Instalación manual del agente de seguridad - Amazon GuardDuty
Error de falta de memoriaValidación del estado de instalación GuardDuty del agente de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Instalación manual del agente de seguridad

GuardDuty proporciona los dos métodos siguientes para instalar el agente GuardDuty de seguridad en las instancias de Amazon EC2. Antes de continuar, asegúrese de seguir los pasos que se indican en Requisito previo: crear manualmente el punto de conexión de Amazon VPC.

Elija el método de acceso que prefiera para instalar el agente de seguridad en los recursos de Amazon EC2.

Para usar este método, asegúrese de que las instancias de Amazon EC2 estén AWS Systems Manager administradas y, a continuación, instale el agente.

AWS Systems Manager instancia Amazon EC2 gestionada

Siga los pasos que se indican a continuación para que AWS Systems Manager administre las instancias de Amazon EC2.

  • AWS Systems Managerle ayuda a administrar sus AWS aplicaciones y recursos end-to-end y a permitir operaciones seguras a escala.

    Para gestionar sus instancias de Amazon EC2 AWS Systems Manager, consulte Configuración de Systems Manager para instancias de Amazon EC2 en AWS Systems Manager la Guía del usuario.

  • En la siguiente tabla se muestran los nuevos documentos GuardDuty gestionados AWS Systems Manager :

    Nombre del documento Tipo de documento Finalidad

    AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    Distributor

    Para empaquetar el agente GuardDuty de seguridad.

    AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin

    Comando

    Ejecutar el script de instalación o desinstalación para instalar el GuardDuty agente de seguridad.

    Para obtener más información AWS Systems Manager, consulte los documentos de Amazon EC2 Systems Manager en AWS Systems Manager la Guía del usuario.

    Para servidores de Debian

    Las imágenes de máquina de Amazon (AMIs) para el servidor Debian proporcionadas por AWS requieren que instale el AWS Systems Manager agente (agente SSM). Deberá seguir un paso adicional para instalar el agente de SSM y hacer que SSM administre las instancias de servidor de Debian de Amazon EC2. Para obtener información sobre los pasos que debe seguir, consulte Instalación manual del agente de SSM en instancias de servidor Debian en la Guía del usuario de AWS Systems Manager .

Para instalar el GuardDuty agente para la instancia de Amazon EC2 mediante AWS Systems Manager

  1. Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

  2. En el panel de navegación, elija Documentos

  3. En Propiedad de Amazon, elija AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Elija Run Command (Ejecutar comando).

  5. Ingrese los siguientes parámetros del Comando de ejecución

    • Acción: elija Instalar.

    • Tipo de instalación: elija Instalar o desinstalar.

    • Nombre: AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    • Versión: si permanece vacío, obtendrá la última versión del agente de GuardDuty seguridad. Para obtener más información acerca de las versiones de lanzamiento, GuardDuty versiones de agentes de seguridad para instancias de Amazon EC2.

  6. Seleccione la instancia de Amazon EC2 de destino. Puede seleccionar una o más instancias de Amazon EC2. Para obtener más información, consulte Ejecución de comandos de AWS Systems Manager desde la consola en la Guía de usuario de AWS Systems Manager

  7. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información, consulte Validación del estado de instalación GuardDuty del agente de seguridad.

Con este método, puede instalar el agente GuardDuty de seguridad ejecutando scripts RPM o Debian. En función de los sistemas operativos, puede elegir el método que prefiera:

  • Utilice scripts RPM para instalar el agente de seguridad en distribuciones de sistemas operativos AL2, AL2023 RedHat, CentOS o Fedora.

  • Utilice los scripts de Debian para instalar el agente de seguridad en las distribuciones de sistema operativo Ubuntu o Debian. Para obtener información sobre las distribuciones de Ubuntu y Debian compatibles, consulte Validar los requisitos de arquitectura.

RPM installation
importante

Recomendamos comprobar la firma RPM del agente GuardDuty de seguridad antes de instalarlo en su máquina.

  1. Compruebe la firma RPM del agente de GuardDuty seguridad

    1. Prepare la plantilla

      Prepare los comandos con la clave pública adecuada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3. Sustituya el valor del Región de AWS identificador de AWS cuenta y la versión del GuardDuty agente para acceder a los scripts del RPM.

      • Clave pública 

        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/publickey.pem

      • GuardDuty firma RPM del agente de seguridad:

        Firma de x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/x86_64/amazon-guardduty-agent-1.9.1.x86_64.sig
        Firma de arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/arm64/amazon-guardduty-agent-1.9.1.arm64.sig

      • Enlaces de acceso a los scripts RPM en el bucket de Amazon S3:

        Enlace de acceso para x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/x86_64/amazon-guardduty-agent-1.9.1.x86_64.rpm
        Enlace de acceso para arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/arm64/amazon-guardduty-agent-1.9.1.arm64.rpm
      Región de AWS Nombre de la región AWS ID de cuenta
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Middle East (Bahrain) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Mumbai) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      ap-southeast-7 Asia-Pacífico (Tailandia) 054037130133
      il-central-1 Israel (Tel Aviv) 870907303882
      mx-central-1 México (centro) 982081086614
      ap-east-2 Asia-Pacífico (Taipéi) 259886477082
    2. Descargar la plantilla

      En el siguiente comando para descargar la clave pública apropiada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3, asegúrese de sustituir el ID de cuenta por el ID de Cuenta de AWS apropiado y la región por la región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/x86_64/amazon-guardduty-agent-1.9.1.x86_64.rpm ./amazon-guardduty-agent-1.9.1.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/x86_64/amazon-guardduty-agent-1.9.1.x86_64.sig ./amazon-guardduty-agent-1.9.1.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.1/publickey.pem ./publickey.pem
    3. Importar la clave pública

      Utilice el siguiente comando para importar la clave pública a la base de datos:

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
    4. Verificación de la firma

      Utilice el siguiente comando para verificar la firma

      gpg --verify amazon-guardduty-agent-1.9.1.x86_64.sig amazon-guardduty-agent-1.9.1.x86_64.rpm

      Si aprueba la verificación, verá un mensaje similar al resultado que se muestra a continuación. Ahora puede proceder a instalar el agente de GuardDuty seguridad mediante RPM.

      Ejemplo de código de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Si la verificación falla, significa que la firma en RPM ha sido potencialmente manipulada. Debe eliminar la clave pública de la base de datos e intentar de nuevo el proceso de verificación.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

    sudo rpm -ivh amazon-guardduty-agent-1.9.1.x86_64.rpm

  4. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte Validación del estado de instalación GuardDuty del agente de seguridad.

Debian installation
importante

Recomendamos comprobar la firma Debian del agente de GuardDuty seguridad antes de instalarlo en su máquina.

  1. Compruebe la firma de Debian del agente GuardDuty de seguridad

    1. Prepare plantillas para la clave pública adecuada, la firma del paquete de Debian amd64, la firma del paquete de Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en buckets de Amazon S3.

      En las plantillas siguientes, sustituya el valor del identificador de AWS cuenta y la Región de AWS versión del GuardDuty agente para acceder a los scripts de los paquetes de Debian.

      • Clave pública 

        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/publickey.pem

      • GuardDuty firma Debian del agente de seguridad:

        Firma de amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/amd64/amazon-guardduty-agent-1.9.1.amd64.sig
        Firma de arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/arm64/amazon-guardduty-agent-1.9.1.arm64.sig

      • Enlaces de acceso a los scripts Debian en el bucket de Amazon S3:

        Enlace de acceso para amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/amd64/amazon-guardduty-agent-1.9.1.amd64.deb
        Enlace de acceso para arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/arm64/amazon-guardduty-agent-1.9.1.arm64.deb
      Región de AWS Nombre de la región AWS ID de cuenta
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Middle East (Bahrain) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Mumbai) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      il-central-1 Israel (Tel Aviv) 870907303882
      mx-central-1 México (centro) 982081086614
      ap-east-2 Asia-Pacífico (Taipéi) 259886477082
    2. Descargue la clave pública adecuada, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3

      En los siguientes comandos, sustituya el identificador de cuenta por el Cuenta de AWS identificador correspondiente y la región por su región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/amd64/amazon-guardduty-agent-1.9.1.amd64.deb ./amazon-guardduty-agent-1.9.1.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/amd64/amazon-guardduty-agent-1.9.1.amd64.sig ./amazon-guardduty-agent-1.9.1.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.1/publickey.pem ./publickey.pem

    3. Importar la clave pública a la base de datos

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    4. Verificación de la firma

      gpg --verify amazon-guardduty-agent-1.9.1.amd64.sig amazon-guardduty-agent-1.9.1.amd64.deb

      Tras una verificación correcta, verá un mensaje similar al siguiente resultado:

      Ejemplo de código de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Ahora puede proceder a instalar el agente GuardDuty de seguridad mediante Debian.

      Sin embargo, si se produce un error en la verificación, significa que la firma en el paquete Debian ha sido potencialmente manipulada.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

    sudo dpkg -i amazon-guardduty-agent-1.9.1.amd64.deb

  4. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte Validación del estado de instalación GuardDuty del agente de seguridad.

Error de falta de memoria

Si se produce un out-of-memory error al instalar o actualizar manualmente el agente de GuardDuty seguridad para Amazon EC2, consulte. Solución de problemas de memoria insuficiente

Validación del estado de instalación GuardDuty del agente de seguridad

Una vez realizados los pasos para instalar el agente GuardDuty de seguridad, utilice los siguientes pasos para validar el estado del agente:

Para validar si el agente GuardDuty de seguridad está en buen estado

  1. Conéctese con SSH desde Linux o macOS.

  2. Ejecute el siguiente comando para comprobar el estado del agente de GuardDuty seguridad:

    sudo systemctl status amazon-guardduty-agent

Si desea ver los registros de instalación del agente de seguridad, están disponibles en /var/log/amzn-guardduty-agent/.

Para ver los registros, realice sudo journalctl -u amazon-guardduty-agent.