Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2 - Amazon GuardDuty
Revisione delle statistiche di coperturaModifica dello stato della copertura con notifiche EventBridgeRisoluzione dei problemi di copertura del runtime di Amazon EC2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2

Per una risorsa Amazon EC2, la copertura del runtime viene valutata a livello di istanza. Le tue istanze Amazon EC2 possono eseguire diversi tipi di applicazioni e carichi di lavoro, tra gli altri, nel tuo ambiente. AWS Questa funzionalità supporta anche le istanze Amazon EC2 gestite da Amazon ECS e se hai cluster Amazon ECS in esecuzione su un'istanza Amazon EC2, i problemi di copertura a livello di istanza verranno visualizzati nella copertura del runtime di Amazon EC2.

Revisione delle statistiche di copertura

Le statistiche di copertura per le istanze Amazon EC2 associate ai tuoi account o ai tuoi account membro sono la percentuale delle istanze EC2 integre rispetto a tutte le istanze EC2 selezionate. Regione AWS L'equazione seguente rappresenta questa percentuale come:

(Istanze sane) *100 instances/All

Se hai anche distribuito l'agente di GuardDuty sicurezza per i tuoi cluster Amazon ECS, qualsiasi problema di copertura a livello di istanza associato ai cluster Amazon ECS in esecuzione su un'istanza Amazon EC2 verrà visualizzato come un problema di copertura del runtime dell'istanza Amazon EC2.

Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.

Console

  • Accedi a e apri la console all'indirizzo. Console di gestione AWS GuardDuty https://console.aws.amazon.com/guardduty/

  • Nel pannello di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Runtime coverage.

  • Nella scheda Copertura del runtime dell'istanza EC2, puoi visualizzare le statistiche di copertura aggregate in base allo stato di copertura di ogni istanza Amazon EC2 disponibile nella tabella Elenco istanze.

    • Puoi filtrare la tabella dell'elenco delle istanze in base alle seguenti colonne:

      • ID account

      • Tipo di gestione dell'agente

      • Versione dell'agente

      • Stato copertura

      • ID dell'istanza

      • ARN del cluster

  • Se una delle tue istanze EC2 ha lo stato di copertura come Non integro, la colonna Problema include informazioni aggiuntive sul motivo dello stato Non integro.

API/CLI

  • Esegui l'ListCoverageAPI con il tuo ID rilevatore, la tua regione corrente e l'endpoint di servizio validi. Puoi filtrare e ordinare l'elenco delle istanze utilizzando questa API.

    • Puoi modificare il filter-criteria di esempio con una delle opzioni seguenti per CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando filter-criteria include RESOURCE_TYPE EC2, Runtime Monitoring non supporta l'uso di ISSUE come. AttributeName Se lo usi, la risposta dell'API risulterà. InvalidInputException

      Puoi modificare il AttributeName di esempio in sort-criteria con una delle opzioni seguenti:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • È possibile modificare max-results (fino a 50).

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Esegui l'GetCoverageStatisticsAPI per recuperare le statistiche aggregate sulla copertura basate su. statisticsType

    • Puoi modificare il statisticsType di esempio con una delle opzioni seguenti:

      • COUNT_BY_COVERAGE_STATUS: rappresenta le statistiche di copertura per i cluster EKS aggregate per stato di copertura.

      • COUNT_BY_RESOURCE_TYPE— Statistiche di copertura aggregate in base al tipo di AWS risorsa nell'elenco.

      • È possibile modificare il filter-criteria di esempio nel comando. Puoi utilizzare le seguenti opzioni per CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se lo stato di copertura della tua istanza EC2 è Inadeguato, consulta. Risoluzione dei problemi di copertura del runtime di Amazon EC2

Modifica dello stato della copertura con notifiche EventBridge

Lo stato di copertura dell'istanza Amazon EC2 potrebbe apparire come Non integro. Per sapere quando lo stato della copertura cambia, ti consigliamo di monitorare periodicamente lo stato della copertura e di risolvere i problemi se lo stato diventa Non integro. In alternativa, puoi creare una EventBridge regola Amazon per ricevere una notifica quando lo stato della copertura cambia da Insalutare a Healthy o altro. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus relativo al tuo account.

Schema di esempio delle notifiche

EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.

Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura della tua istanza Amazon EC2 cambia da Healthy aUnhealthy, detail-type dovresti farlo. GuardDuty Runtime Protection Unhealthy Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy aHealthy, sostituisci il valore di detail-type conGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Account AWS ID",
  "time": "event timestamp (string)",
  "region": "Regione AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Risoluzione dei problemi di copertura del runtime di Amazon EC2

Se lo stato di copertura della tua istanza Amazon EC2 non è integro, puoi visualizzare il motivo nella colonna Problema.

Se la tua istanza EC2 è associata a un cluster EKS e l'agente di sicurezza per EKS è stato installato manualmente o tramite una configurazione automatica dell'agente, per risolvere il problema di copertura, consulta. Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS

La tabella seguente elenca i tipi di problemi e le relative procedure di risoluzione.

Tipo di problema Invia messaggio Fasi per la risoluzione dei problemi

Nessuna segnalazione da parte dell'agente

In attesa di una notifica via SMS

La ricezione della notifica SSM potrebbe richiedere alcuni minuti.

Assicurati che l'istanza Amazon EC2 sia gestita tramite SSM. Per ulteriori informazioni, vedere la procedura riportata in Metodo 1 - Usare AWS Systems Manager inInstallazione manuale del security agent.

(Vuoto apposta)

Se gestisci il GuardDuty security agent manualmente, assicurati di aver seguito i passaggi seguentiGestione manuale dell'agente di sicurezza per la risorsa Amazon EC2.

Se hai abilitato la configurazione automatica dell'agente:

Verifica che l'endpoint VPC per la tua istanza Amazon EC2 sia configurato correttamente. Per ulteriori informazioni, consulta Convalida della configurazione degli endpoint VPC.

Se la tua organizzazione ha una policy di controllo dei servizi (SCP), verifica che il limite delle autorizzazioni non limiti l'autorizzazione. guardduty:SendSecurityTelemetry Per ulteriori informazioni, consulta Convalida della politica di controllo dei servizi della tua organizzazione in un ambiente con più account.

Agente disconnesso

  • Visualizza lo stato del tuo agente di sicurezza. Per ulteriori informazioni, consulta Convalida dello stato di installazione del GuardDuty Security Agent.

  • Visualizza i log del Security Agent per identificare la potenziale causa principale. I log forniscono errori dettagliati che è possibile utilizzare per risolvere autonomamente il problema. I file di registro sono disponibili in. /var/log/amzn-guardduty-agent/

    Faresudo journalctl -u amazon-guardduty-agent.

Agente non fornito

Le istanze con tag di esclusione sono escluse dal Runtime Monitoring.

GuardDuty non riceve eventi di runtime dalle istanze Amazon EC2 lanciate con il tag di esclusione:. GuardDutyManaged false

Per ricevere eventi di runtime da questa istanza Amazon EC2, rimuovi il tag di esclusione.

La versione del kernel è inferiore alla versione supportata.

Per informazioni sulle versioni del kernel supportate nelle distribuzioni del sistema operativo, consulta Convalida i requisiti architettonici per le istanze Amazon EC2.

La versione del kernel è superiore alla versione supportata.

Per informazioni sulle versioni del kernel supportate nelle distribuzioni del sistema operativo, consulta Convalida i requisiti architettonici per le istanze Amazon EC2.

Impossibile recuperare il documento di identità dell'istanza.

Completare la procedura riportata di seguito.

  1. Verifica che la tua risorsa sia un'istanza Amazon EC2 e non un'istanza ibrida non EC2.

  2. Verifica che l'Instance Metadata Service (IMDS) sia abilitato. A tale scopo, consulta Configure Instance Metadata Service options nella Amazon EC2 User Guide.

  3. Verifica che il documento di identità dell'istanza esista. A tale scopo, consulta Recupera il documento di identità dell'istanza nella Guida per l'utente di Amazon EC2.

  4. Se il documento di identità dell'istanza non esiste ancora, riavvia l'istanza. Il documento di identità dell'istanza viene generato quando l'istanza viene arrestata e avviata, riavviata o avviata.

Creazione dell'associazione SSM non riuscita

GuardDuty L'associazione SSM esiste già nel tuo account

  1. Elimina manualmente l'associazione esistente. Per ulteriori informazioni, vedere Eliminazione delle associazioni nella Guida per l'AWS Systems Manager utente.

  2. Dopo aver eliminato l'associazione, disabilita e riattiva la configurazione GuardDuty automatica dell'agente per Amazon EC2.

Il tuo account ha troppe associazioni SSM

Scegli una delle due opzioni seguenti:

  • Eliminare tutte le associazioni SSM non utilizzate. Per ulteriori informazioni, consulta Eliminazione delle associazioni nella Guida per l'AWS Systems Manager utente.

  • Verifica se il tuo account è idoneo per un aumento della quota. Per ulteriori informazioni, vedere le quote del servizio Systems Manager nel Riferimenti generali di AWS.

Aggiornamento dell'associazione SSM non riuscito

GuardDuty L'associazione SSM non esiste nel tuo account

GuardDuty L'associazione SSM non è presente nel tuo account. Disabilita e riattiva il monitoraggio del runtime.

Eliminazione dell'associazione SSM non riuscita

GuardDuty L'associazione SSM non esiste nel tuo account

L'associazione SSM non è presente nel tuo account. Se l'associazione SSM è stata eliminata intenzionalmente, non è necessaria alcuna azione.

Esecuzione dell'associazione di istanze SSM non riuscita

I requisiti architettonici o altri prerequisiti non sono soddisfatti.

Per informazioni sulle distribuzioni verificate del sistema operativo, vedere. Prerequisiti per il supporto delle istanze Amazon EC2

Se il problema persiste, i seguenti passaggi ti aiuteranno a identificare e potenzialmente risolvere il problema:

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, in Gestione dei nodi, seleziona State Manager.

  3. Filtra per proprietà Document Name e inserisci AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Selezionate l'ID dell'associazione corrispondente e visualizzatene la cronologia di esecuzione.

  5. Utilizzando la cronologia di esecuzione, visualizza gli errori, identifica la potenziale causa principale e prova a risolverla.

Creazione degli endpoint VPC non riuscita

La creazione di endpoint VPC non è supportata per VPC condiviso vpcId

Il Runtime Monitoring supporta l'uso di un VPC condiviso all'interno di un'organizzazione. Per ulteriori informazioni, consulta Utilizzo di un VPC condiviso con Runtime Monitoring.

Solo quando si utilizza un VPC condiviso con configurazione automatizzata degli agenti

L'ID dell'account proprietario 111122223333 per il VPC condiviso vpcId non ha né il monitoraggio del runtime né la configurazione automatica degli agenti abilitati o entrambi

 L'account proprietario del VPC condiviso deve abilitare il monitoraggio del runtime e la configurazione automatica degli agenti per almeno un tipo di risorsa (Amazon EKS o Amazon ECS ())AWS Fargate. Per ulteriori informazioni, consulta Prerequisiti specifici per il monitoraggio del runtime GuardDuty.

L'abilitazione del DNS privato richiede entrambi enableDnsSupport gli attributi enableDnsHostnames VPC impostati true su vpcId for (Service: Ec2, Status Code:400, Request ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assicurati che i seguenti attributi VPC siano impostati su trueenableDnsSupport e enableDnsHostnames. Per ulteriori informazioni, consulta Attributi DNS nel VPC.

Se utilizzi la console Amazon VPC su https://console.aws.amazon.com/vpc/per creare Amazon VPC, seleziona sia Abilita nomi host DNS che Abilita risoluzione DNS. Per ulteriori informazioni, consulta Opzioni di configurazione del VPC.

Dopo aver aggiornato gli attributi VPC, devi accelerare un nuovo tentativo di creazione dell'endpoint VPC apportando una delle seguenti modifiche:

  • Puoi aggiungere o modificare il GuardDutyManaged tag per la tua istanza Amazon EC2 (consigliato). Ad esempio, puoi aggiungereGuardDutyManaged: true per includere l'istanza per Runtime Monitoring.

  • Puoi modificare lo stato dell'istanza Amazon EC2 (arresto o riavvio).

Eliminazione degli endpoint VPC condivisi non riuscita

L'eliminazione dell'endpoint VPC condiviso non è consentita per ID account, VPC 111122223333 vpcId condiviso, ID account proprietario. 555555555555
Potenziali passaggi:

  • La disabilitazione dello stato di monitoraggio del runtime dell'account partecipante VPC condiviso non influisce sulla policy degli endpoint VPC condivisi e sul gruppo di sicurezza esistente nell'account del proprietario.

    Per eliminare l'endpoint VPC condiviso e il gruppo di sicurezza, devi disabilitare il monitoraggio del runtime o lo stato di configurazione automatica dell'agente nell'account proprietario del VPC condiviso.

  • L'account partecipante VPC condiviso non può eliminare l'endpoint VPC condiviso e il gruppo di sicurezza ospitati nell'account proprietario del VPC condiviso.

L'agente non effettua la segnalazione

(Vuoto apposta)

Il tipo di problema ha raggiunto la fine del supporto. Se continui a riscontrare questo problema e non lo hai ancora fatto, abilita l'agente GuardDuty automatizzato per Amazon EC2.

Se il problema persiste, prendi in considerazione la possibilità di disattivare il Runtime Monitoring per alcuni minuti, quindi riattivalo.