Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von GuardDuty Security Agents
Sie können den GuardDuty Security Agent für die Ressource verwalten, die Sie überwachen möchten. Wenn Sie mehr als einen Ressourcentyp überwachen möchten, stellen Sie sicher, dass Sie den GuardDuty Agenten für diese Ressource verwalten.
Die folgenden Themen helfen Ihnen bei den nächsten Schritten zur Verwaltung des Security Agents.
**Topics**
+ [Automatisierten Security Agent für Amazon EC2 EC2-Instance aktivieren](managing-gdu-agent-ec2-automated.md)
+ [Manuelles Verwalten des Security Agents für Amazon EC2 EC2-Ressourcen](managing-gdu-agent-ec2-manually.md)
+ [Verwaltung eines automatisierten Sicherheitsagenten für Fargate (nur Amazon ECS)](managing-gdu-agent-ecs-automated.md)
+ [Automatisches Verwalten des Security Agents für Amazon EKS-Ressourcen](managing-gdu-agent-eks-automatically.md)
+ [Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster](managing-gdu-agent-eks-manually.md)
+ [Konfigurieren Sie die Parameter des GuardDuty Security Agents (Add-on) für Amazon EKS](guardduty-configure-security-agent-eks-addon.md)
+ [Validierung der VPC-Endpunktkonfiguration](validate-vpc-endpoint-config-runtime-monitoring.md)
# Automatisierten Security Agent für Amazon EC2 EC2-Instance aktivieren
Dieser Abschnitt enthält Schritte zur Aktivierung des GuardDuty automatisierten Agenten für Ihre Amazon EC2 EC2-Ressourcen in Ihrem eigenständigen Konto oder einer Umgebung mit mehreren Konten.
Bevor Sie fortfahren, stellen Sie sicher, dass Sie alle Anweisungen befolgen. [Voraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances](prereq-runtime-monitoring-ec2-support.md)
Wenn Sie von der manuellen Verwaltung des GuardDuty Agenten zur Aktivierung des GuardDuty automatisierten Agenten wechseln, finden Sie weitere Informationen unter[Migration vom manuellen Amazon EC2 EC2-Agenten zum automatisierten Agenten](migrate-from-ec2-manual-to-automated-agent.md), bevor Sie die Schritte zur Aktivierung des GuardDuty automatisierten Agenten ausführen.
# GuardDuty Agent für Amazon EC2 EC2-Ressourcen in einer Umgebung mit mehreren Konten aktivieren
In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Ressourcentypen aktivieren oder deaktivieren, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter [Verwaltung mehrerer Konten](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
## Für ein delegiertes Administratorkonto GuardDuty
------
#### [ Configure for all instances ]
Wenn Sie für Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben, wählen Sie eine der folgenden Optionen für das delegierte GuardDuty Administratorkonto:
+ **Option 1**
Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Für alle Konten aktivieren** aus.
+ **Option 2**
+ Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Konten manuell konfigurieren** aus.
+ **Wählen Sie unter **Delegierter Administrator (dieses Konto)** die Option Aktivieren aus.**
+ Wählen Sie **Speichern**.
Wenn Sie **Konten manuell für Runtime Monitoring konfigurieren** ausgewählt haben, führen Sie die folgenden Schritte aus:
+ Wählen Sie unter **Automatisierte Agentenkonfiguration** im Abschnitt **EC2** die Option **Konten manuell konfigurieren** aus.
+ **Wählen Sie unter **Delegierter Administrator (dieses Konto)** die Option Aktivieren aus.**
+ Wählen Sie **Speichern**.
Unabhängig davon, welche Option Sie wählen, um die automatische Agentenkonfiguration für das delegierte GuardDuty Administratorkonto zu aktivieren, können Sie sicherstellen, dass die SSM-Zuordnung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu diesem Konto gehören.
1. Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.
------
#### [ Using inclusion tag in selected instances ]
**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
Durch Hinzufügen dieses Tags GuardDuty kann der Security Agent für diese ausgewählten EC2-Instances installiert und verwaltet werden. Sie **müssen die automatische Agentenkonfiguration nicht** explizit aktivieren.
1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inclusion-Tags gekennzeichnet sind.
Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung, die erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`). Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.
------
#### [ Using exclusion tag in selected instances ]
**Anmerkung**
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.
**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**
1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.
Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.
1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.
1. Wähle „**Tags in Instanz-Metadaten zulassen**“.
1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.
------
Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).
## Automatische Aktivierung für alle Mitgliedskonten
**Anmerkung**
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
------
#### [ Configure for all instances ]
Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben:
1. Wählen Sie im Abschnitt **Automatisierte Agentenkonfiguration** **für **Amazon EC2** die Option Für alle Konten aktivieren** aus.
1. Sie können überprüfen, ob die SSM-Verknüpfung, die (`GuardDutyRuntimeMonitoring-do-not-delete`) GuardDuty erstellt, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu diesem Konto gehören.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung. Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.
------
#### [ Using inclusion tag in selected instances ]
**So konfigurieren Sie den GuardDuty Agenten für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den EC2-Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
Durch Hinzufügen dieses Tags GuardDuty kann der Security Agent für diese ausgewählten EC2-Instances installiert und verwaltet werden. Sie **müssen die automatische Agentenkonfiguration nicht** explizit aktivieren.
1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu Ihrem Konto gehören.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.
------
#### [ Using exclusion tag in selected instances ]
**Anmerkung**
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.
**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**
1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.
Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.
1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.
1. Wähle „**Tags in Instanz-Metadaten zulassen**“.
1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.
------
Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).
## Automatische Aktivierung nur für neue Mitgliedskonten
Das delegierte GuardDuty Administratorkonto kann die automatische Agentenkonfiguration für die Amazon EC2 EC2-Ressource so einrichten, dass sie automatisch für die neuen Mitgliedskonten aktiviert wird, wenn sie der Organisation beitreten.
------
#### [ Configure for all instances ]
Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt **Runtime Monitoring** die Option **Automatisch für neue Mitgliedskonten aktivieren** ausgewählt haben:
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1. Wählen Sie auf der Seite **Runtime Monitoring** die Option **Bearbeiten** aus.
1. Wählen Sie **Automatisch für neue Mitgliedskonten aktivieren**. Dieser Schritt stellt sicher, dass jedes Mal, wenn ein neues Konto Ihrer Organisation beitritt, die automatische Agentenkonfiguration für Amazon EC2 automatisch für das Konto aktiviert wird. Nur das delegierte GuardDuty Administratorkonto der Organisation kann diese Auswahl ändern.
1. Wählen Sie **Speichern**.
Wenn der Organisation ein neues Mitgliedskonto beitritt, wird diese Konfiguration automatisch für dieses Mitglied aktiviert. GuardDuty Um den Sicherheitsagenten für die Amazon EC2 EC2-Instances zu verwalten, die zu diesem neuen Mitgliedskonto gehören, müssen Sie sicherstellen, dass alle Voraussetzungen erfüllt [Für eine EC2-Instance](prereq-runtime-monitoring-ec2-support.md) sind.
Wenn eine SSM-Zuordnung erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`), können Sie überprüfen, ob die SSM-Zuordnung den Security Agent auf allen EC2-Instances installiert und verwaltet, die zu dem neuen Mitgliedskonto gehören.
+ Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung. Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.
------
#### [ Using inclusion tag in selected instances ]
**Um den GuardDuty Security Agent für ausgewählte Instanzen in Ihrem Konto zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
Wenn Sie dieses Tag hinzufügen GuardDuty , können Sie den Security Agent für diese ausgewählten Instanzen installieren und verwalten. Sie müssen die automatische Agentenkonfiguration nicht explizit aktivieren.
1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inclusion-Tags gekennzeichnet sind.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Verknüpfung, die erstellt wird. Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.
------
#### [ Using exclusion tag in selected instances ]
**Anmerkung**
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.
**Um den GuardDuty Security Agent für bestimmte Instances in Ihrem eigenständigen Konto zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**
1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.
Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.
1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.
1. Wähle „**Tags in Instanz-Metadaten zulassen**“.
1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.
------
Sie können jetzt die Laufzeit beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).
## Nur ausgewählte Mitgliedskonten
------
#### [ Configure for all instances ]
1. Wählen Sie auf der Seite **Konten** ein oder mehrere Konten aus, für die Sie die **Runtime Monitoring-Automated Agent-Konfiguration (Amazon** EC2) aktivieren möchten. Stellen Sie sicher, dass Runtime Monitoring für die Konten, die Sie in diesem Schritt auswählen, bereits aktiviert ist.
1. Wählen Sie **unter Schutzpläne bearbeiten** die entsprechende Option aus, um die **Runtime Monitoring-Automated Agent-Konfiguration (Amazon** EC2) zu aktivieren.
1. Wählen Sie **Bestätigen** aus.
------
#### [ Using inclusion tag in selected instances ]
**Um den GuardDuty Security Agent für ausgewählte Instances zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
Durch Hinzufügen dieses Tags können Sie GuardDuty den Security Agent für Ihre markierten Amazon EC2 EC2-Instances verwalten. Sie müssen die automatische Agentenkonfiguration nicht explizit aktivieren (**Runtime Monitoring — Automated Agent Configuration (EC2**)).
------
#### [ Using exclusion tag in selected instances ]
**Anmerkung**
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.
**Um den GuardDuty Security Agent für ausgewählte Instances zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den EC2-Instances, die Sie nicht überwachen oder potenzielle **Bedrohungen nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**
1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.
Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.
1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.
1. Wähle „**Tags in Instanz-Metadaten zulassen**“.
1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.
------
Sie können jetzt beurteilen[Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md).
# Aktivierung eines GuardDuty automatisierten Agenten für Amazon EC2 EC2-Ressourcen in einem eigenständigen Konto
Ein eigenständiges Konto hat die Entscheidung, einen Schutzplan AWS-Konto in einem bestimmten Bereich zu aktivieren oder zu deaktivieren AWS-Region.
Wenn Ihr Konto über oder über AWS Organizations die Einladungsmethode mit einem GuardDuty Administratorkonto verknüpft ist, gilt dieser Abschnitt nicht für Ihr Konto. Weitere Informationen finden Sie unter [Runtime Monitoring für Umgebungen mit mehreren Konten aktivieren](enable-runtime-monitoring-multiple-acc-env.md).
Nachdem Sie Runtime Monitoring aktiviert haben, stellen Sie sicher, dass Sie den GuardDuty Security Agent durch automatische Konfiguration oder manuelle Installation installieren. Nachdem Sie alle im folgenden Verfahren aufgeführten Schritte ausgeführt haben, stellen Sie sicher, dass Sie den Security Agent installieren.
Je nachdem, ob Sie alle oder ausgewählte Amazon EC2 EC2-Ressourcen überwachen möchten, wählen Sie eine bevorzugte Methode und folgen Sie den Schritten in der folgenden Tabelle.
------
#### [ Configure for all instances ]
**Um Runtime Monitoring für alle Instances in Ihrem eigenständigen Konto zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1. Wählen Sie auf der Registerkarte **Konfiguration** die Option **Bearbeiten** aus.
1. Wählen Sie im Abschnitt **EC2** die Option **Aktivieren** aus.
1. Wählen Sie **Speichern**.
1. Sie können überprüfen, ob die SSM-Verknüpfung, die GuardDuty erstellt wird, den Security Agent auf allen EC2-Ressourcen installiert und verwaltet, die zu Ihrem Konto gehören.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung (`GuardDutyRuntimeMonitoring-do-not-delete`). Beachten Sie, dass der **Tag-Schlüssel** als **InstanceIds**angezeigt wird.
------
#### [ Using inclusion tag in selected instances ]
**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie überwachen und potenzielle Bedrohungen erkennen GuardDuty möchten, das `true` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Sie können überprüfen, ob die SSM-Zuordnung, die GuardDuty erstellt wird, den Security Agent nur auf den EC2-Ressourcen installiert und verwaltet, die mit den Inklusion-Tags gekennzeichnet sind.
Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Öffnen Sie die Registerkarte **Ziele** für die SSM-Zuordnung, die erstellt wird (`GuardDutyRuntimeMonitoring-do-not-delete`). Der **Tag-Schlüssel** wird als **Tag: GuardDutyManaged** angezeigt.
------
#### [ Using exclusion tag in selected instances ]
**Anmerkung**
Stellen Sie sicher, dass Sie Ihren Amazon EC2 EC2-Instances das Ausschluss-Tag hinzufügen, bevor Sie sie starten. Sobald Sie die automatische Agentenkonfiguration für Amazon EC2 aktiviert haben, wird jede EC2-Instance, die ohne Ausschluss-Tag gestartet wird, von der GuardDuty automatisierten Agentenkonfiguration abgedeckt.
**So konfigurieren Sie den GuardDuty Security Agent für ausgewählte Amazon EC2 EC2-Instances**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Fügen Sie den Instances, die Sie nicht überwachen und potenzielle Bedrohungen **nicht** erkennen GuardDuty möchten, das `false` Tag`GuardDutyManaged`: hinzu. Informationen zum Hinzufügen dieses Tags finden Sie unter [So fügen Sie einer einzelnen Ressource ein Tag hinzu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Gehen Sie wie folgt vor[, damit die Ausschluss-Tags in den Instanz-Metadaten verfügbar](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) sind:**
1. Sehen Sie sich auf dem Tab „**Details**“ Ihrer Instance den Status für **Tags zulassen in den Instanz-Metadaten** an.
Wenn es derzeit **Deaktiviert** ist, gehen Sie wie folgt vor, um den Status auf **Aktiviert** zu ändern. Andernfalls überspringen Sie diesen Schritt.
1. Wählen Sie die Instanz aus, für die Sie Tags zulassen möchten.
1. Wählen Sie im Menü **Aktionen** die Option **Instanzeinstellungen** aus.
1. Wähle „**Tags in Instanz-Metadaten zulassen**“.
1. Wählen **Sie unter Zugriff auf Tags in Instanzmetadaten** die Option **Zulassen** aus.
1. Wählen Sie **Speichern**.
1. Nachdem Sie das Ausschluss-Tag hinzugefügt haben, führen Sie dieselben Schritte aus, wie auf der Registerkarte **Für alle Instanzen konfigurieren** angegeben.
------
Sie können jetzt die Laufzeit beurteilen. [Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance](gdu-assess-coverage-ec2.md)
# Migration vom manuellen Amazon EC2 EC2-Agenten zum automatisierten Agenten
Dieser Abschnitt gilt für den AWS-Konto Fall, dass Sie den Security Agent zuvor manuell verwaltet haben und jetzt die GuardDuty automatische Agentenkonfiguration verwenden möchten. Falls dies nicht auf Sie zutrifft, fahren Sie mit der Konfiguration des Security Agents für Ihr Konto fort.
Wenn Sie den GuardDuty Automated Agent aktivieren, GuardDuty verwaltet er den Security Agent in Ihrem Namen. Informationen darüber, welche GuardDuty Schritte erforderlich sind, finden Sie unter[Verwenden Sie die automatische Agentenkonfiguration (empfohlen)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).
## Bereinigen von Ressourcen
**SSM-Zuordnung löschen**
+ Löschen Sie alle SSM-Verknüpfungen, die Sie möglicherweise erstellt haben, als Sie den Security Agent für Amazon EC2 manuell verwaltet haben. Weitere Informationen finden Sie unter Verknüpfungen [löschen](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Dies geschieht, damit Sie die Verwaltung von SSM-Aktionen übernehmen GuardDuty können, unabhängig davon, ob Sie automatisierte Agenten auf Konto- oder Instanzebene verwenden (mithilfe von Inklusions- oder Ausschlusstags). Weitere Informationen darüber, welche SSM-Aktionen ausführen können, GuardDuty finden Sie unter. [Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty](slr-permissions.md)
+ Wenn Sie eine SSM-Verknüpfung löschen, die zuvor für die manuelle Verwaltung des Security Agents erstellt wurde, kann es bei GuardDuty der Erstellung einer SSM-Verknüpfung zur automatischen Verwaltung des Security Agents zu einer kurzen Überschneidung kommen. Während dieses Zeitraums kann es aufgrund der SSM-Planung zu Konflikten kommen. Weitere Informationen finden Sie unter [Amazon EC2 SSM-Planung](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).
**Einschluss- und Ausschluss-Tags für Ihre Amazon EC2 EC2-Instances verwalten**
+ **Inclusion-Tags** — Wenn Sie die GuardDuty automatische Agentenkonfiguration nicht aktivieren, sondern eine Ihrer Amazon EC2 EC2-Instances mit einem Inclusion-Tag (`GuardDutyManaged`:`true`) kennzeichnen, wird eine SSM-Zuordnung GuardDuty erstellt, die den Security Agent auf den ausgewählten EC2-Instances installiert und verwaltet. Dies ist ein erwartetes Verhalten, das Ihnen hilft, den Security Agent nur auf ausgewählten EC2-Instances zu verwalten. Weitere Informationen finden Sie unter [So funktioniert Runtime Monitoring mit Amazon EC2 EC2-Instances](how-runtime-monitoring-works-ec2.md).
Um die Installation und Verwaltung des Security Agents zu GuardDuty verhindern, entfernen Sie das Inclusion-Tag von diesen EC2-Instances. Weitere Informationen finden [Sie unter Hinzufügen und Löschen von Tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ **Ausschluss-Tags** — Wenn Sie die GuardDuty automatische Agentenkonfiguration für alle EC2-Instances in Ihrem Konto aktivieren möchten, stellen Sie sicher, dass keine EC2-Instance mit einem Ausschluss-Tag (:) `GuardDutyManaged` gekennzeichnet ist. `false`
# Manuelles Verwalten des Security Agents für Amazon EC2 EC2-Ressourcen
Dieser Abschnitt enthält die Schritte zur manuellen Installation und Aktualisierung des Security Agents für Ihre Amazon EC2 EC2-Ressourcen.
Nachdem Sie Runtime Monitoring aktiviert haben, müssen Sie den GuardDuty Security Agent manuell installieren. Um den GuardDuty Security Agent manuell zu verwalten, müssen Sie zunächst manuell einen Amazon VPC-Endpunkt erstellen. Danach können Sie den Security Agent so installieren, dass er GuardDuty die Runtime-Ereignisse von den Amazon EC2 EC2-Instances empfängt. Wenn eine neue Agentenversion für diese Ressource GuardDuty veröffentlicht wird, können Sie die Agentenversion in Ihrem Konto aktualisieren.
Die folgenden Themen umfassen die Schritte zur kontinuierlichen Verwaltung des Security Agents für Ihre Amazon EC2 EC2-Ressourcen.
**Topics**
+ [Voraussetzung — Manuelles Erstellen eines Amazon VPC-Endpunkts](creating-vpc-endpoint-ec2-agent-manually.md)
+ [Manuelles Installieren des Security Agents](installing-gdu-security-agent-ec2-manually.md)
+ [Manuelles Aktualisieren des GuardDuty Security Agents für die Amazon EC2 EC2-Instance](gdu-update-security-agent-ec2.md)
# Voraussetzung — Manuelles Erstellen eines Amazon VPC-Endpunkts
Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer Amazon EC2 EC2-Instances.
**Anmerkung**
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
**So erstellen Sie einen Amazon VPC-Endpunkt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich unter **VPC Private Cloud** die Option **Endpoints** aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Wählen Sie auf der Seite **Endpunkt erstellen** für **Servicekategorie** die Option **Andere Endpunkt-Services**.
1. Geben Sie unter **Servicename** **com.amazonaws.*us-east-1*.guardduty-data** ein.
Stellen Sie sicher, dass Sie es durch Ihr *us-east-1* ersetzen. AWS-Region Dies muss dieselbe Region sein wie die Amazon EC2 EC2-Instance, die zu Ihrer AWS Konto-ID gehört.
1. Wählen Sie **Service verifizieren**.
1. Nachdem der Dienstname erfolgreich verifiziert wurde, wählen Sie die **VPC** aus, in der sich Ihre Instance befindet. Fügen Sie die folgende Richtlinie hinzu, um die Nutzung von Amazon VPC-Endpunkten nur auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-`Condition` können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung von Amazon VPC-Endpunktunterstützung für ein bestimmtes Konto IDs in Ihrer Organisation finden Sie unter[Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
Die `aws:PrincipalAccount`-Konto-ID muss mit dem Konto übereinstimmen, das die VPC und den VPC-Endpunkt enthält. Die folgende Liste zeigt, wie Sie den VPC-Endpunkt mit einem anderen AWS Konto IDs teilen können:
+ Um mehrere Konten für den Zugriff auf den VPC-Endpunkt anzugeben, `"aws:PrincipalAccount: "111122223333"` ersetzen Sie ihn durch den folgenden Block:
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
Stellen Sie sicher, dass Sie das AWS Konto IDs durch das Konto IDs der Konten ersetzen, die auf den VPC-Endpunkt zugreifen müssen.
+ Um allen Mitgliedern einer Organisation den Zugriff auf den VPC-Endpunkt zu ermöglichen, `"aws:PrincipalAccount: "111122223333"` ersetzen Sie ihn durch die folgende Zeile:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
Achten Sie darauf, die Organisation *o-abcdef0123* durch Ihre Organisations-ID zu ersetzen.
+ Um den Zugriff auf eine Ressource anhand einer Organisations-ID einzuschränken, fügen Sie Ihre `ResourceOrgID` zur Richtlinie hinzu. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) im *IAM-Benutzerhandbuch*.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. Wählen Sie unter **Zusätzliche Einstellungen** die Option **DNS-Name aktivieren**.
1. Wählen Sie unter **Subnetze** die Subnetze aus, in denen sich Ihre Instance befindet.
1. Wählen Sie unter **Sicherheitsgruppen** eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrer VPC (oder Ihrer Amazon EC2 EC2-Instance) aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die ein eingehender Port 443 aktiviert ist, finden [Sie weitere Informationen unter Erstellen einer Sicherheitsgruppe für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.
Wenn bei der Einschränkung der eingehenden Berechtigungen für Ihre VPC (oder Instance) ein Problem auftritt, können Sie den eingehenden Port 443 von einer beliebigen IP-Adresse aus verwenden. `(0.0.0.0/0)` GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR-Block für Ihre VPC entsprechen. Weitere Informationen finden Sie unter [VPC CIDR-Blöcke](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.
Nachdem Sie die Schritte ausgeführt haben, stellen [Validierung der VPC-Endpunktkonfiguration](validate-vpc-endpoint-config-runtime-monitoring.md) Sie sicher, dass der VPC-Endpunkt korrekt eingerichtet wurde.
# Manuelles Installieren des Security Agents
GuardDuty bietet die folgenden zwei Methoden zur Installation des GuardDuty Security Agents auf Ihren Amazon EC2 EC2-Instances. Bevor Sie fortfahren, stellen Sie sicher, dass Sie die folgenden Schritte befolgen. [Voraussetzung — Manuelles Erstellen eines Amazon VPC-Endpunkts](creating-vpc-endpoint-ec2-agent-manually.md)
Wählen Sie eine bevorzugte Zugriffsmethode, um den Security Agent in Ihren Amazon EC2 EC2-Ressourcen zu installieren.
+ [Methode 1 — Verwenden AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring)— Für diese Methode muss Ihre Amazon EC2 EC2-Instance AWS Systems Manager verwaltet werden.
+ [Methode 2 — Verwenden von Linux-Paketmanagern](#install-gdu-by-rpm-scripts-runtime-monitoring)— Sie können diese Methode unabhängig davon verwenden, ob Ihre Amazon EC2 EC2-Instances AWS Systems Manager verwaltet werden oder nicht. Basierend auf Ihren [Betriebssystemverteilungen](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2) können Sie eine geeignete Methode wählen, um entweder RPM-Skripte oder Debian-Skripte zu installieren. Wenn Sie die *Fedora-Plattform* verwenden, müssen Sie diese Methode verwenden, um den Agenten zu installieren.
## Methode 1 — Verwenden AWS Systems Manager
Um diese Methode zu verwenden, stellen Sie sicher, dass Ihre Amazon EC2 EC2-Instances AWS Systems Manager verwaltet werden, und installieren Sie dann den Agenten.
### AWS Systems Manager verwaltete Amazon EC2 EC2-Instanz
Gehen Sie wie folgt vor, um Ihre Amazon EC2 EC2-Instances zu AWS Systems Manager verwalten.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer AWS Anwendungen und Ressourcen end-to-end und ermöglicht sichere Abläufe in großem Maßstab.
Informationen zur Verwaltung Ihrer Amazon EC2 EC2-Instances mit AWS Systems Manager finden Sie unter [Systems Manager für Amazon EC2 EC2-Instances einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) im *AWS Systems Manager Benutzerhandbuch*.
+ Die folgende Tabelle zeigt die neuen GuardDuty verwalteten AWS Systems Manager Dokumente:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
Weitere Informationen zu AWS Systems Manager finden Sie in den [Amazon EC2 Systems Manager Manager-Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) im *AWS Systems Manager Benutzerhandbuch*.
**Für Debian-Server**
Für die von bereitgestellten Amazon Machine Images (AMIs) für Debian Server AWS müssen Sie den AWS Systems Manager Agenten (SSM-Agent) installieren. Sie müssen einen zusätzlichen Schritt ausführen, um den SSM-Agenten zu installieren, damit Ihre Amazon EC2 EC2-Debian-Server-Instances SSM verwaltet werden. *Informationen zu den Schritten, die Sie ergreifen müssen, finden Sie unter [Manuelles Installieren des SSM-Agenten auf Debian-Server-Instances im Benutzerhandbuch](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html).AWS Systems Manager *
**Um den GuardDuty Agenten für die Amazon EC2 EC2-Instance zu installieren, verwenden Sie AWS Systems Manager**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Dokumente**
1. Wählen Sie **unter Owned by Amazon** die Option aus`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`.
1. Wählen Sie **Run Command (Befehl ausführen)** aus.
1. Geben Sie die folgenden Run-Command-Parameter ein
+ Aktion: Wählen Sie **Installieren**.
+ Installationstyp: Wählen **Sie Installieren oder Deinstallieren.**
+ Name: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
+ Version: Wenn dieses Feld leer bleibt, erhalten Sie die neueste Version des GuardDuty Security Agents. Weitere Informationen zu den Release-Versionen finden Sie unter[GuardDuty Security-Agent-Versionen für Amazon EC2 EC2-Instances](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
1. Wählen Sie die Amazon EC2 EC2-Zielinstanz aus. Sie können eine oder mehrere Amazon EC2 EC2-Instances auswählen. Weitere Informationen finden Sie im *AWS Systems Manager Benutzerhandbuch* unter [Befehle von der Konsole aus AWS Systems Manager ausführen](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html)
1. Überprüfen Sie, ob die GuardDuty Agenteninstallation fehlerfrei ist. Weitere Informationen finden Sie unter [Der Installationsstatus des GuardDuty Security Agents wird überprüft](#validate-ec2-gdu-agent-installation-healthy).
## Methode 2 — Verwenden von Linux-Paketmanagern
Mit dieser Methode können Sie den GuardDuty Security Agent installieren, indem Sie RPM- oder Debian-Skripte ausführen. Je nach Betriebssystem können Sie eine bevorzugte Methode wählen:
+ Verwenden Sie RPM-Skripte, um den Security Agent auf Betriebssystem-Distributionen AL2,, AL2023 RedHat, CentOS oder Fedora zu installieren.
+ Verwenden Sie Debian-Skripte, um den Security Agent auf den Betriebssystem-Distributionen Ubuntu oder Debian zu installieren. Hinweise zu den unterstützten Ubuntu- und Debian-Betriebssystem-Distributionen finden Sie unter. [Überprüfen Sie die architektonischen Anforderungen](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2)
------
#### [ RPM installation ]
**Wichtig**
Wir empfehlen, die RPM-Signatur des GuardDuty Security Agents zu überprüfen, bevor Sie ihn auf Ihrem Computer installieren.
1. Überprüfen Sie die GuardDuty RPM-Signatur des Security Agents
1.
**Bereiten Sie die Vorlage vor**
Bereiten Sie die Befehle mit dem entsprechenden öffentlichen Schlüssel, der Signatur von x86\$164 RPM, der Signatur von arm64 RPM und dem entsprechenden Zugriffslink zu den RPM-Skripten vor, die in Amazon S3 S3-Buckets gehostet werden. Ersetzen Sie den Wert von AWS-Region, der AWS Konto-ID und der GuardDuty Agentenversion, um auf die RPM-Skripts zuzugreifen.
+ **Öffentlicher Schlüssel**:
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty RPM-Signatur des Security Agents**:
Signatur von x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
```
Signatur von arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Greifen Sie auf Links zu den RPM-Skripten im Amazon S3 S3-Bucket** zu:
Zugangslink für x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Zugangslink für arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Laden Sie die Vorlage herunter**
Stellen Sie sicher, dass Sie im folgenden Befehl zum Herunterladen des entsprechenden öffentlichen Schlüssels, der Signatur von x86\$164 RPM, der Signatur von arm64 RPM und des entsprechenden Zugriffs-Links zu den RPM-Skripten, die in Amazon S3 S3-Buckets gehostet werden, die Konto-ID durch die entsprechende AWS-Konto ID und die Region durch Ihre aktuelle Region ersetzen.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1.
**Importieren Sie den öffentlichen Schlüssel**
Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel in die Datenbank zu importieren:
```
gpg --import publickey.pem
```
gpg zeigt, dass der Import erfolgreich war
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1.
**Verifiziere die Signatur**
Verwenden Sie den folgenden Befehl, um die Signatur zu überprüfen
```
gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Wenn die Überprüfung erfolgreich ist, wird eine Meldung ähnlich dem folgenden Ergebnis angezeigt. Sie können jetzt mit der Installation des GuardDuty Security Agents mithilfe von RPM fortfahren.
Beispielausgabe:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
Wenn die Überprüfung fehlschlägt, bedeutet dies, dass die Signatur auf RPM möglicherweise manipuliert wurde. Sie müssen den öffentlichen Schlüssel aus der Datenbank entfernen und den Überprüfungsprozess erneut versuchen.
Beispiel:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel aus der Datenbank zu entfernen:
```
gpg --delete-keys AwsGuardDuty
```
Versuchen Sie nun erneut, die Überprüfung durchzuführen.
1. Stellen Sie [von Linux oder macOS aus eine Connect mit SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html) her.
1. Installieren Sie den GuardDuty Security Agent mit dem folgenden Befehl:
```
sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
```
1. Überprüfen Sie, ob die GuardDuty Agent-Installation fehlerfrei ist. Weitere Informationen zu den Schritten finden Sie unter[Der Installationsstatus des GuardDuty Security Agents wird überprüft](#validate-ec2-gdu-agent-installation-healthy).
------
#### [ Debian installation ]
**Wichtig**
Wir empfehlen, die Debian-Signatur des GuardDuty Security Agents zu überprüfen, bevor Sie ihn auf Ihrem Computer installieren.
1. Überprüfen Sie die GuardDuty Debian-Signatur des Security Agents
1.
**Bereiten Sie Vorlagen für den entsprechenden öffentlichen Schlüssel, die Signatur des amd64-Debian-Pakets, die Signatur des arm64-Debian-Pakets und den entsprechenden Zugangslink zu den Debian-Skripten vor, die in Amazon S3 S3-Buckets gehostet werden**
Ersetzen Sie in den folgenden Vorlagen den Wert von, die AWS Konto-ID und die AWS-Region GuardDuty Agentenversion, um auf die Debian-Paketskripte zuzugreifen.
+ **Öffentlicher Schlüssel**:
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty Debian-Signatur des Sicherheitsagenten**:
Signatur von amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
```
Signatur von arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Zugriffs-Links zu den Debian-Skripten im Amazon S3 S3-Bucket**:
Zugangslink für amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
```
Zugangslink für arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Laden Sie den entsprechenden öffentlichen Schlüssel, die Signatur von amd64, die Signatur von arm64 und den entsprechenden Zugangslink zu den Debian-Skripten herunter, die in Amazon S3 S3-Buckets gehostet werden**
Ersetzen Sie in den folgenden Befehlen die Konto-ID durch die entsprechende AWS-Konto ID und die Region durch Ihre aktuelle Region.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1. Importieren Sie den öffentlichen Schlüssel in die Datenbank
```
gpg --import publickey.pem
```
gpg zeigt, dass der Import erfolgreich war
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1. Verifiziere die Signatur
```
gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
```
Nach einer erfolgreichen Überprüfung wird eine Meldung angezeigt, die dem folgenden Ergebnis ähnelt:
Beispielausgabe:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
Sie können nun mit der Installation des GuardDuty Security Agents unter Verwendung von Debian fortfahren.
Wenn die Überprüfung jedoch fehlschlägt, bedeutet dies, dass die Signatur im Debian-Paket möglicherweise manipuliert wurde.
Beispiel:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel aus der Datenbank zu entfernen:
```
gpg --delete-keys AwsGuardDuty
```
Versuchen Sie nun erneut, den Überprüfungsprozess durchzuführen.
1. Stellen Sie [von Linux oder macOS aus eine Connect mit SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html) her.
1. Installieren Sie den GuardDuty Security Agent mit dem folgenden Befehl:
```
sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
```
1. Überprüfen Sie, ob die GuardDuty Agent-Installation fehlerfrei ist. Weitere Informationen zu den Schritten finden Sie unter[Der Installationsstatus des GuardDuty Security Agents wird überprüft](#validate-ec2-gdu-agent-installation-healthy).
------
## Fehler: Nicht genügend Arbeitsspeicher
Wenn bei der manuellen Installation oder Aktualisierung des GuardDuty Security Agents für Amazon EC2 ein `out-of-memory` Fehler auftritt, finden Sie weitere Informationen unter[Behebung eines Fehlers wegen unzureichenden Speichers](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error).
## Der Installationsstatus des GuardDuty Security Agents wird überprüft
Nachdem Sie die Schritte zur Installation des GuardDuty Security Agents ausgeführt haben, überprüfen Sie mit den folgenden Schritten den Status des Agents:
**Um zu überprüfen, ob der GuardDuty Security Agent fehlerfrei ist**
1. Stellen Sie [von Linux oder macOS aus eine Connect mit SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html) her.
1. Führen Sie den folgenden Befehl aus, um den Status des GuardDuty Security Agents zu überprüfen:
```
sudo systemctl status amazon-guardduty-agent
```
Wenn Sie die Installationsprotokolle des Security Agents einsehen möchten, finden Sie sie unter`/var/log/amzn-guardduty-agent/`.
Um die Protokolle einzusehen, tun Sie dies`sudo journalctl -u amazon-guardduty-agent`.
# Manuelles Aktualisieren des GuardDuty Security Agents für die Amazon EC2 EC2-Instance
GuardDuty veröffentlicht Updates für die Security Agent-Versionen. Wenn Sie den Security Agent manuell verwalten, sind Sie dafür verantwortlich, den Agenten für Ihre Amazon EC2 EC2-Instances zu aktualisieren. Informationen zu neuen Agentenversionen finden Sie unter [GuardDuty Release-Versionen des Security Agents](runtime-monitoring-agent-release-history.md) Für Amazon EC2 EC2-Instances. Informationen zum Erhalt von Benachrichtigungen über die Veröffentlichung einer neuen Agentenversion finden Sie unter[Amazon GuardDuty SNS SNS-Ankündigungen abonnieren](guardduty_sns.md).
**Um den Security Agent für die Amazon EC2 EC2-Instance manuell zu aktualisieren**
Der Vorgang zur Aktualisierung des Security Agents entspricht der Installation des Security Agents. Abhängig von der Methode, mit der Sie den Agenten installiert haben, können Sie die Schritte unter [Manuelles Installieren des Security Agents](installing-gdu-security-agent-ec2-manually.md) für Amazon EC2 EC2-Instances ausführen.
Wenn Sie [Methode 1 — Mit verwenden verwenden AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring), können Sie den Security Agent mit dem **Befehl Run** aktualisieren. Verwenden Sie die Agent-Version, auf die Sie aktualisieren möchten.
Wenn Sie [Methode 2 — Mithilfe von Linux-Paketmanagern](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:) verwenden, können Sie die im [Manuelles Installieren des Security Agents](installing-gdu-security-agent-ec2-manually.md) Abschnitt angegebenen Skripts verwenden. Die Skripts enthalten bereits die neueste Agent-Release-Version. Informationen zu kürzlich veröffentlichten Agentenversionen finden Sie unter[GuardDuty Security-Agent-Versionen für Amazon EC2 EC2-Instances](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
Nachdem Sie den Security Agent aktualisiert haben, können Sie den Installationsstatus anhand der Protokolle überprüfen. Weitere Informationen finden Sie unter [Der Installationsstatus des GuardDuty Security Agents wird überprüft](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy).
# Verwaltung eines automatisierten Sicherheitsagenten für Fargate (nur Amazon ECS)
Runtime Monitoring unterstützt die Verwaltung des Security Agents für Ihre Amazon ECS-Cluster (AWS Fargate) nur über GuardDuty. Die manuelle Verwaltung des Security Agents auf Amazon ECS-Clustern wird nicht unterstützt.
Bevor Sie mit den Schritten in diesem Abschnitt fortfahren, stellen Sie sicher, dass Sie die folgenden Punkte beachten[Voraussetzungen für den Support AWS Fargate (nur Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).
Wählen Sie auf der Grundlage von eine bevorzugte Methode aus[Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon ECS-Fargate-Ressourcen](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), um den GuardDuty automatisierten Agenten für Ihre Ressourcen zu aktivieren.
**Topics**
## Konfiguration des GuardDuty Agenten für eine Umgebung mit mehreren Konten
In einer Umgebung mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und die automatische Agentenkonfiguration für Amazon ECS-Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Ein GuardDuty Mitgliedskonto kann diese Konfiguration nicht ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter [Verwaltung mehrerer Konten](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html) in. GuardDuty
### Aktivierung der automatisierten Agentenkonfiguration für ein delegiertes Administratorkonto GuardDuty
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Wenn Sie für Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:
+ Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option **Für alle Konten aktivieren** aus. GuardDuty wird den Security Agent für alle Amazon ECS-Aufgaben bereitstellen und verwalten, die gestartet werden.
+ Wählen Sie **Konten manuell konfigurieren**.
Wenn Sie im Bereich Runtime Monitoring die Option **Konten manuell konfigurieren** ausgewählt haben, gehen Sie wie folgt vor:
1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option **Konten manuell konfigurieren** aus.
1. Wählen Sie im Abschnitt **Delegiertes GuardDuty Administratorkonto (dieses Konto)** die Option **Aktivieren** aus.
Wählen Sie **Speichern**.
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Fügen Sie diesem Amazon ECS-Cluster ein Tag mit dem Schlüssel-Wert-Paar als `GuardDutyManaged` - hinzu. `false`
1. Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1.
**Anmerkung**
Fügen Sie Ihren Amazon ECS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den Amazon ECS-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte **Konfiguration** in der **automatisierten Agentenkonfiguration** die Option **Aktivieren** aus.
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Fügen Sie einem Amazon ECS-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `true`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Anmerkung**
Wenn Sie Inclusion-Tags für Ihre Amazon ECS-Cluster verwenden, müssen Sie den GuardDuty Agenten nicht explizit über die automatische Agentenkonfiguration aktivieren.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
### Automatische Aktivierung für alle Mitgliedskonten
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben.
1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option **Für alle Konten aktivieren** aus. GuardDuty wird den Security Agent für alle Amazon ECS-Aufgaben bereitstellen und verwalten, die gestartet werden.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Fügen Sie diesem Amazon ECS-Cluster ein Tag mit dem Schlüssel-Wert-Paar als `GuardDutyManaged` - hinzu. `false`
1. Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1.
**Anmerkung**
Fügen Sie Ihren Amazon ECS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den Amazon ECS-Aufgaben angehängt, die gestartet werden.
**Wählen Sie auf der Registerkarte **Konfiguration** die Option Bearbeiten aus.**
1. Wählen Sie im Abschnitt **Automatisierte Agentenkonfiguration** die Option **Für alle Konten aktivieren**
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Unabhängig davon, wie Sie Runtime Monitoring aktivieren, helfen Ihnen die folgenden Schritte dabei, ausgewählte Amazon ECS Fargate-Aufgaben für alle Mitgliedskonten in Ihrer Organisation zu überwachen.
1. Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt ausgewählt haben.
1. Wählen Sie **Speichern**.
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Anmerkung**
Wenn Sie Inclusion-Tags für Ihre Amazon ECS-Cluster verwenden, müssen Sie die **automatische Verwaltung der GuardDuty Agenten** nicht explizit aktivieren.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
### Aktivierung der automatisierten Agentenkonfiguration für bestehende aktive Mitgliedskonten
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Auf der Seite Runtime Monitoring können Sie auf der Registerkarte **Konfiguration** den aktuellen Status der automatisierten Agentenkonfiguration einsehen.
1. Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt **Aktive Mitgliedskonten** die Option **Aktionen** aus.
1. Wählen Sie bei **Aktionen** die Option **Aktivieren für alle vorhandenen aktiven Mitgliedskonten**.
1. Wählen Sie **Bestätigen** aus.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Fügen Sie diesem Amazon ECS-Cluster ein Tag mit dem Schlüssel-Wert-Paar als `GuardDutyManaged` - hinzu. `false`
1. Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1.
**Anmerkung**
Fügen Sie Ihren Amazon ECS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den Amazon ECS-Aufgaben angehängt, die gestartet werden.
**Wählen Sie auf der Registerkarte **Konfiguration** im Abschnitt Automatisierte Agentenkonfiguration unter **Aktive Mitgliedskonten** die Option Aktionen aus.**
1. Wählen Sie bei **Aktionen** die Option **Aktivieren für alle vorhandenen aktiven Mitgliedskonten**.
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen Sie **Bestätigen** aus.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Fügen Sie einem Amazon ECS-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `true`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Anmerkung**
Wenn Sie Inclusion-Tags für Ihre Amazon ECS-Cluster verwenden, müssen Sie die **automatische Agentenkonfiguration** nicht explizit aktivieren.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
### Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Wählen Sie auf der Seite Runtime Monitoring die Option **Bearbeiten** aus, um die bestehende Konfiguration zu aktualisieren.
1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option **Automatisch für neue Mitgliedskonten aktivieren** aus.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Fügen Sie diesem Amazon ECS-Cluster ein Tag mit dem Schlüssel-Wert-Paar als `GuardDutyManaged` - hinzu. `false`
1. Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1.
**Anmerkung**
Fügen Sie Ihren Amazon ECS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den Amazon ECS-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte **Konfiguration** im Abschnitt ****Automatisierte Agentenkonfiguration die Option Automatisch** für neue Mitgliedskonten aktivieren** aus.
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Fügen Sie einem Amazon ECS-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `true`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Anmerkung**
Wenn Sie Inclusion-Tags für Ihre Amazon ECS-Cluster verwenden, müssen Sie die **automatische Agentenkonfiguration** nicht explizit aktivieren.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
### Selektives Aktivieren der automatisierten Agentenkonfiguration für aktive Mitgliedskonten
------
#### [ Manage for all Amazon ECS (account level) ]
1. Wählen Sie auf der Seite Konten die Konten aus, für die Sie die Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate) aktivieren möchten. Sie können mehrere Konten auswählen. Stellen Sie sicher, dass die Konten, die Sie in diesem Schritt auswählen, bereits für Runtime Monitoring aktiviert sind.
1. Wählen **Sie unter Schutzpläne bearbeiten** die entsprechende Option aus, um die **Runtime Monitoring-Automated Agent-Konfiguration (**ECS-Fargate) zu aktivieren.
1. Wählen Sie **Bestätigen** aus.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Fügen Sie diesem Amazon ECS-Cluster ein Tag mit dem Schlüssel-Wert-Paar als `GuardDutyManaged` - hinzu. `false`
1. Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1.
**Anmerkung**
Fügen Sie Ihren Amazon ECS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den Amazon ECS-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Seite Konten die Konten aus, für die Sie die Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate) aktivieren möchten. Sie können mehrere Konten auswählen. Stellen Sie sicher, dass die Konten, die Sie in diesem Schritt auswählen, bereits für Runtime Monitoring aktiviert sind.
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen **Sie unter Schutzpläne bearbeiten** die entsprechende Option aus, um die **Runtime Monitoring-Automated Agent-Konfiguration (**ECS-Fargate) zu aktivieren.
1. Wählen Sie **Speichern**.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Stellen Sie sicher, dass Sie die **automatische Agentenkonfiguration** (oder **Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate))** nicht für die ausgewählten Konten aktivieren, die über die Amazon ECS-Cluster verfügen, die Sie überwachen möchten.
1. Fügen Sie einem Amazon ECS-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `true`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Anmerkung**
Wenn Sie Inclusion-Tags für Ihre Amazon ECS-Cluster verwenden, müssen Sie die **automatische Agentenkonfiguration** nicht explizit aktivieren.
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
------
## Den GuardDuty Agenten für ein eigenständiges Konto konfigurieren
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1. Gehen Sie auf der Registerkarte **Konfiguration** wie folgt vor:
1.
**Zur Verwaltung der automatisierten Agentenkonfiguration für alle Amazon ECS-Cluster (Kontoebene)**
Wählen Sie im Abschnitt **Automatisierte Agentenkonfiguration** für **AWS Fargate (nur ECS)** die Option **Aktivieren** aus. Wenn eine neue Fargate Amazon ECS-Task gestartet GuardDuty wird, wird die Bereitstellung des Sicherheitsagenten verwaltet.
1. Wählen Sie **Speichern**.
1.
**Verwaltung der automatisierten Agentenkonfiguration durch Ausschluss einiger Amazon ECS-Cluster (Cluster-Ebene)**
1. Fügen Sie dem Amazon ECS-Cluster, für den Sie alle Aufgaben ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `false`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Wählen Sie auf der Registerkarte **Konfiguration** im Abschnitt **Automatisierte Agentenkonfiguration** die Option **Aktivieren** aus.
**Anmerkung**
Fügen Sie Ihrem Amazon ECS-Cluster immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der Security Agent bei allen Aufgaben eingesetzt, die innerhalb des entsprechenden Amazon ECS-Clusters gestartet werden.
Für die Amazon ECS-Cluster, die nicht ausgeschlossen wurden, GuardDuty wird die Bereitstellung des Security Agents im Sidecar-Container verwaltet.
1. Wählen Sie **Speichern**.
1.
**Verwaltung der automatisierten Agentenkonfiguration durch Einbeziehung einiger Amazon ECS-Cluster (Cluster-Ebene)**
1. Fügen Sie einem Amazon ECS-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein. `GuardDutyManaged` `true`
1. Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im *AWS Organizations Benutzerhandbuch unter [Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden, beschriebene Richtlinie wurde dahingehend* geändert, dass sie hier gilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS-Service gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem `forceNewDeployment` Sie
Schritte zur Aktualisierung des Dienstes finden Sie in den folgenden Ressourcen:
+ [Aktualisierung eines Amazon ECS-Service mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)in der *Amazon Elastic Container Service API-Referenz*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) in der *AWS CLI Befehlsreferenz*.
# Automatisches Verwalten des Security Agents für Amazon EKS-Ressourcen
Runtime Monitoring unterstützt die Aktivierung des Security Agents durch GuardDuty automatische Konfiguration und manuell. In diesem Abschnitt werden die Schritte zur Aktivierung der automatisierten Agentenkonfiguration für Amazon EKS-Cluster beschrieben.
Bevor Sie fortfahren, stellen Sie sicher, dass Sie die befolgt haben[Voraussetzungen für die Unterstützung von Amazon EKS-Clustern](prereq-runtime-monitoring-eks-support.md).
Wählen Sie die Schritte in den folgenden Abschnitten entsprechend Ihrer bevorzugten Vorgehensweise aus. [Verwalten Sie den Security Agent über GuardDuty](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto)
## Konfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten
In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und den automatisierten Agenten für die EKS-Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter [Verwaltung mehrerer Konten](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty
| **Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents** | **Schritte** |
| --- | --- |
| Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen) | Wenn Sie im Bereich Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Wenn Sie im Bereich Runtime Monitoring die Option **Konten manuell konfigurieren** ausgewählt haben, gehen Sie wie folgt vor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Wählen Sie **Speichern**. |
| Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags) | Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster in Ihrem Konto: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Den GuardDuty Security Agent manuell verwalten | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Automatischer Agent für alle Mitgliedskonten automatisch aktivieren
**Anmerkung**
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
| **Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents** | **Schritte** |
| --- | --- |
| Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen) | In diesem Thema geht es darum, Runtime Monitoring für alle Mitgliedskonten zu aktivieren. Daher wird bei den folgenden Schritten davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option **Für alle Konten aktivieren** ausgewählt haben. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags) | Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster für alle Mitgliedskonten in Ihrer Organisation: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Den GuardDuty Security Agent manuell verwalten | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten
**Anmerkung**
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
**Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten**
+ GuardDuty Um Runtime-Ereignisse von den EKS-Clustern zu empfangen, die zu den bestehenden aktiven Mitgliedskonten in der Organisation gehören, müssen Sie einen bevorzugten Ansatz für die Verwaltung des GuardDuty Security Agents für diese EKS-Cluster wählen. Weitere Informationen zu diesen Ansätzen finden Sie unter [Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon EKS-Clustern](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
### Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder
| **Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents** | **Schritte** |
| --- | --- |
| Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags) | Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster auf die neuen Mitgliedskonten in Ihrer Organisation. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Den GuardDuty Security Agent manuell verwalten | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten
| **Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents** | **Schritte** |
| --- | --- |
| Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags) | Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen | Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster, die zu den ausgewählten Konten gehören: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Den GuardDuty Security Agent manuell verwalten | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
## Konfiguration des automatisierten Agenten für ein eigenständiges Konto
Ein eigenständiges Konto hat die Entscheidung, einen Schutzplan AWS-Konto in einem bestimmten Bereich zu aktivieren oder zu deaktivieren AWS-Region.
Wenn Ihr Konto über oder über AWS Organizations die Einladungsmethode mit einem GuardDuty Administratorkonto verknüpft ist, gilt dieser Abschnitt nicht für Ihr Konto. Weitere Informationen finden Sie unter [Runtime Monitoring für Umgebungen mit mehreren Konten aktivieren](enable-runtime-monitoring-multiple-acc-env.md).
Nachdem Sie Runtime Monitoring aktiviert haben, stellen Sie sicher, dass Sie den GuardDuty Security Agent durch automatische Konfiguration oder manuelle Installation installieren. Nachdem Sie alle im folgenden Verfahren aufgeführten Schritte ausgeführt haben, stellen Sie sicher, dass Sie den Security Agent installieren.
Je nachdem, ob Sie alle oder ausgewählte Amazon EKS-Ressourcen überwachen möchten, wählen Sie eine bevorzugte Methode und folgen Sie den Schritten in der folgenden Tabelle.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
1. Wählen Sie auf der Registerkarte **Konfiguration** die Option **Aktivieren** aus, um die automatische Agentenkonfiguration für Ihr Konto zu aktivieren.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
# Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster
In diesem Abschnitt wird beschrieben, wie Sie Ihren Amazon EKS-Zusatzagenten (GuardDuty Agenten) verwalten können, nachdem Sie Runtime Monitoring (oder EKS Runtime Monitoring) aktiviert haben. Um Runtime Monitoring verwenden zu können, müssen Sie Runtime Monitoring aktivieren und das Amazon EKS-Add-on konfigurieren`aws-guardduty-agent`. Sie müssen beide Schritte ausführen, um potenzielle Bedrohungen GuardDuty zu erkennen und zu generieren[GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md).
Für die manuelle Verwaltung des Agenten müssen Sie als Voraussetzung einen VPC-Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse. Danach können Sie den Security Agent so installieren, dass er GuardDuty die Runtime-Ereignisse von den Amazon EKS-Ressourcen empfängt. Wenn eine neue Agentenversion für diese Ressource GuardDuty veröffentlicht wird, können Sie die Agentenversion in Ihrem Konto aktualisieren.
**Topics**
+ [Voraussetzung — Erstellen eines Amazon VPC-Endpunkts](eksrunmon-prereq-deploy-security-agent.md)
+ [Manuelles Installieren des GuardDuty Security Agents auf Amazon EKS-Ressourcen](eksrunmon-deploy-security-agent.md)
+ [Manuelles Aktualisieren des Security Agents für Amazon EKS-Ressourcen](eksrunmon-update-security-agent.md)
# Voraussetzung — Erstellen eines Amazon VPC-Endpunkts
Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer Amazon EKS-Ressourcen.
**Anmerkung**
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
Wählen Sie eine bevorzugte Zugriffsmethode, um einen Amazon VPC-Endpunkt zu erstellen.
------
#### [ Console ]
**So erstellen Sie einen VPC-Endpunkt**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsmenü unter **Virtual Private Cloud** die Option **Endpunkte**.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Wählen Sie auf der Seite **Endpunkt erstellen** für **Servicekategorie** die Option **Andere Endpunkt-Services**.
1. Geben Sie unter **Servicename** **com.amazonaws.*us-east-1*.guardduty-data** ein.
Stellen Sie sicher, dass Sie *us-east-1* durch die richtige Region ersetzen. Dies muss dieselbe Region sein wie der EKS-Cluster, der zu Ihrer AWS-Konto ID gehört.
1. Wählen Sie **Service verifizieren**.
1. Nachdem der Servicename erfolgreich verifiziert wurde, wählen Sie die **VPC** aus, in der sich Ihr Cluster befindet. Fügen Sie die folgende Richtlinie hinzu, um die Nutzung von VPC-Endpunkten auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-`Condition` können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung von VPC-Endpunktunterstützung für ein bestimmtes Konto IDs in Ihrer Organisation finden Sie unter[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
Die `aws:PrincipalAccount`-Konto-ID muss mit dem Konto übereinstimmen, das die VPC und den VPC-Endpunkt enthält. Die folgende Liste zeigt, wie Sie den VPC-Endpunkt mit anderen AWS-Konto IDs teilen können:
**Organisationsbedingung , um den Zugriff auf Ihren Endpunkt einzuschränken**
+ Um mehrere Konten für den Zugriff auf den VPC-Endpunkt anzugeben, ersetzen Sie `"aws:PrincipalAccount": "111122223333"` durch Folgendes:
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
+ Um allen Mitgliedern einer Organisation den Zugriff auf den VPC-Endpunkt zu ermöglichen, ersetzen Sie `"aws:PrincipalAccount": "111122223333"` durch Folgendes:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
+ Um den Zugriff auf eine Ressource auf eine Organisations-ID zu beschränken, fügen Sie Ihre `ResourceOrgID` zur Richtlinie hinzu.
Weitere Informationen finden Sie unter [ResourceOrgID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. Wählen Sie unter **Zusätzliche Einstellungen** die Option **DNS-Name aktivieren**.
1. Wählen Sie unter **Subnetze** die Subnetze aus, in denen sich Ihr Cluster befindet.
1. Wählen Sie unter **Sicherheitsgruppen** eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrer VPC (oder Ihrem EKS-Cluster) aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die der eingehende Port 443 aktiviert ist, [Erstellen Sie eine Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).
Wenn bei der Einschränkung der eingehenden Berechtigungen für Ihre VPC (oder Instance) ein Problem auftritt, können Sie den eingehenden Port 443 von einer beliebigen IP-Adresse aus verwenden. `(0.0.0.0/0)` GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR-Block für Ihre VPC entsprechen. Weitere Informationen finden Sie unter [VPC CIDR-Blöcke](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.
------
#### [ API/CLI ]
**So erstellen Sie einen VPC-Endpunkt**
+ Aufrufen [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html).
+ Verwenden Sie die folgenden Werte für die Parameter:
+ Geben Sie unter **Servicename** **com.amazonaws.*us-east-1*.guardduty-data** ein.
Stellen Sie sicher, dass Sie es *us-east-1* durch die richtige Region ersetzen. Dies muss dieselbe Region sein wie der EKS-Cluster, der zu Ihrer AWS-Konto ID gehört.
+ Aktivieren Sie für die private DNS-Option [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), indem Sie sie auf setzen`true`.
+ AWS Command Line Interface Näheres dazu finden Sie unter [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).
------
Nachdem Sie die Schritte ausgeführt haben, stellen [Validierung der VPC-Endpunktkonfiguration](validate-vpc-endpoint-config-runtime-monitoring.md) Sie sicher, dass der VPC-Endpunkt korrekt eingerichtet wurde.
# Manuelles Installieren des GuardDuty Security Agents auf Amazon EKS-Ressourcen
In diesem Abschnitt wird beschrieben, wie Sie den GuardDuty Security Agent zum ersten Mal für bestimmte EKS-Cluster bereitstellen können. Bevor Sie mit diesem Abschnitt fortfahren, stellen Sie sicher, dass Sie die Voraussetzungen bereits eingerichtet und Runtime Monitoring für Ihre Konten aktiviert haben. Der GuardDuty Security Agent (EKS-Add-on) funktioniert nicht, wenn Sie Runtime Monitoring nicht aktivieren.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty Security Agent zum ersten Mal zu installieren.
------
#### [ Console ]
1. Öffnen Sie die Amazon EKS-Konsole unter [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie Ihren **Clusternamen** aus.
1. Wählen Sie die Registerkarte **Add-ons**.
1. Wählen Sie **Weitere Add-Ons erhalten**.
1. **Wählen Sie auf der Seite „Add-Ons** auswählen“ **Amazon GuardDuty EKS Runtime Monitoring** aus.
1. GuardDuty empfiehlt, die neueste und standardmäßige **Agentenversion** zu wählen.
1. Verwenden Sie auf der Seite **Ausgewählte Add-On-Einstellungen konfigurieren** die Standardeinstellungen. Wenn der **Status** Ihres EKS-Add-ons **Aktivierung erfordert** lautet, wählen Sie **Aktivieren** aus GuardDuty. Diese Aktion öffnet die GuardDuty Konsole, in der Sie Runtime Monitoring für Ihre Konten konfigurieren können.
1. Nachdem Sie Runtime Monitoring für Ihre Konten konfiguriert haben, kehren Sie zur Amazon EKS-Konsole zurück. Der **Status** Ihres EKS-Add-Ons sollte sich auf **Bereit zur Installation** geändert haben.
1.
**(Optional) Bereitstellung des Konfigurationsschemas für das EKS-Add-On**
Wenn Sie für die **Add-On-Version Version** **v1.5.0** oder höher wählen, unterstützt Runtime Monitoring die Konfiguration bestimmter GuardDuty Agentenparameter. Hinweise zu Parameterbereichen finden Sie unter[Konfigurieren Sie die Parameter für das EKS-Zusatz](guardduty-configure-security-agent-eks-addon.md).
1. Erweitern Sie **Optionale Konfigurationseinstellungen**, um die konfigurierbaren Parameter sowie deren erwarteten Wert und Format anzuzeigen.
1. Stellen Sie die Parameter ein. Die Werte müssen in dem angegebenen Bereich liegen[Konfigurieren Sie die Parameter für das EKS-Zusatz](guardduty-configure-security-agent-eks-addon.md).
1. Wählen Sie **Änderungen speichern**, um das Add-on auf der Grundlage der erweiterten Konfiguration zu erstellen.
1. Bei der **Methode zur Konfliktlösung** wird die von Ihnen gewählte Option verwendet, um einen Konflikt zu lösen, wenn Sie den Wert eines Parameters auf einen anderen Wert als den Standardwert aktualisieren. Weitere Informationen zu den aufgelisteten Optionen finden Sie unter [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) in der *Amazon EKS-API-Referenz*.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** alle Details und wählen Sie dann **Erstellen**.
1. Gehen Sie zurück zu den Cluster-Details und wählen Sie die Registerkarte **Ressourcen**.
1. Sie können die neuen Pods mit dem Präfix anzeigen. **aws-guardduty-agent**
------
#### [ API/CLI ]
Sie können den Amazon-EKS-Add-On-Agent (`aws-guardduty-agent`) konfigurieren, indem Sie eine der folgenden Optionen verwenden:
+ Lauf [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)für dein Konto.
+
**Anmerkung**
Wenn Sie für das Add-on `version` **Version 1.5.0 oder höher** wählen, unterstützt Runtime Monitoring die Konfiguration bestimmter GuardDuty Agentenparameter. Weitere Informationen finden Sie unter [Konfigurieren Sie die Parameter für das EKS-Zusatz](guardduty-configure-security-agent-eks-addon.md).
Verwenden Sie die folgenden Werte für die Parameter:
+ Geben Sie unter `addonName` den Wert `aws-guardduty-agent` ein.
Sie können das folgende AWS CLI Beispiel verwenden, wenn Sie konfigurierbare Werte verwenden, die für Add-On-Versionen `v1.5.0` oder höher unterstützt werden. Achten Sie darauf, die rot markierten Platzhalterwerte und die `Example.json` mit den konfigurierten Werten verknüpften Platzhalterwerte zu ersetzen.
```
aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
+ Weitere Informationen zu unterstützten `addonVersion` finden Sie unter [Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Alternativ können Sie verwenden. AWS CLI Weitere Informationen finden Sie unter [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).
------
**Private DNS-Namen für VPC-Endpunkt**
Standardmäßig löst der Security Agent den privaten DNS-Namen des VPC-Endpunkts auf und stellt eine Verbindung zu ihm her. Bei einem Nicht-FIPS-Endpunkt wird Ihr privater DNS im folgenden Format angezeigt:
Nicht-FIPS-Endpunkt — `guardduty-data.us-east-1.amazonaws.com`
Das AWS-Region,*us-east-1*, ändert sich je nach Ihrer Region.
# Manuelles Aktualisieren des Security Agents für Amazon EKS-Ressourcen
Wenn Sie den GuardDuty Security Agent manuell verwalten, sind Sie dafür verantwortlich, ihn für Ihr Konto zu aktualisieren. Um über neue Agent-Versionen informiert zu werden, können Sie einen RSS-Feed abonnieren[GuardDuty Release-Versionen des Security Agents](runtime-monitoring-agent-release-history.md).
Sie können den Security Agent auf die neueste Version aktualisieren, um von der zusätzlichen Unterstützung und den Verbesserungen zu profitieren. Wenn der Standardsupport für Ihre aktuelle Agentenversion ausläuft, müssen Sie auf eine nächste verfügbare oder die neueste Agentenversion aktualisieren, um Runtime Monitoring (oder EKS Runtime Monitoring) weiterhin verwenden zu können.
**Voraussetzung**
Bevor Sie die Security Agent-Version aktualisieren, stellen Sie sicher, dass die Agent-Version, die Sie jetzt verwenden möchten, mit Ihrer Kubernetes-Version kompatibel ist. Weitere Informationen finden Sie unter [Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
------
#### [ Console ]
1. Öffnen Sie die Amazon EKS-Konsole unter [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie Ihren **Clusternamen** aus.
1. **Wählen Sie unter den **Cluster-Informationen** den Tab Add-Ons aus.**
1. Wählen Sie auf der Registerkarte „**Add-Ons**“ die Option **GuardDutyEKS Runtime Monitoring** aus.
1. Wählen Sie **Bearbeiten**, um die Agentendetails zu aktualisieren.
1. Aktualisieren Sie auf der Seite ** GuardDuty EKS Runtime Monitoring konfigurieren** die Details.
1.
**(Optional) Aktualisierung der optionalen Konfigurationseinstellungen**
Wenn Ihre **EKS-Add-On-Version** *1.5.0* oder höher ist, können Sie auch das Add-On-Konfigurationsschema aktualisieren.
1. Erweitern Sie **Optionale Konfigurationseinstellungen**, um das Konfigurationsschema anzuzeigen.
1. Aktualisieren Sie die Parameterwerte basierend auf dem angegebenen Bereich unter[Konfigurieren Sie die Parameter für das EKS-Zusatz](guardduty-configure-security-agent-eks-addon.md).
1. Wählen Sie **Änderungen speichern**, um das Update zu starten.
1. Bei der **Methode zur Konfliktlösung** wird die von Ihnen gewählte Option verwendet, um einen Konflikt zu lösen, wenn Sie den Wert eines Parameters auf einen Wert aktualisieren, der nicht dem Standard entspricht. Weitere Informationen zu den aufgelisteten Optionen finden Sie unter [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) in der *Amazon EKS-API-Referenz*.
------
#### [ API/CLI ]
Informationen zum Update des GuardDuty Security Agents für Ihre Amazon EKS-Cluster finden Sie unter [Ein Add-on aktualisieren](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on).
**Anmerkung**
Wenn Sie für das Add-on `version` **Version 1.5.0 oder höher** wählen, unterstützt Runtime Monitoring die Konfiguration bestimmter GuardDuty Agentenparameter. Hinweise zu Parameterbereichen finden Sie unter[Konfigurieren Sie die Parameter für das EKS-Zusatz](guardduty-configure-security-agent-eks-addon.md).
Sie können das folgende AWS CLI Beispiel verwenden, wenn Sie konfigurierbare Werte verwenden, die für die Add-On-Versionen *1.5.0 und höher* unterstützt werden. Achten Sie darauf, die rot markierten Platzhalterwerte und die `Example.json` mit den konfigurierten Werten verknüpften Platzhalterwerte zu ersetzen.
```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
------
Wenn Ihre Amazon EKS-Add-On-Version 1.5.0 oder höher ist und Sie das Add-On-Schema konfiguriert haben, können Sie überprüfen, ob die Werte für Ihren Cluster korrekt angezeigt werden. Weitere Informationen finden Sie unter [Aktualisierungen des Konfigurationsschemas werden überprüft](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).
# Konfigurieren Sie die Parameter des GuardDuty Security Agents (Add-on) für Amazon EKS
Sie können spezifische Parameter Ihres GuardDuty Security Agents für Amazon EKS konfigurieren. Diese Unterstützung ist für GuardDuty Security Agent Version 1.5.0 und höher verfügbar. Informationen zu den neuesten Add-On-Versionen finden Sie unter[GuardDuty Security-Agent-Versionen für Amazon EKS-Ressourcen](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Warum sollte ich das Security Agent Konfigurationsschema aktualisieren**
Das Konfigurationsschema für den GuardDuty Security Agent ist für alle Container in Ihren Amazon EKS-Clustern dasselbe. Wenn die Standardwerte nicht mit den zugehörigen Workloads und der Instance-Größe übereinstimmen, sollten Sie die Konfiguration der CPU-Einstellungen, Speichereinstellungen und `dnsPolicy` Einstellungen in Betracht ziehen. `PriorityClass` Unabhängig davon, wie Sie den GuardDuty Agenten für Ihre Amazon EKS-Cluster verwalten, können Sie die bestehende Konfiguration dieser Parameter konfigurieren oder aktualisieren.
## Automatisiertes Verhalten der Agentenkonfiguration mit konfigurierten Parametern
Wenn er den Security Agent (EKS-Add-on) in Ihrem Namen GuardDuty verwaltet, aktualisiert er das Add-on bei Bedarf. GuardDuty setzt den Wert der konfigurierbaren Parameter auf einen Standardwert. Sie können die Parameter jedoch immer noch auf einen gewünschten Wert aktualisieren. Wenn dies zu einem Konflikt führt, ist die Standardoption für [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts). `None`
## Konfigurierbare Parameter und Werte
Informationen zu den Schritten zur Konfiguration der Zusatzparameter finden Sie unter:
+ [Manuelles Installieren des GuardDuty Security Agents auf Amazon EKS-Ressourcen](eksrunmon-deploy-security-agent.md) oder
+ [Manuelles Aktualisieren des Security Agents für Amazon EKS-Ressourcen](eksrunmon-update-security-agent.md)
Die folgenden Tabellen enthalten die Bereiche und Werte, die Sie verwenden können, um das Amazon EKS-Add-on manuell bereitzustellen oder die vorhandenen Add-On-Einstellungen zu aktualisieren.
**CPU-Einstellungen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**Speicher-Einstellungen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**`PriorityClass`-Einstellungen**
Wenn Sie GuardDuty ein Amazon EKS-Add-on für Sie erstellen, `PriorityClass` ist das zugewiesene`aws-guardduty-agent.priorityclass`. Das bedeutet, dass auf der Grundlage der Priorität des Agenten-Pods keine Maßnahmen ergriffen werden. Sie können diesen Zusatzparameter konfigurieren, indem Sie eine der folgenden `PriorityClass` Optionen wählen:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes bietet diese beiden `PriorityClass` Optionen — und. `system-cluster-critical` `system-node-critical` Weitere Informationen finden Sie [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)in der *Kubernetes-Dokumentation*.
**`dnsPolicy`-Einstellungen**
Wählen Sie eine der folgenden DNS-Richtlinienoptionen, die Kubernetes unterstützt. Wird als Standardwert verwendet, wenn keine Konfiguration angegeben `ClusterFirst` ist.
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
Informationen zu diesen Richtlinien finden Sie in [der *Kubernetes-Dokumentation* unter DNS-Richtlinie von Pod](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy).
## Aktualisierungen des Konfigurationsschemas werden überprüft
Nachdem Sie die Parameter konfiguriert haben, führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Konfigurationsschema aktualisiert wurde:
1. Öffnen Sie die Amazon EKS-Konsole unter [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Klicken Sie im Navigationsbereich auf **Cluster**.
1. Wählen Sie auf der **Cluster-Seite** den **Cluster-Namen** aus, für den Sie die Updates überprüfen möchten.
1. Wählen Sie die Registerkarte **Resources (Ressourcen)** aus.
1. Wählen Sie im Bereich **Ressourcentypen** unter **Workloads** die Option **DaemonSets**.
1. Wählen Sie **aws-guardduty-agent**.
1. Wählen Sie auf der **aws-guardduty-agent**Seite die Option **Rohansicht** aus, um die unformatierte JSON-Antwort anzuzeigen. Stellen Sie sicher, dass die konfigurierbaren Parameter den von Ihnen angegebenen Wert anzeigen.
Wechseln Sie nach der Überprüfung zur GuardDuty Konsole. Wählen Sie das entsprechende aus AWS-Region und sehen Sie sich den Deckungsstatus für Ihre Amazon EKS-Cluster an. Weitere Informationen finden Sie unter [Runtime-Abdeckung und Fehlerbehebung für Amazon EKS-Cluster](eks-runtime-monitoring-coverage.md).
# Validierung der VPC-Endpunktkonfiguration
Nachdem Sie den Security Agent manuell oder über die GuardDuty automatische Konfiguration installiert haben, können Sie dieses Dokument verwenden, um die VPC-Endpunktkonfiguration zu überprüfen. Sie können diese Schritte auch verwenden, nachdem Sie alle Probleme mit der [Runtime-Abdeckung für einen Ressourcentyp behoben](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html) haben. Sie können sicherstellen, dass die Schritte erwartungsgemäß ausgeführt wurden und der Deckungsstatus möglicherweise als Fehlerfrei angezeigt **wird**.
Gehen Sie wie folgt vor, um zu überprüfen, ob die VPC-Endpunktkonfiguration für Ihren Ressourcentyp im VPC-Besitzerkonto korrekt eingerichtet ist:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich unter **Virtual Private Cloud** die Option **Your VPCs** aus.
1. Wählen Sie auf der VPCs Seite **Ihr IPv4 ** **CIDR** aus, das mit Ihrer **VPC-ID** verknüpft ist.
1. Wählen Sie im Navigationsmenü unter **Virtual Private Cloud** die Option **Endpunkte**.
1. **Wählen Sie in der Tabelle **Endpoints** die Zeile mit dem **Servicenamen aus, der com.amazonaws** ähnelt. *us-east-1*.guardduty-data.** Die Region (`us-east-1`) kann für Ihren Endpunkt unterschiedlich sein.
1. Ein Fenster mit Endpunktdetails wird angezeigt. Wählen Sie auf der Registerkarte **Sicherheitsgruppen** den zugehörigen **Gruppen-ID-Link** aus, um weitere Informationen zu erhalten.
1. Wählen Sie in der Tabelle **Sicherheitsgruppen** die Zeile mit der zugehörigen **Sicherheitsgruppen-ID** aus, um die Details anzuzeigen.
1. **Stellen Sie auf der Registerkarte **Regeln für eingehenden** Datenverkehr sicher, dass es eine Eingangsrichtlinie mit dem **Portbereich** **443** und dem aus dem CIDR kopierten Wert **Source** gibt. IPv4 ** Eingehende Regeln steuern den eingehenden Datenverkehr, der die Instance erreichen darf. Die folgende Abbildung zeigt die Regeln für eingehende Nachrichten für eine Sicherheitsgruppe, die der vom GuardDuty Security Agent verwendeten VPC zugeordnet ist.
Wenn Sie noch keine Sicherheitsgruppe haben, für die ein eingehender Port 443 aktiviert ist, [erstellen Sie im *Amazon EC2 EC2-Benutzerhandbuch* eine Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).
Wenn bei der Einschränkung der Eingangsberechtigungen für Ihre VPC (oder Ihren Cluster) ein Problem auftritt, stellen Sie die Unterstützung für den eingehenden Port 443 von einer beliebigen IP-Adresse (0.0.0.0/0) bereit.
Die folgende Liste enthält wichtige Informationen nach der Installation oder Aktualisierung des Security Agents.
**Beurteilen Sie die Laufzeitabdeckung**
Der nächste Schritt nach der Installation oder Aktualisierung Ihres Security Agents ist die Bewertung der Laufzeitabdeckung Ihrer Ressourcen. Wenn der Runtime-Coverage-Status „**Ungesund**“ lautet, müssen Sie das Problem beheben. Weitere Informationen finden Sie unter [Probleme mit der Runtime-Abdeckung und Problembehebung](runtime-monitoring-assessing-coverage.md).
Wenn der Status der Runtime-Coverage als Fehlerfrei angezeigt wird**,** bedeutet dies, dass Runtime Monitoring in der Lage ist, Laufzeitereignisse zu sammeln und zu empfangen. Eine Liste dieser Ereignisse finden Sie unter[Gesammelte Laufzeit-Ereignistypen](runtime-monitoring-collected-events.md).
**Privater DNS-Name für den Endpunkt**
Nachdem Sie den GuardDuty Security Agent für Ihre Ressourcen installiert haben, löst er standardmäßig den privaten DNS-Namen des VPC-Endpunkts auf und stellt eine Verbindung zu diesem her. Bei einem Nicht-FIPS-Endpunkt wird der private DNS im folgenden Format angezeigt:
`guardduty-data.us-east-1.amazonaws.com`
Das AWS-Region,*us-east-1*, ändert sich je nach Ihrer Region.
**Ein Host kann mit zwei Security Agents installiert werden**
Wenn Sie mit einem GuardDuty Security Agent für eine Amazon EC2 EC2-Instance arbeiten, können Sie den Agenten auf dem zugrunde liegenden Host innerhalb eines Amazon EKS-Clusters installieren und verwenden. Wenn Sie bereits einen Security Agent auf diesem EKS-Cluster installiert haben, könnten auf demselben Host zwei Security Agents gleichzeitig ausgeführt werden. Informationen zur GuardDuty Funktionsweise in diesem Szenario finden Sie unter[Security Agents auf demselben Host](two-security-agents-installed-on-ec2-node.md).