Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Automatisierten Security Agent für Amazon EC2 EC2-Instance aktivieren
<a name="managing-gdu-agent-ec2-automated"></a>

Dieser Abschnitt enthält Schritte zur Aktivierung des GuardDuty automatisierten Agenten für Ihre Amazon EC2 EC2-Ressourcen in Ihrem eigenständigen Konto oder einer Umgebung mit mehreren Konten. 

Bevor Sie fortfahren, stellen Sie sicher, dass Sie alle Anweisungen befolgen. [Voraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances](prereq-runtime-monitoring-ec2-support.md)

Wenn Sie von der manuellen Verwaltung des GuardDuty Agenten zur Aktivierung des GuardDuty automatisierten Agenten wechseln, finden Sie weitere Informationen unter[Migration vom manuellen Amazon EC2 EC2-Agenten zum automatisierten Agenten](migrate-from-ec2-manual-to-automated-agent.md), bevor Sie die Schritte zur Aktivierung des GuardDuty automatisierten Agenten ausführen.

# GuardDuty Agent für Amazon EC2 EC2-Ressourcen in einer Umgebung mit mehreren Konten aktivieren
<a name="manage-agent-ec2-multi-account-env"></a>

In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Ressourcentypen aktivieren oder deaktivieren, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter [Verwaltung mehrerer Konten](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Für ein delegiertes Administratorkonto GuardDuty
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Wenn Sie für Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben, wählen Sie eine der folgenden Optionen für das delegierte GuardDuty Administratorkonto:
+ **Option 1**

  Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Für alle Konten aktivieren** aus.
+ **Option 2**
  + Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Konten manuell konfigurieren** aus.
  + **Wählen Sie unter **Delegierter Administrator (dieses Konto)** die Option Aktivieren aus.**
+ Wählen Sie **Speichern**.

Wenn Sie **Konten manuell für Runtime Monitoring konfigurieren** ausgewählt haben, führen Sie die folgenden Schritte aus:
+ Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Konten manuell konfigurieren** aus.
+ **Wählen Sie unter **Delegierter Administrator (dieses Konto)** die Option Aktivieren aus.**
+ Wählen Sie **Speichern**.

Unabhängig davon, welche Option Sie wählen, um die automatische Agentenkonfiguration für das delegierte GuardDuty Administratorkonto zu aktivieren, können Sie sicherstellen, dass die SSM-Zuordnung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu diesem Konto gehören.

1. Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird. 

------
#### [ Using inclusion tag in selected instances ]

**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Durch Hinzufügen dieses Tags GuardDuty kann der Security Agent für diese ausgewählten EC2-Instances installiert und verwaltet werden. Sie **müssen die automatische Agentenkonfiguration nicht** explizit aktivieren.

1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inclusion-Tags gekennzeichnet sind. 

   Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung, die erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`). Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.

------
#### [ Using exclusion tag in selected instances ]

**Anmerkung**  
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**

   1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.

      Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.

   1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.

   1. Wähle „**Tags in Instanz-Metadaten zulassen**“.

1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.

------

Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).

## Automatische Aktivierung für alle Mitgliedskonten
<a name="auto-enable-all-member-accounts"></a>

**Anmerkung**  
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

------
#### [ Configure for all instances ]

Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben:

1. Wählen Sie im Abschnitt **Automatisierte Agentenkonfiguration** **für **Amazon EC2** die Option Für alle Konten aktivieren** aus. 

1. Sie können überprüfen, ob die SSM-Verknüpfung, die (`GuardDutyRuntimeMonitoring-do-not-delete`) GuardDuty erstellt, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu diesem Konto gehören.

   1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung. Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird. 

------
#### [ Using inclusion tag in selected instances ]

**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den EC2-Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Durch Hinzufügen dieses Tags GuardDuty kann der Security Agent für diese ausgewählten EC2-Instances installiert und verwaltet werden. Sie **müssen die automatische Agentenkonfiguration nicht** explizit aktivieren.

1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu Ihrem Konto gehören.

   1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird. 

------
#### [ Using exclusion tag in selected instances ]

**Anmerkung**  
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**

   1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.

      Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.

   1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.

   1. Wähle „**Tags in Instanz-Metadaten zulassen**“.

1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.

------

Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).

## Automatische Aktivierung nur für neue Mitgliedskonten
<a name="auto-enable-new-member-accounts"></a>

Das delegierte GuardDuty Administratorkonto kann die automatische Agentenkonfiguration für die Amazon EC2 EC2-Ressource so einrichten, dass sie automatisch für die neuen Mitgliedskonten aktiviert wird, wenn sie der Organisation beitreten. 

------
#### [ Configure for all instances ]

Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt **Runtime Monitoring** die Option **Automatisch für neue Mitgliedskonten aktivieren** ausgewählt haben:

1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.

1. Wählen Sie auf der Seite **Runtime Monitoring** die Option **Bearbeiten** aus.

1. Wählen Sie **Automatisch für neue Mitgliedskonten aktivieren**. Dieser Schritt stellt sicher, dass jedes Mal, wenn ein neues Konto Ihrer Organisation beitritt, die automatische Agentenkonfiguration für Amazon EC2 automatisch für das Konto aktiviert wird. Nur das delegierte GuardDuty Administratorkonto der Organisation kann diese Auswahl ändern.

1. Wählen Sie **Speichern**.

Wenn der Organisation ein neues Mitgliedskonto beitritt, wird diese Konfiguration automatisch für dieses Mitglied aktiviert. GuardDuty Um den Sicherheitsagenten für die Amazon EC2 EC2-Instances zu verwalten, die zu diesem neuen Mitgliedskonto gehören, müssen Sie sicherstellen, dass alle Voraussetzungen erfüllt [Für eine EC2-Instance](prereq-runtime-monitoring-ec2-support.md) sind.

Wenn eine SSM-Zuordnung erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`), können Sie überprüfen, ob die SSM-Zuordnung den Security Agent auf allen EC2-Instances installiert und verwaltet, die zu dem neuen Mitgliedskonto gehören.
+ Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung. Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.

------
#### [ Using inclusion tag in selected instances ]

**Um den GuardDuty Security Agent für ausgewählte Instanzen in Ihrem Konto zu konfigurieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Wenn Sie dieses Tag hinzufügen GuardDuty , können Sie den Security Agent für diese ausgewählten Instanzen installieren und verwalten. Sie müssen die automatische Agentenkonfiguration nicht explizit aktivieren.

1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inclusion-Tags gekennzeichnet sind. 

   1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung, die erstellt wird. Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.

------
#### [ Using exclusion tag in selected instances ]

**Anmerkung**  
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

**Um den GuardDuty Security Agent für bestimmte Instances in Ihrem eigenständigen Konto zu konfigurieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**

   1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.

      Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.

   1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.

   1. Wähle „**Tags in Instanz-Metadaten zulassen**“.

1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.

------

Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).

## Nur ausgewählte Mitgliedskonten
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. Wählen Sie auf der Seite **Konten** ein oder mehrere Konten aus, für die Sie die **Runtime Monitoring-Automated Agent-Konfiguration (Amazon** EC2) aktivieren möchten. Stellen Sie sicher, dass Runtime Monitoring für die Konten, die Sie in diesem Schritt auswählen, bereits aktiviert ist.

1. Wählen Sie **unter Schutzpläne bearbeiten** die entsprechende Option aus, um die **Runtime Monitoring-Automated Agent-Konfiguration (Amazon** EC2) zu aktivieren.

1. Wählen Sie **Bestätigen** aus.

------
#### [ Using inclusion tag in selected instances ]

**Um den GuardDuty Security Agent für ausgewählte Instances zu konfigurieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Durch Hinzufügen dieses Tags können Sie GuardDuty den Security Agent für Ihre markierten Amazon EC2 EC2-Instances verwalten. Sie müssen die automatische Agentenkonfiguration nicht explizit aktivieren (**Runtime Monitoring — Automated Agent Configuration (EC2**)).

------
#### [ Using exclusion tag in selected instances ]

**Anmerkung**  
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

**Um den GuardDuty Security Agent für ausgewählte Instances zu konfigurieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den EC2-Instances, die Sie nicht überwachen oder potenzielle **Bedrohungen nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**

   1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.

      Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.

   1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.

   1. Wähle „**Tags in Instanz-Metadaten zulassen**“.

1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.

------

Sie können jetzt beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).

# Aktivierung eines GuardDuty automatisierten Agenten für Amazon EC2 EC2-Ressourcen in einem eigenständigen Konto
<a name="manage-agent-ec2-standalone-account"></a>

Ein eigenständiges Konto hat die Entscheidung, einen Schutzplan AWS-Konto in einem bestimmten Bereich zu aktivieren oder zu deaktivieren AWS-Region. 

Wenn Ihr Konto über oder über AWS Organizations die Einladungsmethode mit einem GuardDuty Administratorkonto verknüpft ist, gilt dieser Abschnitt nicht für Ihr Konto. Weitere Informationen finden Sie unter [Runtime Monitoring für Umgebungen mit mehreren Konten aktivieren](enable-runtime-monitoring-multiple-acc-env.md).

Nachdem Sie Runtime Monitoring aktiviert haben, stellen Sie sicher, dass Sie den GuardDuty Security Agent durch automatische Konfiguration oder manuelle Installation installieren. Nachdem Sie alle im folgenden Verfahren aufgeführten Schritte ausgeführt haben, stellen Sie sicher, dass Sie den Security Agent installieren.

Je nachdem, ob Sie alle oder ausgewählte Amazon EC2 EC2-Ressourcen überwachen möchten, wählen Sie eine bevorzugte Methode und folgen Sie den Schritten in der folgenden Tabelle.

------
#### [ Configure for all instances ]

**Um Runtime Monitoring für alle Instances in Ihrem eigenständigen Konto zu konfigurieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.

1. Wählen Sie auf der Registerkarte **Konfiguration** die Option **Bearbeiten** aus.

1. Wählen Sie im Abschnitt **EC2** die Option **Aktivieren** aus.

1. Wählen Sie **Speichern**.

1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu Ihrem Konto gehören.

   1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird. 

------
#### [ Using inclusion tag in selected instances ]

**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Sie können überprüfen, ob die SSM-Zuordnung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inklusion-Tags gekennzeichnet sind. 

   Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung, die erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`). Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.

------
#### [ Using exclusion tag in selected instances ]

**Anmerkung**  
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.

**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**

   1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.

      Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.

   1. Wählen Sie die Instanz aus, für die Sie Tags zulassen möchten.

   1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.

   1. Wähle „**Tags in Instanz-Metadaten zulassen**“.

   1. Wählen **Sie unter Zugriff auf Tags in Instanzmetadaten** die Option **Zulassen** aus.

   1. Wählen Sie **Speichern**.

1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.

------

Sie können jetzt die Laufzeit beurteilen. [Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md)

# Migration vom manuellen Amazon EC2 EC2-Agenten zum automatisierten Agenten
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Dieser Abschnitt gilt für den AWS-Konto Fall, dass Sie den Security Agent zuvor manuell verwaltet haben und jetzt die GuardDuty automatische Agentenkonfiguration verwenden möchten. Falls dies nicht auf Sie zutrifft, fahren Sie mit der Konfiguration des Security Agents für Ihr Konto fort.

Wenn Sie den GuardDuty Automated Agent aktivieren, GuardDuty verwaltet er den Security Agent in Ihrem Namen. Informationen darüber, welche GuardDuty Schritte erforderlich sind, finden Sie unter[Verwenden Sie die automatische Agentenkonfiguration (empfohlen)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## Bereinigen von Ressourcen
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**SSM-Zuordnung löschen**  
+ Löschen Sie alle SSM-Verknüpfungen, die Sie möglicherweise erstellt haben, als Sie den Security Agent für Amazon EC2 manuell verwaltet haben. Weitere Informationen finden Sie unter Verknüpfungen [löschen](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Dies geschieht, damit Sie die Verwaltung von SSM-Aktionen übernehmen GuardDuty können, unabhängig davon, ob Sie automatisierte Agenten auf Konto- oder Instanzebene verwenden (mithilfe von Inklusions- oder Ausschlusstags). Weitere Informationen darüber, welche SSM-Aktionen ausführen können, GuardDuty finden Sie unter. [Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty](slr-permissions.md)
+ Wenn Sie eine SSM-Verknüpfung löschen, die zuvor für die manuelle Verwaltung des Security Agents erstellt wurde, kann es bei GuardDuty der Erstellung einer SSM-Verknüpfung zur automatischen Verwaltung des Security Agents zu einer kurzen Überschneidung kommen. Während dieses Zeitraums kann es aufgrund der SSM-Planung zu Konflikten kommen. Weitere Informationen finden Sie unter [Amazon EC2 SSM-Planung](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Einschluss- und Ausschluss-Tags für Ihre Amazon EC2 EC2-Instances verwalten**  
+ **Inclusion-Tags** — Wenn Sie die GuardDuty automatische Agentenkonfiguration nicht aktivieren, sondern eine Ihrer Amazon EC2 EC2-Instances mit einem Inclusion-Tag (`GuardDutyManaged`:`true`) kennzeichnen, wird eine SSM-Zuordnung GuardDuty erstellt, die den Security Agent auf den ausgewählten EC2-Instances installiert und verwaltet. Dies ist ein erwartetes Verhalten, das Ihnen hilft, den Security Agent nur auf ausgewählten EC2-Instances zu verwalten. Weitere Informationen finden Sie unter [So funktioniert Runtime Monitoring mit Amazon EC2 EC2-Instances](how-runtime-monitoring-works-ec2.md).

  Um die Installation und Verwaltung des Security Agents zu GuardDuty verhindern, entfernen Sie das Inclusion-Tag von diesen EC2-Instances. Weitere Informationen finden [Sie unter Hinzufügen und Löschen von Tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ **Ausschluss-Tags** — Wenn Sie die GuardDuty automatische Agentenkonfiguration für alle EC2-Instances in Ihrem Konto aktivieren möchten, stellen Sie sicher, dass keine EC2-Instance mit einem Ausschluss-Tag (:) `GuardDutyManaged` gekennzeichnet ist. `false`