本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动管理 Amazon EC2 实例的安全代理
启用运行时监控后,您需要手动安装 GuardDuty 安全代理。通过安装代理, GuardDuty 将接收来自 Amazon EC2 实例的运行时事件。
要管理 GuardDuty 安全代理,您必须创建 Amazon VPC 终端节点,然后按照步骤手动安装安全代理。
手动创建 Amazon VPC 终端节点
在安装 GuardDuty 安全代理之前,必须先创建亚马逊虚拟私有云 (Amazon VPC) 终端节点。这将有助于 GuardDuty 接收您的 Amazon EC2 实例的运行时事件。
注意
使用 VPC 终端节点无需支付额外费用。
创建 Amazon VPC 终端节点
登录 Amazon Web Services Management Console 并打开亚马逊 VPC 控制台,网址为 https://console.aws.amazon.com/vpc/
。 -
在导航窗格的 VPC 私有云下,选择终端节点。
-
选择 Create Endpoint(创建端点)。
-
在创建端点页面上,对于服务类别,选择其他端点服务。
-
对于服务名称,输入
com.amazonaws.
。us-east-1
.guardduty-data请务必将 us-ea
st-1
替换为你的。 Amazon Web Services 区域该区域必须与属于您的 Amazon 账户 ID 的 Amazon EC2 实例位于同一区域。 -
选择验证服务。
-
成功验证服务名称后,选择您的实例所在的 VPC。添加以下政策,仅限指定账户使用 Amazon VPC 终端节点。使用此策略下面提供的组织
Condition
,您可以更新以下策略来限制对端点的访问。要向您组织中的特定账户 ID 提供 Amazon VPC 终端节点支持,请参阅Organization condition to restrict access to your endpoint。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount
账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示如何与其他 Amazon 账户 ID 共享 VPC 终端节点:-
要指定多个账户来访问 VPC 终端节点,请
"aws:PrincipalAccount: "
使用以下区块替换:111122223333
""aws:PrincipalAccount": [ "666666666666", "555555555555" ]
请务必将 Amazon 账户 ID 替换为需要访问 VPC 终端节点的账户的账户 ID。
-
要允许组织中的所有成员访问 VPC 终端节点,请
"aws:PrincipalAccount: "
替换为以下行:111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
"一定要用你的组织 ID 替换组织
o-abcdef0123
。 -
要限制通过组织 ID 访问资源,请将您的
ResourceOrgID
添加到策略中。有关更多信息,请参阅 IAM 用户指南中的aws:ResourceOrgID
。"aws:ResourceOrgID": "o-abcdef0123"
-
-
在其他设置下,选择启用 DNS 名称。
-
在子网下,选择您的实例所在的子网。
-
在安全组下,选择一个已从您的 VPC(或您的 Amazon EC2 实例)启用入站端口 443 的安全组。如果您还没有启用入站端口 443 的安全组,请参阅 Amazon EC2 用户指南中的创建安全组。
如果在限制您的 VPC(或实例)的入站权限时出现问题,请为来自任何 IP 地址的入站 443 端口提供支持。
(0.0.0.0/0)
手动安装安全客户端
GuardDuty 提供了以下两种在您的 Amazon EC2 实例上安装 GuardDuty 安全代理的方法:
-
方法 1-通过使用 Amazon Systems Manager -此方法需要 Amazon Systems Manager 管理您的 Amazon EC2 实例。
-
方法 2-使用 Linux Package Managers — 无论您的 Amazon EC2 实例是否处于 Amazon Systems Manager 托管状态,您都可以使用此方法。
要使用此方法,请确保您的 Amazon EC2 实例处于 Amazon Systems Manager 托管状态,然后安装代理。
Amazon Systems Manager 托管 Amazon EC2 实例
使用以下步骤 Amazon Systems Manager 管理您的 Amazon EC2 实例。
-
Amazon Systems Manager帮助您管理 Amazon 应用程序和资源 end-to-end 并实现大规模的安全运营。
要使用管理您的 Amazon EC2 实例 Amazon Systems Manager,请参阅Amazon Systems Manager 用户指南中的为 Amazon EC2 实例设置 Systems Manager。
-
下表显示了新的 GuardDuty 托管 Amazon Systems Manager 文档:
文档名称 文档类型 用途 AmazonGuardDuty-RuntimeMonitoringSsmPlugin
Distributor
打包 GuardDuty 安全客户端。
AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin
命令
运行安装/卸载脚本来安装安全客户端。 GuardDuty
有关更多信息 Amazon Systems Manager,请参阅《Amazon Systems Manager 用户指南》中的 Amazon EC2 Systems Manager 文档。
适用于 Debian 服务器
提供的适用于 Debian 服务器的 Amazon 系统映像 (AMI) Amazon 要求您安装 Amazon Systems Manager 代理(SSM 代理)。你需要执行额外的步骤来安装 SSM 代理,这样你的 Amazon EC2 Debian Server 实例 SSM 就可以托管了。有关您需要采取的步骤的信息,请参阅《Amazon Systems Manager 用户指南》中的在 Debian 服务器实例上手动安装 SSM 代理。
要安装适用于 Amazon EC2 实例的 GuardDuty 代理,请使用以下方法 Amazon Systems Manager
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
在导航窗格中,选择 “文档”
-
在 Ow ned by Amazon 中,选择
AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin
。 -
选择 Run Command。
-
输入以下 “运行命令” 参数
-
操作:选择 “安装”。
-
安装类型:选择 “安装” 或 “卸载”。
-
名称:
AmazonGuardDuty-RuntimeMonitoringSsmPlugin
-
版本:如果此处仍为空,您将获得最新版本 GuardDuty 的安全客户端。有关发行版本的更多信息,请参阅GuardDuty 适用于 Amazon EC2 实例的安全代理。
-
-
选择目标的 Amazon EC2 实例。您可以选择一个或多个 Amazon EC2 实例。有关更多信息,请参阅《Amazon Systems Manager 用户指南》中的从控制台Amazon Systems Manager 运行命令
-
验证 GuardDuty 代理安装是否正常。有关更多信息,请参阅 正在验证 GuardDuty 安全代理安装状态。
使用此方法,您可以通过运行 RPM 脚本或 Debian 脚本来安装 GuardDuty 安全代理。根据操作系统,您可以选择首选方法:
-
使用 RPM 脚本在操作系统发行版 AL2 或 AL2023 上安装安全代理。
-
使用 Debian 脚本在操作系统发行版 Ubuntu 或 Debian 上安装安全代理。有关支持的 Ubuntu 和 Debian 操作系统发行版的信息,请参阅。验证架构要求
内存不足错误
如果您在手动安装或更新 Amazon EC2 GuardDuty 的安全代理时out-of-memory
遇到错误,请参阅排除内存不足错误。
正在验证 GuardDuty 安全代理安装状态
验证 GuardDuty 安全代理是否正常
-
运行以下命令以检查 GuardDuty 安全代理的状态:
sudo systemctl status amazon-guardduty-agent
如果要查看安全代理安装日志,可以在下方查看这些日志/var/log/amzn-guardduty-agent/
。
要查看日志,请执行此操作sudo journalctl -u amazon-guardduty-agent
。
手动更新 GuardDuty 安全客户端
您可以使用 R un 命令更新 GuardDuty 安全客户端。您可以按照与安装 GuardDuty 安全客户端相同的步骤进行操作。