View a markdown version of this page

Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2 - Amazon GuardDuty
Utiliser la configuration automatique des agents (recommandé)Gestion manuelle de l'agent de sécuritéÉtape suivante

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2

Vos instances Amazon EC2 peuvent exécuter plusieurs types d'applications et de charges de travail dans votre environnement. AWS Lorsque vous activez la surveillance du temps d'exécution et que vous gérez l'agent de GuardDuty sécurité, GuardDuty cela vous aide à détecter les menaces dans vos instances Amazon EC2 existantes et dans les nouvelles instances potentielles. Cette fonctionnalité prend également en charge les instances Amazon EC2 gérées par Amazon ECS. Pour en savoir plus, consultez la section Support des instances gérées dans Guardduty.

Note

La surveillance du temps d'exécution ne prend pas en charge les applications exécutées sur les instances gérées Amazon ECS.

L'activation de la surveillance du temps d'exécution permet de GuardDuty préparer les événements d'exécution provenant des processus en cours d'exécution et des nouveaux processus au sein des instances Amazon EC2. GuardDuty nécessite qu'un agent de sécurité envoie les événements d'exécution de votre instance EC2 à GuardDuty.

Pour les instances Amazon EC2, l'agent GuardDuty de sécurité fonctionne au niveau de l'instance. Vous pouvez décider si vous souhaitez surveiller toutes les instances Amazon EC2 de votre compte ou certaines d'entre elles. Si vous souhaitez gérer des instances sélectives, l'agent de sécurité n'est requis que pour ces instances.

GuardDuty peut également consommer des événements d'exécution provenant de nouvelles tâches et de tâches existantes exécutées dans des instances Amazon EC2 au sein de clusters Amazon ECS.

Pour installer l'agent GuardDuty de sécurité, Runtime Monitoring propose les deux options suivantes :

Utiliser la configuration automatique des agents via GuardDuty (recommandé)

Utilisez la configuration automatique de l'agent qui GuardDuty permet d'installer l'agent de sécurité sur vos instances Amazon EC2 en votre nom. GuardDuty gère également les mises à jour de l'agent de sécurité.

Par défaut, GuardDuty installe l'agent de sécurité sur toutes les instances de votre compte. Si vous souhaitez GuardDuty installer et gérer l'agent de sécurité pour certaines instances EC2 uniquement, ajoutez des balises d'inclusion ou d'exclusion à vos instances EC2, selon vos besoins.

Il peut arriver que vous ne souhaitiez pas surveiller les événements d'exécution pour toutes les instances Amazon EC2 associées à votre compte. Dans les cas où vous souhaitez surveiller les événements d'exécution pour un nombre limité d'instances, ajoutez une balise d'inclusion sous la forme GuardDutyManaged : true à ces instances sélectionnées. À partir de la disponibilité de la configuration automatique des agents pour Amazon EC2, si votre instance EC2 possède une balise d'inclusion (GuardDutyManaged:true), cette balise GuardDuty sera respectée et l'agent de sécurité sera géré pour les instances sélectionnées, même si vous n'activez pas explicitement la configuration automatique des agents.

En revanche, s'il existe un nombre limité d'instances EC2 pour lesquelles vous ne souhaitez pas surveiller les événements d'exécution, ajoutez une balise d'exclusion (GuardDutyManaged:false) à ces instances sélectionnées. GuardDuty respectera la balise d'exclusion en n'installant ni en ne gérant l'agent de sécurité pour ces ressources EC2.

Impact

Lorsque vous utilisez la configuration automatique des agents dans une organisation Compte AWS ou une organisation, vous autorisez GuardDuty à effectuer les étapes suivantes en votre nom :

  • GuardDuty crée une association SSM pour toutes vos instances Amazon EC2 qui sont gérées par SSM et apparaissent sous Fleet Manager dans la console. https://console.aws.amazon.com/systems-manager/

  • Utilisation de balises d'inclusion avec désactivation de la configuration automatique des agents : après avoir activé la surveillance du temps d'exécution, lorsque vous n'activez pas la configuration automatique des agents mais que vous ajoutez une balise d'inclusion à votre instance Amazon EC2, cela signifie que vous êtes autorisé GuardDuty à gérer l'agent de sécurité en votre nom. L'association SSM installera ensuite l'agent de sécurité dans chaque instance dotée de la balise d'inclusion (GuardDutyManaged:true).

  • Si vous activez la configuration automatique de l'agent, l'association SSM installera ensuite l'agent de sécurité dans toutes les instances EC2 appartenant à votre compte.

  • Utilisation de balises d'exclusion avec configuration automatique des agents : avant d'activer la configuration automatique des agents, lorsque vous ajoutez des balises d'exclusion à votre instance Amazon EC2, cela signifie que vous autorisez GuardDuty à empêcher l'installation et la gestion de l'agent de sécurité pour cette instance sélectionnée.

    Désormais, lorsque vous activez la configuration automatique de l'agent, l'association SSM installe et gère l'agent de sécurité dans toutes les instances EC2, à l'exception de celles qui sont étiquetées avec la balise d'exclusion.

  • GuardDuty crée des points de terminaison VPC dans tous les VPC, y compris les VPC partagés, à condition qu'il y ait au moins une instance Linux EC2 dans ce VPC qui ne soit pas dans l'état d'instance terminée ou en état d'arrêt. Cela inclut le VPC centralisé et le Spoke. VPCs GuardDuty ne prend pas en charge la création d'un point de terminaison VPC uniquement pour le VPC centralisé. Pour plus d'informations sur le fonctionnement du VPC centralisé, consultez la section Interface VPC endpoints du AWS livre blanc intitulé « Création d'une infrastructure réseau multi-VPC évolutive et sécurisée ». AWS

    Pour plus d'informations sur les différents états des instances, consultez la section Cycle de vie des instances dans le guide de l'utilisateur Amazon EC2.

    GuardDuty prend également en chargeUtilisation d'un VPC partagé avec surveillance du temps d'exécution. Lorsque tous les prérequis sont pris en compte pour votre organisation et Compte AWS que GuardDuty vous utiliserez le VPC partagé pour recevoir les événements d'exécution.

    Note

    L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.

  • Outre le point de terminaison VPC, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la plage d'adresses CIDR VPC de votre ressource, et s'y adapte également lorsque la plage d'adresses CIDR change. Pour plus d'informations, consultez la section Gamme d'adresses CIDR VPC dans le guide de l'utilisateur Amazon VPC.

Gestion manuelle de l'agent de sécurité

Il existe deux méthodes pour gérer manuellement l'agent de sécurité pour Amazon EC2 :

  • Utilisez des documents GuardDuty gérés AWS Systems Manager pour installer l'agent de sécurité sur vos instances Amazon EC2 déjà gérées par SSM.

    Chaque fois que vous lancez une nouvelle instance Amazon EC2, assurez-vous qu'elle est activée par SSM.

  • Utilisez des scripts RPM Package Manager (RPM) pour installer l'agent de sécurité sur vos instances Amazon EC2, qu'elles soient ou non gérées par SSM.

Étape suivante

Pour commencer à configurer la surveillance du temps d'exécution afin de surveiller vos instances Amazon EC2, consultez. Conditions préalables à la prise en charge des instances Amazon EC2