Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2 - Amazon GuardDuty
Utilice la configuración automatizada de agentes (opción recomendada)Administrar el agente de seguridad manualmenteSiguiente paso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2

Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo en el entorno de AWS . Cuando habilita Runtime Monitoring y administra el agente de GuardDuty seguridad, le GuardDuty ayuda a detectar amenazas en sus instancias Amazon EC2 existentes y en posibles instancias nuevas. Además, esta característica es compatible con las instancias de Amazon EC2 administradas por Amazon ECS. Para obtener más información, consulte el soporte de instancias administradas en Guardduty.

nota

Runtime Monitoring no admite aplicaciones que se ejecuten en instancias administradas por Amazon ECS.

La activación de Runtime GuardDuty Monitoring permite consumir eventos de tiempo de ejecución de procesos nuevos y en ejecución en instancias de Amazon EC2. GuardDuty requiere un agente de seguridad al que enviar los eventos de tiempo de ejecución desde su instancia EC2 a. GuardDuty

En el caso de las instancias Amazon EC2, el agente GuardDuty de seguridad funciona a nivel de instancia. Puede decidir si desea supervisar todas las instancias de Amazon EC2 en la cuenta o solo algunas. Si desea administrar instancias determinadas, el agente de seguridad solo será necesario para estas instancias.

GuardDuty también puede consumir eventos de tiempo de ejecución de tareas nuevas y tareas existentes que se ejecutan en instancias de Amazon EC2 dentro de los clústeres de Amazon ECS.

Para instalar el agente GuardDuty de seguridad, Runtime Monitoring ofrece las dos opciones siguientes:

Utilice la configuración automática del agente mediante GuardDuty (recomendado)

Utilice una configuración de agente automatizada que permita GuardDuty instalar el agente de seguridad en sus instancias de Amazon EC2 en su nombre. GuardDuty también administra las actualizaciones del agente de seguridad.

De forma predeterminada, GuardDuty instala el agente de seguridad en todas las instancias de su cuenta. Si desea GuardDuty instalar y administrar el agente de seguridad solo para determinadas instancias de EC2, añada etiquetas de inclusión o exclusión a las instancias de EC2, según sea necesario.

En algunos casos, es posible que no desee supervisar los eventos en tiempo de ejecución de todas las instancias de Amazon EC2 pertenecientes a la cuenta. Para los casos en los que desee supervisar los eventos en tiempo de ejecución de una cantidad limitada de instancias, agregue una etiqueta de inclusión como GuardDutyManaged:true a estas instancias determinadas. Empezando por la disponibilidad de la configuración de agentes automatizada para Amazon EC2, si su instancia de EC2 tiene una etiqueta de inclusión (GuardDutyManaged:true), GuardDuty respetará la etiqueta y gestionará el agente de seguridad para las instancias seleccionadas, incluso si no habilita explícitamente la configuración automática del agente.

Por otro lado, si hay un número limitado de instancias de EC2 para las que no desea supervisar los eventos de tiempo de ejecución, añada una etiqueta de exclusión (GuardDutyManaged:false) a las instancias seleccionadas. GuardDuty respetará la etiqueta de exclusión al no instalar ni administrar el agente de seguridad para estos recursos de EC2.

Impact

Cuando utiliza la configuración de agentes automatizada en una Cuenta de AWS u otra organización, permite GuardDuty realizar los siguientes pasos en su nombre:

  • GuardDuty crea una asociación de SSM para todas las instancias de Amazon EC2 gestionadas por SSM y que aparecen en Fleet Manager en la consola. https://console.aws.amazon.com/systems-manager/

  • Uso de etiquetas de inclusión con la configuración automática del agente deshabilitada: después de habilitar Runtime Monitoring, si no habilita la configuración automática del agente pero agrega una etiqueta de inclusión a su instancia de Amazon EC2, significa que está permitiendo GuardDuty administrar el agente de seguridad en su nombre. La asociación de SSM instalará entonces el agente de seguridad en cada instancia que tenga la etiqueta de inclusión (GuardDutyManaged:true).

  • Si habilita la configuración automatizada del agente: la asociación de SSM instalará entonces el agente de seguridad en todas las instancias de EC2 pertenecientes a la cuenta.

  • Uso de etiquetas de exclusión con configuración de agente automatizada: antes de habilitar la configuración automática de agentes, al añadir una etiqueta de exclusión a la instancia de Amazon EC2, significa que está permitiendo GuardDuty impedir la instalación y la administración del agente de seguridad para la instancia seleccionada.

    Ahora, al habilitar la configuración automatizada del agente, la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 excepto en aquellas etiquetadas con la etiqueta de exclusión.

  • GuardDuty crea puntos de enlace de VPC en todas las VPC, incluidas las VPC compartidas, siempre que haya al menos una instancia EC2 de Linux en esa VPC que no se encuentre en los estados de instancia terminada o de cierre. Esto incluye la VPC centralizada y los radios. VPCs GuardDuty no admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface VPC endpoints en el AWS documento técnico: Creación de una infraestructura de red multiVPC escalable y segura. AWS

    Para obtener información sobre los diferentes estados de las instancias, consulte Ciclo de vida de las instancias en la Guía del usuario de Amazon EC2.

    GuardDuty también es compatible. Uso de VPC compartida con Runtime Monitoring Cuando se tengan en cuenta todos los requisitos previos para su organización Cuenta de AWS, GuardDuty utilizará la VPC compartida para recibir eventos de tiempo de ejecución.

    nota

    El uso del punto de conexión de VPC no conlleva ningún costo adicional.

  • Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte Rango de CIDR de la VPC en la Guía del usuario de Amazon VPC.

Administrar el agente de seguridad manualmente

Existen dos formas de administrar manualmente el agente de seguridad para Amazon EC2:

  • Utilice los documentos GuardDuty gestionados AWS Systems Manager para instalar el agente de seguridad en las instancias de Amazon EC2 que ya están gestionadas por SSM.

    Siempre que lance una nueva instancia de Amazon EC2, asegúrese de que esté habilitada para SSM.

  • Utilice scripts del administrador de paquetes RPM (RPM) para instalar el agente de seguridad en las instancias de Amazon EC2, independientemente de si son administradas por SSM o no.

Siguiente paso

Para comenzar a utilizar la configuración de supervisión en tiempo de ejecución para supervisar las instancias de Amazon EC2, consulte Requisitos previos para la compatibilidad con instancias de Amazon EC2.