Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2 - Amazon GuardDuty
Consultation des statistiques de couvertureModification de l'état de couverture avec EventBridge notificationsRésolution des problèmes de couverture des environnements d'exécution Amazon EC2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2

Pour une ressource Amazon EC2, la couverture du temps d'exécution est évaluée au niveau de l'instance. Vos instances Amazon EC2 peuvent exécuter plusieurs types d'applications et de charges de travail, entre autres, dans votre environnement. AWS Cette fonctionnalité prend également en charge les instances Amazon EC2 gérées par Amazon ECS et si vous avez des clusters Amazon ECS exécutés sur une instance Amazon EC2, les problèmes de couverture au niveau de l'instance apparaîtront dans le cadre de la couverture d'exécution Amazon EC2.

Consultation des statistiques de couverture

Les statistiques de couverture pour les instances Amazon EC2 associées à vos propres comptes ou à vos comptes membres sont le pourcentage d'instances EC2 saines par rapport à toutes les instances EC2 de la sélection. Région AWS L'équation suivante représente cela comme suit :

( instances/All Instances saines) *100

Si vous avez également déployé l'agent de GuardDuty sécurité pour vos clusters Amazon ECS, tout problème de couverture au niveau de l'instance associé aux clusters Amazon ECS exécutés sur une instance Amazon EC2 apparaîtra comme un problème de couverture du temps d'exécution de l'instance Amazon EC2.

Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.

Console

  • Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  • Dans le volet de navigation, choisissez Runtime Monitoring.

  • Choisissez l'onglet Couverture du temps d'exécution.

  • Dans l'onglet Couverture du temps d'exécution des instances EC2, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque instance Amazon EC2 disponible dans le tableau de liste des instances.

    • Vous pouvez filtrer le tableau de la liste des instances selon les colonnes suivantes :

      • ID de compte

      • Type de gestion des agents

      • Version de l'agent

      • État de couverture

      • ID de l'instance

      • ARN du cluster

  • Si l'état de couverture de l'une de vos instances EC2 est considéré comme défaillant, la colonne Problème inclut des informations supplémentaires sur la raison de ce statut d'insalubrité.

API/CLI

  • Exécutez l'ListCoverageAPI avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.

    • Vous pouvez modifier l'exemple de filter-criteria à l'aide de l'une des options suivantes pour CriterionKey :

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Lorsqu'il est filter-criteria inclus RESOURCE_TYPE en tant qu'EC2, Runtime Monitoring ne prend pas en charge l'utilisation de ISSUE en tant queAttributeName. Si vous l'utilisez, la réponse de l'API en résulteraInvalidInputException.

      Vous pouvez modifier l'exemple de AttributeName dans sort-criteria à l'aide des options suivantes :

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Vous pouvez modifier le max-results (jusqu'à 50).

    • detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Exécutez l'GetCoverageStatisticsAPI pour récupérer les statistiques agrégées de couverture sur la base destatisticsType.

    • Vous pouvez modifier l'exemple de statisticsType sur l'une des options suivantes :

      • COUNT_BY_COVERAGE_STATUS : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.

      • COUNT_BY_RESOURCE_TYPE— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.

      • Vous pouvez modifier l'exemple de filter-criteria dans la commande. Vous pouvez utiliser les options suivantes pour CriterionKey :

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Si l'état de couverture de votre instance EC2 n'est pas satisfaisant, consultezRésolution des problèmes de couverture des environnements d'exécution Amazon EC2.

Modification de l'état de couverture avec EventBridge notifications

L'état de couverture de votre instance Amazon EC2 peut apparaître comme étant défectueux. Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient insalubre. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de Malsain à Sain ou autre. Par défaut, il le GuardDuty publie dans le EventBridge bus pour votre compte.

Exemple de schéma de notification

Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section Créer une règle dans le guide de EventBridge l'utilisateur Amazon.

En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre instance Amazon EC2 passe de Healthy àUnhealthy, le detail-type doit être. GuardDuty Runtime Protection Unhealthy Pour être averti lorsque le statut de couverture passe de Unhealthy àHealthy, remplacez la valeur de detail-type parGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Compte AWS ID",
  "time": "event timestamp (string)",
  "region": "Région AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Résolution des problèmes de couverture des environnements d'exécution Amazon EC2

Si l'état de couverture de votre instance Amazon EC2 n'est pas satisfaisant, vous pouvez en connaître la raison dans la colonne Problème.

Si votre instance EC2 est associée à un cluster EKS et que l'agent de sécurité pour EKS a été installé manuellement ou via une configuration automatique de l'agent, pour résoudre le problème de couverture, consultez. Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS

Le tableau suivant répertorie les types de problèmes et les étapes de dépannage correspondantes.

Type de problème Message d'émission Étapes de résolution des problèmes

Aucun signalement par un agent

En attente d'une notification par SMS

La réception de la notification SSM peut prendre quelques minutes.

Assurez-vous que l'instance Amazon EC2 est gérée par SSM. Pour plus d'informations, consultez les étapes décrites dans la section Méthode 1 - À l'aide de AWS Systems Manager dansInstallation manuelle de l'agent de sécurité.

(Vide exprès)

Si vous gérez l'agent GuardDuty de sécurité manuellement, assurez-vous d'avoir suivi les étapes ci-dessousGestion manuelle de l'agent de sécurité pour la ressource Amazon EC2.

Si vous avez activé la configuration automatique des agents :

Vérifiez que le point de terminaison VPC de votre instance Amazon EC2 est correctement configuré. Pour de plus amples informations, veuillez consulter Validation de la configuration des points de terminaison VPC.

Si votre organisation dispose d'une politique de contrôle des services (SCP), vérifiez que la limite des autorisations ne restreint pas les guardduty:SendSecurityTelemetry autorisations. Pour de plus amples informations, veuillez consulter Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes.

Agent déconnecté

  • Consultez le statut de votre agent de sécurité. Pour de plus amples informations, veuillez consulter Validation de l'état d'installation GuardDuty de l'agent de sécurité.

  • Consultez les journaux des agents de sécurité pour identifier la cause première potentielle. Les journaux fournissent des erreurs détaillées que vous pouvez utiliser pour résoudre le problème vous-même. Les fichiers journaux sont disponibles sous/var/log/amzn-guardduty-agent/.

    Faissudo journalctl -u amazon-guardduty-agent.

Agent non provisionné

Les instances comportant des balises d'exclusion sont exclues de la surveillance du temps d'exécution.

GuardDuty ne reçoit pas d'événements d'exécution provenant d'instances Amazon EC2 lancées avec la balise d'exclusion :GuardDutyManaged. false

Pour recevoir les événements d'exécution de cette instance Amazon EC2, supprimez la balise d'exclusion.

La version du noyau est inférieure à la version prise en charge.

Pour plus d'informations sur les versions de noyau prises en charge par les distributions du système d'exploitation, consultez Valider les exigences architecturales la section consacrée aux instances Amazon EC2.

La version du noyau est supérieure à la version prise en charge.

Pour plus d'informations sur les versions de noyau prises en charge par les distributions du système d'exploitation, consultez Valider les exigences architecturales la section consacrée aux instances Amazon EC2.

Impossible de récupérer le document d'identité de l'instance.

Procédez comme suit :

  1. Vérifiez que votre ressource est une instance Amazon EC2 et non une instance hybride non EC2.

  2. Vérifiez que le service de métadonnées d'instance (IMDS) est activé. Pour ce faire, consultez la section Configurer les options du service de métadonnées d'instance dans le guide de l'utilisateur Amazon EC2.

  3. Vérifiez que le document d'identité de l'instance existe. Pour ce faire, consultez la section Récupérer le document d'identité de l'instance dans le guide de l'utilisateur Amazon EC2.

  4. Si le document d'identité de l'instance n'existe toujours pas, redémarrez l'instance. Le document d’identité d’instance est généré lorsque l’instance est arrêtée et démarrée, redémarrée ou lancée.

Échec de la création de l'association SSM

GuardDuty L'association SSM existe déjà dans votre compte

  1. Supprimez manuellement l'association existante. Pour plus d'informations, consultez la section Suppression d'associations dans le guide de AWS Systems Manager l'utilisateur.

  2. Après avoir supprimé l'association, désactivez puis réactivez la configuration GuardDuty automatique de l'agent pour Amazon EC2.

Votre compte comporte trop d'associations SSM

Choisissez l'une des deux options suivantes :

  • Supprimez toutes les associations SSM non utilisées. Pour plus d'informations, consultez la section Suppression d'associations dans le guide de AWS Systems Manager l'utilisateur.

  • Vérifiez si votre compte est éligible à une augmentation de quota. Pour plus d'informations, consultez la section Quotas du service Systems Manager dans le Références générales AWS.

Échec de la mise à jour de l'association SSM

GuardDuty L'association SSM n'existe pas dans votre compte

GuardDuty L'association SSM n'est pas présente dans votre compte. Désactivez puis réactivez la surveillance du temps d'exécution.

Echec de la suppression de l'association SSM

GuardDuty L'association SSM n'existe pas dans votre compte

L'association SSM n'est pas présente dans votre compte. Si l'association SSM a été supprimée intentionnellement, aucune action n'est nécessaire.

Échec de l'exécution de l'association d'instances SSM

Les exigences architecturales ou autres prérequis ne sont pas respectés.

Pour plus d'informations sur les distributions de systèmes d'exploitation vérifiées, consultezConditions préalables à la prise en charge des instances Amazon EC2.

Si le problème persiste, les étapes suivantes vous aideront à l'identifier et éventuellement à le résoudre :

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, sous Gestion des nœuds, sélectionnez State Manager.

  3. Filtrez par propriété Nom du document et entrez AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Sélectionnez l'ID d'association correspondant et consultez son historique d'exécution.

  5. À l'aide de l'historique des exécutions, visualisez les échecs, identifiez la cause première potentielle et essayez de la résoudre.

Échec de la création du point de terminaison VPC

La création de points de terminaison VPC n'est pas prise en charge pour les VPC partagés vpcId

La surveillance du temps d'exécution prend en charge l'utilisation d'un VPC partagé au sein d'une organisation. Pour de plus amples informations, veuillez consulter Utilisation d'un VPC partagé avec surveillance du temps d'exécution.

Uniquement lors de l'utilisation d'un VPC partagé avec configuration d'agent automatisée

L'ID 111122223333 de compte propriétaire du VPC partagé vpcId n'est activé ni la surveillance du temps d'exécution, ni la configuration automatique des agents, ni les deux

 Le compte propriétaire du VPC partagé doit activer la surveillance du temps d'exécution et la configuration automatique des agents pour au moins un type de ressource (Amazon EKS ou Amazon ECS (AWS Fargate)). Pour de plus amples informations, veuillez consulter Prérequis spécifiques à la surveillance du temps d' GuardDuty exécution.

L'activation du DNS privé nécessite à la fois que enableDnsSupport les attributs enableDnsHostnames VPC soient définis sur true for vpcId (Service : Ec2, Status Code:400, Request ID :). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assurez-vous que les attributs de VPC suivants sont définis sur true : enableDnsSupport et enableDnsHostnames. Pour plus d'informations, veuillez consulter la rubrique Attributs DNS dans votre VPC.

Si vous utilisez la console Amazon VPC https://console.aws.amazon.com/vpc/pour créer l'Amazon VPC, sélectionnez Activer les noms d'hôte DNS et Activer la résolution DNS. Pour plus d'informations, veuillez consulter Options de configuration de VPC.

Après avoir mis à jour les attributs du VPC, vous devez accélérer la nouvelle tentative de création du point de terminaison VPC en apportant l'une des modifications suivantes :

  • Vous pouvez ajouter ou modifier le GuardDutyManaged tag pour votre instance Amazon EC2 (recommandé). Par exemple, vous pouvez ajouter GuardDutyManaged : true pour inclure l'instance de surveillance du temps d'exécution.

  • Vous pouvez modifier l'état de l'instance Amazon EC2 (arrêt ou redémarrage).

La suppression du point de terminaison VPC partagé a échoué

La suppression du point de terminaison VPC partagé n'est pas autorisée pour l'ID de compte111122223333, le VPC vpcId partagé et l'ID de compte propriétaire. 555555555555
Étapes potentielles :

  • La désactivation de l'état de surveillance du temps d'exécution du compte de participant VPC partagé n'a aucun impact sur la politique de point de terminaison du VPC partagé ni sur le groupe de sécurité existant dans le compte propriétaire.

    Pour supprimer le point de terminaison et le groupe de sécurité VPC partagés, vous devez désactiver la surveillance du temps d'exécution ou l'état de configuration automatique de l'agent dans le compte propriétaire du VPC partagé.

  • Le compte de participant VPC partagé ne peut pas supprimer le point de terminaison et le groupe de sécurité VPC partagés hébergés dans le compte propriétaire du VPC partagé.

L'agent ne présente aucun rapport

(Vide exprès)

Le type de problème a atteint la fin du support. Si le problème persiste et que ce n'est pas déjà fait, activez l'agent GuardDuty automatique pour Amazon EC2.

Si le problème persiste, pensez à désactiver la surveillance du temps d'exécution pendant quelques minutes, puis réactivez-la.