyManaged:true。从 Amazon 自动代理配置可用之时起 EC2,如果您的 EC2 实例具有包含标签 (GuardDutyManaged:true),即使您没有显式启用自动代理配置,也 GuardDuty 将遵守该标签并管理选定实例的安全代理。

而如果您不想监控有限数量 EC2 实例的运行时事件,请为这些选定的实例添加排除标签 (GuardDutyManaged:false)。 GuardDuty 将会遵守排除标签,既不会安装也不会管理安全代 EC2 理。

影响

当您在某个 Amazon Web Services 账户 或组织中使用自动代理配置时,您将 GuardDuty 允许代表您执行以下步骤:

  • GuardDuty 为所有由 SSM 托管并显示在控制台的 EC2 实例集管理下显示的 Amazon 实例创建一个 SSM 关联。https://console.aws.amazon.com/systems-manager/

  • 在禁用自动代理配置的情况下 GuardDuty 使用包含标签:启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示您可以代表自己管理安全代理。然后,该 SSM 关联将在每个具有包含标签 (GuardDutyManaged:true) 的实例中安装安全代理。

  • 如果您启用自动代理配置:则 SSM 关联将在属于您账户的所有 EC2 实例中安装安全代理。

  • 将排除标签与自动代理配置结合使用:如果您在启用自动代理配置之前向 Amazon EC2 实例添加排除标签,则意味着您 GuardDuty 允许阻止为该选定的实例安装和管理安全代理。

    现在,当您启用自动代理配置时,该 SSM 关联将在所有实例中安装和管理安全代理,但使用排除标签标记的 EC2 实例除外。

  • GuardDuty 在所有 VPC(包括共享)中创建 VPC 端点 VPCs,前提是该 VPC 中至少有一个 EC2 实例状态不为已终止或正在关闭的 Linux 实例。 VPCs这包括集中式 VPC 和分支 VPC VPCs。 GuardDuty 不支持仅为集中式 VPC 创建 VPC 端点。有关集中式 VPC 工作原理的更多信息,请参阅《Amazon 白皮书:构建可扩展且安全的多 VPC Amazon 网络基础设施》中的 Inter face VPC endpoin ts。

    有关不同实例状态的信息,请参阅 Amazon EC2 用户指南中的实例生命周期

    GuardDuty 还支持将共享 VPC 与自动安全代理结合使用。在考虑组织和的所有先决条件后 Amazon Web Services 账户, GuardDuty 将使用共享 VPC 来接收运行时事件。

    注意

    使用 VPC 端点不会产生额外的成本。

  • 除该 VPC 端点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则负责控制被允许达到与该安全组关联的资源的流量。 GuardDuty 添加与资源的 VPC CIDR 范围相匹配的入站规则,并且还会在 CIDR 范围发生变化时对规则进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 范围

手动管理安全代理

可以通过两种方法来 EC2 手动管理 Amazon 安全代理:

  • 使用中的 GuardDuty 托管文档在 Amazon Systems Manager 已由 SSM 托管的 Amazon EC2 实例上安装安全代理。

    每当您启动新的 Amazon EC2 实例时,请确保该实例已启用 SSM。

  • 使用 RPM 包管理器(RPM)脚本在 Amazon EC2 实例上安装安全代理,无论这些实例是否由 SSM 托管。

后续步骤

要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅Amazon EC2 实例支持的先决条件