Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2 - Amazon GuardDuty
Revisión de las estadísticas de coberturaEl estado de la cobertura cambia con EventBridge notificacionesResolución de problemas de cobertura en tiempo de ejecución de Amazon EC2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2

Para los recursos de Amazon EC2, la cobertura en tiempo de ejecución se evalúa a nivel de instancia. Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo, entre otros, en el entorno de AWS . Esta característica también admite las instancias de Amazon EC2 administradas por Amazon ECS y, si tiene clústeres de Amazon ECS que se ejecutan en una instancia de Amazon EC2, los problemas de cobertura a nivel de instancia aparecerán en la cobertura en tiempo de ejecución de Amazon EC2.

Revisión de las estadísticas de cobertura

Las estadísticas de cobertura para las instancias de Amazon EC2 asociadas a cuentas propias o a cuentas de miembro corresponden al porcentaje de instancias de EC2 en buen estado respecto al total de instancias de EC2 de la Región de AWS seleccionada. La siguiente ecuación lo representa de la siguiente manera:

( instances/All Instancias en buen estado) *100

Si también ha implementado el agente de GuardDuty seguridad para sus clústeres de Amazon ECS, cualquier problema de cobertura a nivel de instancia asociado a los clústeres de Amazon ECS que se ejecuten en una instancia de Amazon EC2 aparecerá como un problema de cobertura del tiempo de ejecución de una instancia de Amazon EC2.

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

Console

  • Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  • En el panel de navegación, elija Supervisión en tiempo de ejecución.

  • Elija la pestaña Cobertura en tiempo de ejecución.

  • En la pestaña Cobertura en tiempo de ejecución de instancias de EC2, puede ver las estadísticas de cobertura agregadas por el estado de cobertura de cada instancia de Amazon EC2 que esté disponible en la tabla de la lista de instancias.

    • Puede filtrar la tabla Lista de instancias por las siguientes columnas:

      • ID de cuenta

      • Tipo de administración del agente

      • Versión del agente

      • Estado de la cobertura

      • ID de instancia

      • ARN del clúster

  • Si alguna de las instancias de EC2 tiene la cobertura en mal estado, la columna Problema incluye información adicional sobre el motivo del mal estado.

API/CLI

  • Ejecute la ListCoverageAPI con su propio ID de detector válido, la región actual y el punto de conexión del servicio. Puede filtrar y ordenar la lista de instancias a través de esta API.

    • Puede cambiar el ejemplo de filter-criteria con una de las siguientes opciones para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Cuando filter-criteria incluye RESOURCE_TYPE como EC2, la Supervisión en tiempo de ejecución no admite el uso de PROBLEMA como el AttributeName. Si lo utiliza, la respuesta de la API generará una InvalidInputException.

      Puede cambiar el ejemplo de AttributeName en sort-criteria con las siguientes opciones:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Puede cambiar el max-results (hasta 50).

    • Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Ejecute la GetCoverageStatisticsAPI para recuperar las estadísticas agregadas de cobertura en función destatisticsType.

    • Puede cambiar el ejemplo de statisticsType a una de las siguientes opciones:

      • COUNT_BY_COVERAGE_STATUS: representa las estadísticas de cobertura de los clústeres de EKS agregadas por estado de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.

      • Puede cambiar el ejemplo de filter-criteria en el comando. Puede usar las siguientes opciones para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar las detectorId correspondientes a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Si la cobertura de la instancia de EC2 está en mal estado, consulte Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2.

El estado de la cobertura cambia con EventBridge notificaciones

Es posible que la cobertura de la instancia de Amazon EC2 aparezca en mal estado. Para mantenerse informado sobre los cambios en el estado de la cobertura, recomendamos supervisar periódicamente su estado y solucionar cualquier problema si esta se encuentra en mal estado. Como alternativa, puedes crear una EventBridge regla de Amazon para recibir una notificación cuando el estado de la cobertura cambie de Insalubre a Saludable o no. De forma predeterminada, la GuardDuty publica en el EventBridge bus de tu cuenta.

Ejemplo de esquema de notificaciones

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta Crear regla en la Guía del EventBridge usuario de Amazon.

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su instancia de Amazon EC2 cambie de Healthy aUnhealthy, detail-type debería ser así. GuardDuty Runtime Protection Unhealthy Para recibir una notificación cuando el estado de la cobertura cambie de Unhealthy aHealthy, sustituya el valor de detail-type por. GuardDuty Runtime Protection Healthy

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2

Si la cobertura de la instancia de Amazon EC2 está en mal estado, puede ver el motivo en la columna Problema.

Si la instancia de EC2 está asociada a un clúster de EKS y el agente de seguridad para EKS se instaló manualmente o mediante la configuración automatizada del agente, para solucionar el problema de cobertura, consulte Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS.

En la siguiente tabla se enumeran los tipos de problemas y los pasos de resolución de problemas correspondientes.

Tipo de problema Mensaje del problema Pasos para la solución de problemas

No hay generación de informes de agentes

A la espera de la notificación SSM

Recibir la notificación SSM puede tardar unos minutos.

Asegúrese de que SSM administra la instancia de Amazon EC2. Para obtener más información, consulte los pasos del Método 1: Mediante AWS Systems Manager enInstalación manual del agente de seguridad.

(Vacío a propósito)

Si administra el agente de GuardDuty seguridad manualmente, asegúrese de haber seguido los pasos que se indican a continuaciónAdministrar manualmente el agente de seguridad para el recurso de Amazon EC2.

Si ha habilitado la configuración automatizada del agente:

Compruebe que el punto de conexión de VPC para la instancia de Amazon EC2 está configurado correctamente. Para obtener más información, consulte Validar la configuración del punto de conexión de VPC.

Si la organización cuenta con una política de control de servicio (SCP), valide que el límite de permisos no restringe el permiso guardduty:SendSecurityTelemetry. Para obtener más información, consulte Validación de la política de control de servicios de la organización en un entorno de varias cuentas.

Agente desconectado

  • Consulte el estado del agente de seguridad. Para obtener más información, consulte Validación del estado de instalación GuardDuty del agente de seguridad.

  • Consulte los registros del agente de seguridad para identificar la posible causa raíz. Los registros proporcionan errores detallados que puede utilizar para solucionar el problema por su cuenta. Los archivos de registro están disponibles en /var/log/amzn-guardduty-agent/.

    Realice sudo journalctl -u amazon-guardduty-agent.

Agente no aprovisionado

Las instancias con etiquetas de exclusión se excluyen de Runtime Monitoring.

GuardDuty no recibe eventos de tiempo de ejecución de las instancias de Amazon EC2 que se lanzan con la etiqueta de exclusión:GuardDutyManaged. false

Para recibir eventos de tiempo de ejecución de esta instancia de Amazon EC2, elimine la etiqueta de exclusión.

La versión del kernel es inferior a la versión compatible.

Para obtener información sobre las versiones de kernel compatibles en todas las distribuciones de sistemas operativos, consulte Validar los requisitos de arquitectura para las instancias de Amazon EC2.

La versión del kernel es superior a la versión compatible.

Para obtener información sobre las versiones de kernel compatibles en todas las distribuciones de sistemas operativos, consulte Validar los requisitos de arquitectura para las instancias de Amazon EC2.

No se puede recuperar el documento de identidad de la instancia

Siga estos pasos:

  1. Confirme que su recurso sea una instancia de Amazon EC2 y no una instancia híbrida que no sea EC2.

  2. Confirme que el servicio de metadatos de instancias (IMDS) esté habilitado. Para hacerlo, consulte Configuración de las opciones del servicio de metadatos de instancias en la Guía del usuario de Amazon EC2.

  3. Verifique que el documento de identidad de la instancia existe. Para ello, consulte Recuperar el documento de identidad de la instancia en la Guía del usuario de Amazon EC2.

  4. Si el documento de identidad de la instancia sigue sin existir, reinicie la instancia. El documento de identidad de la instancia se genera cuando la instancia se detiene e inicia, se reinicia o se inicia.

Se produjo un error al crear la asociación de SSM

GuardDuty La asociación SSM ya existe en su cuenta

  1. Elimine manualmente la asociación existente. Para obtener más información, consulte Eliminar asociaciones en la Guía del usuario de AWS Systems Manager .

  2. Tras eliminar la asociación, deshabilite y vuelva a habilitar la configuración GuardDuty automática del agente para Amazon EC2.

La cuenta tiene demasiadas asociaciones SSM

Seleccione una de las siguientes dos opciones:

  • Elimine cualquier asociación de SSM que no se utilice. Para obtener más información, consulte Eliminar asociaciones en la Guía del usuario de AWS Systems Manager .

  • Verifique si la cuenta cumple los requisitos para un aumento de cuota. Para obtener más información, consulte Service Quotas de Systems Manager en Referencia general de AWS.

Se produjo un error en la actualización de la asociación de SSM

GuardDuty La asociación SSM no existe en su cuenta

GuardDuty La asociación SSM no está presente en tu cuenta. Desactive y vuelva a habilitar la supervisión en tiempo de ejecución.

Se produjo un error al eliminar la asociación de SSM

GuardDuty La asociación SSM no existe en tu cuenta

La asociación de SSM con GuardDuty no está presente en la cuenta. Si la asociación de SSM se eliminó intencionalmente, no es necesario realizar ninguna acción.

Se produjo un error en la ejecución de la asociación de la instancia de SSM

No se cumplen los requisitos de arquitectura u otros requisitos previos.

Para obtener información sobre distribuciones de sistemas operativos verificadas, consulte Requisitos previos para la compatibilidad con instancias de Amazon EC2.

Si el problema persiste, los siguientes pasos le ayudarán a identificarlo y posiblemente a resolverlo:

  1. Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

  2. En el panel de navegación, en Administración de nodos, seleccione Administrador de estados.

  3. Filtre por la propiedad Nombre del documento e ingrese AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Seleccione el ID de asociación correspondiente y consulte su Historial de ejecución.

  5. Utilice el historial de ejecución para ver los errores, identificar la posible causa raíz e intentar resolverla.

Se produjo un error al crear el punto de conexión de VPC

La creación de puntos de conexión de VPC no es compatible con la VPC compartida vpcId

La Supervisión en tiempo de ejecución admite el uso de una VPC compartida dentro de una organización. Para obtener más información, consulte Uso de VPC compartida con Runtime Monitoring.

Solo cuando se utiliza una VPC compartida con una configuración automatizada del agente

El ID de cuenta propietario 111122223333 de la VPC compartida vpcId no tiene habilitada la supervisión del tiempo de ejecución, la configuración automática de agentes o ambas

 La cuenta de propietario de la VPC compartida debe habilitar la Supervisión en tiempo de ejecución y la configuración automatizada del agente para al menos un tipo de recurso (Amazon EKS o Amazon ECS [AWS Fargate]). Para obtener más información, consulte Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución.

La habilitación del DNS privado requiere que ambos enableDnsSupport atributos de enableDnsHostnames VPC estén configurados en true for vpcId (servicio: Ec2, código de estado: 400, ID de solicitud:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Asegúrese de que los siguientes atributos de VPC estén establecidos en true - enableDnsSupport y enableDnsHostnames. Para obtener más información, consulte Atributos DNS para la VPC.

Si utiliza Amazon VPC Console https://console.aws.amazon.com/vpc/para crear la Amazon VPC, seleccione Enable DNS hostnames y Enable DNS resolution. Para obtener más información, consulte Opciones de configuración de la VPC.

Tras actualizar los atributos de VPC, debe acelerar el reintento de creación del punto de conexión de la VPC al realizar uno de estos cambios:

  • Puede añadir o modificar la etiqueta GuardDutyManaged de su instancia de Amazon EC2 (recomendado). Por ejemplo, puede añadir GuardDutyManaged:true para incluir la instancia dRuntime Monitoring.

  • Puede cambiar el estado de la instancia Amazon EC2 (detener o reiniciar).

Se produjo un error al eliminar el punto de conexión de la VPC compartida

No se permite eliminar el punto final de la VPC compartida para el ID de cuenta111122223333, la VPC vpcId compartida o el ID de cuenta del propietario. 555555555555
Medidas posibles:

  • Al desactivar el estado de la Supervisión en tiempo de ejecución de la cuenta de participante de la VPC compartida, no se afecta a la política de punto de conexión de VPC compartida ni al grupo de seguridad que existe en la cuenta de propietario.

    Para eliminar el punto de conexión de VPC compartida y el grupo de seguridad, debe desactivar la Supervisión en tiempo de ejecución o el estado de la configuración automatizada del agente en la cuenta de propietario de la VPC compartida.

  • La cuenta participante de la VPC compartida no puede eliminar el punto de conexión de la VPC compartida ni el grupo de seguridad alojados en la cuenta propietaria de la VPC compartida.

El agente no genera informes

(Vacío a propósito)

El tipo de problema ya no tiene soporte. Si sigue teniendo este problema y aún no lo ha hecho, active el agente GuardDuty automatizado para Amazon EC2.

Si el problema persiste, considere la posibilidad de desactivar la Supervisión en tiempo de ejecución durante unos minutos y, a continuación, vuelva a habilitarla.