Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2 - Amazon GuardDuty
Revisión de las estadísticas de coberturaCambio del estado de la cobertura con las notificaciones de EventBridgeResolución de problemas de cobertura en tiempo de ejecución de Amazon EC2

Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2

Para los recursos de Amazon EC2, la cobertura en tiempo de ejecución se evalúa a nivel de instancia. Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo, entre otros, en el entorno de AWS. Esta característica también admite las instancias de Amazon EC2 administradas por Amazon ECS y, si tiene clústeres de Amazon ECS que se ejecutan en una instancia de Amazon EC2, los problemas de cobertura a nivel de instancia aparecerán en la cobertura en tiempo de ejecución de Amazon EC2.

Revisión de las estadísticas de cobertura

Las estadísticas de cobertura para las instancias de Amazon EC2 asociadas a cuentas propias o a cuentas de miembro corresponden al porcentaje de instancias de EC2 en buen estado respecto al total de instancias de EC2 de la Región de AWS seleccionada. La siguiente ecuación lo representa de la siguiente manera:

(Instancias en buen estado/Todas las instancias)*100

Si también ha implementado el agente de seguridad de GuardDuty para los clústeres de Amazon ECS, cualquier problema de cobertura a nivel de instancia asociado a los clústeres de Amazon ECS que se ejecuten en una instancia de Amazon EC2 aparecerá como un problema de cobertura en tiempo de ejecución de la instancia de Amazon EC2.

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

Console

  • Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  • En el panel de navegación, elija Supervisión en tiempo de ejecución.

  • Elija la pestaña Cobertura en tiempo de ejecución.

  • En la pestaña Cobertura en tiempo de ejecución de instancias de EC2, puede ver las estadísticas de cobertura agregadas por el estado de cobertura de cada instancia de Amazon EC2 que esté disponible en la tabla de la lista de instancias.

    • Puede filtrar la tabla Lista de instancias por las siguientes columnas:

      • ID de cuenta

      • Tipo de administración del agente

      • Versión del agente

      • Estado de la cobertura

      • ID de instancia

      • ARN del clúster

  • Si alguna de las instancias de EC2 tiene la cobertura en mal estado, la columna Problema incluye información adicional sobre el motivo del mal estado.

API/CLI

  • Ejecute la API ListCoverage con el ID de detector válido propio, la región actual y el punto de conexión del servicio. Puede filtrar y ordenar la lista de instancias a través de esta API.

    • Puede cambiar el ejemplo de filter-criteria con una de las siguientes opciones para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Cuando filter-criteria incluye RESOURCE_TYPE como EC2, la Supervisión en tiempo de ejecución no admite el uso de PROBLEMA como el AttributeName. Si lo utiliza, la respuesta de la API generará una InvalidInputException.

      Puede cambiar el ejemplo de AttributeName en sort-criteria con las siguientes opciones:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Puede cambiar el valor de max-results (hasta 50).

    • Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Ejecute la API GetCoverageStatistics para recuperar las estadísticas agregadas de cobertura según statisticsType.

    • Puede cambiar el ejemplo de statisticsType a una de las siguientes opciones:

      • COUNT_BY_COVERAGE_STATUS: representa las estadísticas de cobertura de los clústeres de EKS agregadas por estado de cobertura.

      • COUNT_BY_RESOURCE_TYPE: estadísticas de cobertura agregadas en función del tipo de recurso de AWS de la lista.

      • Puede cambiar el ejemplo de filter-criteria en el comando. Puede usar las siguientes opciones para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Si la cobertura de la instancia de EC2 está en mal estado, consulte Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2.

Cambio del estado de la cobertura con las notificaciones de EventBridge

Es posible que la cobertura de la instancia de Amazon EC2 aparezca en mal estado. Para mantenerse informado sobre los cambios en el estado de la cobertura, recomendamos supervisar periódicamente su estado y solucionar cualquier problema si esta se encuentra en mal estado. Como alternativa, puede crear una regla de Amazon EventBridge para recibir notificaciones cuando la cobertura cambie de estar en mal estado a buen estado, o viceversa. De forma predeterminada, GuardDuty publica esto en el bus de EventBridge de su cuenta.

Ejemplo de esquema de notificaciones

En una regla de EventBridge, puede usar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación de estado de cobertura. Para obtener más información sobre cómo crear una regla de EventBridge, consulte Create rule en la Guía del usuario de Amazon EventBridge.

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de la cobertura de la instancia de Amazon EC2 cambie de Healthy a Unhealthy, el detail-type debe ser Protección en tiempo de ejecución de GuardDuty en mal estado. Para recibir una notificación cuando el estado de cobertura cambie de Unhealthy aHealthy, sustituya el valor de detail-type por GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2

Si la cobertura de la instancia de Amazon EC2 está en mal estado, puede ver el motivo en la columna Problema.

Si la instancia de EC2 está asociada a un clúster de EKS y el agente de seguridad para EKS se instaló manualmente o mediante la configuración automatizada del agente, para solucionar el problema de cobertura, consulte Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS.

En la siguiente tabla se enumeran los tipos de problemas y los pasos de resolución de problemas correspondientes.

Tipo de problema Mensaje del problema Pasos para la solución de problemas

No hay generación de informes de agentes

A la espera de la notificación SSM

Recibir la notificación SSM puede tardar unos minutos.

Asegúrese de que SSM administra la instancia de Amazon EC2. Para obtener más información, consulte los pasos indicados en Método 1: mediante AWS Systems Manager en Instalación manual del agente de seguridad.

(Vacío a propósito)

Si administra el agente de seguridad de GuardDuty manualmente, asegúrese de haber seguido los pasos indicados en Administrar manualmente el agente de seguridad para el recurso de Amazon EC2.

Si ha habilitado la configuración automatizada del agente:

Compruebe que el punto de conexión de VPC para la instancia de Amazon EC2 está configurado correctamente. Para obtener más información, consulte Validar la configuración del punto de conexión de VPC.

Si la organización cuenta con una política de control de servicio (SCP), valide que el límite de permisos no restringe el permiso guardduty:SendSecurityTelemetry. Para obtener más información, consulte Validación de la política de control de servicios de la organización en un entorno de varias cuentas.

Agente desconectado

  • Consulte el estado del agente de seguridad. Para obtener más información, consulte Validar el estado de instalación del agente de seguridad de GuardDuty.

  • Consulte los registros del agente de seguridad para identificar la posible causa raíz. Los registros proporcionan errores detallados que puede utilizar para solucionar el problema por su cuenta. Los archivos de registro están disponibles en /var/log/amzn-guardduty-agent/.

    Realice sudo journalctl -u amazon-guardduty-agent.

Agente no aprovisionado

Las instancias con etiquetas de exclusión se excluyen de Runtime Monitoring.

GuardDuty no recibe eventos de tiempo de ejecución de las instancias de Amazon EC2 que se lanzan con la etiqueta de exclusión GuardDutyManaged:false

Para recibir eventos de tiempo de ejecución de esta instancia de Amazon EC2, elimine la etiqueta de exclusión.

La versión del kernel es inferior a la versión compatible.

Para obtener información sobre las versiones de kernel compatibles en todas las distribuciones de sistemas operativos, consulte Validar los requisitos de arquitectura para las instancias de Amazon EC2.

La versión del kernel es superior a la versión compatible.

Para obtener información sobre las versiones de kernel compatibles en todas las distribuciones de sistemas operativos, consulte Validar los requisitos de arquitectura para las instancias de Amazon EC2.

No se puede recuperar el documento de identidad de la instancia

Siga estos pasos:

  1. Confirme que su recurso sea una instancia de Amazon EC2 y no una instancia híbrida que no sea EC2.

  2. Confirme que el servicio de metadatos de instancias (IMDS) esté habilitado. Para hacerlo, consulte Configuración de las opciones del servicio de metadatos de instancias en la Guía del usuario de Amazon EC2.

  3. Verifique que el documento de identidad de la instancia existe. Para ello, consulte Recuperar el documento de identidad de la instancia en la Guía del usuario de Amazon EC2.

  4. Si el documento de identidad de la instancia sigue sin existir, reinicie la instancia. El documento de identidad de la instancia se genera cuando la instancia se detiene e inicia, se reinicia o se inicia.

Se produjo un error al crear la asociación de SSM

La asociación de SSM con GuardDuty ya existe en la cuenta

  1. Elimine manualmente la asociación existente. Para obtener más información, consulte Eliminar asociaciones en la Guía del usuario de AWS Systems Manager.

  2. Después de eliminar la asociación, desactive y vuelva a habilitar la configuración automatizada del agente de GuardDuty para Amazon EC2.

La cuenta tiene demasiadas asociaciones SSM

Seleccione una de las siguientes dos opciones:

  • Elimine cualquier asociación de SSM que no se utilice. Para obtener más información, consulte Eliminar asociaciones en la Guía del usuario de AWS Systems Manager.

  • Verifique si la cuenta cumple los requisitos para un aumento de cuota. Para obtener más información, consulte Service Quotas de Systems Manager en Referencia general de AWS.

Se produjo un error en la actualización de la asociación de SSM

La asociación de SSM con GuardDuty no existe en la cuenta

La asociación de SSM con GuardDuty no está presente en la cuenta. Desactive y vuelva a habilitar la supervisión en tiempo de ejecución.

Se produjo un error al eliminar la asociación de SSM

La asociación de SSM con GuardDuty no existe en la cuenta

La asociación de SSM con GuardDuty no está presente en la cuenta. Si la asociación de SSM se eliminó intencionalmente, no es necesario realizar ninguna acción.

Se produjo un error en la ejecución de la asociación de la instancia de SSM

No se cumplen los requisitos de arquitectura u otros requisitos previos.

Para obtener información sobre distribuciones de sistemas operativos verificadas, consulte Requisitos previos para la compatibilidad con instancias de Amazon EC2.

Si el problema persiste, los siguientes pasos le ayudarán a identificarlo y posiblemente a resolverlo:

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, en Administración de nodos, seleccione Administrador de estados.

  3. Filtre por la propiedad Nombre del documento e ingrese AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Seleccione el ID de asociación correspondiente y consulte su Historial de ejecución.

  5. Utilice el historial de ejecución para ver los errores, identificar la posible causa raíz e intentar resolverla.

Se produjo un error al crear el punto de conexión de VPC

No se admite la creación de puntos de conexión de VPC para la VPC compartida vpcId

La Supervisión en tiempo de ejecución admite el uso de una VPC compartida dentro de una organización. Para obtener más información, consulte Uso de VPC compartida con Runtime Monitoring.

Solo cuando se utiliza una VPC compartida con una configuración automatizada del agente

El ID de cuenta del propietario 111122223333 correspondiente a la VPC compartida vpcId no tiene habilitada la Supervisión en tiempo de ejecución, la configuración automatizada del agente, o ambas.

 La cuenta de propietario de la VPC compartida debe habilitar la Supervisión en tiempo de ejecución y la configuración automatizada del agente para al menos un tipo de recurso (Amazon EKS o Amazon ECS [AWS Fargate]). Para obtener más información, consulte Requisitos previos específicos de la Supervisión en tiempo de ejecución de GuardDuty.

La habilitación del DNS privado requiere que los atributos de VPC enableDnsSupport y enableDnsHostnames estén establecidos en true para vpcId (Servicio: Ec2, Código de estado: 400, ID de solicitud: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Asegúrese de que los siguientes atributos de VPC estén establecidos en true - enableDnsSupport y enableDnsHostnames. Para obtener más información, consulte Atributos DNS para la VPC.

Si utiliza la consola de Amazon VPC en https://console.aws.amazon.com/vpc/ para crear la VPC de Amazon, seleccione Habilitar nombres de host DNS y Habilitar la resolución de DNS. Para obtener más información, consulte Opciones de configuración de la VPC.

Tras actualizar los atributos de la VPC, debe acelerar el reintento de creación del punto de conexión de la VPC al realizar uno de estos cambios:

  • Puede añadir o modificar la etiqueta GuardDutyManaged de su instancia de Amazon EC2 (recomendado). Por ejemplo, puede añadir GuardDutyManaged:true para incluir la instancia dRuntime Monitoring.

  • Puede cambiar el estado de la instancia Amazon EC2 (detener o reiniciar).

Se produjo un error al eliminar el punto de conexión de la VPC compartida

No se permite eliminar el punto de conexión de VPC compartida para el ID de cuenta 111122223333, la VPC compartida vpcId, el ID de cuenta de propietario 555555555555.
Medidas posibles:

  • Al desactivar el estado de la Supervisión en tiempo de ejecución de la cuenta de participante de la VPC compartida, no se afecta a la política de punto de conexión de VPC compartida ni al grupo de seguridad que existe en la cuenta de propietario.

    Para eliminar el punto de conexión de VPC compartida y el grupo de seguridad, debe desactivar la Supervisión en tiempo de ejecución o el estado de la configuración automatizada del agente en la cuenta de propietario de la VPC compartida.

  • La cuenta participante de la VPC compartida no puede eliminar el punto de conexión de la VPC compartida ni el grupo de seguridad alojados en la cuenta propietaria de la VPC compartida.

El agente no genera informes

(Vacío a propósito)

El tipo de problema ya no tiene soporte. Si el problema persiste y aún no ha habilitado el agente automatizado de GuardDuty para Amazon EC2, hágalo.

Si el problema persiste, considere la posibilidad de desactivar la Supervisión en tiempo de ejecución durante unos minutos y, a continuación, vuelva a habilitarla.