Instalación manual del agente de seguridad - Amazon GuardDuty
Error de falta de memoriaValidar el estado de instalación del agente de seguridad de GuardDuty

Instalación manual del agente de seguridad

GuardDuty ofrece los dos siguientes métodos para instalar el agente de seguridad de GuardDuty en las instancias de Amazon EC2. Antes de continuar, asegúrese de seguir los pasos que se indican en Requisito previo: crear manualmente el punto de conexión de Amazon VPC.

Elija el método de acceso que prefiera para instalar el agente de seguridad en los recursos de Amazon EC2.

Para utilizar este método, asegúrese de que AWS Systems Manager administre las instancias de Amazon EC2 y, a continuación, instale el agente.

Instancia de Amazon EC2 administrada por AWS Systems Manager

Siga los pasos que se indican a continuación para que AWS Systems Manager administre las instancias de Amazon EC2.

  • AWS Systems Manager ayuda a administrar las aplicaciones y recursos de AWS de forma integral, así como a hacer posibles operaciones seguras a escala.

    Para administrar las instancias de Amazon EC2 con AWS Systems Manager, consulte Configurar Systems Manager para instancias de Amazon EC2 en la Guía del usuario de AWS Systems Manager.

  • En la siguiente tabla aparecen los nuevos documentos de AWS Systems Manager administrados por GuardDuty:

    Nombre del documento Tipo de documento Finalidad

    AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    Distributor

    Para empaquetar el agente de seguridad de GuardDuty.

    AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin

    Comando

    Para ejecutar el script de instalación/desinstalación para instalar el agente de seguridad GuardDuty.

    Para obtener más información sobre AWS Systems Manager, consulte Documentos de Systems Manager de Amazon EC2 en la Guía del usuario de AWS Systems Manager.

Para servidores de Debian

Las imágenes de máquina de Amazon (AMI) para el servidor de Debian proporcionadas por AWS requieren que instale el agente de AWS Systems Manager (agente SSM). Deberá seguir un paso adicional para instalar el agente de SSM y hacer que SSM administre las instancias de servidor de Debian de Amazon EC2. Para obtener información sobre los pasos que debe seguir, consulte Instalación manual del agente de SSM en instancias de servidor Debian en la Guía del usuario de AWS Systems Manager.

Para instalar el agente de GuardDuty para una instancia de Amazon EC2 mediante AWS Systems Manager

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos

  3. En Propiedad de Amazon, elija AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Elija Run Command (Ejecutar comando).

  5. Ingrese los siguientes parámetros del Comando de ejecución

    • Acción: elija Instalar.

    • Tipo de instalación: elija Instalar o desinstalar.

    • Nombre: AmazonGuardDuty-RuntimeMonitoringSsmPlugin

    • Versión: si se deja vacío, obtendrá la versión más reciente del agente de seguridad de GuardDuty. Para obtener más información acerca de las versiones de lanzamiento, Versiones del agente de seguridad de GuardDuty para instancias de Amazon EC2.

  6. Seleccione la instancia de Amazon EC2 de destino. Puede seleccionar una o más instancias de Amazon EC2. Para obtener más información, consulte Ejecución de comandos de AWS Systems Manager desde la consola en la Guía de usuario de AWS Systems Manager

  7. Valide si la instalación del agente de GuardDuty está en buen estado. Para obtener más información, consulte Validar el estado de instalación del agente de seguridad de GuardDuty.

Con este método, puede instalar el agente de seguridad de GuardDuty mediante la ejecución de scripts RPM o scripts Debian. En función de los sistemas operativos, puede elegir el método que prefiera:

  • Utilice scripts RPM para instalar el agente de seguridad en las distribuciones de sistema operativo AL2, AL2023, RedHat, CentOS o Fedora.

  • Utilice los scripts de Debian para instalar el agente de seguridad en las distribuciones de sistema operativo Ubuntu o Debian. Para obtener información sobre las distribuciones de Ubuntu y Debian compatibles, consulte Validar los requisitos de arquitectura.

RPM installation
importante

Recomendamos que verifique la firma RPM del agente de seguridad de GuardDuty antes de instalarlo en la máquina.

  1. Verifique la firma RPM del agente de seguridad de GuardDuty

    1. Prepare la plantilla

      Prepare los comandos con la clave pública adecuada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3. Sustituya el valor de la Región de AWS, el ID de la cuenta de AWS, y la versión del agente de GuardDuty para acceder a los scripts RPM.

      • Clave pública: 

        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/publickey.pem

      • Firma RPM del agente de seguridad de GuardDuty:

        Firma de x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/x86_64/amazon-guardduty-agent-1.9.0.x86_64.sig
        Firma de arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/arm64/amazon-guardduty-agent-1.9.0.arm64.sig

      • Enlaces de acceso a los scripts RPM en el bucket de Amazon S:

        Enlace de acceso para x86_64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/x86_64/amazon-guardduty-agent-1.9.0.x86_64.rpm
        Enlace de acceso para arm64 RPM
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/arm64/amazon-guardduty-agent-1.9.0.arm64.rpm
      Región de AWS Nombre de la región ID de la cuenta de AWS
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Medio Oriente (Baréin) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Mumbai) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      ap-southeast-7 Asia-Pacífico (Tailandia) 054037130133
      il-central-1 Israel (Tel Aviv) 870907303882
      mx-central-1 México (central) 982081086614
      ap-east-2 Asia-Pacífico (Taipéi) 259886477082
    2. Descargar la plantilla

      En el siguiente comando para descargar la clave pública apropiada, la firma del RPM x86_64, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3, asegúrese de sustituir el ID de cuenta por el ID de Cuenta de AWS apropiado y la región por la región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/x86_64/amazon-guardduty-agent-1.9.0.x86_64.rpm ./amazon-guardduty-agent-1.9.0.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/x86_64/amazon-guardduty-agent-1.9.0.x86_64.sig ./amazon-guardduty-agent-1.9.0.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.0/publickey.pem ./publickey.pem
    3. Importar la clave pública

      Utilice el siguiente comando para importar la clave pública a la base de datos:

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
    4. Verificación de la firma

      Utilice el siguiente comando para verificar la firma

      gpg --verify amazon-guardduty-agent-1.9.0.x86_64.sig amazon-guardduty-agent-1.9.0.x86_64.rpm

      Si aprueba la verificación, verá un mensaje similar al resultado que se muestra a continuación. Ahora puede proceder a instalar el agente de seguridad de GuardDuty mediante RPM.

      Ejemplo de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Si la verificación falla, significa que la firma en RPM ha sido potencialmente manipulada. Debe eliminar la clave pública de la base de datos e intentar de nuevo el proceso de verificación.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente de seguridad de GuardDuty mediante el siguiente comando:

    sudo rpm -ivh amazon-guardduty-agent-1.9.0.x86_64.rpm

  4. Valide si la instalación del agente de GuardDuty está en buen estado. Para obtener más información sobre los pasos, consulte Validar el estado de instalación del agente de seguridad de GuardDuty.

Debian installation
importante

Recomendamos que verifique la firma de Debian del agente de seguridad de GuardDuty antes de instalarlo en la máquina.

  1. Verifique la firma de Debian del agente de seguridad de GuardDuty

    1. Prepare plantillas para la clave pública adecuada, la firma del paquete de Debian amd64, la firma del paquete de Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en buckets de Amazon S3.

      En las siguientes plantillas, sustituya el valor del Región de AWS, el ID de la cuenta de AWS y la versión del agente de GuardDuty para acceder a los scripts de paquetes Debian.

      • Clave pública: 

        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/publickey.pem

      • Firma de Debian del agente de seguridad GuardDuty:

        Firma de amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/amd64/amazon-guardduty-agent-1.9.0.amd64.sig
        Firma de arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/arm64/amazon-guardduty-agent-1.9.0.arm64.sig

      • Enlaces de acceso a los scripts Debian en el bucket de Amazon S:

        Enlace de acceso para amd64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/amd64/amazon-guardduty-agent-1.9.0.amd64.deb
        Enlace de acceso para arm64
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/arm64/amazon-guardduty-agent-1.9.0.arm64.deb
      Región de AWS Nombre de la región ID de la cuenta de AWS
      eu-west-1 Europa (Irlanda) 694911143906
      us-east-1 Este de EE. UU. (Norte de Virginia) 593207742271
      us-west-2 Oeste de EE. UU. (Oregón) 733349766148
      eu-west-3 Europa (París) 665651866788
      us-east-2 Este de EE. UU. (Ohio) 307168627858
      eu-central-1 Europa (Fráncfort) 323658145986
      ap-northeast-2 Asia-Pacífico (Seúl) 914738172881
      eu-north-1 Europa (Estocolmo) 591436053604
      ap-east-1 Asia-Pacífico (Hong Kong) 258348409381
      me-south-1 Medio Oriente (Baréin) 536382113932
      eu-west-2 Europa (Londres) 892757235363
      ap-northeast-1 Asia-Pacífico (Tokio) 533107202818
      ap-southeast-1 Asia-Pacífico (Singapur) 174946120834
      ap-south-1 Asia-Pacífico (Mumbai) 251508486986
      ap-southeast-3 Asia-Pacífico (Yakarta) 510637619217
      sa-east-1 América del Sur (São Paulo) 758426053663
      ap-northeast-3 Asia-Pacífico (Osaka) 273192626886
      eu-south-1 Europa (Milán) 266869475730
      af-south-1 África (Ciudad del Cabo) 197869348890
      ap-southeast-2 Asia-Pacífico (Sídney) 005257825471
      me-central-1 Medio Oriente (EAU) 000014521398
      us-west-1 Oeste de EE. UU. (Norte de California) 684579721401
      ca-central-1 Canadá (centro) 354763396469
      ca-west-1 Oeste de Canadá (Calgary) 339712888787
      ap-south-2 Asia-Pacífico (Hyderabad) 950823858135
      eu-south-2 Europa (España) 919611009337
      eu-central-2 Europa (Zúrich) 529164026651
      ap-southeast-4 Asia-Pacífico (Melbourne) 251357961535
      il-central-1 Israel (Tel Aviv) 870907303882
      mx-central-1 México (central) 982081086614
      ap-east-2 Asia-Pacífico (Taipéi) 259886477082
    2. Descargue la clave pública adecuada, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3

      En los siguientes comandos, sustituya el ID de cuenta por el ID de Cuenta de AWS adecuado y la región por la región actual. 

      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/amd64/amazon-guardduty-agent-1.9.0.amd64.deb ./amazon-guardduty-agent-1.9.0.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/amd64/amazon-guardduty-agent-1.9.0.amd64.sig ./amazon-guardduty-agent-1.9.0.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.0/publickey.pem ./publickey.pem

    3. Importar la clave pública a la base de datos

      gpg --import publickey.pem

      gpg muestra que la importación se realizó correctamente

      gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    4. Verificación de la firma

      gpg --verify amazon-guardduty-agent-1.9.0.amd64.sig amazon-guardduty-agent-1.9.0.amd64.deb

      Tras una verificación correcta, verá un mensaje similar al siguiente resultado:

      Ejemplo de salida:

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

      Ahora puede proceder a instalar el agente de seguridad de GuardDuty mediante Debian.

      Sin embargo, si se produce un error en la verificación, significa que la firma en el paquete Debian ha sido potencialmente manipulada.

      Ejemplo: 

      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      gpg --delete-keys AwsGuardDuty

      Ahora, intente de nuevo el proceso de verificación.

  2. Conéctese con SSH desde Linux o macOS.

  3. Instale el agente de seguridad de GuardDuty mediante el siguiente comando:

    sudo dpkg -i amazon-guardduty-agent-1.9.0.amd64.deb

  4. Valide si la instalación del agente de GuardDuty está en buen estado. Para obtener más información sobre los pasos, consulte Validar el estado de instalación del agente de seguridad de GuardDuty.

Error de falta de memoria

Si se produce un error out-of-memory al instalar o actualizar manualmente el agente de seguridad de GuardDuty para Amazon EC2, consulte Solución de problemas de memoria insuficiente.

Validar el estado de instalación del agente de seguridad de GuardDuty

Después de haber seguido los pasos para instalar el agente de seguridad de GuardDuty, siga los siguientes pasos para validar el estado del agente:

Para validar si el agente de seguridad GuardDuty está en buen estado

  1. Conéctese con SSH desde Linux o macOS.

  2. Ejecute el siguiente comando para comprobar el estado del agente de seguridad de GuardDuty:

    sudo systemctl status amazon-guardduty-agent

Si desea ver los registros de instalación del agente de seguridad, están disponibles en /var/log/amzn-guardduty-agent/.

Para ver los registros, realice sudo journalctl -u amazon-guardduty-agent.