View a markdown version of this page

GuardDuty Agent d'activation pour les ressources Amazon EC2 dans un environnement multi-comptes - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Agent d'activation pour les ressources Amazon EC2 dans un environnement multi-comptes

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les types de ressources appartenant aux comptes des membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration à partir de leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Configure for all instances

Si vous avez choisi Activer pour tous les comptes pour la surveillance du temps d'exécution, choisissez l'une des options suivantes pour le compte d' GuardDuty administrateur délégué :

  • Option 1

    Sous Configuration automatique de l'agent, dans la section EC2, sélectionnez Activer pour tous les comptes.

  • Option 2

    • Sous Configuration automatique de l'agent, dans la section EC2, sélectionnez Configurer les comptes manuellement.

    • Sous Administrateur délégué (ce compte), choisissez Activer.

  • Choisissez Enregistrer.

Si vous avez choisi Configurer les comptes manuellement pour la surveillance du temps d'exécution, effectuez les étapes suivantes :

  • Sous Configuration automatique de l'agent, dans la section EC2, sélectionnez Configurer les comptes manuellement.

  • Sous Administrateur délégué (ce compte), choisissez Activer.

  • Choisissez Enregistrer.

Quelle que soit l'option que vous choisissez pour activer la configuration automatique de l'agent pour le compte d' GuardDuty administrateur délégué, vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Ouvrez l'onglet Targets pour l'association SSM (GuardDutyRuntimeMonitoring-do-not-delete). Notez que la touche Tag apparaît sous la forme InstanceIds.

Using inclusion tag in selected instances
Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion.

    Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    1. Ouvrez l'onglet Targets pour l'association SSM créée (GuardDutyRuntimeMonitoring-do-not-delete). La touche Tag apparaît sous la forme de tag : GuardDutyManaged.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2.

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Configure for all instances

Les étapes suivantes supposent que vous avez choisi Activer pour tous les comptes dans la section Runtime Monitoring :

  1. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent pour Amazon EC2.

  2. Vous pouvez vérifier que l'association SSM qui GuardDuty crée (GuardDutyRuntimeMonitoring-do-not-delete) installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Targets pour l'association SSM. Notez que la touche Tag apparaît sous la forme InstanceIds.

Using inclusion tag in selected instances
Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez le true tag GuardDutyManaged : aux instances EC2 que vous GuardDuty souhaitez surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à votre compte.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Targets pour l'association SSM (GuardDutyRuntimeMonitoring-do-not-delete). Notez que la touche Tag apparaît sous la forme InstanceIds.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2.

Le compte d' GuardDuty administrateur délégué peut définir la configuration automatique de l'agent pour la ressource Amazon EC2 afin de l'activer automatiquement pour les nouveaux comptes membres lorsqu'ils rejoignent l'organisation.

Configure for all instances

Les étapes suivantes supposent que vous avez sélectionné Activer automatiquement les nouveaux comptes membres dans la section Runtime Monitoring :

  1. Dans le volet de navigation, choisissez Runtime Monitoring.

  2. Sur la page Runtime Monitoring, choisissez Modifier.

  3. Sélectionnez Activer automatiquement pour les nouveaux comptes membres. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la configuration automatique des agents pour Amazon EC2 sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette sélection.

  4. Choisissez Enregistrer.

Lorsqu'un nouveau compte membre rejoint l'organisation, cette configuration est automatiquement activée pour lui. GuardDuty Pour gérer l'agent de sécurité pour les instances Amazon EC2 qui appartiennent à ce nouveau compte membre, assurez-vous que toutes les conditions préalables sont rempliesPour instance EC2.

Lorsqu'une association SSM est créée (GuardDutyRuntimeMonitoring-do-not-delete), vous pouvez vérifier qu'elle installera et gérera l'agent de sécurité sur toutes les instances EC2 appartenant au nouveau compte membre.

Using inclusion tag in selected instances
Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées de votre compte

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

  3. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion.

    1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    2. Ouvrez l'onglet Targets pour l'association SSM créée. La touche Tag apparaît sous la forme de tag : GuardDutyManaged.

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour des instances spécifiques de votre compte autonome

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la false balise GuardDutyManaged : aux instances que vous ne souhaitez pas GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez désormais évaluer le temps d'exécutionCouverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2.

Configure for all instances

  1. Sur la page Comptes, sélectionnez un ou plusieurs comptes pour lesquels vous souhaitez activer la configuration de Monitoring-Automated l'agent Runtime (Amazon EC2). Assurez-vous que la surveillance du temps d'exécution est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

  2. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer la configuration de Monitoring-Automated l'agent Runtime (Amazon EC2).

  3. Choisissez Confirmer.

Using inclusion tag in selected instances
Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la true balise GuardDutyManaged : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

    L'ajout de cette balise permettra GuardDuty de gérer l'agent de sécurité pour vos instances Amazon EC2 balisées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents (Runtime Monitoring - Automated agent Configuration (EC2)).

Using exclusion tag in selected instances
Note

Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/

  2. Ajoutez la false balise GuardDutyManaged : aux instances EC2 que vous ne souhaitez pas GuardDuty surveiller ou détecter de menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir Pour ajouter une balise à une ressource individuelle.

  3. Pour que les balises d'exclusion soient disponibles dans les métadonnées de l'instance, effectuez les opérations suivantes :

    1. Dans l'onglet Détails de votre instance, consultez l'état de l'option Autoriser les balises dans les métadonnées de l'instance.

      S'il est actuellement désactivé, suivez les étapes ci-dessous pour changer le statut en Activé. Sinon, Ignorez cette étape.

    2. Dans le menu Actions, sélectionnez Paramètres de l'instance.

    3. Choisissez Autoriser les balises dans les métadonnées de l'instance.

  4. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet Configurer pour toutes les instances.

Vous pouvez maintenant évaluerCouverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2.