Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# GuardDuty Supervisión del tiempo de ejecución
<a name="runtime-monitoring"></a>

Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. 

** AWS Recursos compatibles en Runtime Monitoring**: GuardDuty inicialmente se lanzó Runtime Monitoring para admitir únicamente los recursos de Amazon Elastic Kubernetes Service (Amazon EKS). Ahora, puede utilizar la función Runtime Monitoring para detectar amenazas también para sus recursos de AWS Fargate Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Compute Cloud (Amazon EC2).

GuardDuty no admite la ejecución de clústeres de Amazon EKS AWS Fargate.

En este documento y en otras secciones relacionadas con la supervisión del tiempo de ejecución, se GuardDuty utiliza la terminología de **tipo de recurso** para referirse a los recursos de Amazon EKS, Fargate, Amazon ECS y Amazon EC2.

Runtime Monitoring utiliza un agente GuardDuty de seguridad que añade visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Para cada tipo de recurso que desee supervisar en busca de posibles amenazas, puede administrar el agente de seguridad correspondiente a ese tipo de recurso específico de forma automática o manual (a excepción de Fargate, solo Amazon ECS). Administrar el agente de seguridad automáticamente significa que usted GuardDuty permite instalar y actualizar el agente de seguridad en su nombre. Por otra parte, al administrar manualmente el agente de seguridad para los recursos, usted será responsable de instalar y actualizar el agente de seguridad, según sea necesario. 

Con esta capacidad ampliada, GuardDuty puede ayudarlo a identificar y responder a las posibles amenazas que puedan afectar a las aplicaciones y los datos que se ejecutan en sus cargas de trabajo e instancias individuales. Por ejemplo, una amenaza puede empezar por comprometer un único contenedor que ejecuta una aplicación web vulnerable. Es posible que esta aplicación web tenga permisos de acceso a los contenedores y las cargas de trabajo subyacentes. En este escenario, las credenciales mal configuradas podrían dar lugar a un acceso más amplio a la cuenta y a los datos almacenados en ella.

Al analizar los eventos de tiempo de ejecución de los contenedores y las cargas de trabajo individuales, es GuardDuty posible identificar si un contenedor y AWS las credenciales asociadas están en peligro en una fase inicial y detectar los intentos de escalar los privilegios, las solicitudes de API sospechosas y el acceso malintencionado a los datos de su entorno.

**Topics**
+ [Funcionamiento](how-does-runtime-monitoring-work.md)
+ [¿Cómo funciona la prueba gratuita de 30 días en la supervisión en tiempo de ejecución?](runtime-monitoring-free-trial-works.md)
+ [Requisitos previos para habilitar la Supervisión en tiempo de ejecución](runtime-monitoring-prerequisites.md)
+ [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md)
+ [Administrar agentes GuardDuty de seguridad](runtime-monitoring-managing-agents.md)
+ [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md)
+ [Configuración de la supervisión de la CPU y la memoria](runtime-monitoring-setting-cpu-mem-monitoring.md)
+ [Uso de VPC compartida con Runtime Monitoring](runtime-monitoring-shared-vpc.md)
+ [Uso de la infraestructura como código (IaC) con GuardDuty agentes de seguridad automatizados](using-iac-with-gdu-automated-agents-runtime-monitoring.md)
+ [Tipos de eventos de tiempo de ejecución recopilados que utilizan GuardDuty](runtime-monitoring-collected-events.md)
+ [Agente de alojamiento GuardDuty de repositorios Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md)
+ [Dos agentes de seguridad en el mismo host subyacente](two-security-agents-installed-on-ec2-node.md)
+ [Supervisión del tiempo de ejecución de EKS en GuardDuty](eks-runtime-monitoring-guardduty.md)
+ [GuardDuty versiones de lanzamiento del agente de seguridad](runtime-monitoring-agent-release-history.md)
+ [Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución](runtime-monitoring-agent-resource-clean-up.md)

# Funcionamiento
<a name="how-does-runtime-monitoring-work"></a>

Para utilizar Runtime Monitoring, debe habilitar Runtime Monitoring y, a continuación, administrar el agente de GuardDuty seguridad. La siguiente lista explica este proceso en dos pasos:

1. **Habilite Runtime Monitoring** en su cuenta para que GuardDuty pueda aceptar los eventos de tiempo de ejecución que reciba de sus instancias de Amazon EC2, clústeres de Amazon ECS y cargas de trabajo de Amazon EKS.

1. **Administre el GuardDuty agente** para los recursos individuales cuyo comportamiento en tiempo de ejecución desee supervisar. Según el tipo de recurso, puede:
   + Utilice una configuración de agentes automatizada, en la que se GuardDuty gestiona el despliegue del agente y automáticamente un punto final de Amazon Virtual Private Cloud (Amazon VPC).
   + Instalar el agente de manera manual, lo que requiere crear un punto de conexión de VPC como requisito previo.

   El agente de seguridad utiliza el punto final de la VPC para enviar los eventos y garantizar que los datos permanezcan dentro de la AWS red. GuardDuty Este enfoque mejora la seguridad y permite GuardDuty supervisar y analizar el comportamiento del tiempo de ejecución en todos sus recursos (Amazon EKS, Amazon EC2 y AWS Fargate-Amazon ECS). GuardDuty utiliza [funciones de identidad de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles) que autentican el agente de seguridad de cada tipo de recurso para enviar los eventos de tiempo de ejecución asociados al punto final de la VPC.

**nota**  
GuardDuty no le permite acceder a los eventos de tiempo de ejecución.

Si administra el agente de seguridad (de forma manual o a través de él GuardDuty) en EKS Runtime Monitoring o Runtime Monitoring for EC2, y si actualmente GuardDuty está desplegado en una instancia de Amazon EC2 y recibe [Tipos de eventos de tiempo de ejecución recopilados](runtime-monitoring-collected-events.md) el de esta instancia GuardDuty , no se le Cuenta de AWS cobrará por el análisis de los registros de flujo de VPC de esta instancia de Amazon EC2. Esto ayuda a GuardDuty evitar el doble de los gastos de uso de la cuenta.

En los siguientes temas se explica cómo la activación de Runtime Monitoring y la administración del agente de GuardDuty seguridad funcionan de forma diferente para cada tipo de recurso.

**Topics**
+ [Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md)
+ [Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2](how-runtime-monitoring-works-ec2.md)
+ [Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Después de habilitar la supervisión en tiempo de ejecución](runtime-monitoring-after-configuration.md)

# Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS
<a name="how-runtime-monitoring-works-eks"></a>

Runtime Monitoring utiliza un [complemento EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), también denominado agente GuardDuty de seguridad. Una vez desplegado el agente de GuardDuty seguridad en los clústeres de EKS, GuardDuty puede recibir los eventos de tiempo de ejecución de dichos clústeres de EKS. 

**Notas**  
Runtime Monitoring **admite** los clústeres de Amazon EKS que se ejecutan en instancias de Amazon EC2 y en Amazon EKS Auto Mode.  
Runtime Monitoring **no admite** los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en AWS Fargate.  
Para obtener más información sobre estas características de Amazon EKS, consulte [¿Qué es Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) en la **Guía del usuario de Amazon EKS**.

Puede supervisar los eventos en tiempo de ejecución de los clústeres de Amazon EKS a nivel de cuenta o de clúster. Puede administrar el agente GuardDuty de seguridad solo para los clústeres de Amazon EKS que desee supervisar para detectar amenazas. Puede administrar el agente GuardDuty de seguridad manualmente o GuardDuty permitir que lo administre en su nombre mediante la configuración automática del agente.

Cuando utilice el enfoque de configuración de agentes automatizado GuardDuty para poder gestionar el despliegue del agente de seguridad en su nombre, este **creará automáticamente un punto final de Amazon Virtual Private Cloud (Amazon VPC)**. El agente de seguridad entrega los eventos de tiempo de ejecución GuardDuty mediante este punto de enlace de Amazon VPC. 

Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

**Notas**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.
Trabajar con una VPC centralizada con un agente automatizado: cuando utilice la configuración de agente GuardDuty automatizada para un tipo de recurso, GuardDuty se creará un punto final de VPC en su nombre para todos los. VPCs Esto incluye la VPC centralizada y los radios. VPCs GuardDuty no admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 

## Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS
<a name="eksrunmon-approach-to-monitor-eks-clusters"></a>

Antes del 13 de septiembre de 2023, podía configurarlo GuardDuty para administrar el agente de seguridad a nivel de cuenta. Este comportamiento indicaba que, de forma predeterminada, GuardDuty administrará el agente de seguridad en todos los clústeres de EKS que pertenezcan a un Cuenta de AWS. Ahora, GuardDuty proporciona una capacidad granular que le ayuda a elegir los clústeres de EKS en los que GuardDuty desea administrar el agente de seguridad.

Si decide [Administre el agente GuardDuty de seguridad manualmente](#eks-runtime-using-gdu-agent-manually), puede seguir seleccionando los clústeres de EKS que desee supervisar. Sin embargo, para gestionar el agente de forma manual, Cuenta de AWS es imprescindible crear un punto de enlace de Amazon VPC para usted.

**nota**  
Independientemente del enfoque que utilice para administrar el agente de GuardDuty seguridad, EKS Runtime Monitoring siempre está activado a nivel de cuenta. 

**Topics**
+ [Administre el agente de seguridad mediante GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Administre el agente GuardDuty de seguridad manualmente](#eks-runtime-using-gdu-agent-manually)

### Administre el agente de seguridad mediante GuardDuty
<a name="eks-runtime-using-gdu-agent-management-auto"></a>

GuardDuty despliega y administra el agente de seguridad en su nombre. En cualquier momento, puede supervisar los clústeres de EKS de su cuenta con uno de los siguientes enfoques.

**Topics**
+ [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers)
+ [Excluir determinados clústeres de EKS](#eks-runtime-using-exclusion-tags)
+ [Incluir determinados clústeres de EKS](#eks-runtime-using-inclusion-tags)

#### Supervisar todos los clústeres de EKS
<a name="gdu-security-agent-all-eks-custers"></a>

Utilice este enfoque cuando desee GuardDuty implementar y administrar el agente de seguridad para todos los clústeres de EKS de su cuenta. De forma predeterminada, también GuardDuty implementará el agente de seguridad en un clúster de EKS potencialmente nuevo creado en su cuenta.

**Impacto de optar por este enfoque**  
+ GuardDuty crea un punto final de Amazon Virtual Private Cloud (Amazon VPC) a través del cual el agente de GuardDuty seguridad envía los eventos de tiempo de ejecución. GuardDuty La creación del punto de conexión de Amazon VPC no conlleva ningún coste adicional si se gestiona el agente de seguridad a través de él. GuardDuty
+ Es necesario que el nodo de trabajo tenga una ruta de red válida a un punto final de `guardduty-data` VPC activo. GuardDuty despliega el agente de seguridad en sus clústeres de EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordinará la implementación del agente de seguridad en los nodos de los clústeres de EKS.
+ En función de la disponibilidad de IP, GuardDuty selecciona la subred para crear un punto final de VPC. Si utiliza topologías de red avanzadas, debe validar que la conectividad sea posible.

#### Excluir determinados clústeres de EKS
<a name="eks-runtime-using-exclusion-tags"></a>

Utilice este enfoque cuando desee administrar el agente de seguridad GuardDuty para todos los clústeres de EKS de su cuenta, pero excluya algunos clústeres de EKS. Este método utiliza un enfoque basado en etiquetas[1](#eks-runtime-inclusion-exclusion-tags) en el que puede etiquetar los clústeres de EKS para los que no desea recibir los eventos de tiempo de ejecución. La etiqueta predefinida debe tener `GuardDutyManaged`-`false` como par de clave-valor.

**Impacto de optar por este enfoque**  
Este enfoque requiere que habilite la administración automática de los GuardDuty agentes solo después de agregar etiquetas a los clústeres de EKS que desee excluir de la supervisión.  
Por lo tanto, el impacto que se produce al [Administre el agente de seguridad mediante GuardDuty](#eks-runtime-using-gdu-agent-management-auto) también se aplica este enfoque. Cuando añada etiquetas antes de habilitar la administración automática del GuardDuty agente, no GuardDuty implementará ni administrará el agente de seguridad para los clústeres de EKS que están excluidos de la supervisión.

**Consideraciones**  
+ Debe añadir el par clave-valor de la siguiente manera`GuardDutyManaged`: `false` para los clústeres de EKS selectivos antes de activar la configuración automática de agentes; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS hasta que utilice la etiqueta.
+ Debe impedir que se modifiquen las etiquetas, excepto por parte de identidades de confianza.
**importante**  
Administre los permisos para modificar el valor de la etiqueta `GuardDutyManaged` de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario* o [Control del acceso a AWS los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de *IAM*.
+ En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor `GuardDutyManaged`-`false` al crear este clúster de EKS.
+ Este enfoque también tendrá las mismas consideraciones que las especificadas para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers).

#### Incluir determinados clústeres de EKS
<a name="eks-runtime-using-inclusion-tags"></a>

Utilice este enfoque cuando desee GuardDuty implementar y administrar las actualizaciones del agente de seguridad solo para algunos clústeres de EKS de su cuenta. Este método utiliza un enfoque basado en etiquetas[1](#eks-runtime-inclusion-exclusion-tags) en el que puede etiquetar el clúster de EKS para el que desea recibir los eventos de tiempo de ejecución.

**Impacto de optar por este enfoque**  
+ Al usar etiquetas de inclusión, GuardDuty implementará y administrará automáticamente el agente de seguridad solo para los clústeres de EKS selectivos que estén etiquetados con `GuardDutyManaged` el par clave-valor. `true`
+ El uso de este enfoque también tendrá el mismo impacto que el especificado para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers). 

**Consideraciones**  
+ Si el valor de la etiqueta `GuardDutyManaged` no está establecido en `true`, la etiqueta de inclusión no funcionará como se esperaba y esto podría afectar a la supervisión del clúster de EKS.
+ Para asegurarse de que se estén supervisando determinados clústeres de EKS, debe evitar que las etiquetas se modifiquen, salvo por parte de identidades de confianza.
**importante**  
Administre los permisos para modificar el valor de la etiqueta `GuardDutyManaged` de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario* o [Control del acceso a AWS los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de *IAM*.
+ En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor `GuardDutyManaged`-`false` al crear este clúster de EKS.
+ Este enfoque también tendrá las mismas consideraciones que las especificadas para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers).<a name="eks-runtime-inclusion-exclusion-tags"></a>

1 Para obtener más información sobre el etiquetado de determinados clústeres de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

### Administre el agente GuardDuty de seguridad manualmente
<a name="eks-runtime-using-gdu-agent-manually"></a>

Utilice este enfoque cuando desee implementar y administrar el agente de GuardDuty seguridad en todos los clústeres de EKS de forma manual. Asegúrese de que la supervisión en tiempo de ejecución de EKS esté habilitada en sus cuentas. Es posible que el agente de GuardDuty seguridad no funcione según lo esperado si no habilita EKS Runtime Monitoring.

**Impacto de optar por este enfoque**  
Deberá coordinar el despliegue del agente de GuardDuty seguridad en sus clústeres de EKS en todas las cuentas y en los Regiones de AWS lugares en los que esté disponible esta función. También tendrás que actualizar la versión del agente cuando la GuardDuty publiques. Para obtener más información sobre las versiones de los agentes para EKS, consulte [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

**Consideraciones**  
Debe admitir un flujo de datos seguro a la vez que supervisa y soluciona las deficiencias de cobertura a medida que se implementan continuamente nuevos clústeres y cargas de trabajo.

# Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2
<a name="how-runtime-monitoring-works-ec2"></a>

Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo en el entorno de AWS . Cuando habilita Runtime Monitoring y administra el agente de GuardDuty seguridad, le GuardDuty ayuda a detectar amenazas en sus instancias Amazon EC2 existentes y en posibles instancias nuevas. Además, esta característica es compatible con las instancias de Amazon EC2 administradas por Amazon ECS. Para obtener más información, consulte el [soporte de instancias administradas en Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).

**nota**  
Runtime Monitoring no admite aplicaciones que se ejecuten en [instancias administradas por Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).

La activación de Runtime GuardDuty Monitoring permite consumir eventos de tiempo de ejecución de procesos nuevos y en ejecución en instancias de Amazon EC2. GuardDuty requiere un agente de seguridad al que enviar los eventos de tiempo de ejecución desde su instancia EC2 a. GuardDuty 

En el caso de las instancias Amazon EC2, el agente GuardDuty de seguridad funciona a nivel de instancia. Puede decidir si desea supervisar todas las instancias de Amazon EC2 en la cuenta o solo algunas. Si desea administrar instancias determinadas, el agente de seguridad solo será necesario para estas instancias.

GuardDuty también puede consumir eventos de tiempo de ejecución de tareas nuevas y tareas existentes que se ejecutan en instancias de Amazon EC2 dentro de los clústeres de Amazon ECS. 

Para instalar el agente GuardDuty de seguridad, Runtime Monitoring ofrece las dos opciones siguientes:
+ [Utilice la configuración automatizada de agentes (opción recomendada)](#use-automated-agent-config-ec2), or
+ [Administrar el agente de seguridad manualmente](#ec2-security-agent-option2-manual)

## Utilice la configuración automática del agente mediante GuardDuty (recomendado)
<a name="use-automated-agent-config-ec2"></a>

Utilice una configuración de agente automatizada que permita GuardDuty instalar el agente de seguridad en sus instancias de Amazon EC2 en su nombre. GuardDuty también administra las actualizaciones del agente de seguridad.

De forma predeterminada, GuardDuty instala el agente de seguridad en todas las instancias de su cuenta. Si desea GuardDuty instalar y administrar el agente de seguridad solo para determinadas instancias de EC2, añada etiquetas de inclusión o exclusión a las instancias de EC2, según sea necesario.

En algunos casos, es posible que no desee supervisar los eventos en tiempo de ejecución de todas las instancias de Amazon EC2 pertenecientes a la cuenta. Para los casos en los que desee supervisar los eventos en tiempo de ejecución de una cantidad limitada de instancias, agregue una etiqueta de inclusión como `GuardDutyManaged`:`true` a estas instancias determinadas. Empezando por la disponibilidad de la configuración de agentes automatizada para Amazon EC2, si su instancia de EC2 tiene una etiqueta de inclusión (`GuardDutyManaged`:`true`), GuardDuty respetará la etiqueta y gestionará el agente de seguridad para las instancias seleccionadas, incluso si no habilita explícitamente la configuración automática del agente.

Por otro lado, si hay un número limitado de instancias de EC2 para las que no desea supervisar los eventos de tiempo de ejecución, añada una etiqueta de exclusión (`GuardDutyManaged`:`false`) a las instancias seleccionadas. GuardDuty respetará la etiqueta de exclusión al **no** instalar **ni** administrar el agente de seguridad para estos recursos de EC2.

### Impact
<a name="impact-automated-security-agent-ec2"></a>

Cuando utiliza la configuración de agentes automatizada en una Cuenta de AWS u otra organización, permite GuardDuty realizar los siguientes pasos en su nombre:
+ GuardDuty crea una asociación de SSM para todas las instancias de Amazon EC2 gestionadas por SSM y que aparecen en **Fleet Manager en** la consola. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 
+ Uso de etiquetas de inclusión con la configuración automática del agente deshabilitada: después de habilitar Runtime Monitoring, si no habilita la configuración automática del agente pero agrega una etiqueta de inclusión a su instancia de Amazon EC2, significa que está permitiendo GuardDuty administrar el agente de seguridad en su nombre. La asociación de SSM instalará entonces el agente de seguridad en cada instancia que tenga la etiqueta de inclusión (`GuardDutyManaged`:`true`).
+ Si habilita la configuración automatizada del agente: la asociación de SSM instalará entonces el agente de seguridad en todas las instancias de EC2 pertenecientes a la cuenta. 
+ Uso de etiquetas de exclusión con configuración de agente automatizada: antes de habilitar la configuración automática de agentes, al añadir una etiqueta de exclusión a la instancia de Amazon EC2, significa que está permitiendo GuardDuty impedir la instalación y la administración del agente de seguridad para la instancia seleccionada.

  Ahora, al habilitar la configuración automatizada del agente, la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 excepto en aquellas etiquetadas con la etiqueta de exclusión. 
+ GuardDuty crea puntos de enlace de VPC en todas las VPC, incluidas las VPC compartidas, siempre que haya al menos una instancia EC2 de Linux en esa VPC que no se encuentre en los estados de instancia terminada o de cierre. Esto incluye la VPC centralizada y los radios. VPCs GuardDuty no admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 

  Para obtener información sobre los diferentes estados de las instancias, consulte [Ciclo de vida de las instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) en la *Guía del usuario de Amazon EC2*.

  GuardDuty también es compatible. [Uso de VPC compartida con Runtime Monitoring](runtime-monitoring-shared-vpc.md) Cuando se tengan en cuenta todos los requisitos previos para su organización Cuenta de AWS, GuardDuty utilizará la VPC compartida para recibir los eventos de tiempo de ejecución.
**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.
+ Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

## Administrar el agente de seguridad manualmente
<a name="ec2-security-agent-option2-manual"></a>

Existen dos formas de administrar manualmente el agente de seguridad para Amazon EC2:
+ Utilice los documentos GuardDuty gestionados AWS Systems Manager para instalar el agente de seguridad en las instancias de Amazon EC2 que ya están gestionadas por SSM.

  Siempre que lance una nueva instancia de Amazon EC2, asegúrese de que esté habilitada para SSM.
+ Utilice scripts del administrador de paquetes RPM (RPM) para instalar el agente de seguridad en las instancias de Amazon EC2, independientemente de si son administradas por SSM o no.

## Siguiente paso
<a name="next-step-prerequisites-ec2"></a>

Para comenzar a utilizar la configuración de supervisión en tiempo de ejecución para supervisar las instancias de Amazon EC2, consulte [Requisitos previos para la compatibilidad con instancias de Amazon EC2](prereq-runtime-monitoring-ec2-support.md).

# Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)
<a name="how-runtime-monitoring-works-ecs-fargate"></a>

Cuando habilita la monitorización del tiempo de ejecución, GuardDuty estará preparado para consumir los eventos de tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los clústeres de Amazon ECS, que a su vez se ejecutan en las AWS Fargate instancias. GuardDuty Para recibir estos eventos de tiempo de ejecución, debe usar el agente de seguridad dedicado y totalmente administrado.

**nota**  
Runtime Monitoring no admite aplicaciones que se ejecuten en [instancias administradas por Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).

Puede GuardDuty permitir la administración del agente GuardDuty de seguridad en su nombre mediante la configuración automática del agente para una AWS cuenta o una organización. GuardDuty empezará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lanzan en sus clústeres de Amazon ECS. La siguiente lista especifica qué esperar al habilitar el agente de GuardDuty seguridad.**Impacto de habilitar el agente GuardDuty de seguridad**

**GuardDuty crea un grupo de seguridad y punto final de nube privada virtual (VPC)**  
+ Al implementar el agente de GuardDuty seguridad, GuardDuty creará un punto final de VPC a través del cual el agente de seguridad envía los eventos de tiempo de ejecución. GuardDuty

  Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.
+ Trabajar con una VPC centralizada con un agente automatizado: cuando utilice la configuración de agente GuardDuty automatizada para un tipo de recurso, GuardDuty se creará un punto final de VPC en su nombre para todos los. VPCs Esto incluye la VPC centralizada y los radios. VPCs GuardDutyno admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 
+ El uso del punto de conexión de VPC no conlleva ningún costo adicional.

**GuardDuty añade un contenedor con sidecar**  
Para una nueva tarea o servicio de Fargate que comience a ejecutarse, se adjunta un GuardDuty contenedor (sidecar) a cada contenedor de la tarea Fargate de Amazon ECS. El agente de GuardDuty seguridad se encuentra dentro del contenedor adjunto. GuardDuty Esto ayuda GuardDuty a recopilar los eventos de tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.  
La imagen del contenedor GuardDuty sidecar se almacena en Amazon Elastic Container Registry (Amazon ECR) y sus capas de imágenes se almacenan en Amazon S3. Cuando comience la tarea, necesitará extraer esta imagen del ECR. Según la configuración de la red, esto puede requerir ajustes específicos para garantizar el acceso tanto al ECR como al S3. Por ejemplo, si se utilizan grupos de seguridad con acceso restringido, se tendrá que permitir el acceso a la lista de prefijos administrados de S3. Para obtener más información acerca de cómo hacerlo, consulte [Requisitos previos para el acceso a imágenes de contenedores](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).  
Cuando inicias una tarea de Fargate, si el GuardDuty contenedor (sidecar) no puede iniciarse en buen estado, Runtime Monitoring está diseñado para no impedir que las tareas se ejecuten.  
De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no desplegará el sidecar cuando una tarea ya esté en ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.

## Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate
<a name="gdu-runtime-approaches-agent-deployment-ecs-clusters"></a>

La supervisión en tiempo de ejecución brinda la opción de detectar posibles amenazas a la seguridad en todos los clústeres de Amazon ECS (nivel de cuenta) o en clústeres concretos (nivel de clúster) en la cuenta. Al habilitar la configuración automática de agentes para cada tarea de Amazon ECS Fargate que se vaya a ejecutar, GuardDuty añadirá un contenedor sidecar para cada carga de trabajo de contenedores incluida en esa tarea. El agente GuardDuty de seguridad se despliega en este contenedor de sidecar. Así es como GuardDuty obtiene visibilidad del comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS.

Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.

Antes de configurar las cuentas, valore si desea supervisar el comportamiento en tiempo de ejecución de todos los contenedores que pertenecen a las tareas de Amazon ECS, o incluir o excluir recursos específicos. Tenga en cuenta los siguientes enfoques.

**Supervisión de todos los clústeres de Amazon ECS**  
Este enfoque ayudará a detectar posibles amenazas a la seguridad a nivel de cuenta. Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para todos los clústeres de Amazon ECS que pertenecen a su cuenta.

**Exclusión de clústeres de Amazon ECS específicos**  
Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para la mayoría de los clústeres de Amazon ECS de su AWS entorno, pero excluya algunos de ellos. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 930 clústeres de Amazon ECS.  
Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que no desee supervisar. Para obtener más información, consulte [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).

**Incluir clústeres de Amazon ECS específicos**  
Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para algunos de los clústeres de Amazon ECS. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 230 clústeres.  
Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que desee supervisar. Para obtener más información, consulte [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).

# Después de habilitar la supervisión en tiempo de ejecución
<a name="runtime-monitoring-after-configuration"></a>

Después de activar Runtime Monitoring e instalar el agente de GuardDuty seguridad en su cuenta independiente o en las cuentas de varios miembros, puede seguir los siguientes pasos para asegurarse de que la configuración del plan de protección funcione según lo esperado y controlar la cantidad de memoria y CPU que utiliza el agente de GuardDuty seguridad. 

**Evaluar la cobertura en tiempo de ejecución**  
GuardDuty le recomienda que evalúe continuamente el estado de cobertura del recurso en el que ha desplegado el agente de seguridad. La cobertura puede estar en **buen** estado o en **mal** estado. Un estado de cobertura en **buen** estado indica que GuardDuty está recibiendo los eventos de tiempo de ejecución del recurso correspondiente cuando hay una actividad a nivel del sistema operativo.  
Cuando el estado de cobertura pasa a **ser** Correcto para el recurso, GuardDuty puede recibir los eventos de tiempo de ejecución y analizarlos para detectar amenazas. Cuando GuardDuty detecta una posible amenaza a la seguridad en las tareas o aplicaciones que se ejecutan en su contenedor, GuardDuty genera [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) cargas de trabajo e instancias.  
También puedes configurar Amazon EventBridge (EventBridge) para recibir una notificación cuando el estado de la cobertura cambie de **Insalubre** a **Saludable** o de otra manera. Para obtener más información, consulte [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md).

**Configure el monitoreo de la CPU y la memoria para el agente GuardDuty de seguridad**  
Una vez que haya comprobado que la cobertura esté en buen estado, podrá evaluar el rendimiento del agente de seguridad para el tipo de recurso.**** Para los clústeres de Amazon EKS que tienen la versión 1.5 o superior del agente de seguridad, GuardDuty admite la configuración de los parámetros del agente de seguridad (complementario). Para obtener más información, consulte [Configuración de la supervisión de la CPU y la memoria](runtime-monitoring-setting-cpu-mem-monitoring.md).

**GuardDuty detecta posibles amenazas**  
A medida que GuardDuty comienza a recibir los eventos de tiempo de ejecución de su recurso, comienza a analizarlos. Cuando GuardDuty detecta una posible amenaza de seguridad en cualquiera de sus instancias de Amazon EC2, clústeres de Amazon ECS o clústeres de Amazon EKS, genera una o más. [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) Puede acceder a los detalles del resultado para ver los detalles del recurso impactado.

# ¿Cómo funciona la prueba gratuita de 30 días en la supervisión en tiempo de ejecución?
<a name="runtime-monitoring-free-trial-works"></a>

El período de prueba gratuito de 30 días funciona de forma diferente para las GuardDuty cuentas nuevas y las cuentas existentes que ya tenían habilitado EKS Runtime Monitoring antes de que la capacidad de Runtime Monitoring se extendiera a las instancias de Amazon EC2 y AWS Fargate (solo Amazon ECS).

## Estoy utilizando el período de GuardDuty prueba o nunca he activado EKS Runtime Monitoring
<a name="enabled-gdu-first-time-or-never-enabled-eks-30-day"></a>

La siguiente lista explica cómo funciona el período de prueba gratuito de 30 días si está utilizando el período de prueba de GuardDuty 30 días o si nunca ha activado EKS Runtime Monitoring:
+ Cuando lo active GuardDuty por primera vez, Runtime Monitoring y EKS Runtime Monitoring no estarán habilitados de forma predeterminada.

  Al habilitar Runtime Monitoring para su cuenta u organización, asegúrese de configurar también el agente de GuardDuty seguridad del recurso que quiere monitorear para detectar amenazas. Por ejemplo, si desea utilizar la supervisión en tiempo de ejecución para las instancias de Amazon EC2, después de habilitar la supervisión en tiempo de ejecución, también deberá configurar el agente de seguridad para Amazon EC2. Puede elegir hacerlo de forma manual o automática a través de GuardDuty.
+ El plan de protección de supervisión en tiempo de ejecución se habilita a **nivel de cuenta**. El periodo de prueba gratuito de 30 días funciona a **nivel del recurso**. Una vez que el agente de GuardDuty seguridad se haya desplegado en un tipo de recurso específico, la prueba gratuita de 30 días comenzará cuando GuardDuty reciba el **primer evento de tiempo de ejecución** asociado a este tipo de recurso. Por ejemplo, ha implementado el GuardDuty agente a nivel de recursos (para la instancia de Amazon EC2, el clúster de Amazon ECS y el clúster de Amazon EKS). Cuando GuardDuty reciba el primer evento de tiempo de ejecución de una instancia de Amazon EC2, la prueba gratuita de 30 días solo comenzará para Amazon EC2.
+ Cuando desee habilitar únicamente la monitorización de tiempo de ejecución de EKS: cuando la active GuardDuty por primera vez, la supervisión de tiempo de ejecución de EKS no estará habilitada de forma predeterminada (después del lanzamiento de la supervisión de tiempo de ejecución). Deberá habilitar la supervisión en tiempo de ejecución de EKS. Para utilizarla de forma óptima, asegúrese de gestionar el agente de GuardDuty seguridad manualmente o de habilitar la configuración automática del agente para que GuardDuty gestione el agente en su nombre. El período de prueba gratuito de 30 días de EKS Runtime Monitoring comienza cuando GuardDuty recibe su primer evento de tiempo de ejecución para el recurso Amazon EKS. 

# Habilité la supervisión en tiempo de ejecución de EKS antes del lanzamiento de la supervisión en tiempo de ejecución
<a name="enabled-eks-gdu-prior-runtime-monitoring-30-day"></a>

Utilice esta sección únicamente cuando EKS Runtime Monitoring esté activado y ahora desee migrar a Runtime Monitoring. Cuenta de AWS

En la siguiente lista se incluyen escenarios que se podrían aplicar a su caso de uso de la habilitación de la supervisión en tiempo de ejecución:
+ En el caso de una GuardDuty cuenta existente que tenga activado el plan de protección de EKS Runtime Monitoring y utilice la experiencia de GuardDuty consola para utilizar este plan de protección, con el anuncio de Runtime Monitoring, la experiencia de la consola de EKS Runtime Monitoring se ha consolidado en Runtime Monitoring. La configuración existente para la Supervisión en tiempo de ejecución de EKS se mantiene sin cambios. Puede continuar el uso de la compatibilidad con la API y la CLI para realizar operaciones asociadas a la supervisión en tiempo de ejecución de EKS. 
+ Para utilizar la Supervisión en tiempo de ejecución de EKS como parte de la Supervisión en tiempo de ejecución, deberá configurar la Supervisión en tiempo de ejecución para la cuenta u organización. Para mantener la misma configuración para la Supervisión en tiempo de ejecución, consulte [Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución](migrating-from-eksrunmon-to-runtime-monitoring.md). Sin embargo, esto no repercutirá en la prueba gratuita de 30 días del recurso de Amazon EKS. 
+ El plan de protección de Supervisión en tiempo de ejecución se habilita a nivel de cuenta por región. Después de implementar el agente de GuardDuty seguridad en uno de los tipos de recursos especificados (instancia de Amazon EC2 y clúster de Amazon ECS), la prueba gratuita de 30 días comienza cuando se GuardDuty recibe el primer evento de tiempo de ejecución asociado al recurso. Hay una prueba gratuita de 30 días relacionada con cada tipo de recurso. 

  Por ejemplo, después de habilitar Runtime Monitoring, si decide implementar el GuardDuty agente solo en una instancia de Amazon EC2, la prueba gratuita de 30 días de este recurso solo se iniciará cuando GuardDuty reciba su primer evento de tiempo de ejecución para una instancia de Amazon EC2. Más adelante, cuando implemente el GuardDuty agente para Fargate (solo Amazon ECS), la prueba gratuita de 30 días de este recurso solo comenzará cuando GuardDuty reciba su primer evento de tiempo de ejecución para el clúster de Amazon ECS. Teniendo en cuenta que ya tiene activado EKS Runtime Monitoring en su cuenta, GuardDuty no restablece la prueba gratuita de 30 días de un recurso de Amazon EKS.

# Requisitos previos para habilitar la Supervisión en tiempo de ejecución
<a name="runtime-monitoring-prerequisites"></a>

Para habilitar la supervisión en tiempo de ejecución y administrar el agente de GuardDuty seguridad, debe cumplir los requisitos previos de cada tipo de recurso que desee supervisar para detectar amenazas. Cada tipo de recurso tiene diferentes requisitos previos. Por ejemplo, GuardDuty admite diferentes distribuciones de sistema operativo según el tipo de recurso.

Si solo desea supervisar los recursos de Amazon EC2, deberá seguir los requisitos previos para las instancias de Amazon EC2. Si posteriormente decide supervisar los recursos de Amazon EKS, deberá seguir los requisitos previos específicos de los clústeres de Amazon EKS.

En las siguientes secciones se indican los requisitos previos en función del tipo de recurso.

**Topics**
+ [Requisitos previos para la compatibilidad con instancias de Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
+ [Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)](prereq-runtime-monitoring-ecs-support.md)
+ [Requisitos previos para la compatibilidad con clústeres de Amazon EKS](prereq-runtime-monitoring-eks-support.md)

# Requisitos previos para la compatibilidad con instancias de Amazon EC2
<a name="prereq-runtime-monitoring-ec2-support"></a>

En esta sección se incluyen los requisitos previos para supervisar el comportamiento en tiempo de ejecución de las instancias de Amazon EC2. Una vez cumplidos estos requisitos previos, consulte [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md).

**Topics**
+ [Haga que SSM administre las instancias de EC2 (solo para la configuración automatizada de agentes)](#ssm-managed-prereq-ec2)
+ [Validar los requisitos de arquitectura](#validating-architecture-req-ec2)
+ [Validación de la política de control de servicios de la organización en un entorno de varias cuentas](#validate-organization-scp-ec2)
+ [Al utilizar la configuración automatizada de agentes](#runtime-ec2-prereq-automated-agent)
+ [Límite de CPU y memoria para el agente GuardDuty](#ec2-cpu-memory-limits-gdu-agent)
+ [Siguiente paso](#next-step-after-prereq-ec2)

## Haga que SSM administre las instancias de EC2 (solo para la configuración automatizada de agentes)
<a name="ssm-managed-prereq-ec2"></a>

GuardDuty usa AWS Systems Manager (SSM) para implementar, instalar y administrar automáticamente el agente de seguridad en sus instancias. Si planea instalar y administrar el GuardDuty agente manualmente, el SSM no es necesario. 

Para administrar las instancias de Amazon EC2 con Systems Manager, consulte [Configurar Systems Manager para instancias de Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) en la *Guía del usuario de AWS Systems Manager *.

## Validar los requisitos de arquitectura
<a name="validating-architecture-req-ec2"></a>

La arquitectura de la distribución del sistema operativo puede afectar al comportamiento del agente de GuardDuty seguridad. Debe cumplir los siguientes requisitos antes de utilizar la Supervisión en tiempo de ejecución para instancias de Amazon EC2:
+ La compatibilidad del kernel incluye `eBPF`, `Tracepoints` y `Kprobe`. Para las arquitecturas de CPU, Runtime Monitoring admite AMD64 (`x64`) y ARM64 (Graviton2 y versiones posteriores). [1](#runtime-monitoring-ec2-graviton-2-support)

  En la siguiente tabla se muestra la distribución del sistema operativo que se ha verificado para admitir el agente GuardDuty de seguridad para las instancias de Amazon EC2.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

  1. <a name="runtime-monitoring-ec2-graviton-2-support"></a>Runtime Monitoring para recursos de Amazon EC2 no es compatible con la primera generación de instancias de Graviton, como los tipos de instancia A1.

  1. <a name="runtime-monitoring-ec2-os-support"></a>Soporte para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede ejecutarse en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

  1. <a name="runtime-monitoring-ec2-kernel-version-required-flag"></a>Para cualquier versión del kernel, debe establecer el marcador `CONFIG_DEBUG_INFO_BTF` en `y` (que significa *verdadero*). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado.

  1. <a name="runtime-monitoring-ec2-kernel-5-10"></a>En las versiones 5.10 y anteriores del núcleo, el agente GuardDuty de seguridad utiliza la memoria bloqueada en la RAM (`RLIMIT_MEMLOCK`) para funcionar según lo previsto. Si el `RLIMIT_MEMLOCK` valor del sistema es demasiado bajo, se GuardDuty recomienda establecer los límites fijos y flexibles en al menos 32 MB. Para obtener información sobre cómo comprobar y modificar el valor `RLIMIT_MEMLOCK`predeterminado, consulte [Visualización y actualización de los valores `RLIMIT_MEMLOCK`](#runtime-monitoring-ec2-modify-rlimit-memlock).

  1. <a name="runtime-monitoring-ec2-ubuntu-noble-agent-version"></a>Para Ubuntu 24.04, las versiones 6.13 y 6.14 del núcleo solo admiten las versiones 1.9.2 y posteriores del agente de EC2.
+ Requisitos adicionales: solo si tiene Amazon ECS/Amazon EC2

  Para Amazon ECS/Amazon EC2, le recomendamos que utilice la última versión optimizada para Amazon ECS AMIs (con fecha del 29 de septiembre de 2023 o posterior) o que utilice la versión 1.77.0 del agente de Amazon ECS. 

### Visualización y actualización de los valores `RLIMIT_MEMLOCK`
<a name="runtime-monitoring-ec2-modify-rlimit-memlock"></a>

Si el `RLIMIT_MEMLOCK` límite del sistema es demasiado bajo, es posible que el agente de GuardDuty seguridad no funcione según lo diseñado. GuardDuty recomienda que los límites físicos y flexibles sean de al menos 32 MB. Si no actualiza los límites, no GuardDuty podrá supervisar los eventos de tiempo de ejecución de su recurso. Cuando `RLIMIT_MEMLOCK` supere los límites mínimos establecidos, la actualización de estos límites pasa a ser opcional.

Puede modificar el `RLIMIT_MEMLOCK` valor predeterminado antes o después de instalar el agente GuardDuty de seguridad. 

**Para ver los valores `RLIMIT_MEMLOCK`**

1. Ejecute `ps aux | grep guardduty`. Esto generará el ID del proceso (`pid`).

1. Copie el ID del proceso (`pid`) del resultado del comando anterior.

1. Ejecute `grep "Max locked memory" /proc/pid/limits` después de reemplazar el `pid` con el ID de proceso copiado del paso anterior.

   Esto mostrará la memoria máxima bloqueada para ejecutar el agente GuardDuty de seguridad.

**Para actualizar los valores `RLIMIT_MEMLOCK`**

1. Si el archivo `/etc/systemd/system.conf.d/NUMBER-limits.conf` existe, comente la línea `DefaultLimitMEMLOCK` de este archivo. Este archivo establece un valor predeterminado `RLIMIT_MEMLOCK` con alta prioridad, que sobrescribe la configuración del archivo `/etc/systemd/system.conf`.

1. Abre el archivo `/etc/systemd/system.conf` y quita el comentario de la línea que contiene `#DefaultLimitMEMLOCK=`.

1. Actualice el valor predeterminado proporcionando límites `RLIMIT_MEMLOCK` fijos y flexibles de al menos 32 MB. La política actualizada debería ser así: `DefaultLimitMEMLOCK=32M:32M`. El formato es `soft-limit:hard-limit`.

1. Ejecute `sudo reboot`.

## Validación de la política de control de servicios de la organización en un entorno de varias cuentas
<a name="validate-organization-scp-ec2"></a>

Si ha configurado una política de control de servicio (SCP) para administrar los permisos en la organización, valide que el límite de permisos permita la acción `guardduty:SendSecurityTelemetry`. Es necesario GuardDuty para admitir la supervisión del tiempo de ejecución en diferentes tipos de recursos.

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

## Al utilizar la configuración automatizada de agentes
<a name="runtime-ec2-prereq-automated-agent"></a>

Para [Utilice la configuración automatizada de agentes (opción recomendada)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2) ello, Cuenta de AWS debe cumplir los siguientes requisitos previos:
+ Cuando utilices etiquetas de inclusión con una configuración de agente automatizada, GuardDuty para crear una asociación de SSM para una nueva instancia, asegúrate de que la nueva instancia esté gestionada por SSM y aparezca en **Fleet Manager** en la consola. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Al utilizar etiquetas de exclusión con configuración automatizada del agente
  + Añada la `false` etiqueta`GuardDutyManaged`: antes de configurar el agente GuardDuty automatizado para su cuenta.

    Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.
  + Activa la opción **Permitir etiquetas en los metadatos** de las instancias. Esta configuración es obligatoria porque GuardDuty necesita leer la etiqueta de exclusión del servicio de metadatos de la instancia (IMDS) para determinar si debe excluir la instancia de la instalación del agente. Para obtener más información, consulte [Habilitar el acceso a etiquetas de instancia en los metadatos de la instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS) en la *Guía del usuario de Amazon EC2*.

## Límite de CPU y memoria para el agente GuardDuty
<a name="ec2-cpu-memory-limits-gdu-agent"></a>

**Límite de CPU**  
El límite máximo de CPU para el agente de GuardDuty seguridad asociado a las instancias de Amazon EC2 es del 10 por ciento del total de núcleos de vCPU. Por ejemplo, si la instancia de EC2 tiene 4 núcleos vCPU, el agente de seguridad puede utilizar un máximo del 40 por ciento del 400 por ciento total disponible.

**Memory limit (Límite de memoria)**  
De la memoria asociada a la instancia de Amazon EC2, hay una memoria limitada que el agente de GuardDuty seguridad puede utilizar.   
En la siguiente tabla aparece el límite de memoria.      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

## Siguiente paso
<a name="next-step-after-prereq-ec2"></a>

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución y también administrar el agente de seguridad (automática o manualmente).

# Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)
<a name="prereq-runtime-monitoring-ecs-support"></a>

En esta sección se incluyen los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de ECS de Fargate-Amazon. Una vez cumplidos estos requisitos previos, consulte [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md).

**Topics**
+ [Validación de los requisitos de arquitectura](#validating-architecture-req-ecs)
+ [Requisitos previos para el acceso a imágenes de contenedores](#before-enable-runtime-monitoring-ecs)
+ [Validación de la política de control de servicios de la organización en un entorno de varias cuentas](#validate-organization-scp-ecs)
+ [Validación de permisos de roles y límites de permisos de políticas](#guardduty-runtime-monitoring-ecs-permission-boundary)
+ [Límites de CPU y memoria](#ecs-runtime-agent-cpu-memory-limits)

## Validación de los requisitos de arquitectura
<a name="validating-architecture-req-ecs"></a>

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de Amazon ECS. Debe validar que esté utilizando una de las plataformas verificadas.

**Consideraciones iniciales:**  
La AWS Fargate plataforma de los clústeres de Amazon ECS debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo `1.4.0`, o `LATEST`. Para obtener más información sobre las versiones de plataforma, consulte [Versiones de plataforma Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.  
Aún no se admiten las versiones de la plataforma Windows. 

### Plataformas verificadas
<a name="ecs-verified-platforms-gdu-agent"></a>

La distribución del sistema operativo y la arquitectura de la CPU afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.


| Distribución del sistema operativo **[1](#runtime-monitoring-ecs-os-support)**  | Compatibilidad del kernel | Arquitectura de CPU x64 () AMD64 | Arquitectura de CPU Graviton () ARM64 | 
| --- | --- | --- | --- | 
| Linux | eBPF, Tracepoints, Kprobe | Soportado |  compatible | <a name="runtime-monitoring-ecs-os-support"></a>

1 Support para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede funcionar en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

## Requisitos previos para el acceso a imágenes de contenedores
<a name="before-enable-runtime-monitoring-ecs"></a>

Los siguientes requisitos previos le ayudan a acceder a la imagen del contenedor GuardDuty sidecar desde el repositorio de Amazon ECR.

### Requisitos de los permisos
<a name="ecs-runtime-permissions-requirements"></a>

La función de ejecución de tareas requiere determinados permisos de Amazon Elastic Container Registry (Amazon ECR) para descargar GuardDuty la imagen del contenedor del agente de seguridad:

```
...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...
```

Para restringir aún más los permisos de Amazon ECR, puede añadir el URI del repositorio de Amazon ECR que aloja el agente de GuardDuty seguridad para (solo AWS Fargate Amazon ECS). Para obtener más información, consulte [Agente de alojamiento GuardDuty de repositorios Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md).

Puedes usar la política ECSTask ExecutionRolePolicy gestionada por [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) o añadir los permisos anteriores a tu `TaskExecutionRole` política.

### Configuración de definición de tareas
<a name="ecs-runtime-task-definition"></a>

Al crear o actualizar los servicios de Amazon ECS, debe proporcionar información de subred en la definición de la tarea:

Para ejecutar [CreateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_CreateService.html)y [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) APIs en la *referencia de la API de Amazon Elastic Container Service*, es necesario pasar la información de la subred. Para obtener más información, consulte las [definiciones de tareas de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

### Requisitos de conectividad de red
<a name="ecs-runtime-network-requirements"></a>

Debe garantizar la conectividad de red para descargar la imagen del GuardDuty contenedor de Amazon ECR. Este requisito es específico GuardDuty porque utiliza Amazon ECR para alojar su agente de seguridad. En función de la configuración de red, tendrá que implementar una de las siguientes opciones:

**Opción 1: usar el acceso a la red pública (si está disponible)**  
Si sus tareas de Fargate se ejecutan en subredes con acceso a Internet saliente, no es necesaria ninguna configuración de red adicional.

**Opción 2: Uso de puntos de conexión de Amazon VPC (para subredes privadas)**  
Si sus tareas de Fargate se ejecutan en subredes privadas sin acceso a Internet, debe configurar los puntos finales de VPC para ECR a fin de garantizar que el URI del repositorio de ECR que aloja el agente de seguridad sea accesible desde la red. GuardDuty Sin estos puntos de conexión, las tareas de las subredes privadas no pueden descargar la imagen del contenedor. GuardDuty   
Para obtener instrucciones sobre la configuración del punto de conexión de VPC, consulte [Crear los puntos de conexión de VPC para Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create) en la *Guía del usuario de Amazon Elastic Container Registry*.

Para obtener información sobre cómo permitir que Fargate descargue el GuardDuty contenedor, consulte Uso de imágenes de [Amazon ECR con Amazon ECS en la Guía del usuario](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) de *Amazon Elastic Container Registry*.

### Configuración del grupo de seguridad
<a name="ecs-runtime-security-group-requirements"></a>

Las imágenes del GuardDuty contenedor están en Amazon ECR y requieren acceso a Amazon S3. Este requisito es específico para descargar imágenes de contenedores de Amazon ECR. En el caso de las tareas con acceso restringido a la red, debe configurar sus grupos de seguridad para permitir el acceso a S3.

Agregue una regla de salida a su grupo de seguridad que permita el tráfico a la [lista de prefijos administrados de S3 (`pl-xxxxxxxx`) en el puerto 443](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html#gateway-endpoint-security). Para agregar una regla de salida, consulte [Configurar las reglas de un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

Para ver sus listas de AWS prefijos administradas en la consola o describirlas mediante AWS Command Line Interface (AWS CLI), consulte las listas de [prefijos AWS administradas en](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) la Guía del usuario de Amazon *VPC*.

## Validación de la política de control de servicios de la organización en un entorno de varias cuentas
<a name="validate-organization-scp-ecs"></a>

En esta sección, se explica cómo validar la configuración de la política de control de servicio (SCP) para garantizar que Runtime Monitoring funcione según lo esperado en toda la organización.

Si ha configurado una o más políticas de control de servicio para administrar los permisos en la organización, debe validar que no niegue la acción `guardduty:SendSecurityTelemetry`. *Para obtener información sobre cómo SCPs funciona, consulte la evaluación de [SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) en la Guía del usuario.AWS Organizations *

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*.

Realice los siguientes pasos para todo lo SCPs que haya configurado en su entorno de cuentas múltiples:

**La validación de `guardduty:SendSecurityTelemetry` no se deniega en SCP**

1. Inicie sesión en la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Debe iniciar sesión como rol de IAM o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En el panel de navegación izquierdo, seleccione **Policies (Políticas)**. A continuación, en **Tipos de políticas compatibles**, seleccione **Políticas de control de servicios**.

1. En la página **Políticas de control de servicios**, elija el nombre de la política que desea adjuntar.

1. En la página de detalles de la política, consulte el **contenido** de esta política. Asegúrese de que no deniegue la acción `guardduty:SendSecurityTelemetry`.

   La siguiente política de SCP es un ejemplo para *no denegar* la acción `guardduty:SendSecurityTelemetry`:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
       "Effect": "Allow",
               "Action": [           
                   "guardduty:SendSecurityTelemetry"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

   Si su política deniega esta acción, debe actualizarla. Para obtener más información, consulte [Actualización de una política de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) en la *Guía del usuario de AWS Organizations *.

## Validación de permisos de roles y límites de permisos de políticas
<a name="guardduty-runtime-monitoring-ecs-permission-boundary"></a>

Siga los siguientes pasos para validar que los límites de permisos asociados al rol y a su política **no** impliquen la acción `guardduty:SendSecurityTelemetry` de restricción.

**Para ver los límites de permisos de los roles y su política**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.

1. En la página **Roles**, seleccione el rol *`TaskExecutionRole`* que acaba de crear.

1. En la página del rol seleccionado, en la pestaña **Permisos**, amplía el nombre de la política asociada a este rol. A continuación, verifique que esta política no restrinja `guardduty:SendSecurityTelemetry`.

1. Si el **límite de permisos** está establecido, amplíe esta sección. A continuación, amplíe cada política para comprobar que no restrinja la acción `guardduty:SendSecurityTelemetry`. El aspecto de la respuesta debe ser parecido a [Example SCP policy](#ecs-runtime-scp-not-deny-policy-example).

   Si es necesario, lleve a cabo una de las siguientes acciones:
   + Para modificar la política, seleccione **Editar**. En la página **Modificar los permisos** de esta política, actualice la política en el **editor de políticas**. Asegúrese de que el esquema JSON siga siendo válido. A continuación, elija **Siguiente**. A continuación, puede revisar y guardar los cambios.
   + Para cambiar este límite de permisos y elegir otro límite, elija **Cambiar límite**.
   + Para eliminar este límite de permisos, seleccione **Eliminar límite**.

   Para obtener más información sobre las políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.

## Límites de CPU y memoria
<a name="ecs-runtime-agent-cpu-memory-limits"></a>

En la definición de la tarea de Fargate, debe especificar el valor de CPU y memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de CPU y memoria a nivel de tarea y el límite máximo de memoria del agente de GuardDuty seguridad correspondiente al contenedor. GuardDuty 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en **buen** estado, podrá configurar y ver las métricas de Información de contenedores. Para obtener más información, [Configurar la supervisión en el clúster de Amazon ECS](runtime-monitoring-setting-cpu-mem-monitoring.md#ecs-runtime-cpu-memory-monitoring-agent).

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución, así como el agente de seguridad.

# Requisitos previos para la compatibilidad con clústeres de Amazon EKS
<a name="prereq-runtime-monitoring-eks-support"></a>

Esta sección incluye los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de Amazon EKS. Estos requisitos previos son cruciales para que el GuardDuty agente funcione según lo esperado. Una vez cumplidos estos requisitos previos, consulte [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md) para empezar a monitorear los recursos.

## Compatibilidad con características de Amazon EKS
<a name="runtime-monitoring-eks-feature-support"></a>

Runtime Monitoring **admite** los clústeres de Amazon EKS que se ejecutan en instancias de Amazon EC2 y en Amazon EKS Auto Mode.

Runtime Monitoring **no admite** los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en AWS Fargate.

Para obtener más información sobre estas características de Amazon EKS, consulte [¿Qué es Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) en la **Guía del usuario de Amazon EKS**.

## Validación de los requisitos de arquitectura
<a name="eksrunmon-supported-platform-concepts"></a>

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de EKS. Debe validar que esté utilizando una de las plataformas verificadas. Si administra el GuardDuty agente manualmente, asegúrese de que la versión de Kubernetes sea compatible con la versión del GuardDuty agente que está en uso actualmente. 

### Plataformas verificadas
<a name="eksrunmon-verified-platform"></a>

La distribución del sistema operativo, la versión del núcleo y la arquitectura de la CPU afectan al soporte que proporciona el agente de seguridad. GuardDuty La compatibilidad del kernel incluye `eBPF`, `Tracepoints` y `Kprobe`. Para las arquitecturas de CPU, Runtime Monitoring admite AMD64 (`x64`) y ARM64 (Graviton2 y versiones posteriores). [1](#runtime-monitoring-eks-graviton-2-support)

La siguiente tabla muestra la configuración verificada para implementar el agente de GuardDuty seguridad y configurar EKS Runtime Monitoring.


| Distribución del sistema operativo **[2](#runtime-monitoring-eks-os-support)** | Versión de kernel **[3](#runtime-monitoring-eks-kernel-version-required-flag)** | Versión de Kubernetes compatible | 
| --- | --- | --- | 
|  Bottlerocket  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23 - v1.35 | 
|  Ubuntu  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Amazon Linux 2  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Amazon Linux 2023 *[5](#runtime-eks-al2023-support-v1.6.0)*  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  RedHat 9.4  | 5.14 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Fedora 34  | 5.11, 5.17 | v1.21 - v1.35 | 
|  Fedora 40  | 6.8 | v1.28 - v1.35 | 
|  Fedora 41  | 6.12 | v1.28 - v1.35 | 
|  CentOS Stream 9  | 5.14 | v1.21 - v1.35 | 

1. <a name="runtime-monitoring-eks-graviton-2-support"></a>La Supervisión en tiempo de ejecución para clústeres de Amazon EKS no es compatible con la primera generación de instancias de Graviton, como los tipos de instancia A1.

1. <a name="runtime-monitoring-eks-os-support"></a>Soporte para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede ejecutarse en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

1. <a name="runtime-monitoring-eks-kernel-version-required-flag"></a>Para cualquier versión del kernel, debe establecer el marcador `CONFIG_DEBUG_INFO_BTF` en `y` (que significa *verdadero*). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado.

1. <a name="v6.1-kernel-dns-findings-unsupported-eks"></a>Actualmente, con la versión Kernel`6.1`, no [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) se GuardDuty puede generar nada relacionado con[Eventos del sistema de nombres de dominio (DNS)](runtime-monitoring-collected-events.md#eks-runtime-dns-events).

1. <a name="runtime-eks-al2023-support-v1.6.0"></a>La monitorización del tiempo de ejecución es compatible AL2023 con la versión 1.6.0 del agente de GuardDuty seguridad y versiones posteriores. Para obtener más información, consulte [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

#### Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty
<a name="gdu-agent-supported-k8-version"></a>

En la siguiente tabla se muestran las versiones de Kubernetes para los clústeres de EKS compatibles con el agente de seguridad. GuardDuty 


| Versión del agente de GuardDuty seguridad complementario Amazon EKS | Versión de Kubernetes | 
| --- | --- | 
|  v1.12.1 (última versión: v1.12.1-eksbuild.2)  |  1.28 - 1.35  | 
|  v1.11.0 (más reciente: v1.11.0-eksbuild.4)  |  1.28 - 1.34  | 
|  v1.10.0 (más reciente: v1.10.0-eksbuild.2)  |  1,21 - 1,33  | 
|  v1.9.0 (más reciente: v1.9.0-eksbuild.2) v1.8.1 (más reciente: v1.8.1-eksbuild.2)  |  1,21 - 1,32  | 
|  v1.7.1 v1.7.0 v1.6.1  |  1,21 - 1,31  | 
|  Versión 1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1  |  1,21 - 1,29  | 
|  v1.3.0 v1.2.0  |  1,21 - 1,28  | 
|  v1.1.0  |  1,21 - 1,26  | 
|  v1.0.0  |  1.21 - 1.25  | 

Algunas de las versiones del agente GuardDuty de seguridad llegarán al final del soporte estándar. 

Para obtener información sobre las versiones de lanzamiento del agente, consulte [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

### Límites de CPU y memoria
<a name="eks-runtime-agent-limits"></a>

En la siguiente tabla se muestran los límites de CPU y memoria del complemento Amazon EKS para GuardDuty (`aws-guardduty-agent`).


| Parámetro | Límite mínimo | Límite máximo | 
| --- | --- | --- | 
| CPU | 200m | 1000m | 
| Memoria | 256 Mi | 1024 Mi | 

Cuando utiliza la versión 1.5.0 o superior del complemento Amazon EKS, GuardDuty ofrece la posibilidad de configurar el esquema del complemento para los valores de CPU y memoria. Para obtener información sobre el rango configurable, consulte [Parámetros y valores que se pueden configurar](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values).

Después de habilitar la supervisión en tiempo de ejecución de EKS y evaluar el estado de la cobertura de sus clústeres de EKS, podrá configurar y ver las métricas de información de los contenedores. Para obtener más información, consulte [Configuración de la supervisión de la CPU y la memoria](runtime-monitoring-setting-cpu-mem-monitoring.md).

## Validar la política de control de servicios de la organización
<a name="validate-organization-scp-eks"></a>

Si ha configurado una política de control de servicio (SCP) para administrar los permisos en la organización, valide que el límite de permisos no restrinja `guardduty:SendSecurityTelemetry`. Es necesario GuardDuty para admitir la monitorización del tiempo de ejecución en diferentes tipos de recursos.

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

# Habilitación GuardDuty de la supervisión del tiempo
<a name="runtime-monitoring-configuration"></a>

Antes de habilitar la Supervisión en tiempo de ejecución en la cuenta, asegúrese de que el tipo de recurso para el que desea supervisar los eventos en tiempo de ejecución sea compatible con los requisitos de la plataforma. Para obtener más información, consulte [Requisitos previos](runtime-monitoring-prerequisites.md).

Si ha estado utilizando EKS Runtime Monitoring antes del lanzamiento de Runtime Monitoring, puede utilizarla APIs para comprobar y actualizar la configuración existente de EKS Runtime Monitoring. También puede migrar la configuración existente de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución. Para obtener más información, consulte [Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución](migrating-from-eksrunmon-to-runtime-monitoring.md).

**nota**  
Actualmente, en esta documentación se indican los pasos necesarios para habilitar la Supervisión en tiempo real para las cuentas y la organización únicamente mediante la consola. También puede habilitar la supervisión del tiempo de ejecución mediante [API Actions](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Operations.html) o [AWS CLI para GuardDuty](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html#cli-aws-guardduty).

Puede configurar la Supervisión en tiempo de ejecución si sigue los pasos que se indican en los siguientes temas.

**Topics**
+ [Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas](enable-runtime-monitoring-multiple-acc-env.md)
+ [Habilitar la Supervisión en tiempo de ejecución para una cuenta independiente](enable-runtime-monitoring-standalone-acc.md)

# Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas
<a name="enable-runtime-monitoring-multiple-acc-env"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede activar o desactivar Runtime Monitoring para las cuentas de los miembros y gestionar la configuración automática de los agentes para los tipos de recursos que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para la cuenta de administrador delegado GuardDuty
<a name="runtime-monitoring-config-delegated-admin"></a>

**Para habilitar Runtime Monitoring para la cuenta de administrador delegado GuardDuty**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**, elija **Editar** en la sección **Configuración de la supervisión en tiempo de ejecución**.

1. 

**Uso de Habilitar para todas las cuentas**

   Si desea activar Runtime Monitoring para todas las cuentas que pertenecen a la organización, incluida la cuenta de GuardDuty administrador delegado, seleccione **Activar para todas las cuentas**.

1. 

**Uso de Configurar cuentas manualmente**

   Si desea habilitar la Supervisión en tiempo de ejecución para cada cuenta de miembro individualmente, elija **Configurar cuentas manualmente**.

   1. Seleccione **Habilitar** en la sección **Administrador delegado (esta cuenta)**.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

## Para todas las cuentas de miembro
<a name="runtime-monitoring-config-all-member-accounts"></a>

**Para habilitar la Supervisión en tiempo de ejecución para todas las cuentas de miembro en la organización**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la página Supervisión en tiempo de ejecución, en la pestaña **Configuración**, elija **Editar** en la sección **Configuración de la supervisión en tiempo de ejecución**.

1. Elija **Habilitar para todas las cuentas**.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

## Para todas las cuentas de miembro activas existentes
<a name="runtime-monitoring-all-existing-active-member-accounts"></a>

**Para habilitar la Supervisión en tiempo de ejecución para las cuentas de miembro existentes en la organización**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con la cuenta de GuardDuty administrador delegado de la organización.

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la página **Supervisión en tiempo de ejecución**, en la pestaña **Configuración**, puede ver el estado actual de la configuración de la Supervisión en tiempo de ejecución. 

1. En el panel Supervisión en tiempo de ejecución, en la sección **Cuentas de miembro activas**, seleccione **Acciones**.

1. En el menú desplegable **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas existentes**.

1. Elija **Confirmar**.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

## Habilitar automáticamente la supervisión en tiempo de ejecución únicamente para las nuevas cuentas de miembro
<a name="runtime-monitoring-configure-auto-enable-new-members"></a>

**Para habilitar la Supervisión en tiempo de ejecución para las nuevas cuentas de miembro en la organización**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con la cuenta de GuardDuty administrador delegado designada de la organización.

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**

1. En la pestaña **Configuración**, elija **Editar** en la sección **Configuración de la supervisión en tiempo de ejecución**.

1. Elija **Configurar cuentas manualmente**.

1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

## Para determinadas cuentas de miembro activas únicamente
<a name="runtime-monitoring-enable-selective-member-accounts"></a>

**Para habilitar la Supervisión en tiempo de ejecución para cuentas de miembro activas individuales**

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la página **Cuentas**, revise los valores de las columnas **Supervisión en tiempo de ejecución** y **Administrar agente automáticamente**. Estos valores indican si la supervisión del tiempo de ejecución y la administración de GuardDuty agentes están **habilitadas** **o no** para la cuenta correspondiente.

1. En la tabla Cuentas, seleccione la cuenta para la que desea habilitar la Supervisión en tiempo de ejecución. Puede elegir varias cuentas a la vez.

1. Elija **Confirmar**.

1. Seleccione **Editar planes de protección**. Elija la acción apropiada.

1. Elija **Confirmar**.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

# Habilitar la Supervisión en tiempo de ejecución para una cuenta independiente
<a name="enable-runtime-monitoring-standalone-acc"></a>

Una cuenta independiente es la propietaria de la decisión de habilitar o deshabilitar un plan de protección Cuenta de AWS en un plan específico Región de AWS. 

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas](enable-runtime-monitoring-multiple-acc-env.md).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

**Para habilitar la Supervisión en tiempo de ejecución en una cuenta independiente**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**, seleccione **Habilitar** para habilitar la Supervisión en tiempo de ejecución para la cuenta.

1.  GuardDuty Para recibir los eventos de tiempo de ejecución de uno o más tipos de recursos (una instancia de Amazon EC2, un clúster de Amazon ECS o un clúster de Amazon EKS), utilice las siguientes opciones para administrar el agente de seguridad de estos recursos:

**Para habilitar el agente GuardDuty de seguridad**
   + [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
   + [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
   + [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
   + [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
   + [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)

# Administrar agentes GuardDuty de seguridad
<a name="runtime-monitoring-managing-agents"></a>

Puede administrar el agente de GuardDuty seguridad del recurso que desee supervisar. Si desea supervisar más de un tipo de recurso, asegúrese de administrar el GuardDuty agente de ese recurso.

Los siguientes temas resultan útiles para los pasos a seguir para administrar el agente de seguridad.

**Topics**
+ [Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2](managing-gdu-agent-ec2-automated.md)
+ [Administrar manualmente el agente de seguridad para el recurso de Amazon EC2](managing-gdu-agent-ec2-manually.md)
+ [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
+ [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md)
+ [Administrar manualmente el agente de seguridad para el clúster de Amazon EKS](managing-gdu-agent-eks-manually.md)
+ [Configurar los parámetros del agente de GuardDuty seguridad (complemento) para Amazon EKS](guardduty-configure-security-agent-eks-addon.md)
+ [Validar la configuración del punto de conexión de VPC](validate-vpc-endpoint-config-runtime-monitoring.md)

# Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2
<a name="managing-gdu-agent-ec2-automated"></a>

En esta sección se incluyen los pasos para habilitar un agente GuardDuty automatizado para sus recursos de Amazon EC2 en su cuenta independiente o en un entorno de cuentas múltiples. 

Antes de continuar, asegúrese de cumplir todos los [Requisitos previos para la compatibilidad con instancias de Amazon EC2](prereq-runtime-monitoring-ec2-support.md).

Si va a pasar de administrar el GuardDuty agente manualmente a habilitar el agente GuardDuty automatizado, antes de seguir los pasos para habilitar GuardDuty el agente automatizado, consulte. [Pasar del agente manual de Amazon EC2 al agente automatizado](migrate-from-ec2-manual-to-automated-agent.md)

# GuardDuty Agente habilitador para los recursos de Amazon EC2 en un entorno de cuentas múltiples
<a name="manage-agent-ec2-multi-account-env"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de los agentes para los tipos de recursos que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para la cuenta de administrador delegado GuardDuty
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Si seleccionó **Activar Runtime Monitoring para todas las cuentas**, elija una de las siguientes opciones para la cuenta de GuardDuty administrador delegado:
+ **Opción 1**

  En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Habilitar para todas las cuentas**.
+ **Opción 2**
  + En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
  + En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Si elige **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente:
+ En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
+ En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Independientemente de la opción que elija para habilitar la configuración automática del agente para la cuenta de GuardDuty administrador delegado, puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

1. Abra la consola en AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`) que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automáticamente para todas las cuentas de miembro
<a name="auto-enable-all-member-accounts"></a>

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

------
#### [ Configure for all instances ]

En los siguientes pasos, se supone que seleccionó **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución:

1. Elija **Habilitar para todas las cuentas** en la sección **Configuración automatizada del agente** para **Amazon EC2**. 

1. Puede comprobar que la asociación SSM que GuardDuty crea (`GuardDutyRuntimeMonitoring-do-not-delete`) instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias de EC2 que desee GuardDuty supervisar y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automáticamente solo para nuevas cuentas de miembro
<a name="auto-enable-new-member-accounts"></a>

La cuenta de GuardDuty administrador delegado puede establecer la configuración del agente automatizado para el recurso Amazon EC2 para que se habilite automáticamente para las cuentas de los nuevos miembros a medida que se unan a la organización. 

------
#### [ Configure for all instances ]

En los siguientes pasos se presupone que ha seleccionado **Habilitar automáticamente para nuevas cuentas de miembro** en la sección **Supervisión en tiempo de ejecución**:

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la página **Supervisión en tiempo de ejecución**, elija **Editar**.

1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**. Este paso garantiza que siempre que una nueva cuenta se una a la organización, la configuración automatizada del agente para Amazon EC2 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta selección.

1. Seleccione **Save**.

Cuando una nueva cuenta de miembro se une a la organización, esta configuración se habilitará para esta automáticamente. GuardDuty Para gestionar el agente de seguridad de las instancias de Amazon EC2 que pertenecen a esta nueva cuenta de miembro, asegúrese de que se cumplen todos los requisitos previos[Para la instancia de EC2](prereq-runtime-monitoring-ec2-support.md).

Cuando se crea una asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`), puede comprobar que la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 pertenecientes a la nueva cuenta de miembro.
+ Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente de GuardDuty seguridad para instancias seleccionadas de su cuenta**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias seleccionadas. No es necesario habilitar explícitamente la configuración automática del agente.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias específicas de su cuenta independiente**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Solo determinadas cuentas de miembro seleccionadas
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. En la página **Cuentas**, seleccione una o varias cuentas para las que desee habilitar la **Configuración automatizada del agente de Supervisión en tiempo de ejecución (Amazon EC2)**. Asegúrese de que las cuentas que seleccione en este paso ya tienen habilitada la Supervisión en tiempo de ejecución.

1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de Supervisión en tiempo de ejecución (Amazon EC2)**.

1. Elija **Confirmar**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Añadir esta etiqueta permitirá GuardDuty gestionar el agente de seguridad de las instancias etiquetadas de Amazon EC2. No necesita habilitar explícitamente la configuración automatizada del agente (**Supervisión en tiempo de ejecución: configuración automatizada del agente (EC2)**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias de EC2 que **no** desee GuardDuty supervisar o detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

# Habilitación de un agente GuardDuty automatizado para los recursos de Amazon EC2 en una cuenta independiente
<a name="manage-agent-ec2-standalone-account"></a>

Una cuenta independiente es la propietaria de la decisión de habilitar o deshabilitar un plan de protección Cuenta de AWS en un plan específico. Región de AWS

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas](enable-runtime-monitoring-multiple-acc-env.md).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según su preferencia de supervisar todos o algunos recursos de Amazon EC2, elija el método que prefiera y siga los pasos que se indican en la tabla siguiente.

------
#### [ Configure for all instances ]

**Para configurar la Supervisión en tiempo de ejecución para todas las instancias en la cuenta independiente**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**, elija **Editar**.

1. En la sección **EC2**, elija **Habilitar**.

1. Seleccione **Save**.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y gestionará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`) que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. Seleccione la instancia para la que desea permitir etiquetas.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

   1. En **Acceso a etiquetas en metadatos de instancia**, seleccione **Permitir**.

   1. Seleccione **Save**.

1. Después de agregar la etiqueta de exclusión, siga los mismos pasos que se indican en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

# Pasar del agente manual de Amazon EC2 al agente automatizado
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Esta sección se aplica a su Cuenta de AWS caso si anteriormente administraba el agente de seguridad de forma manual y ahora desea utilizar la configuración GuardDuty automática del agente. Si esto no se aplica a su caso, continúe con la configuración del agente de seguridad para la cuenta.

Cuando habilita el agente GuardDuty automatizado, GuardDuty administra el agente de seguridad en su nombre. Para obtener información sobre las medidas que se GuardDuty deben tomar, consulte[Utilice la configuración automatizada de agentes (opción recomendada)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## Eliminar recursos
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**Eliminar asociación de SSM**  
+ Elimine cualquier asociación de SSM que pueda haber creado al administrar manualmente el agente de seguridad para Amazon EC2. Para obtener más información, consulte [Eliminar una asociación](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Esto se hace para poder hacerse cargo de la gestión de las acciones de SSM, ya sea que utilice agentes automatizados a nivel de cuenta o de instancia (mediante etiquetas de inclusión o exclusión). GuardDuty Para obtener más información sobre las acciones que puede GuardDuty realizar el SSM, consulte. [Permisos de rol vinculados al servicio para GuardDuty](slr-permissions.md)
+ Al eliminar una asociación de SSM que se creó anteriormente para administrar el agente de seguridad de forma manual, es posible que se produzca un breve período de superposición cuando se GuardDuty cree una asociación de SSM para administrar el agente de seguridad automáticamente. Es posible que durante este periodo se produzcan conflictos relacionados con la programación de SSM. Para obtener más información, consulte [Programación de SSM en Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Administre las etiquetas de inclusión y exclusión para las instancias de Amazon EC2**  
+ **Etiquetas de inclusión**: cuando no habilita la configuración GuardDuty automática del agente, pero etiqueta alguna de sus instancias de Amazon EC2 con una etiqueta de inclusión (`GuardDutyManaged`:`true`), se GuardDuty crea una asociación SSM que instalará y administrará el agente de seguridad en las instancias de EC2 seleccionadas. Este es un comportamiento esperado que ayuda a administrar el agente de seguridad únicamente en instancias de EC2 seleccionadas. Para obtener más información, consulte [Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2](how-runtime-monitoring-works-ec2.md).

  Para GuardDuty evitar la instalación y la administración del agente de seguridad, elimine la etiqueta de inclusión de estas instancias de EC2. Para obtener más información, consulte [Agregar y eliminar etiquetas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) en la *Guía del usuario de Amazon EC2*.
+ **Etiquetas de exclusión**: si desea habilitar la configuración GuardDuty automática de los agentes para todas las instancias de EC2 de su cuenta, asegúrese de que ninguna instancia de EC2 esté etiquetada con una etiqueta de exclusión (:)`GuardDutyManaged`. `false`

# Administrar manualmente el agente de seguridad para el recurso de Amazon EC2
<a name="managing-gdu-agent-ec2-manually"></a>

En esta sección se indican los pasos a seguir para instalar y actualizar manualmente el agente de seguridad para los recursos de Amazon EC2.

Tras activar Runtime Monitoring, tendrá que instalar el agente de GuardDuty seguridad manualmente. Para gestionar el agente GuardDuty de seguridad de forma manual, primero debe crear un punto de conexión de Amazon VPC de forma manual. Después de esto, puede instalar el agente de seguridad para que GuardDuty comience a recibir los eventos de tiempo de ejecución de las instancias de Amazon EC2. Cuando GuardDuty publique una nueva versión del agente para este recurso, podrá actualizar la versión del agente en su cuenta.

En los siguientes temas se incluyen los pasos a seguir para administrar de forma continua el agente de seguridad para los recursos de Amazon EC2.

**Topics**
+ [Requisito previo: crear manualmente el punto de conexión de Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md)
+ [Instalación manual del agente de seguridad](installing-gdu-security-agent-ec2-manually.md)
+ [Actualización manual del agente GuardDuty de seguridad para la instancia de Amazon EC2](gdu-update-security-agent-ec2.md)

# Requisito previo: crear manualmente el punto de conexión de Amazon VPC
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Antes de poder instalar el agente GuardDuty de seguridad, debe crear un punto final de Amazon Virtual Private Cloud (Amazon VPC). Esto ayudará a GuardDuty recibir los eventos de tiempo de ejecución de sus instancias de Amazon EC2.

**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.

**Para crear un punto de conexión de Amazon VPC**

1. Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. En el panel de navegación, en **Nube privada VPC**, seleccione **Puntos de conexión**.

1. Seleccione **Crear punto de conexión**.

1. En la página **Crear punto de conexión**, en **Categoría de servicio**, elija **Otros servicios de punto de conexión**.

1. En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

   Asegúrese de reemplazarla por *us-east-1* su. Región de AWS Debe ser la misma región que la instancia de Amazon EC2 que pertenece a su ID de AWS cuenta.

1. Elija **Verificar el servicio**.

1. Una vez que el nombre del servicio se haya verificado correctamente, elija la **VPC** en la que reside la instancia. Agregue la siguiente política para restringir el uso de puntos de conexión de Amazon VPC únicamente a la cuenta especificada. Con el valor de `Condition` de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar el soporte del punto de conexión de Amazon VPC a una cuenta específica IDs de su organización, consulte. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   El ID de cuenta de `aws:PrincipalAccount` debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto final de la VPC con otra AWS cuenta: IDs<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Para especificar varias cuentas para acceder al punto de conexión de VPC, sustituya `"aws:PrincipalAccount: "111122223333"` por el siguiente bloque:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Asegúrese de reemplazar la AWS cuenta por la cuenta IDs IDs de las cuentas que necesitan acceder al punto final de la VPC.
   + Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya `"aws:PrincipalAccount: "111122223333"` por la siguiente línea:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     Asegúrese de reemplazar la organización *o-abcdef0123* por su ID de organización.
   + Para restringir el acceso a un recurso mediante un ID de organización, agregue el `ResourceOrgID` a la política. Para obtener más información, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) en la *Guía del usuario de IAM*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. En **Configuración adicional**, seleccione **Habilitar nombre de DNS**.

1. En **Subredes**, elija las subredes en las que reside la instancia.

1. En **Grupos de seguridad**, elija un grupo de seguridad que tenga habilitado el puerto de entrada 443 desde la VPC (o la instancia de Amazon EC2). Si aún no dispone de un grupo de seguridad que tenga habilitado un puerto de entrada 443, consulte [Crear un grupo de seguridad para la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) en la *Guía del usuario de Amazon VPC*.

   Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP `(0.0.0.0/0)`. Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque CIDR de la VPC. Para obtener más información, consulte [Bloques de CIDR de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

Una vez que haya seguido los pasos, consulte [Validar la configuración del punto de conexión de VPC](validate-vpc-endpoint-config-runtime-monitoring.md) para asegurarse de que el punto de conexión de VPC se configuró correctamente.

# Instalación manual del agente de seguridad
<a name="installing-gdu-security-agent-ec2-manually"></a>

GuardDuty proporciona los dos métodos siguientes para instalar el agente GuardDuty de seguridad en las instancias de Amazon EC2. Antes de continuar, asegúrese de seguir los pasos que se indican en [Requisito previo: crear manualmente el punto de conexión de Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md).

Elija el método de acceso que prefiera para instalar el agente de seguridad en los recursos de Amazon EC2.
+ [Método 1: usar AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring)— Este método requiere que la instancia de Amazon EC2 esté AWS Systems Manager gestionada.
+ [Método 2: utilizar administradores de paquetes de Linux](#install-gdu-by-rpm-scripts-runtime-monitoring)— Puede utilizar este método independientemente de que sus instancias de Amazon EC2 estén AWS Systems Manager gestionadas o no. Según las [distribuciones de sistema operativo](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2), puede elegir un método adecuado para instalar scripts RPM o Debian. Si usa la plataforma *Fedora*, debe usar este método para instalar el agente.

## Método 1: usar AWS Systems Manager
<a name="install-gdu-by-using-sys-runtime-monitoring"></a>

Para usar este método, asegúrese de que las instancias de Amazon EC2 estén AWS Systems Manager administradas y, a continuación, instale el agente.

### AWS Systems Manager instancia Amazon EC2 gestionada
<a name="manage-ssm-ec2-instance-runtime-monitoring"></a>

Siga los pasos que se indican a continuación para que AWS Systems Manager administre las instancias de Amazon EC2.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)le ayuda a administrar sus AWS aplicaciones y recursos end-to-end y a permitir operaciones seguras a escala. 

  *Para gestionar sus instancias de Amazon EC2 AWS Systems Manager, consulte [Configuración de Systems Manager para instancias de Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) en AWS Systems Manager la Guía del usuario.*
+ En la siguiente tabla se muestran los nuevos documentos GuardDuty gestionados AWS Systems Manager :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

  Para obtener más información AWS Systems Manager, consulte los documentos de [Amazon EC2 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) en *AWS Systems Manager la Guía del usuario*.
**Para servidores de Debian**  
Las imágenes de máquina de Amazon (AMIs) para el servidor Debian proporcionadas por AWS requieren que instale el AWS Systems Manager agente (agente SSM). Deberá seguir un paso adicional para instalar el agente de SSM y hacer que SSM administre las instancias de servidor de Debian de Amazon EC2. Para obtener información sobre los pasos que debe seguir, consulte [Instalación manual del agente de SSM en instancias de servidor Debian](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html) en la *Guía del usuario de AWS Systems Manager *.

**Para instalar el GuardDuty agente para la instancia de Amazon EC2 mediante AWS Systems Manager**

1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. En el panel de navegación, elija **Documentos**

1. En **Propiedad de Amazon**, elija `AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`.

1. Elija **Run Command (Ejecutar comando)**.

1. Ingrese los siguientes parámetros del Comando de ejecución
   + Acción: elija **Instalar**.
   + Tipo de instalación: elija **Instalar o desinstalar.**
   + Nombre: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
   + Versión: si permanece vacío, obtendrá la última versión del agente de GuardDuty seguridad. Para obtener más información acerca de las versiones de lanzamiento, [GuardDuty versiones de agentes de seguridad para instancias de Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).

1. Seleccione la instancia de Amazon EC2 de destino. Puede seleccionar una o más instancias de Amazon EC2. Para obtener más información, consulte [Ejecución de comandos de AWS Systems Manager desde la consola](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html) en la *Guía de usuario de AWS Systems Manager * 

1. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información, consulte [Validación del estado de instalación GuardDuty del agente de seguridad](#validate-ec2-gdu-agent-installation-healthy).

## Método 2: utilizar administradores de paquetes de Linux
<a name="install-gdu-by-rpm-scripts-runtime-monitoring"></a>

Con este método, puede instalar el agente GuardDuty de seguridad ejecutando scripts RPM o Debian. En función de los sistemas operativos, puede elegir el método que prefiera:
+ Utilice scripts RPM para instalar el agente de seguridad en distribuciones de sistemas operativos AL2, AL2023 RedHat, CentOS o Fedora.
+ Utilice los scripts de Debian para instalar el agente de seguridad en las distribuciones de sistema operativo Ubuntu o Debian. Para obtener información sobre las distribuciones de Ubuntu y Debian compatibles, consulte [Validar los requisitos de arquitectura](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2).

------
#### [ RPM installation ]
**importante**  
Recomendamos comprobar la firma RPM del agente GuardDuty de seguridad antes de instalarlo en su máquina. 

1. Compruebe la firma RPM del agente de GuardDuty seguridad

   1. 

**Prepare la plantilla**

      Prepare los comandos con la clave pública adecuada, la firma del RPM x86\$164, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3. Sustituya el valor del Región de AWS identificador de AWS cuenta y la versión del GuardDuty agente para acceder a los scripts del RPM.
      + **Clave pública** 

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
        ```
      + **GuardDuty firma RPM del agente de seguridad**:  
Firma de x86\$164 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
        ```  
Firma de arm64 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
        ```
      + **Enlaces de acceso a los scripts RPM en el bucket de Amazon S3**:  
Enlace de acceso para x86\$164 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
        ```  
Enlace de acceso para arm64 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
        ```    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

   1. 

**Descargar la plantilla**

      En el siguiente comando para descargar la clave pública apropiada, la firma del RPM x86\$164, la firma del RPM arm64 y el enlace de acceso correspondiente a los scripts RPM alojados en buckets de Amazon S3, asegúrese de sustituir el ID de cuenta por el ID de Cuenta de AWS apropiado y la región por la región actual. 

      ```
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
      ```

   1. 

**Importar la clave pública**

      Utilice el siguiente comando para importar la clave pública a la base de datos:

      ```
      gpg --import publickey.pem
      ```

      gpg muestra que la importación se realizó correctamente

      ```
      gpg: key 093FF49D: public key "AwsGuardDuty" imported
      gpg: Total number processed: 1
      gpg:               imported: 1  (RSA: 1)
      ```

   1. 

**Verificación de la firma**

      Utilice el siguiente comando para verificar la firma

      ```
      gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
      ```

      Si aprueba la verificación, verá un mensaje similar al resultado que se muestra a continuación. Ahora puede proceder a instalar el agente de GuardDuty seguridad mediante RPM.

      Ejemplo de código de salida:

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: Good signature from "AwsGuardDuty"
      gpg: WARNING: This key is not certified with a trusted signature!
      gpg:          There is no indication that the signature belongs to the owner.
      Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
      ```

      Si la verificación falla, significa que la firma en RPM ha sido potencialmente manipulada. Debe eliminar la clave pública de la base de datos e intentar de nuevo el proceso de verificación.

      Ejemplo: 

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: BAD signature from "AwsGuardDuty"
      ```

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      ```
      gpg --delete-keys AwsGuardDuty
      ```

      Ahora, intente de nuevo el proceso de verificación.

1. [Conéctese con SSH desde Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).

1. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

   ```
   sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
   ```

1. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte [Validación del estado de instalación GuardDuty del agente de seguridad](#validate-ec2-gdu-agent-installation-healthy).

------
#### [ Debian installation ]
**importante**  
Recomendamos comprobar la firma Debian del agente de GuardDuty seguridad antes de instalarlo en su máquina. 

1. Compruebe la firma de Debian del agente GuardDuty de seguridad

   1. 

**Prepare plantillas para la clave pública adecuada, la firma del paquete de Debian amd64, la firma del paquete de Debian arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en buckets de Amazon S3.**

      En las plantillas siguientes, sustituya el valor del identificador de AWS cuenta y la Región de AWS versión del GuardDuty agente para acceder a los scripts de los paquetes de Debian. 
      + **Clave pública** 

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
        ```
      + GuardDuty firma **Debian del agente de seguridad**:  
Firma de amd64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
        ```  
Firma de arm64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
        ```
      + **Enlaces de acceso a los scripts Debian en el bucket de Amazon S3**:  
Enlace de acceso para amd64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
        ```  
Enlace de acceso para arm64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
        ```    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

   1. 

**Descargue la clave pública adecuada, la firma de amd64, la firma de arm64 y el enlace de acceso correspondiente a los scripts de Debian alojados en los buckets de Amazon S3**

      En los siguientes comandos, sustituya el identificador de cuenta por el Cuenta de AWS identificador correspondiente y la región por su región actual. 

      ```
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
      ```

   1. Importar la clave pública a la base de datos

      ```
      gpg --import publickey.pem
      ```

      gpg muestra que la importación se realizó correctamente

      ```
      gpg: key 093FF49D: public key "AwsGuardDuty" imported
      gpg: Total number processed: 1
      gpg:               imported: 1  (RSA: 1)
      ```

   1. Verificación de la firma

      ```
      gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
      ```

      Tras una verificación correcta, verá un mensaje similar al siguiente resultado:

      Ejemplo de código de salida:

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: Good signature from "AwsGuardDuty"
      gpg: WARNING: This key is not certified with a trusted signature!
      gpg:          There is no indication that the signature belongs to the owner.
      Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
      ```

      Ahora puede proceder a instalar el agente GuardDuty de seguridad mediante Debian.

      Sin embargo, si se produce un error en la verificación, significa que la firma en el paquete Debian ha sido potencialmente manipulada. 

      Ejemplo: 

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: BAD signature from "AwsGuardDuty"
      ```

      Utilice el siguiente comando para eliminar la clave pública de la base de datos:

      ```
      gpg --delete-keys AwsGuardDuty
      ```

      Ahora, intente de nuevo el proceso de verificación.

1. [Conéctese con SSH desde Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).

1. Instale el agente GuardDuty de seguridad mediante el siguiente comando:

   ```
   sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
   ```

1. Compruebe si la instalación del GuardDuty agente está en buen estado. Para obtener más información sobre los pasos, consulte [Validación del estado de instalación GuardDuty del agente de seguridad](#validate-ec2-gdu-agent-installation-healthy).

------

## Error de falta de memoria
<a name="out-of-memory-error-ec2-instal-agent-manual"></a>

Si se produce un `out-of-memory` error al instalar o actualizar manualmente el agente de GuardDuty seguridad para Amazon EC2, consulte. [Solución de problemas de memoria insuficiente](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)

## Validación del estado de instalación GuardDuty del agente de seguridad
<a name="validate-ec2-gdu-agent-installation-healthy"></a>

Una vez realizados los pasos para instalar el agente GuardDuty de seguridad, utilice los siguientes pasos para validar el estado del agente:

**Para validar si el agente GuardDuty de seguridad está en buen estado**

1. [Conéctese con SSH desde Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).

1. Ejecute el siguiente comando para comprobar el estado del agente de GuardDuty seguridad:

   ```
   sudo systemctl status amazon-guardduty-agent
   ```

Si desea ver los registros de instalación del agente de seguridad, están disponibles en `/var/log/amzn-guardduty-agent/`.

Para ver los registros, realice `sudo journalctl -u amazon-guardduty-agent`.

# Actualización manual del agente GuardDuty de seguridad para la instancia de Amazon EC2
<a name="gdu-update-security-agent-ec2"></a>

GuardDuty publica actualizaciones de las versiones del agente de seguridad. Si administra el agente de seguridad manualmente, es responsable de actualizar el agente para las instancias de Amazon EC2. Para obtener información sobre las nuevas versiones de los agentes, consulte [GuardDuty versiones de lanzamiento del agente de seguridad](runtime-monitoring-agent-release-history.md) para las instancias de Amazon EC2. Para recibir notificaciones sobre el lanzamiento de una nueva versión del agente, consulte [Suscripción a los anuncios de Amazon GuardDuty SNS](guardduty_sns.md).

**Para actualizar manualmente el agente de seguridad para una instancia de Amazon EC2**  
El proceso para actualizar el agente de seguridad es el mismo que para instalarlo. Según el método que haya utilizado para instalar el agente, puede seguir los pasos que se indican en [Instalación manual del agente de seguridad](installing-gdu-security-agent-ec2-manually.md) para las instancias de Amazon EC2.  
Si utiliza el [método 1: Mediante el uso AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring), puede actualizar el agente de seguridad mediante el **comando Ejecutar**. Utilice la versión del agente a la que desea actualizar.  
Si utiliza el [Método 2: mediante administradores de paquetes de Linux](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:), puede usar los scripts tal como se indica en la sección [Instalación manual del agente de seguridad](installing-gdu-security-agent-ec2-manually.md). Los scripts ya incluyen la versión más reciente del agente. Para obtener información sobre las versiones de agentes lanzadas recientemente, consulte [GuardDuty versiones de agentes de seguridad para instancias de Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).

Después de actualizar el agente de seguridad, puede comprobar el estado de la instalación al consultar los registros. Para obtener más información, consulte [Validación del estado de instalación GuardDuty del agente de seguridad](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy).

# Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)
<a name="managing-gdu-agent-ecs-automated"></a>

Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.

Antes de continuar con los pasos de esta sección, asegúrese de cumplir con [Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).

En función de[Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), elija el método que prefiera para habilitar el agente GuardDuty automatizado en sus recursos.

**Topics**

## Configuración del GuardDuty agente para un entorno de múltiples cuentas
<a name="ecs-fargate-manage-agent-multiple-accounts"></a>

En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de agentes para las cuentas de los miembros y administrar la configuración automatizada de los agentes para los clústeres de Amazon ECS que pertenecen a las cuentas de los miembros de su organización. La cuenta de un GuardDuty miembro no puede modificar esta configuración. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para obtener más información sobre los entornos de varias cuentas, consulte [Administrar varias cuentas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html) en. GuardDuty

### Habilitar la configuración automática de agentes para la cuenta de administrador delegado GuardDuty
<a name="ecs-enable-automated-agent-config-delegatedadmin"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

Si ha elegido **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución, tendrá las siguientes opciones:
+ Seleccione **Activar para todas las cuentas** en la sección de configuración automatizada de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.
+ Elija **Configurar cuentas manualmente**.

Si ha elegido **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente:

1. Elija **Configurar cuentas manualmente** en la sección Configuración automatizada del agente.

1. Seleccione **Activar** en la sección de la **cuenta de GuardDuty administrador delegado (esta cuenta)**.

Seleccione **Save**.

Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.

1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. 
**nota**  
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.

   En la pestaña **Configuración**, elija **Habilitar** en la **Configuración automatizada del agente**.

   En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.

1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Al utilizar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar el GuardDuty agente mediante la configuración automática de agentes de forma explícita.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------

### Habilitar automáticamente para todas las cuentas de miembro
<a name="ecs-auto-enable-all-member-accounts"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

Los siguientes pasos presuponen que ha elegido **Habilitar** para todas las cuentas en la sección Supervisión en tiempo de ejecución.

1. Seleccione **Activar para todas las cuentas** en la sección de configuración automática de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.

1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. 
**nota**  
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.

   En la pestaña **Configuración**, elija **Editar**.

1. Elija **Habilitar para todas las cuentas** en la sección **Configuración automatizada del agente**.

   En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]

Independientemente de cómo decida habilitar la Supervisión en tiempo de ejecución, los pasos que se indican a continuación sirven para supervisar tareas específicas de Amazon ECS Fargate para todas las cuentas de miembro de la organización.

1. No habilite ninguna configuración en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que seleccionó en el paso anterior.

1. Seleccione **Save**.

1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Al usar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar la **administración automática de GuardDuty agentes** de forma explícita.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------

### Habilitar la configuración automática del agente para las cuentas de miembro activas existentes
<a name="ecs-enable-existing-active-member-accounts"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

1. En la página Supervisión del tiempo de ejecución, en la pestaña **Configuración**, puede ver el estado actual de la configuración automatizada del agente.

1. En el panel de configuración automática de agentes, en la sección **Cuentas de miembros activos**, seleccione **Acciones**.

1. En **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas existentes**. 

1. Elija **Confirmar**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.

1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. 
**nota**  
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.

   En la pestaña **Configuración**, en la sección Configuración automatizada del agente, en **Cuentas de miembro activas**, elija **Acciones**.

1. En **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas**.

   En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

1. Elija **Confirmar**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.

1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------

### Habilitar automáticamente la configuración automática de agentes para los nuevos miembros
<a name="ecs-auto-enable-new-members-only"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

1. En la página Supervisión en tiempo de ejecución, elija **Editar** para actualizar la configuración existente.

1. En la sección Configuración automatizada del agente, seleccione **Habilitar automáticamente para nuevas cuentas de miembro**.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.

1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. 
**nota**  
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.

   En la pestaña **Configuración**, seleccione **Habilitar automáticamente para nuevas cuentas de miembro** en la sección **Configuración automatizada del agente**.

   En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.

1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------

### Habilitar la Configuración automatizada del agente para cuentas de miembro activas de forma selectiva
<a name="ecs-enable-gdu-agent-individual-active-members"></a>

------
#### [ Manage for all Amazon ECS (account level) ]

1. En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.

1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate)**.

1. Elija **Confirmar**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.

1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. 
**nota**  
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de habilitar la administración automática de GuardDuty agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.

   En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.

   En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate)**.

1. Seleccione **Save**.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Asegúrese de no habilitar la **Configuración automatizada del agente** (o **Configuración automatizada del agente de Supervisión en tiempo de ejecución [ECS-Fargate]**) para las cuentas seleccionadas que tienen los clústeres de Amazon ECS que desea supervisar. 

1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.

1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

------

## Configurar el GuardDuty agente para una cuenta independiente
<a name="ecs-fargate-manage-agent-standalone-account"></a>

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**:

   1. 

**Para administrar la Configuración automatizada del agente para todos los clústeres de Amazon ECS (nivel de cuenta)**

      Elija **Habilitar** en la sección **Configuración automatizada del agente** para **AWS Fargate (sólo ECS)**. Cuando se lance una nueva tarea de Fargate Amazon ECS, GuardDuty gestionará el despliegue del agente de seguridad.

      1. Seleccione **Save**.

   1. 

**Para administrar la Configuración automatizada del agente mediante la exclusión de algunos de los clústeres de Amazon ECS (nivel de clúster)**

      1. Agregue una etiqueta al clúster de Amazon ECS para el que desea excluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`false`.

      1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "Null": {
                             "ecs:ResourceTag/GuardDutyManaged": false
                         }
                     }
                 },
                 {
                     "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "ForAnyValue:StringEquals": {
                             "aws:TagKeys": [
                                 "GuardDutyManaged"
                             ]   
                         }   
                     }
                 },
                 {       
                     "Sid": "DenyModifyTagsIfPrinTagNotExists",
                     "Effect": "Deny", 
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],      
                     "Resource": [
                         "*"     
                     ],      
                     "Condition": {
                         "StringNotEquals": {
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },      
                         "Null": {
                             "aws:PrincipalTag/GuardDutyManaged": true
                         }       
                     }       
                 }
             ]
         }
         ```

------

      1. En la pestaña **Configuración**, elija **Habilitar** en la sección **Configuración automatizada del agente**.
**nota**  
Añada siempre la etiqueta de exclusión a su clúster de Amazon ECS antes de habilitar la administración automática del GuardDuty agente en su cuenta; de lo contrario, el agente de seguridad se desplegará en todas las tareas que se lancen dentro del clúster de Amazon ECS correspondiente.

         En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.

      1. Seleccione **Save**.

   1. 

**Para administrar la Configuración automatizada del agente mediante la inclusión de algunos de los clústeres de Amazon ECS (nivel de clúster).**

      1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.

      1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "Null": {
                             "ecs:ResourceTag/GuardDutyManaged": false
                         }
                     }
                 },
                 {
                     "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "ForAnyValue:StringEquals": {
                             "aws:TagKeys": [
                                 "GuardDutyManaged"
                             ]   
                         }   
                     }
                 },
                 {       
                     "Sid": "DenyModifyTagsIfPrinTagNotExists",
                     "Effect": "Deny", 
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],      
                     "Resource": [
                         "*"     
                     ],      
                     "Condition": {
                         "StringNotEquals": {
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },      
                         "Null": {
                             "aws:PrincipalTag/GuardDutyManaged": true
                         }       
                     }       
                 }
             ]
         }
         ```

------

1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.

   Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
   + [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.

# Administración automática del agente de seguridad para los recursos de Amazon EKS
<a name="managing-gdu-agent-eks-automatically"></a>

La monitorización del tiempo de ejecución permite activar el agente de seguridad mediante una configuración GuardDuty automática y manual. En esta sección se indican los pasos necesarios para habilitar la configuración automatizada del agente para los clústeres de Amazon EKS.

Antes de continuar, asegúrese de haber cumplido con los [Requisitos previos para la compatibilidad con clústeres de Amazon EKS](prereq-runtime-monitoring-eks-support.md).

Según el enfoque que prefiera para [Administre el agente de seguridad mediante GuardDuty](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto), elija los pasos a seguir en las próximas secciones en consecuencia.

## Configuración automatizada del agente para entornos de varias cuentas
<a name="eks-runtime-monitoring-agent-manage-multiple-account"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de agentes para las cuentas de los miembros y administrar el agente automatizado para los clústeres de EKS que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

### Configuración de la configuración automática del agente para la cuenta de administrador delegado GuardDuty
<a name="eks-runtime-configure-agent-delegated-admin"></a>


| **Enfoque preferido para administrar el agente GuardDuty de seguridad** | **Pasos** | 
| --- | --- | 
|  Administre el agente de seguridad mediante GuardDuty (Supervisión de todos los clústeres de EKS)  | Si eligió **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución, dispondrá de las siguientes opciones: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Si ha elegido **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Seleccione **Save**.  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión) | De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión  | Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultarán útiles a la hora de supervisar determinados clústeres de EKS en la cuenta: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Administre el agente GuardDuty de seguridad manualmente | Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) | 

### Habilitar automáticamente el agente automatizado para todas las cuentas de miembro
<a name="eks-runtime-monitoring-agent-auto-enable-existing-member-accounts"></a>

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.


| **Método preferido para administrar el agente GuardDuty de seguridad** | **Pasos** | 
| --- | --- | 
|  Administre el agente de seguridad mediante GuardDuty (Supervisión de todos los clústeres de EKS)  |  Este tema es para habilitar la Supervisión en tiempo de ejecución para todas las cuentas de miembro y, por lo tanto, los siguientes pasos suponen que la opción **Habilitar para todas las cuentas** se ha elegido en la sección Supervisión en tiempo de ejecución. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión) | De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión  | Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS para todas las cuentas de miembros en la organización: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Administre el agente GuardDuty de seguridad manualmente | Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

### Habilitar el agente automatizado para todas las cuentas de miembro activas existentes
<a name="eks-runtime-monitoring-agent-all-active-members"></a>

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

**Para administrar el agente GuardDuty de seguridad para las cuentas de miembros activos existentes en su organización**
+  GuardDuty Para recibir los eventos en tiempo de ejecución de los clústeres de EKS que pertenecen a las cuentas de los miembros activos existentes en la organización, debe elegir el enfoque que prefiera para administrar el agente de GuardDuty seguridad de estos clústeres de EKS. Para obtener más información acerca de cada uno de estos métodos, consulte [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)

### Habilitar automáticamente la configuración automatizada del agente para los nuevos miembros
<a name="eks-runtime-monitoring-agent-auto-enable-new-members"></a>


| **Enfoque preferido para administrar el agente GuardDuty de seguridad** | **Pasos** | 
| --- | --- | 
|  Administre el agente de seguridad mediante GuardDuty (Supervisión de todos los clústeres de EKS)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión) | De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión  | Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS para las nuevas cuentas de miembro en la organización. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Administre el agente GuardDuty de seguridad manualmente  | Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

### Configurar el agente automatizado para cuentas de miembro activas de forma selectiva
<a name="eks-runtime-monitoring-agent-selectively-member-accounts"></a>


| **Enfoque preferido para administrar el agente GuardDuty de seguridad** | **Pasos** | 
| --- | --- | 
|  Administre el agente de seguridad mediante GuardDuty (Supervisión de todos los clústeres de EKS)  | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) | 
|  Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión)  | De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión  |  Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS que pertenecen a las cuentas seleccionadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Administre el agente GuardDuty de seguridad manualmente  | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

## Configurar el agente automatizado para una cuenta independiente
<a name="eks-runtime-monitoring-agent-manage-standalone-account"></a>

Una cuenta independiente es la propietaria de la decisión de habilitar o deshabilitar un plan de protección Cuenta de AWS en un plan específico Región de AWS. 

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas](enable-runtime-monitoring-multiple-acc-env.md).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según su preferencia de supervisar todos o algunos recursos de Amazon EKS, elija el método que prefiera y siga los pasos que se indican en la tabla siguiente.

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**, elija **Habilitar** para habilitar la configuración automatizada del agente para la cuenta.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)

# Administrar manualmente el agente de seguridad para el clúster de Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

En esta sección se describe cómo puede gestionar su agente complementario (GuardDuty agente) de Amazon EKS después de activar Runtime Monitoring (o EKS Runtime Monitoring). Para utilizar la Supervisión en tiempo de ejecución, debe habilitarla y configurar el complemento de Amazon EKS, `aws-guardduty-agent`. Debe realizar los dos pasos GuardDuty para detectar posibles amenazas y generarlas[GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).

Para administrar el agente manualmente, es necesario crear un punto de conexión de VPC como requisito previo. Esto ayuda a GuardDuty recibir los eventos en tiempo de ejecución. Después de esto, puede instalar el agente de seguridad para que GuardDuty comience a recibir los eventos de tiempo de ejecución de los recursos de Amazon EKS. Cuando GuardDuty publique una nueva versión del agente para este recurso, podrá actualizar la versión del agente en su cuenta.

**Topics**
+ [Requisito previo: crear un punto de conexión de Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Instalación manual GuardDuty del agente de seguridad en los recursos de Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS](eksrunmon-update-security-agent.md)

# Requisito previo: crear un punto de conexión de Amazon VPC
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Antes de poder instalar el agente GuardDuty de seguridad, debe crear un punto final de Amazon Virtual Private Cloud (Amazon VPC). Esto le ayudará a GuardDuty recibir los eventos de tiempo de ejecución de sus recursos de Amazon EKS.

**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.

Elija el método de acceso que prefiera para crear un punto de conexión de Amazon VPC.

------
#### [ Console ]

**Para crear un punto de conexión de VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, en **Nube virtual privada**, seleccione **Puntos de conexión**.

1. Seleccione **Crear punto de conexión**.

1. En la página **Crear punto de conexión**, en **Categoría de servicio**, elija **Otros servicios de punto de conexión**. 

1. En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

   Asegúrese de *us-east-1* reemplazarla por la región correcta. Debe ser la misma región que el clúster de EKS que pertenece a su Cuenta de AWS ID. 

1. Elija **Verificar el servicio**. 

1. Una vez que el nombre del servicio se haya verificado correctamente, elija la **VPC** en la que reside el clúster. Agregue la siguiente política para restringir el uso de los puntos de conexión de VPC únicamente a la cuenta especificada. Con el valor de `Condition` de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar soporte de punto final de VPC a una cuenta específica IDs de su organización, consulte. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   El ID de cuenta de `aws:PrincipalAccount` debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto final de la VPC con otros: Cuenta de AWS IDs

**Condición de la organización para restringir el acceso a su punto de conexión**
   + Si quiere especificar varias cuentas para acceder al punto de conexión de VPC, sustituya `"aws:PrincipalAccount": "111122223333"` por lo siguiente:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya `"aws:PrincipalAccount": "111122223333"` por lo siguiente:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Para restringir el acceso a un recurso a un ID de organización, agregue su `ResourceOrgID` a la política.

     Para obtener más información, consulte [ResourceOrgID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. En **Configuración adicional**, seleccione **Habilitar nombre de DNS**.

1. En **Subredes**, elija las subredes en las que reside el clúster.

1. En **Grupos de seguridad**, elija un grupo de seguridad que tenga el puerto de entrada 443 habilitado desde su VPC (o su clúster de EKS). Si aún no tiene ningún grupo de seguridad que tenga habilitado el puerto de entrada 443, [cree un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).

   Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP `(0.0.0.0/0)`. Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque CIDR de la VPC. Para obtener más información, consulte [Bloques de CIDR de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

------
#### [ API/CLI ]

**Para crear un punto de conexión de VPC**
+ Invoca. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Utilice los siguientes valores para los parámetros:
  + En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

    Asegúrese de reemplazarla por *us-east-1* la región correcta. Debe ser la misma región que el clúster de EKS que pertenece a su Cuenta de AWS ID. 
  + Para ello [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), habilite la opción de DNS privado configurándola en`true`. 
+ Para AWS Command Line Interface, consulte [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Una vez que haya seguido los pasos, consulte [Validar la configuración del punto de conexión de VPC](validate-vpc-endpoint-config-runtime-monitoring.md) para asegurarse de que el punto de conexión de VPC se configuró correctamente.

# Instalación manual GuardDuty del agente de seguridad en los recursos de Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

En esta sección se describe cómo puede implementar el agente GuardDuty de seguridad por primera vez en clústeres de EKS específicos. Antes de continuar con esta sección, asegúrese de que ya ha configurado los requisitos previos y habilitado la Supervisión en tiempo de ejecución para las cuentas. El agente GuardDuty de seguridad (complemento EKS) no funcionará si no habilita Runtime Monitoring. 

Elija el método de acceso que prefiera para implementar el agente de GuardDuty seguridad por primera vez.

------
#### [ Console ]

1. Abra la consola Amazon EKS en [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Elija un **nombre para el clúster**.

1. Elija la pestaña **Complementos**.

1. Escoja **Obtener más complementos**.

1. En la página **Seleccionar complementos**, elija **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty recomienda elegir la **versión** más reciente y predeterminada del agente.

1. En la página **Definir configuración del complemento seleccionado**, utilice la configuración predeterminada. Si el **estado** de su complemento de EKS es **Requiere activación**, seleccione **Activar GuardDuty**. Esta acción abrirá la GuardDuty consola para configurar Runtime Monitoring para sus cuentas.

1. Una vez que haya configurado la Supervisión en tiempo de ejecución para las cuentas, vuelva a la consola de Amazon EKS. El **estado** de su complemento de EKS debería haber cambiado a **Listo para instalar**. 

1. 

**(Opcional) Proporcionar esquema de configuración del complemento de EKS**

   Para la **versión** complementaria, si elige la **versión 1.5.0** o superior, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener información sobre los rangos de parámetros, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Amplíe **Ajustes de configuración opcionales** para ver los parámetros que se pueden configurar y su valor y formato previstos.

   1. Establezca los parámetros. Los valores deben estar en el rango proporcionado en [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Elija **Guardar cambios** para crear el complemento según la configuración avanzada.

   1. En **Método de resolución de conflictos**, la opción que elija se utilizará para resolver conflictos en caso de que actualice el valor de un parámetro a un valor que no sea el predeterminado. Para obtener más información sobre las opciones enumeradas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) en la *Referencia de la API de Amazon EKS*.

1. Elija **Siguiente**.

1. En la página **Revisar y crear**, compruebe todos los detalles y elija **Crear**.

1. Vuelva a los detalles del clúster y elija la pestaña **Recursos**. 

1. Puede ver los nuevos pods con el prefijo. **aws-guardduty-agent** 

------
#### [ API/CLI ]

Puede configurar el agente del complemento de Amazon EKS (`aws-guardduty-agent`) mediante una de las siguientes opciones:
+ Dirígete [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)a tu cuenta.
+ 
**nota**  
En el caso del complemento`version`, si elige la **versión 1.5.0 o superior**, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener más información, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

  Utilice los siguientes valores para los parámetros de la solicitud:
  + En `addonName`, introduzca `aws-guardduty-agent`.

    Puede utilizar el siguiente AWS CLI ejemplo cuando utilice valores configurables compatibles con las versiones complementarias `v1.5.0` o superiores. Asegúrese de sustituir los valores del marcador de posición resaltados en rojo y el `Example.json` asociado por los valores configurados.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Para obtener más información sobre los valores de `addonVersion` admitidos, consulte [Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Como alternativa, puede utilizar AWS CLI. Para obtener más información, consulte [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nombres de DNS privados para el punto de conexión de VPC**  
De forma predeterminada, el agente de seguridad resuelve el nombre de DNS privado del punto de conexión de VPC y se conecta a este. En el caso de un punto de conexión que no sea FIPS, su DNS privado aparecerá en el siguiente formato:  
Punto de conexión no FIPS: `guardduty-data.us-east-1.amazonaws.com`  
El Región de AWS,*us-east-1*, cambiará en función de su región.

# Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Si administra el agente GuardDuty de seguridad manualmente, es responsable de actualizarlo para su cuenta. Para recibir notificaciones sobre nuevas versiones del agente, puede suscribirse a una fuente RSS en [GuardDuty versiones de lanzamiento del agente de seguridad](runtime-monitoring-agent-release-history.md).

Puede actualizar el agente de seguridad a la versión más reciente para aprovechar la compatibilidad y las mejoras introducidas. Si la compatibilidad estándar de la versión actual del agente está a punto de finalizar, para continuar con el uso de Runtime Monitoring (o Runtime Monitoring de EKS), deberá actualizar a la versión siguiente disponible o la más reciente del agente. 

**Requisito previo**  
Antes de actualizar la versión del agente de seguridad, asegúrese de que la versión del agente que tiene previsto utilizar ahora sea compatible con la versión de Kubernetes. Para obtener más información, consulte [Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Abra la consola Amazon EKS en [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Elija un **nombre para el clúster**.

1. En la **información del clúster**, seleccione la pestaña **Complementos**.

1. En la pestaña **Complementos**, seleccione **GuardDutyEKS** Runtime Monitoring.

1. Elija **Editar** para actualizar los detalles del agente.

1. En la página **Configurar la monitorización del tiempo de ejecución de GuardDuty EKS**, actualice los detalles.

1. 

**(Opcional) Actualizar los valores de configuración opcionales**

   Si la **versión** del complemento de EKS es la *1.5.0* o una posterior, también puede actualizar el esquema de configuración del complemento.

   1. Amplíe los **Ajustes de configuración opcionales** para ver el esquema de configuración.

   1. Actualice los valores del parámetro en función del rango proporcionado en [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Elija **Guardar cambios** para iniciar la actualización.

   1. En **Método de resolución de conflictos**, la opción que elija se utilizará para resolver conflictos en caso de que actualice el valor de un parámetro a un valor que no sea el predeterminado. Para obtener más información sobre las opciones enumeradas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) en la *Referencia de la API de Amazon EKS*.

------
#### [ API/CLI ]

Para actualizar el agente GuardDuty de seguridad de sus clústeres de Amazon EKS, consulte [Actualización de un complemento](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**nota**  
Para el complemento`version`, si elige la **versión 1.5.0 o superior**, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener información sobre los rangos de parámetros, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

Puede usar el siguiente AWS CLI ejemplo cuando utilice valores configurables compatibles con las versiones *1.5.0 y* posteriores del complemento. Asegúrese de sustituir los valores del marcador de posición resaltados en rojo y el `Example.json` asociado por los valores configurados.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Si la versión del complemento de Amazon EKS es 1.5.0 o posterior y ha configurado el esquema del complemento, puede comprobar si los valores aparecen correctamente para el clúster. Para obtener más información, consulte [Verificar las actualizaciones del esquema de configuración](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).

# Configurar los parámetros del agente de GuardDuty seguridad (complemento) para Amazon EKS
<a name="guardduty-configure-security-agent-eks-addon"></a>

Puede configurar parámetros específicos de su agente de GuardDuty seguridad para Amazon EKS. Este soporte está disponible para la versión 1.5.0 y superior del agente de GuardDuty seguridad. Para obtener información sobre las versiones más recientes del complemento, consulte [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

**¿Por qué debo actualizar el esquema de configuración del agente de seguridad?**  
El esquema de configuración del agente GuardDuty de seguridad es el mismo en todos los contenedores de los clústeres de Amazon EKS. Cuando los valores predeterminados no se ajusten a las cargas de trabajo asociadas ni al tamaño de la instancia, considere la posibilidad de configurar los ajustes de la CPU, memoria, `PriorityClass` y `dnsPolicy`. Independientemente de cómo administre el GuardDuty agente para sus clústeres de Amazon EKS, puede configurar o actualizar la configuración existente de estos parámetros.

## Comportamiento de configuración automatizada del agente con parámetros configurados
<a name="preserve-config-param-eks-addon-auto-managed"></a>

Cuando GuardDuty administra el agente de seguridad (complemento EKS) en su nombre, actualiza el complemento según sea necesario. GuardDuty establecerá el valor de los parámetros configurables en un valor predeterminado. Sin embargo, es posible actualizar los parámetros al valor deseado. Si esto provoca un conflicto, la opción predeterminada para [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) es `None`.

## Parámetros y valores que se pueden configurar
<a name="gdu-eks-addon-configure-parameters-values"></a>

Para obtener información sobre los pasos a seguir para configurar los parámetros del complemento, consulte:
+ [Instalación manual GuardDuty del agente de seguridad en los recursos de Amazon EKS](eksrunmon-deploy-security-agent.md) o
+ [Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS](eksrunmon-update-security-agent.md)

En las siguientes tablas se indican los rangos y valores que puede utilizar para implementar el complemento de Amazon EKS manualmente o actualizar la configuración existente del complemento.

**Configuración de la CPU**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**Configuración de memoria**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**Configuración de `PriorityClass`**  
Cuando GuardDuty crea un complemento de Amazon EKS para usted, el asignado `PriorityClass` es`aws-guardduty-agent.priorityclass`. Esto significa que no se tomará ninguna medida en función de la prioridad del pod del agente. Para configurar este parámetro del complemento, elija una de las siguientes opciones de `PriorityClass`:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes proporciona estas dos opciones de `PriorityClass`: `system-cluster-critical` y `system-node-critical`. Para obtener más información, consulte la documentación de [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)*Kubernetes*.

**Configuración de `dnsPolicy`**  
Elija una de las siguientes opciones de política de DNS compatibles con Kubernetes. Cuando no se especifica ninguna configuración, `ClusterFirst` se utiliza como valor predeterminado.  
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
Para obtener información sobre estas políticas, consulte [Política de DNS del pod](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy) en la *documentación de Kubernetes*.

## Verificar las actualizaciones del esquema de configuración
<a name="gdu-verify-eks-add-on-configuration-param"></a>

Una vez configurados los parámetros, siga los siguientes pasos para comprobar que el esquema de configuración se ha actualizado:

1. Abra la consola Amazon EKS en [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. En el panel de navegación, seleccione **Clusters (Clústeres)**.

1. En la página **Clústeres**, seleccione el **Nombre del clúster** cuyas actualizaciones desea verificar.

1. Elija la pestaña **Recursos**.

1. En el panel **Tipos de recursos**, en Cargas de **trabajo**, elija. **DaemonSets**

1. Seleccione **aws-guardduty-agent**.

1. En la **aws-guardduty-agent**página, selecciona **Vista sin procesar para ver** la respuesta JSON sin formato. Compruebe que los parámetros que se pueden configurar muestran el valor proporcionado.

Después de verificarlo, cambia a la GuardDuty consola. Seleccione el correspondiente Región de AWS y consulte el estado de cobertura de sus clústeres de Amazon EKS. Para obtener más información, consulte [Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS](eks-runtime-monitoring-coverage.md).

# Validar la configuración del punto de conexión de VPC
<a name="validate-vpc-endpoint-config-runtime-monitoring"></a>

Tras instalar el agente de seguridad manualmente o mediante una configuración GuardDuty automática, puede utilizar este documento para validar la configuración del punto final de la VPC. También puede seguir estos pasos después de solucionar cualquier [problema de cobertura en tiempo de ejecución](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html) para un tipo de recurso. Puede asegurarse de que los pasos han funcionado según lo previsto, y la cobertura podría aparecer en **Buen** estado.

Siga los siguientes pasos para validar que la configuración del punto de conexión de VPC para el tipo de recurso se ha establecido correctamente en la cuenta de propietario de VPC:

1. Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. En el panel de navegación, en **Nube privada virtual**, selecciona **Tu VPCs**.

1. En la VPCs página **Tu**, selecciona el **IPv4 CIDR** asociado a tu ID de **VPC**.

1. En el panel de navegación, en **Nube virtual privada**, seleccione **Puntos de conexión**.

1. **En la tabla de **puntos** de enlace, seleccione la fila que tenga el **nombre del servicio** similar a com.amazonaws. *us-east-1*.guardduty-data.** La región (`us-east-1`) podría ser diferente para el punto de conexión.

1. Aparecerá un panel para los detalles del punto de conexión. En la pestaña **Grupos de seguridad**, seleccione el enlace correspondiente al **ID del grupo** asociado para obtener más detalles.

1. En la tabla de **Grupos de seguridad**, seleccione la fila con el **ID del grupo de seguridad** asociado para ver los detalles.

1. **En la pestaña **Reglas de entrada**, asegúrese de que haya una política de entrada cuyo **rango de puertos** sea **443** y **Origen** sea el valor copiado del CIDR. IPv4 ** Las reglas de entrada controlan el tráfico entrante autorizado a alcanzar la instancia. La siguiente imagen muestra las reglas de entrada de un grupo de seguridad que está asociado a la VPC utilizada por GuardDuty el agente de seguridad.

   Si aún no tiene un grupo de seguridad que tenga habilitado un puerto de entrada 443, [Cree un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) en la *Guía del usuario de Amazon EC2*.

   Si se produce un problema al restringir los permisos de entrada a la VPC (o clúster), admita el puerto de entrada 443 desde cualquier dirección IP (0.0.0.0/0).

La siguiente lista incluye elementos que conviene conocer después de instalar o actualizar el agente de seguridad.

**Evaluar la cobertura en tiempo de ejecución**  
El siguiente paso después de instalar o actualizar el agente de seguridad consiste en evaluar la cobertura en tiempo de ejecución de los recursos. Si la cobertura en tiempo de ejecución está en **mal** estado, debe solucionar el problema. Para obtener más información, consulte [Problemas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md).   
Si la cobertura en tiempo de ejecución está en **buen** estado, indica que la Supervisión en tiempo de ejecución puede recopilar y recibir eventos en tiempo de ejecución. Para obtener una lista de estos eventos, consulte [Tipos de eventos de tiempo de ejecución recopilados](runtime-monitoring-collected-events.md).

**Nombre de DNS privado para puntos de conexión**  
Después de instalar el agente de GuardDuty seguridad para sus recursos, de forma predeterminada, se resolverá y se conectará al nombre de DNS privado del punto final de la VPC. En el caso de un punto de conexión que no sea FIPS, el DNS privado aparecerá en el siguiente formato:  
`guardduty-data.us-east-1.amazonaws.com`  
El Región de AWS,*us-east-1*, cambiará en función de su región.

**Un host se puede instalar con dos agentes de seguridad**  
Al trabajar con un agente de GuardDuty seguridad para una instancia de Amazon EC2, puede instalar y usar el agente en el host subyacente dentro de un clúster de Amazon EKS. Si ya había implementado un agente de seguridad en ese clúster de EKS, pueden haber dos agentes de seguridad en ejecución en el mismo host al mismo tiempo. Para obtener información sobre cómo GuardDuty funciona en este escenario, consulte[Agentes de seguridad en el mismo host](two-security-agents-installed-on-ec2-node.md).

# Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas
<a name="runtime-monitoring-assessing-coverage"></a>

Una vez que habilita Runtime Monitoring y el agente de GuardDuty seguridad se despliega en su recurso, GuardDuty proporciona estadísticas de cobertura para el tipo de recurso correspondiente y el estado de cobertura individual de los recursos que pertenecen a su cuenta. El estado de la cobertura se determina asegurándose de que ha habilitado Runtime Monitoring, de que se ha creado su punto de enlace de Amazon VPC y de que se ha implementado el agente de GuardDuty seguridad del recurso correspondiente. Un estado de cobertura en **buen** estado indica que, cuando hay un evento de tiempo de ejecución relacionado con su recurso, GuardDuty puede recibir dicho evento de tiempo de ejecución a través del punto de enlace de Amazon VPC y monitorear el comportamiento. **Si se produjo un problema al configurar Runtime Monitoring, crear un punto de enlace de Amazon VPC o implementar el agente de GuardDuty seguridad, el estado de la cobertura aparece como En mal estado.** Cuando el estado de la cobertura no sea adecuado, no GuardDuty podrá recibir ni monitorear el comportamiento en tiempo de ejecución del recurso correspondiente ni generar ningún resultado de monitorización del tiempo de ejecución.

Los siguientes temas le ayudarán a revisar las estadísticas de cobertura, configurar EventBridge las notificaciones y solucionar los problemas de cobertura de un tipo de recurso específico.

**Topics**
+ [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md)
+ [Cobertura y solución de problemas en tiempo de ejecución para clústeres de Amazon ECS](gdu-assess-coverage-ecs.md)
+ [Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS](eks-runtime-monitoring-coverage.md)

# Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2
<a name="gdu-assess-coverage-ec2"></a>

Para los recursos de Amazon EC2, la cobertura en tiempo de ejecución se evalúa a nivel de instancia. Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo, entre otros, en el entorno de AWS . Esta característica también admite las instancias de Amazon EC2 administradas por Amazon ECS y, si tiene clústeres de Amazon ECS que se ejecutan en una instancia de Amazon EC2, los problemas de cobertura a nivel de instancia aparecerán en la cobertura en tiempo de ejecución de Amazon EC2. 

**Topics**
+ [Revisión de las estadísticas de cobertura](#review-coverage-statistics-ec2-runtime-monitoring)
+ [El estado de la cobertura cambia con EventBridge notificaciones](#ec2-runtime-monitoring-coverage-status-change)
+ [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot)

## Revisión de las estadísticas de cobertura
<a name="review-coverage-statistics-ec2-runtime-monitoring"></a>

Las estadísticas de cobertura para las instancias de Amazon EC2 asociadas a cuentas propias o a cuentas de miembro corresponden al porcentaje de instancias de EC2 en buen estado respecto al total de instancias de EC2 de la Región de AWS seleccionada. La siguiente ecuación lo representa de la siguiente manera:

*( instances/All Instancias en buen estado) \$1100*

Si también ha implementado el agente de GuardDuty seguridad para sus clústeres de Amazon ECS, cualquier problema de cobertura a nivel de instancia asociado a los clústeres de Amazon ECS que se ejecuten en una instancia de Amazon EC2 aparecerá como un problema de cobertura del tiempo de ejecución de una instancia de Amazon EC2. 

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

------
#### [ Console ]
+ Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
+ En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
+ Elija la pestaña **Cobertura en tiempo de ejecución**.
+ En la pestaña **Cobertura en tiempo de ejecución de instancias de EC2**, puede ver las estadísticas de cobertura agregadas por el estado de cobertura de cada instancia de Amazon EC2 que esté disponible en la tabla de la **lista de instancias**. 
  + Puede filtrar la tabla **Lista de instancias** por las siguientes columnas:
    + **ID de cuenta**
    + **Tipo de administración del agente**
    + **Versión del agente**
    + **Estado de la cobertura**
    + **ID de instancia**
    + **ARN del clúster**
+ Si alguna de las instancias de EC2 tiene la **cobertura** en **mal estado**, la columna **Problema** incluye información adicional sobre el motivo del **mal** estado.

------
#### [ API/CLI ]
+ Ejecute la [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API con su propio ID de detector válido, la región actual y el punto de conexión del servicio. Puede filtrar y ordenar la lista de instancias a través de esta API.
  + Puede cambiar el ejemplo de `filter-criteria` con una de las siguientes opciones para `CriterionKey`:
    + `ACCOUNT_ID`
    + `RESOURCE_TYPE`
    + `COVERAGE_STATUS`
    + `AGENT_VERSION`
    + `MANAGEMENT_TYPE`
    + `INSTANCE_ID`
    + `CLUSTER_ARN`
  + Cuando `filter-criteria` incluye `RESOURCE_TYPE` como **EC2**, la Supervisión en tiempo de ejecución no admite el uso de **PROBLEMA** como el `AttributeName`. Si lo utiliza, la respuesta de la API generará una `InvalidInputException`.

    Puede cambiar el ejemplo de `AttributeName` en `sort-criteria` con las siguientes opciones:
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `INSTANCE_ID`
    + `UPDATED_AT`
  + Puede cambiar el *max-results* (hasta 50).
  + Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Ejecute la [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API para recuperar las estadísticas agregadas de cobertura en función de`statisticsType`.
  + Puede cambiar el ejemplo de `statisticsType` a una de las siguientes opciones:
    + `COUNT_BY_COVERAGE_STATUS`: representa las estadísticas de cobertura de los clústeres de EKS agregadas por estado de cobertura.
    + `COUNT_BY_RESOURCE_TYPE`— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.
    + Puede cambiar el ejemplo de `filter-criteria` en el comando. Puede usar las siguientes opciones para `CriterionKey`:
      + `ACCOUNT_ID`
      + `RESOURCE_TYPE`
      + `COVERAGE_STATUS`
      + `AGENT_VERSION`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
      + `CLUSTER_ARN`
  + Para encontrar las `detectorId` correspondientes a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Si la cobertura de la instancia de EC2 está en **mal** estado, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot).

## El estado de la cobertura cambia con EventBridge notificaciones
<a name="ec2-runtime-monitoring-coverage-status-change"></a>

Es posible que la cobertura de la instancia de Amazon EC2 aparezca en **mal** estado. Para mantenerse informado sobre los cambios en el estado de la cobertura, recomendamos supervisar periódicamente su estado y solucionar cualquier problema si esta se encuentra en **mal** estado. Como alternativa, puedes crear una EventBridge regla de Amazon para recibir una notificación cuando el estado de la cobertura cambie de **Insalubre** a **Saludable** o no. De forma predeterminada, la GuardDuty publica en el [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) de tu cuenta.

### Ejemplo de esquema de notificaciones
<a name="ec2-gdu-coverage-status-eventbridge-schema"></a>

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta [Crear regla](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) en la *Guía del EventBridge usuario de Amazon*. 

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su instancia Amazon EC2 cambie de `Healthy` a`Unhealthy`, `detail-type` debería ser así. *GuardDuty Runtime Protection Unhealthy* Para recibir una notificación cuando el estado de la cobertura cambie de `Unhealthy` a`Healthy`, sustituya el valor de `detail-type` por. *GuardDuty Runtime Protection Healthy*

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2
<a name="ec2-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si la cobertura de la instancia de Amazon EC2 está en **mal** estado, puede ver el motivo en la columna **Problema**.

Si la instancia de EC2 está asociada a un clúster de EKS y el agente de seguridad para EKS se instaló manualmente o mediante la configuración automatizada del agente, para solucionar el problema de cobertura, consulte [Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS](eks-runtime-monitoring-coverage.md).

En la siguiente tabla se enumeran los tipos de problemas y los pasos de resolución de problemas correspondientes.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/gdu-assess-coverage-ec2.html)

# Cobertura y solución de problemas en tiempo de ejecución para clústeres de Amazon ECS
<a name="gdu-assess-coverage-ecs"></a>

La cobertura de tiempo de ejecución de los clústeres de Amazon ECS incluye las tareas que se ejecutan en AWS Fargate las instancias de contenedores de Amazon ECS [1](#ecs-container-instance).

Si se trata de un clúster de Amazon ECS que se ejecuta en Fargate, la cobertura en tiempo de ejecución se evalúa a nivel de tarea. La cobertura en tiempo de ejecución de los clústeres de ECS incluye las tareas de Fargate que se han comenzado a ejecutar después de habilitar la Supervisión en tiempo de ejecución y la configuración automatizada del agente para Fargate (solo ECS). De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no podrá instalar el agente de seguridad para supervisar los contenedores en las tareas que ya estén en ejecución. Para incluir una tarea de Fargate de este tipo, debe detener e iniciar de nuevo la tarea. Asegúrese de verificar si el servicio asociado es compatible.

Para obtener información sobre el contenedor de Amazon ECS, consulte [Creación de capacidad](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Revisión de las estadísticas de cobertura](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [El estado de la cobertura cambia con EventBridge notificaciones](#ecs-runtime-monitoring-coverage-status-change)
+ [Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Revisión de las estadísticas de cobertura
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

Las estadísticas de cobertura correspondientes a los recursos de Amazon ECS asociados a la cuenta propia o a las cuentas de miembro representan el porcentaje de los clústeres de Amazon ECS en buen estado sobre todos los clústeres de Amazon ECS en la Región de AWS seleccionada. Esto incluye la cobertura para clústeres de Amazon ECS asociados tanto a instancias de Fargate como de Amazon EC2. La siguiente ecuación lo representa de la siguiente manera:

*( clusters/All Clústeres en buen estado) \$1100*

### Consideraciones
<a name="considerations-ecs-coverage-review-stats"></a>
+ Las estadísticas de cobertura correspondientes al clúster de ECS incluyen el estado de cobertura de las tareas de Fargate o las instancias de contenedor de ECS asociadas a ese clúster de ECS. El estado de cobertura de las tareas de Fargate incluye tareas que están en estado de ejecución o que han terminado de ejecutarse recientemente. 
+ En la pestaña **Cobertura en tiempo de ejecución de clústeres de ECS**, el campo **Instancias de contenedor cubiertas** indica el estado de cobertura de las instancias de contenedor asociadas al clúster de Amazon ECS. 

  Si el clúster de Amazon ECS solo contiene tareas de Fargate, el recuento aparece como **0/0**.
+ Si el clúster de Amazon ECS está asociado a una instancia de Amazon EC2 que no cuenta con un agente de seguridad, la cobertura del clúster de Amazon ECS también estará en **mal** estado.

  Para identificar y solucionar el problema de cobertura correspondiente a la instancia de Amazon EC2 asociada, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instancias de Amazon EC2.

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

------
#### [ Console ]
+ Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
+ Elija la pestaña **Cobertura en tiempo de ejecución**.
+ En la pestaña **Cobertura en tiempo de ejecución de clústeres de ECS**, puede ver las estadísticas de cobertura agregadas por el estado de cobertura de cada clúster de Amazon ECS que esté disponible en la tabla **Lista de clústeres**. 
  + Puede filtrar la tabla **Lista de clústeres** por las siguientes columnas:
    + **ID de cuenta**
    + **Nombre del clúster**
    + **Tipo de administración del agente**
    + **Estado de la cobertura**
+ Si la **cobertura** de alguno de los clústeres de Amazon ECS está en **mal** estado, la columna **Problema** incluye información adicional sobre el motivo del **mal** estado.

  Si los clústeres de Amazon ECS están asociados a una instancia de Amazon EC2, vaya a la pestaña **Cobertura en tiempo de ejecución de la instancia de EC2** y filtre por el campo **Nombre del clúster** para ver el **problema** asociado.

------
#### [ API/CLI ]
+ Ejecute la [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API con su propio ID de detector válido, la región actual y el punto de conexión del servicio. Puede filtrar y ordenar la lista de instancias a través de esta API.
  + Puede cambiar el ejemplo de `filter-criteria` con una de las siguientes opciones para `CriterionKey`:
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Puede cambiar el ejemplo de `AttributeName` en `sort-criteria` con las siguientes opciones:
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      El campo se actualiza únicamente cuando se crea una nueva tarea en el clúster de Amazon ECS asociado o se produce un cambio en el estado de cobertura correspondiente.
  + Puede cambiar el *max-results* (hasta 50).
  + Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Ejecute la [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API para recuperar las estadísticas agregadas de cobertura en función de`statisticsType`.
  + Puede cambiar el ejemplo de `statisticsType` a una de las siguientes opciones:
    + `COUNT_BY_COVERAGE_STATUS`: representa las estadísticas de cobertura de los clústeres de ECS agregadas por estado de cobertura.
    + `COUNT_BY_RESOURCE_TYPE`— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.
    + Puede cambiar el ejemplo de `filter-criteria` en el comando. Puede usar las siguientes opciones para `CriterionKey`:
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + Para encontrar las `detectorId` correspondientes a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Para obtener más información sobre los problemas de cobertura, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## El estado de la cobertura cambia con EventBridge notificaciones
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

Es posible que el estado de cobertura del clúster de Amazon ECS aparezca como **En mal estado**. Para mantenerse informado sobre los cambios en el estado de la cobertura, recomendamos supervisar periódicamente su estado y solucionar cualquier problema si esta se encuentra en **mal** estado. Como alternativa, puedes crear una EventBridge regla de Amazon para recibir una notificación cuando el estado de la cobertura cambie de **Insalubre** a **Saludable** o no. De forma predeterminada, la GuardDuty publica en el [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) de tu cuenta.

### Ejemplo de esquema de notificaciones
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta [Crear regla](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) en la *Guía del EventBridge usuario de Amazon*. 

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su clúster de Amazon ECS cambie de `Healthy` a`Unhealthy`, `detail-type` debería ser así*GuardDuty Runtime Protection Unhealthy*. Para recibir una notificación cuando el estado de la cobertura cambie de `Unhealthy` a`Healthy`, sustituya el valor `detail-type` de por*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si la cobertura del clúster de Amazon ECS está en **mal** estado, puede ver el motivo en la columna **Problema**. 

En la siguiente tabla se indican los pasos recomendados para solucionar los problemas relacionados con Fargate (solo Amazon ECS). Para obtener información sobre problemas de cobertura de instancias de Amazon EC2, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instancias de Amazon EC2.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/gdu-assess-coverage-ecs.html)

# Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS
<a name="eks-runtime-monitoring-coverage"></a>

Tras activar Runtime Monitoring e instalar el agente de GuardDuty seguridad (complemento) para EKS de forma manual o mediante una configuración automática del agente, podrá empezar a evaluar la cobertura de sus clústeres de EKS. 

**Topics**
+ [Revisión de las estadísticas de cobertura](#reviewing-coverage-statistics-eks-runtime-monitoring)
+ [El estado de la cobertura cambia con EventBridge notificaciones](#eks-runtime-monitoring-coverage-status-change)
+ [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot)

## Revisión de las estadísticas de cobertura
<a name="reviewing-coverage-statistics-eks-runtime-monitoring"></a>

Las estadísticas de cobertura de los clústeres de EKS asociados a sus propias cuentas o a las de sus miembros representan el porcentaje de los clústeres de EKS en buen estado con respecto a todos los clústeres de EKS de la Región de AWS seleccionada. La siguiente ecuación lo representa de la siguiente manera:

*( clusters/All Clústeres en buen estado) \$1100*

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

------
#### [ Console ]
+ Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
+ Seleccione la pestaña **Cobertura del tiempo de ejecución de los clústeres de EKS**.
+ En la pestaña **Cobertura del tiempo de ejecución de los clústeres de EKS**, puede ver las estadísticas de cobertura agregadas por el estado de cobertura que está disponible en la tabla **Lista de clústeres**. 
  + Puede filtrar la tabla **Lista de clústeres** por las siguientes columnas:
    + **Cluster name (Nombre del clúster)**
    + **ID de cuenta**
    + **Tipo de administración del agente**
    + **Estado de la cobertura**
    + **Versión del complemento**
+ Si el valor de **Estado de la cobertura** de alguno de sus clústeres de EKS es **En mal estado**, en la columna **Problema** se puede incluir información adicional sobre el motivo del estado **En mal estado**.

------
#### [ API/CLI ]
+ Ejecute la [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API con su propio ID de detector, región y punto de conexión de servicio válidos. Puede filtrar y ordenar la lista de clústeres con esta API.
  + Puede cambiar el ejemplo de `filter-criteria` con una de las siguientes opciones para `CriterionKey`:
    + `ACCOUNT_ID`
    + `CLUSTER_NAME`
    + `RESOURCE_TYPE`
    + `COVERAGE_STATUS`
    + `ADDON_VERSION`
    + `MANAGEMENT_TYPE`
  + Puede cambiar el ejemplo de `AttributeName` en `sort-criteria` con las siguientes opciones:
    + `ACCOUNT_ID`
    + `CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ADDON_VERSION`
    + `UPDATED_AT`
  + Puedes cambiarlos *max-results* (hasta 50).
  + Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Ejecute la [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API para recuperar las estadísticas agregadas de cobertura en función de`statisticsType`.
  + Puede cambiar el ejemplo de `statisticsType` a una de las siguientes opciones:
    + `COUNT_BY_COVERAGE_STATUS`: representa las estadísticas de cobertura de los clústeres de EKS agregadas por estado de cobertura.
    + `COUNT_BY_RESOURCE_TYPE`— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.
    + Puede cambiar el ejemplo de `filter-criteria` en el comando. Puede usar las siguientes opciones para `CriterionKey`:
      + `ACCOUNT_ID`
      + `CLUSTER_NAME`
      + `RESOURCE_TYPE`
      + `COVERAGE_STATUS`
      + `ADDON_VERSION`
      + `MANAGEMENT_TYPE`
  + Para encontrar las `detectorId` correspondientes a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Si el estado de cobertura de su clúster de EKS es **En mal estado**, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot).

## El estado de la cobertura cambia con EventBridge notificaciones
<a name="eks-runtime-monitoring-coverage-status-change"></a>

El estado de cobertura de un clúster de EKS de su cuenta puede aparecer como **En mal estado**. Para detectar cuándo el estado de cobertura pasa a ser **En mal estado**, le recomendamos que supervise el estado de cobertura periódicamente y que solucione los problemas si el estado es **En mal estado**. Como alternativa, puedes crear una EventBridge regla de Amazon que te notifique cuando el estado de la cobertura cambie de `Unhealthy` a `Healthy` o no. De forma predeterminada, la GuardDuty publica en el [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) de tu cuenta.

### Ejemplo de esquema de notificaciones
<a name="coverage-status-eventbridge-schema"></a>

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta [Crear regla](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) en la *Guía del EventBridge usuario de Amazon*. 

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su clúster de Amazon EKS cambie de `Healthy` a`Unhealthy`, `detail-type` debería ser así*GuardDuty Runtime Protection Unhealthy*. Para recibir una notificación cuando el estado de la cobertura cambie de `Unhealthy` a`Healthy`, sustituya el valor `detail-type` de por*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Resolución de problemas de cobertura en tiempo de ejecución de Amazon EKS
<a name="eks-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si el estado de cobertura de su clúster EKS es`Unhealthy`, puede ver el error correspondiente en la columna **Problema** de la GuardDuty consola o utilizando el tipo de [CoverageResource](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CoverageResource.html)datos.

Cuando trabaje con etiquetas de inclusión o exclusión para supervisar los clústeres de EKS de forma selectiva, es posible que las etiquetas tarden algún tiempo en sincronizarse. Esto puede afectar al estado de cobertura del clúster de EKS asociado. Puede intentar eliminar y volver a agregar la etiqueta correspondiente (inclusión o exclusión). Para obtener más información, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

La estructura de un problema de cobertura es `Issue type:Extra information`. Por lo general, los problemas tienen *información adicional* opcional que puede incluir una excepción específica del cliente o una descripción del problema. Con base en la *Información adicional*, las siguientes tablas indican los pasos recomendados para solucionar los problemas de cobertura de los clústeres de EKS.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)


**Pasos para solucionar un error de Addon con creation/updation el código de error del Addon**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)

# Configuración de la supervisión de la CPU y la memoria
<a name="runtime-monitoring-setting-cpu-mem-monitoring"></a>

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en **buen** estado, podrá configurar y ver las métricas de Información. 

Los siguientes temas pueden ayudarle a evaluar el rendimiento del agente desplegado en relación con los límites de CPU y memoria del GuardDuty agente.

## Configurar la supervisión en el clúster de Amazon ECS
<a name="ecs-runtime-cpu-memory-monitoring-agent"></a>

Los siguientes pasos de la *Guía del CloudWatch usuario de Amazon* pueden ayudarle a evaluar el rendimiento del agente desplegado en comparación con los límites de CPU y memoria del GuardDuty agente:

1. [Configurar Información de contenedores en Amazon ECS para métricas a nivel de clúster y de servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html)

1. [Métricas de Información de contenedores de Amazon ECS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-metrics-ECS.html)

## Configurar la supervisión en el clúster de Amazon EKS
<a name="eks-runtime-cpu-memory-monitoring-agent"></a>

Una vez que se haya desplegado el agente de GuardDuty seguridad y hayas evaluado que el estado de cobertura del clúster **es** correcto, podrás configurar y ver las métricas de Container Insight.

**Evalúe el rendimiento del agente de seguridad**  

1. [Configuración de Container Insights en Amazon EKS y Kubernetes en la Guía](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html) *del usuario de Amazon CloudWatch *

1. [Métricas de Amazon EKS y Kubernetes Container Insights en la Guía](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-metrics-EKS.html) *del usuario de Amazon CloudWatch *

**Administrar el rendimiento con la versión 1.5.0 o superior del agente de seguridad**  
Con el agente de seguridad [v1.5.0 y versiones posteriores](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-agent-release-history.html#eks-runtime-monitoring-agent-release-history), cuando los datos indican que el GuardDuty agente asociado está alcanzando los límites asignados, puede configurar parámetros específicos. Para obtener más información, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

# Uso de VPC compartida con Runtime Monitoring
<a name="runtime-monitoring-shared-vpc"></a>

GuardDuty Runtime Monitoring admite el uso de Amazon Virtual Private Cloud (Amazon VPC) compartida para usted Cuentas de AWS que pertenezca a la misma organización. AWS Organizations Se puede usar la VPC compartida de dos maneras:
+ **Configuración automática del agente (recomendada)**: cuando gestione GuardDuty automáticamente el agente de seguridad, también configurará la política de puntos de conexión de Amazon VPC. Esta política se basa en la configuración de VPC compartida de su organización.

  Se debe habilitar la configuración automática del agente en la cuenta del propietario de la VPC compartida y en todas las cuentas participantes que compartirán esta VPC.
+ **Agente administrado de manera manual**: al administrar de manera manual el agente de seguridad con una VPC compartida, debe actualizar la política de puntos de conexión de VPC para permitir que las cuentas correspondientes accedan a la VPC compartida. Para ello, se puede usar el ejemplo de política que se comparte en la siguiente sección [Funcionamiento](#how-shared-vpc-works-runtime-monitoring-auto).

  En los escenarios de administración manual que involucran cuentas participantes para una VPC compartida, es posible que el estado de la cobertura no sea exacto. Para garantizar el estado de up-to-date protección y cobertura de sus recursos, GuardDuty recomienda habilitar la configuración automática de agentes para todas las cuentas que utilizarán una VPC compartida.

**Topics**
+ [Funcionamiento](#how-shared-vpc-works-runtime-monitoring-auto)
+ [Requisitos previos para utilizar una VPC compartida](#shared-vpc-prerequisite-runtime-monitoring)

## Funcionamiento
<a name="how-shared-vpc-works-runtime-monitoring-auto"></a>

Las Cuentas de AWS que pertenezcan a la misma organización que la cuenta de propietario de Amazon VPC compartida también pueden compartir el mismo punto de enlace de Amazon VPC. Cada una de las cuentas que utilizan la misma política de puntos de conexión de Amazon VPC se denomina ** AWS cuenta participante** de la Amazon VPC compartida asociada.

El siguiente ejemplo muestra la política de punto de conexión de VPC predeterminada de la cuenta de propietario de la VPC compartida y la cuenta participante. `aws:PrincipalOrgID` mostrará el ID de la organización asociado al recurso de la VPC compartida. El uso de esta política se limita a las cuentas participantes presentes en la organización de la cuenta de propietario.

**Example Ejemplo de política de punto de conexión de VPC compartida**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
```

### Con configuración GuardDuty automática de agentes
<a name="guarduty-runtime-monitoring-shared-vpc-automatic-agent"></a>

Cuando la cuenta de propietario de la VPC compartida habilita la supervisión del tiempo de ejecución y la configuración automática de los agentes para cualquiera de los recursos ( AWS Fargate Amazon EKS o (solo Amazon ECS)), todos los recursos compartidos VPCs pueden instalarse automáticamente en la cuenta de propietario de la VPC compartida. GuardDuty recupera el ID de la organización que está asociado a la Amazon VPC compartida. 

GuardDuty crea un punto de enlace de Amazon VPC cuando la cuenta del propietario de la VPC compartida o la cuenta participante lo necesitan. Algunos ejemplos de la necesidad de un punto de conexión de Amazon VPC incluyen la activación GuardDuty, la supervisión del tiempo de ejecución, la supervisión del tiempo de ejecución de EKS o el lanzamiento de una nueva tarea de Amazon ECS-Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automática de agentes para cualquier tipo de recurso, GuardDuty crea un punto de enlace de Amazon VPC y establece la política de puntos de enlace con el mismo ID de organización que el de la cuenta de propietario de la VPC compartida. GuardDuty añade una `GuardDutyManaged` etiqueta y la establece `true` para el punto de enlace de Amazon VPC que GuardDuty crea. Si la cuenta de propietario de Amazon VPC compartida no ha habilitado la monitorización del tiempo de ejecución o la configuración automática de agentes para ninguno de los recursos, no GuardDuty establecerá la política de puntos de conexión de Amazon VPC. Para obtener información sobre cómo configurar la Supervisión en tiempo de ejecución y administrar el agente de seguridad automáticamente en la cuenta de propietario de la VPC compartida, consulte [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md).

### Se utiliza con un agente administrado de manera manual
<a name="guardduty-runtime-monitoring-shared-vpc-manual-agent"></a>

Cuando utilice una VPC compartida con un agente administrado de manera manual, compruebe que no haya una política de punto de conexión `Deny` explícita que bloquee una cuenta que necesite usar la VPC compartida. Esto impedirá que el agente de seguridad envíe datos telemétricos a GuardDuty, lo que generará un estado de cobertura. `Unhealthy` Para configurar la política de puntos de conexión, consulte [Example shared VPC endpoint policy](#guardduty-runtime-monitoring-shared-vpc-endpoint-policy-example). 

Es posible que la cobertura del tiempo de ejecución no sea precisa en situaciones como la falta de permisos para la VPC compartida. Puede monitorear de forma continua la cobertura de los recursos siguiendo los pasos correspondientes al tipo de recurso indicado [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md). 

Para garantizar la protección continua de sus recursos informáticos con Runtime Monitoring, le GuardDuty recomienda habilitar la configuración automática de agentes para la cuenta propietaria de la VPC compartida y todas las cuentas participantes de sus recursos.

## Requisitos previos para utilizar una VPC compartida
<a name="shared-vpc-prerequisite-runtime-monitoring"></a>

Como parte de la configuración inicial, lleve a cabo los siguientes pasos en la Cuenta de AWS que desee que sea el propietario de la VPC compartida:

1. **Crear una organización**: para crear una organización, siga los pasos que se indican en [Crear y administrar una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del usuario de AWS Organizations *. 

   Para obtener información sobre cómo añadir o eliminar cuentas de miembros, consulte [Administrar Cuentas de AWS en su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).

1. **Crear un recurso de VPC compartida**: puede crear un recurso de VPC compartida desde la cuenta de propietario. Para obtener más información, consulte [Compartir las subredes de VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía del usuario de Amazon VPC*. 

### Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución
<a name="shared-vpc-runtime-monitoring-prereq-gd-setup"></a>

La siguiente lista proporciona los requisitos previos específicos de: GuardDuty
+ La cuenta de propietario de la VPC compartida y la cuenta participante pueden ser de diferentes organizaciones en. GuardDuty Sin embargo, deben pertenecer a la misma organización en AWS Organizations. Esto es necesario GuardDuty para crear un punto de enlace de Amazon VPC y un grupo de seguridad para la VPC compartida. Para obtener información sobre cómo VPCs funcionan las cuentas compartidas, consulte [Compartir su VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la Guía del usuario de Amazon *VPC*.
+ Habilite Runtime Monitoring o EKS Runtime Monitoring y GuardDuty automatice la configuración de agentes para cualquier recurso de la cuenta de propietario de la VPC compartida y de la cuenta de participante. Para obtener más información, consulte [Habilitación de la supervisión en tiempo de ejecución](runtime-monitoring-configuration.md).

  Si ya ha completado estas configuraciones, continúe con el siguiente paso.
+ Cuando trabaje con una tarea de Amazon EKS o una de Amazon ECS (AWS Fargate únicamente), asegúrese de elegir el recurso de VPC compartido asociado a la cuenta del propietario y de seleccionar sus subredes.

# Uso de la infraestructura como código (IaC) con GuardDuty agentes de seguridad automatizados
<a name="using-iac-with-gdu-automated-agents-runtime-monitoring"></a>

Utilice esta sección únicamente si la siguiente lista se aplica a su caso de uso:
+ Utiliza herramientas de infraestructura como código (IaC), como Terraform, para administrar sus AWS recursos, AWS Cloud Development Kit (AWS CDK) y
+ Debe habilitar la configuración GuardDuty automática de agentes para uno o más tipos de recursos: Amazon EKS, Amazon EC2 o Amazon ECS-Fargate.

## Información general sobre el gráfico de dependencia de recursos de IaC
<a name="runtime-monitoring-dependency-overview"></a>

Al habilitar la configuración GuardDuty automática de agentes para un tipo de recurso, crea GuardDuty automáticamente un punto de enlace de VPC y un grupo de seguridad asociados a este punto de enlace de VPC e instala el agente de seguridad para este tipo de recurso. De forma predeterminada, GuardDuty eliminará el punto final de la VPC y el grupo de seguridad asociado solo después de deshabilitar Runtime Monitoring. Para obtener más información, consulte [Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución](runtime-monitoring-agent-resource-clean-up.md).

Cuando utiliza una herramienta de IaC, esta mantiene un gráfico de dependencia de los recursos. Cuando se eliminan recursos con la herramienta de IaC, únicamente se eliminan los recursos de los que se puede hacer un seguimiento como parte del gráfico de dependencia de recursos. Es posible que las herramientas de IaC no tengan conocimiento de los recursos que se crean fuera de su configuración especificada. Por ejemplo, crea una VPC con una herramienta IaC y, a continuación, agrega un grupo de seguridad a esta VPC mediante una AWS consola o una operación de API. En el gráfico de dependencias de recursos, el recurso de la VPC que crea dependerá del grupo de seguridad asociado. Si elimina este recurso de la VPC con la herramienta de IaC, se producirá un error. La forma de evitar este error es eliminar manualmente el grupo de seguridad asociado o actualizar la configuración de IaC para incluir este recurso agregado.

## Problema común: eliminar recursos en IaC
<a name="runtime-monitoring-iac-delete-failure"></a>

Al utilizar la configuración de agentes GuardDuty automatizada, es posible que desee eliminar un recurso (Amazon EKS, Amazon EC2 o Amazon ECS-Fargate) que haya creado mediante una herramienta de IaC. Sin embargo, este recurso depende del punto final de la VPC que GuardDuty haya creado. Esto impide que la herramienta IaC elimine el recurso por sí misma y requiere que desactive la Supervisión en tiempo de ejecución, que además elimina el punto de conexión de VPC automáticamente.

Por ejemplo, cuando intentes eliminar el punto de enlace de la VPC que GuardDuty se creó en tu nombre, aparecerá un error similar al de los ejemplos siguientes.

**Example**  
**Ejemplo de error al usar CDK**  

```
The following resource(s) failed to delete: [mycdkvpcapplicationpublicsubnet1Subnet1SubnetEXAMPLE1, mycdkvpcapplicationprivatesubnet1Subnet2SubnetEXAMPLE2]. 
Resource handler returned message: "The subnet 'subnet-APKAEIVFHP46CEXAMPLE' has dependencies and cannot be deleted. (Service: Ec2, Status Code: 400, Request ID: e071c3c5-7442-4489-838c-0dfc6EXAMPLE)" (RequestToken: 4381cff8-6240-208a-8357-5557b7EXAMPLE, HandlerErrorCode: InvalidRequest)
```

**Example**  
**Ejemplo de error al usar Terraform**  

```
module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 19m50s elapsed]
module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 20m0s elapsed]

Error: deleting EC2 Subnet (subnet-APKAEIBAERJR2EXAMPLE): DependencyViolation: The subnet 'subnet-APKAEIBAERJR2EXAMPLE' has dependencies and cannot be deleted.
       status code: 400, request id: e071c3c5-7442-4489-838c-0dfc6EXAMPLE
```

### Solución: evite el problema de eliminación de recursos
<a name="runtime-monitoring-iac-delete-fail-solution"></a>

Esta sección le ayuda a administrar el punto final de la VPC y el grupo de seguridad de forma independiente de. GuardDuty

Para adquirir la propiedad completa de los recursos configurados mediante la herramienta de IaC, siga los siguientes pasos en el orden indicado:

1. Cree una VPC. Para permitir el permiso de entrada, asocie un punto final de GuardDuty VPC al grupo de seguridad a esta VPC.

1. Habilite la configuración GuardDuty automática de agentes para su tipo de recurso

Tras completar los pasos anteriores, no GuardDuty creará su propio punto final de VPC y reutilizará el que creó con la herramienta IaC.

Para obtener información sobre cómo crear una VPC propia, consulte [Crear una VPC únicamente](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-only) en las *Puertas de enlace de tránsito de Amazon VPC*. Para obtener información sobre cómo crear un punto de conexión de VPC, consulte la siguiente sección para el tipo de recurso:
+ Para Amazon EC2, consulte [Requisito previo: crear manualmente el punto de conexión de Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md).
+ Para Amazon EKS, consulte [Requisito previo: crear un punto de conexión de Amazon VPC](eksrunmon-prereq-deploy-security-agent.md).

# Tipos de eventos de tiempo de ejecución recopilados que utilizan GuardDuty
<a name="runtime-monitoring-collected-events"></a>

El agente GuardDuty de seguridad recopila los siguientes tipos de eventos y los envía al GuardDuty backend para detectar y analizar las amenazas. GuardDuty no hace que estos eventos sean accesibles para usted. Si GuardDuty detecta una amenaza potencial y genera una[Tipos de resultados de la supervisión en tiempo de ejecución](findings-runtime-monitoring.md), puede ver los detalles del hallazgo correspondiente.

Para obtener información sobre cómo se GuardDuty utilizan los tipos de eventos recopilados en Runtime Monitoring, consulte[Desactivación del uso de los datos para mejorar el servicio](guardduty-opting-out-using-data.md).

## Eventos de procesos
<a name="eks-runtime-process-events"></a>

Los eventos de los procesos representan información asociada a los procesos que se ejecutan en las instancias de Amazon EC2 y las cargas de trabajo de contenedores. La siguiente tabla incluye los nombres de los campos y las descripciones de los eventos de los procesos que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Process name (Nombre del proceso) | Nombre del proceso observado. | 
| Ruta de proceso | Ruta absoluta del ejecutable del proceso. | 
| ID de proceso | ID asignado al proceso por el sistema operativo. | 
| PID de espacio de nombres | ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID de nivel de host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor. | 
| ID de usuario del proceso | ID único del usuario que ha ejecutado el proceso. | 
| UUID de proceso | El identificador único asignado al proceso por GuardDuty. | 
| GID de proceso | ID del proceso del grupo de procesos. | 
| EGID de proceso | ID del grupo efectivo del grupo de procesos. | 
| EUID de proceso | ID del usuario efectivo del proceso. | 
| Nombre de usuario de proceso | Nombre del usuario que ha ejecutado el proceso. | 
| Hora de inicio de proceso | Hora de creación del proceso. Este campo está en formato de cadena de fecha UTC (`2023-03-22T19:37:20.168Z`). | 
| SHA-256 de ejecutable de proceso | Hash `SHA256` del ejecutable del proceso. | 
| Ruta de script de proceso | Ruta del archivo del script que se ha ejecutado. | 
| Variable de entorno de proceso | Variable de entorno puesta a disposición del proceso. Solo se recopilan `LD_PRELOAD` y `LD_LIBRARY_PATH`.  | 
| Directorio de trabajo actual (PWD) de proceso | Directorio de trabajo actual del proceso. | 
| Proceso principal | Detalles del proceso principal. Un proceso principal es un proceso que creó el proceso observado. | 
|  Argumentos de línea de comandos Actualmente, este campo está limitado a versiones específicas del agente correspondientes al tipo de recurso: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/runtime-monitoring-collected-events.html) Para obtener más información, consulte [GuardDuty versiones de lanzamiento del agente de seguridad](runtime-monitoring-agent-release-history.md).  | Argumentos de línea de comandos proporcionados en el momento de la ejecución del proceso. Es posible que este campo contenga información confidencial del cliente.  | 

## Eventos de contenedores
<a name="eks-runtime-container-events"></a>

Los eventos de contenedores representan información asociada a las actividades de las cargas de trabajo de los contenedores. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de la carga de trabajo del contenedor que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Nombre de contenedor | Nombre del contenedor. Cuando está disponible, este campo muestra el valor de la etiqueta `io.kubenetes.container.name`.  | 
| UID de contenedor | ID único del contenedor asignado por el tiempo de ejecución del contenedor. | 
| Tiempo de ejecución de contenedor | Tiempo de ejecución del contenedor (por ejemplo, `docker` o `containerd`) utilizado para ejecutar el contenedor. | 
| ID de imagen de contenedor | ID de la imagen del contenedor. | 
| Nombre de imagen de contenedor | Nombre de la imagen del contenedor. | 

## AWS Fargate Eventos de tareas (solo en Amazon ECS)
<a name="runtime-monitoring-ecs-fargate-events"></a>

Los eventos de tareas de Fargate-Amazon ECS representan actividades asociadas a tareas de Amazon ECS que se ejecutan en computaciones de Fargate. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de tareas de Amazon ECS-Fargate que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Nombre de recurso de Amazon (ARN) de la tarea | El ARN de la tarea. | 
| Nombre del clúster | El nombre del clúster de Amazon ECS. | 
| Apellido | El apellido de la definición de la tarea. El `family` se utiliza como nombre para la definición de la tarea que se utiliza para lanzar la tarea. | 
| Nombre del servicio | El nombre del servicio de Amazon ECS, si la tarea se lanzó como parte de un servicio. | 
| Tipo de lanzamiento | La infraestructura en la que se ejecuta la tarea. Para la Supervisión en tiempo de ejecución con el tipo de recurso como `ECSCluster`, el tipo de lanzamiento puede ser `EC2` o `FARGATE`. | 
| CPU | La cantidad de unidades de CPU utilizadas por la tarea, tal como se expresa en la definición de la tarea. | 

## Eventos de pod de Kubernetes
<a name="eks-runtime-pod-events"></a>

En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos del pod de Kubernetes que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| ID de pod | ID del pod de Kubernetes. | 
| Nombre de pod | Nombre del pod de Kubernetes. | 
| Espacio de nombres de pod | Nombre del espacio de nombres de Kubernetes al que pertenece la carga de trabajo de Kubernetes. | 
| Nombre de clúster de Kubernetes | Nombre del clúster de Kubernetes. | 

## Eventos del sistema de nombres de dominio (DNS)
<a name="eks-runtime-dns-events"></a>

Los eventos del sistema de nombres de dominio (DNS) incluyen detalles de las consultas DNS realizadas por los tipos de recursos y las respuestas correspondientes. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de DNS que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Tipo de socket | Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, `SOCK_RAW`. | 
| Familia de direcciones | Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones `AF_INET` se utiliza para el protocolo IP v4. | 
| ID de dirección | ID de la dirección de conexión. | 
| Número de protocolo | Número de protocolo de capa 4 (por ejemplo, 17 para UDP y 6 para TCP). | 
| IP de punto de conexión remoto de DNS | IP remota de la conexión. | 
| Puerto de punto de conexión remoto de DNS | Número del puerto de la conexión. | 
| IP de punto de conexión local de DNS | IP local de la conexión. | 
| Puerto de punto de conexión local de DNS | Número del puerto de la conexión. | 
| Carga de DNS | Carga de los paquetes de DNS que contiene consultas y respuestas de DNS. | 

## Eventos abiertos
<a name="eks-runtime-open-events"></a>

Los eventos de apertura están asociados al acceso y modificación de archivos. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de apertura que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de archivo | Ruta del archivo que se abre en este evento. | 
| Indicadores | Describe el modo de acceso a archivos, como solo lectura, solo escritura y lectura-escritura. | 

## Evento de carga de módulo
<a name="eks-runtime-load-module-events"></a>

En la siguiente tabla se incluyen el nombre del campo y la descripción del evento del módulo de carga que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Nombre de módulo | Nombre del módulo cargado en el kernel. | 

## Eventos de Mprotect
<a name="eks-runtime-mprotect-events"></a>

Los eventos de Mprotect proporcionan información sobre los cambios en la configuración de protección de memoria de los procesos que se ejecutan en los sistemas supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de Mprotect que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Rango de direcciones | Rango de direcciones para el que se modificaron las protecciones de acceso. | 
| Regiones de memoria | Especifica la región del espacio de direcciones de un proceso, como la pila y el montón. | 
| Indicadores | Representa las opciones que controlan el comportamiento de este evento. | 

## Eventos de montaje
<a name="eks-runtime-mount-events"></a>

Los eventos de montaje proporcionan información asociada al montaje y desmontaje de sistemas de archivos en el recurso supervisado. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de montaje que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Destino de montaje | Ruta en la que se monta el origen del montaje. | 
| Origen de montaje | Ruta del host que se monta en el destino de montaje. | 
| Tipo de sistema de archivos | Representa el tipo de sistema de archivos montado. | 
| Indicadores | Representa las opciones que controlan el comportamiento de este evento. | 

## Eventos de enlace
<a name="eks-runtime-link-events"></a>

Los eventos de enlaces proporcionan visibilidad de las actividades de administración de enlaces del sistema de archivos en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de enlaces que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de enlace | Ruta en la que se crea el enlace físico. | 
| Ruta de destino | Ruta del archivo al que apunta el enlace físico. | 

## Eventos de enlace simbólico
<a name="eks-runtime-symlink-events"></a>

Los eventos de enlaces simbólicos (symlink) proporcionan visibilidad de las actividades de administración de enlaces simbólicos del sistema de archivos en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de enlaces simbólicos que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de enlace | Ruta en la que se crea el enlace simbólico. | 
| Ruta de destino | Ruta del archivo al que apunta el enlace simbólico. | 

## Eventos duplicados
<a name="eks-runtime-dup-events"></a>

Los eventos de duplicación (dup) proporcionan visibilidad sobre la duplicación de descriptores de archivo por parte de los procesos que se ejecutan en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de duplicación que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Descriptor de archivo antiguo | Descriptor de archivo que representa un objeto de archivo abierto. | 
| Descriptor de archivo nuevo | Descriptor de archivo nuevo que es un duplicado del descriptor de archivo antiguo. Tanto el descriptor de archivo antiguo como el nuevo representan el mismo objeto de archivo abierto. | 
| IP de punto de conexión remoto de duplicación | Dirección IP remota del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. | 
| Puerto de punto de conexión remoto de duplicación | Puerto remoto del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. | 
| IP de punto de conexión local de duplicación | Dirección IP local del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. | 
| Puerto de punto de conexión local de duplicación | Puerto local del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. | 

## Evento de mapa de memoria
<a name="eks-runtime-mmap-events"></a>

En la siguiente tabla se incluye el nombre del campo y la descripción de los eventos del mapa de memoria que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de archivo | Ruta del archivo al que se asigna la memoria. | 

## Eventos de socket
<a name="eks-runtime-socket-events"></a>

Los eventos de socket proporcionan información sobre las conexiones de socket de red utilizadas en las actividades de los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de socket que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Familia de direcciones | Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones `AF_INET` se utiliza para la versión de IP del protocolo 4. | 
| Tipo de socket | Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, `SOCK_RAW`. | 
| Número de protocolo | Especifica un protocolo concreto de la familia de direcciones. Por lo general, hay un único protocolo en las familias de direcciones. Por ejemplo, la familia de direcciones `AF_INET` solo tiene el protocolo de IP. | 

## Eventos de conexión
<a name="eks-runtime-connect-events"></a>

Los eventos de conexión proporcionan visibilidad de las conexiones de red establecidas por los procesos en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de conexión que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Familia de direcciones | Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones `AF_INET` se utiliza para el protocolo IP v4. | 
| Tipo de socket | Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, `SOCK_RAW`. | 
| Número de protocolo | Especifica un protocolo concreto de la familia de direcciones. Por lo general, hay un único protocolo en las familias de direcciones. Por ejemplo, la familia de direcciones `AF_INET` solo tiene el protocolo de IP. | 
| Ruta de archivo | Ruta del archivo de socket si la familia de direcciones es `AF_UNIX`. | 
| IP de punto de conexión remoto | IP remota de la conexión. | 
| Puerto de punto de conexión remoto | Número del puerto de la conexión. | 
| IP de punto de conexión local | IP local de la conexión. | 
| Puerto de punto de conexión local | Número del puerto de la conexión. | 

## Eventos de Readv de VM de proceso
<a name="eks-runtime-processvmreadv-events"></a>

Los eventos de procesos de lectura de memoria virtual (VM readv) proporcionan visibilidad de las operaciones de lectura realizadas por los procesos en sus propias regiones de memoria virtual. La siguiente tabla incluye los nombres de los campos y las descripciones de los eventos de procesos de lectura de memoria virtual que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Indicadores | Representa las opciones que controlan el comportamiento de este evento. | 
| PID de destino | ID del proceso desde el que se lee la memoria. | 
| UUID de proceso de destino | ID único del proceso de destino. | 
| Ruta de ejecutable de destino | Ruta absoluta del archivo ejecutable del proceso de destino. | 

## Eventos de Writev de VM de proceso
<a name="eks-runtime-processvmwritev-events"></a>

Los eventos de procesos de escritura de memoria virtual (VM writev) proporcionan visibilidad de las operaciones de escritura realizadas por los procesos en sus propias regiones de memoria virtual. La siguiente tabla incluye los nombres de los campos y las descripciones de los eventos de los procesos de escritura de memoria virtual que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Indicadores | Representa las opciones que controlan el comportamiento de este evento. | 
| PID de destino | ID del proceso en el que se escribe la memoria. | 
| UUID de proceso de destino | ID único del proceso de destino. | 
| Ruta de ejecutable de destino | Ruta absoluta del archivo ejecutable del proceso de destino. | 

## Eventos de rastreo de procesos (Ptrace)
<a name="eks-runtime-ptrace-events"></a>

La llamada al sistema de rastreo de procesos (Ptrace) es un mecanismo de depuración y rastreo que permite a un proceso (rastreador) observar y controlar la ejecución de otro proceso (rastreado). Esto proporciona al rastreador la capacidad de inspeccionar y modificar la memoria, los registros y el flujo de ejecución del proceso de destino. 

Los eventos ptrace proporcionan visibilidad sobre el uso de la llamada al sistema ptrace por parte de los procesos que se ejecutan en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos ptrace que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| PID de destino | ID del proceso de destino. | 
| UUID de proceso de destino | ID único del proceso de destino. | 
| Ruta de ejecutable de destino | Ruta absoluta del archivo ejecutable del proceso de destino. | 
| Indicadores | Representa las opciones que controlan el comportamiento de este evento. | 

## Enviar de vinculación
<a name="eks-runtime-bind-events"></a>

Los eventos de vinculación proporcionan visibilidad sobre la vinculación de sockets de red por parte de los procesos que se ejecutan en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de circulación que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Familia de direcciones | Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones `AF_INET` se utiliza para el protocolo IP v4. | 
| Tipo de socket | Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, `SOCK_RAW`. | 
| Número de protocolo | Número de protocolo de capa 4 (por ejemplo, 17 para UDP y 6 para TCP). | 
| IP de punto de conexión local | IP local de la conexión. | 
| Puerto de punto de conexión local | Número del puerto de la conexión. | 

## Eventos de escucha
<a name="eks-runtime-listen-events"></a>

Los eventos de escucha proporcionan visibilidad sobre el estado de escucha de los sockets de red, e indican si un socket de red está listo o no para aceptar conexiones entrantes. Un proceso que se ejecuta en el recurso supervisado establece el socket de red en estado de escucha. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de escucha que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Familia de direcciones | Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones `AF_INET` se utiliza para el protocolo IP v4. | 
| Tipo de socket | Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, `SOCK_RAW`. | 
| Número de protocolo | Número de protocolo de capa 4 (por ejemplo, 17 para UDP y 6 para TCP). | 
| IP de punto de conexión local | IP local de la conexión. | 
| Puerto de punto de conexión local | Número del puerto de la conexión. | 

## Eventos de cambio de nombre
<a name="eks-runtime-rename-events"></a>

Los eventos de cambio de nombre proporcionan información sobre el cambio de nombre de archivos y directorios por parte de procesos que se ejecutan en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de cambio de nombre que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de archivo | Ruta donde se encuentra el archivo cuyo nombre se ha cambiado. | 
| Target | La nueva ruta del archivo. | 

## Eventos de establecimiento de ID de usuario (UID)
<a name="eks-runtime-setuid-events"></a>

Los eventos de establecimiento de ID de usuario (UID) proporcionan visibilidad de los cambios realizados en el ID de usuario (UID) asociado a los procesos en ejecución en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos de establecimiento de ID de usuario (UID) que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Nuevo EUID | El nuevo ID de usuario efectivo del proceso. | 
| Nuevo UID | El nuevo ID de usuario del proceso. | 

## Eventos chmod
<a name="eks-runtime-chmod-events"></a>

Los eventos chmod proporcionan visibilidad de los cambios en los permisos (modo) de archivos y directorios en los recursos supervisados. En la siguiente tabla se incluyen los nombres de los campos y las descripciones de los eventos chmod que la Supervisión en tiempo de ejecución recopila para detectar posibles amenazas.


| Nombre del campo | Description (Descripción) | 
| --- | --- | 
| Ruta de archivo | Ruta del archivo que invoca este evento. | 
| Modo de archivo | Los permisos de acceso actualizados para el archivo asociado. | 

# Agente de alojamiento GuardDuty de repositorios Amazon ECR
<a name="runtime-monitoring-ecr-repository-gdu-agent"></a>

En las siguientes secciones se enumeran los repositorios de Amazon Elastic Container Registry (Amazon ECR) GuardDuty donde se aloja el agente de seguridad que se implementa en los clústeres de Amazon EKS y Amazon ECS.

El requisito previo para [Requisitos previos para el acceso a imágenes de contenedores](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs) requiere que proporcione un rol de ejecución de tareas que tenga determinados permisos de Amazon Elastic Container Registry (Amazon ECR). Para restringir aún más estos permisos, puede añadir el URI del repositorio de Amazon ECR que aloja el GuardDuty agente para los recursos de Fargate-Amazon ECS.

**Topics**
+ [Repositorio de ECR para las versiones 1.12.1 a 1.8.1 del agente EKS (eks.build.2)](eks-runtime-agent-ecr-image-uri-v1-8-1-build-2.md)
+ [Repositorio de ECR para la versión 1.8.1 del agente de EKS (`eks.build.1`)](eks-runtime-agent-ecr-image-uri-v1-8-1-build-1.md)
+ [Repositorio ECR para GuardDuty agentes en AWS Fargate (solo Amazon ECS)](ecs-runtime-agent-ecr-image-uri.md)

# Repositorio de ECR para las versiones 1.12.1 a 1.8.1 del agente EKS (eks.build.2)
<a name="eks-runtime-agent-ecr-image-uri-v1-8-1-build-2"></a>

Cuando habilite la configuración GuardDuty automática de Runtime Monitoring for EKS, GuardDuty implementará esta versión del agente en sus clústeres de Amazon EKS. Para obtener información acerca de cómo habilitar el agente automatizado, consulte [Administración automática del agente de seguridad para los recursos de Amazon EKS](managing-gdu-agent-eks-automatically.md).

En la siguiente tabla se muestra el repositorio de Amazon ECR URIs donde se alojan las versiones del agente de GuardDuty seguridad `1.12.1.eks.build.2` `1.11.0.eks.build.2` `1.10.0.eks.build.2``1.9.0.eks.build.2`,, y `1.8.0.eks.build.2` para Amazon EKS.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-agent-ecr-image-uri-v1-8-1-build-2.html)

# Repositorio de ECR para la versión 1.8.1 del agente de EKS (`eks.build.1`)
<a name="eks-runtime-agent-ecr-image-uri-v1-8-1-build-1"></a>

En esta sección se proporciona el repositorio de Amazon ECR para la versión **1.8.1 del agente Amazon EKS (v1.8.1-eks-build.1**). Si utiliza la v1.8.1-eks-build.1, le recomendamos que cambie a la versión predeterminada del agente, GuardDuty que suele ser la versión más reciente del agente. Para ello, identifique el agente más reciente de [Se lanzaron versiones de agente publicadas para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history) y, a continuación, lleve a cabo los pasos que se indican en [Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS](eksrunmon-update-security-agent.md).

La siguiente tabla muestra el repositorio de Amazon ECR URIs donde está alojada la versión del agente de GuardDuty seguridad `1.8.1-eks-build.1` para Amazon EKS.


| **Región de AWS** | **URI del repositorio de Amazon ECR** | 
| --- | --- | 
| Oeste de EE. UU. (Oregón) | `039403964562.dkr.ecr.us-west-2.amazonaws.com` | 
| Europa (París) | `113643092156.dkr.ecr.eu-west-3.amazonaws.com` | 
| Asia-Pacífico (Mumbai) | `610108029387.dkr.ecr.ap-south-1.amazonaws.com` | 
| Asia-Pacífico (Hyderabad) | `618745550137.dkr.ecr.ap-south-2.amazonaws.com` | 
| Canadá (centro) | `001188825231.dkr.ecr.ca-central-1.amazonaws.com` | 
| Medio Oriente (EAU) | `601769779514.dkr.ecr.me-central-1.amazonaws.com` | 
| Europa (Londres) | `109118265657.dkr.ecr.eu-west-2.amazonaws.com` | 
| Oeste de EE. UU. (Norte de California) | `373421517865.dkr.ecr.us-west-1.amazonaws.com` | 
| Este de EE. UU. (Norte de Virginia) | `031903291036.dkr.ecr.us-east-1.amazonaws.com` | 
| Este de EE. UU. (Ohio) | `591382732059.dkr.ecr.us-east-2.amazonaws.com` | 
| Europa (Irlanda) | `673884943994.dkr.ecr.eu-west-1.amazonaws.com` | 
| América del Sur (São Paulo) | `941219317354.dkr.ecr.sa-east-1.amazonaws.com` | 
| Europa (Estocolmo) | `366771026645.dkr.ecr.eu-north-1.amazonaws.com` | 
| Europa (Fráncfort) | `409493279830.dkr.ecr.eu-central-1.amazonaws.com` | 
| Europa (Zúrich) | `718440343717.dkr.ecr.eu-central-2.amazonaws.com` | 
| Asia-Pacífico (Singapur) | `584580519942.dkr.ecr.ap-southeast-1.amazonaws.com` | 
| Asia-Pacífico (Sídney) | `011662287384.dkr.ecr.ap-southeast-2.amazonaws.com` | 
| Asia-Pacífico (Yakarta) | `617474730032.dkr.ecr.ap-southeast-3.amazonaws.com` | 
| Asia-Pacífico (Tokio) | `781592569369.dkr.ecr.ap-northeast-1.amazonaws.com` | 
| Asia-Pacífico (Seúl) | `732248494576.dkr.ecr.ap-northeast-2.amazonaws.com` | 
| Asia-Pacífico (Osaka) | `810724417379.dkr.ecr.ap-northeast-3.amazonaws.com` | 
| Asia-Pacífico (Hong Kong) | `790429075973.dkr.ecr.ap-east-1.amazonaws.com` | 
| Middle East (Bahrain) | `541829937850.dkr.ecr.me-south-1.amazonaws.com` | 
| Europa (Milán) | `528450769569.dkr.ecr.eu-south-1.amazonaws.com` | 
| Europa (España) | `531047660167.dkr.ecr.eu-south-2.amazonaws.com` | 
| África (Ciudad del Cabo) | `379032919888.dkr.ecr.af-south-1.amazonaws.com` | 
| Asia-Pacífico (Melbourne) | `750462861327.dkr.ecr.ap-southeast-4.amazonaws.com` | 
| Israel (Tel Aviv) | `292660727137.dkr.ecr.il-central-1.amazonaws.com` | 

# Repositorio ECR para GuardDuty agentes en AWS Fargate (solo Amazon ECS)
<a name="ecs-runtime-agent-ecr-image-uri"></a>

Como requisito previo para utilizar Runtime Monitoring para Amazon ECS-Fargate, se debe [Requisitos previos para el acceso a imágenes de contenedores](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs). La imagen del contenedor sidecar del GuardDuty agente se almacena en Amazon ECR y sus capas de imágenes se almacenan en Amazon S3. Para obtener más información, consulte [Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md).

En la siguiente tabla se muestran los repositorios de Amazon ECR que alojan el GuardDuty agente para cada uno de ellos (solo AWS Fargate Amazon ECS). Región de AWS


| **Región de AWS** | **URI del repositorio de Amazon ECR** | 
| --- | --- | 
| Oeste de EE. UU. (Oregón) | `733349766148.dkr.ecr.us-west-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (París) | `665651866788.dkr.ecr.eu-west-3.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Mumbai) | `251508486986.dkr.ecr.ap-south-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Hyderabad) | `950823858135.dkr.ecr.ap-south-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Canadá (centro) | `354763396469.dkr.ecr.ca-central-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Medio Oriente (EAU) | `000014521398.dkr.ecr.me-central-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Londres) | `892757235363.dkr.ecr.eu-west-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Oeste de EE. UU. (Norte de California) | `684579721401.dkr.ecr.us-west-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Este de EE. UU. (Norte de Virginia) | `593207742271.dkr.ecr.us-east-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Este de EE. UU. (Ohio) | `307168627858.dkr.ecr.us-east-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Irlanda) | `694911143906.dkr.ecr.eu-west-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| América del Sur (São Paulo) | `758426053663.dkr.ecr.sa-east-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Estocolmo) | `591436053604.dkr.ecr.eu-north-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Fráncfort) | `323658145986.dkr.ecr.eu-central-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Zúrich) | `529164026651.dkr.ecr.eu-central-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Singapur) | `174946120834.dkr.ecr.ap-southeast-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Sídney) | `005257825471.dkr.ecr.ap-southeast-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Yakarta) | `510637619217.dkr.ecr.ap-southeast-3.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Tokio) | `533107202818.dkr.ecr.ap-northeast-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Seúl) | `914738172881.dkr.ecr.ap-northeast-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Osaka) | `273192626886.dkr.ecr.ap-northeast-3.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Hong Kong) | `258348409381.dkr.ecr.ap-east-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Middle East (Bahrain) | `536382113932.dkr.ecr.me-south-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (Milán) | `266869475730.dkr.ecr.eu-south-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Europa (España) | `919611009337.dkr.ecr.eu-south-2.amazonaws.com/aws-guardduty-agent-fargate` | 
| África (Ciudad del Cabo) | `197869348890.dkr.ecr.af-south-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Melbourne) | `251357961535.dkr.ecr.ap-southeast-4.amazonaws.com/aws-guardduty-agent-fargate` | 
| Israel (Tel Aviv) | `870907303882.dkr.ecr.il-central-1.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Malasia) | `156041399949.dkr.ecr.ap-southeast-5.amazonaws.com/aws-guardduty-agent-fargate` | 
| Asia-Pacífico (Tailandia) | `054037130133.dkr.ecr.ap-southeast-7.amazonaws.com/aws-guardduty-agent-fargate` | 
| Oeste de Canadá (Calgary) |  `339712888787.dkr.ecr.ca-west-1.amazonaws.com/aws-guardduty-agent-fargate`  | 
| México (centro) | `311141559934.dkr.ecr.mx-central-1.amazonaws.com/aws-guardduty-agent-fargate`  | 
| Asia-Pacífico (Taipéi) | `259886477082.dkr.ecr.ap-east-2.amazonaws.com/aws-guardduty-agent-fargate`  | 

# Dos agentes de seguridad en el mismo host subyacente
<a name="two-security-agents-installed-on-ec2-node"></a>

Las instancias de Amazon EC2 pueden admitir varios tipos de cargas de trabajo. Cuando se configura un agente de seguridad automatizado en una instancia de Amazon EC2, es posible que la misma instancia de EC2 tenga otro agente de seguridad a través de EKS.

## Descripción general de
<a name="overview-two-security-agents-guardduty"></a>

Considere un escenario en el que ha habilitado la Supervisión en tiempo de ejecución. Ahora, habilita el agente automatizado para Amazon EKS mediante GuardDuty. Además, ha habilitado el agente automatizado para Amazon EC2. Puede ocurrir que el mismo host subyacente se instale con dos agentes de seguridad: uno para Amazon EKS y otro para Amazon EC2. Esto podría provocar que dos agentes de seguridad se ejecutaran en el mismo host y recopilaran los eventos en tiempo de ejecución y los enviaran a ellos GuardDuty, lo que podría generar resultados duplicados.

## Impact
<a name="impact-two-security-agents-guardduty"></a>
+ Cuando hay más de un agente de seguridad en ejecución en el mismo host, es posible que la cuenta experimente el doble de demanda de CPU y memoria. Para obtener más información acerca de los límites de CPU y memoria para cada tipo de recurso, consulte [Requisitos previos](runtime-monitoring-prerequisites.md) para ese recurso.
+ GuardDuty ha diseñado la función de monitorización del tiempo de ejecución de forma que, aunque se superpongan dos agentes de seguridad que recopilen eventos en tiempo de ejecución del mismo host subyacente, solo se le cobre a su cuenta por una transmisión de eventos en tiempo de ejecución.

## ¿Cómo GuardDuty gestiona varios agentes
<a name="how-guardduty-handles-multiple-agents"></a>

GuardDuty detecta cuando dos agentes de seguridad se están ejecutando en el mismo host y designa solo a uno de ellos como el agente de seguridad que recopila activamente los eventos de tiempo de ejecución. El segundo agente consumirá un mínimo de recursos del sistema para evitar cualquier impacto en el rendimiento de las aplicaciones.

GuardDuty tiene en cuenta los siguientes escenarios:
+ Cuando una instancia de EC2 entra en el ámbito tanto de los agentes de seguridad de Amazon EKS como de Amazon EC2, el agente de seguridad de EKS tiene prioridad. Esto se aplicará únicamente si utiliza la versión 1.1.0 o posterior del agente de seguridad para Amazon EC2. Las versiones más antiguas de los agentes seguirán en ejecución y aún recopilarán eventos en tiempo de ejecución, ya que las versiones más antiguas no se ven afectadas por la priorización.
+ Cuando Amazon EKS y Amazon EC2 hayan GuardDuty gestionado agentes de seguridad y su instancia de Amazon EC2 también esté gestionada por SSM, ambos agentes de seguridad se instalarán en el nivel de host. Una vez instalados los agentes, GuardDuty decide qué agente de seguridad seguirá ejecutándose. Cuando ambos agentes de seguridad se ejecutan, finalmente solo uno de ellos recopila eventos en tiempo de ejecución.
+ Cuando los agentes de seguridad asociados a EC2 y EKS se ejecutan al mismo tiempo, es GuardDuty posible que solo se generen resultados duplicados durante el período de superposición.

  Esto puede ocurrir si:
  + Los agentes de seguridad tanto para EC2 como para EKS se configuran mediante GuardDuty (automáticamente), o
  + El recurso de Amazon EKS cuenta con un agente de seguridad automatizado.
+ Cuando el agente de seguridad EKS ya está en ejecución, si lo implementa manualmente en el mismo host subyacente y cumple todos los requisitos previos, es GuardDuty posible que no instale un segundo agente de seguridad.

# Supervisión del tiempo de ejecución de EKS en GuardDuty
<a name="eks-runtime-monitoring-guardduty"></a>

EKS Runtime Monitoring proporciona cobertura de detección de amenazas en tiempo de ejecución para los nodos y contenedores de Amazon Elastic Kubernetes Service (Amazon EKS) de su entorno. AWS EKS Runtime Monitoring utiliza un agente de GuardDuty seguridad que añade visibilidad en tiempo de ejecución a las cargas de trabajo individuales de EKS, por ejemplo, el acceso a los archivos, la ejecución de procesos y las conexiones de red. El agente GuardDuty de seguridad ayuda a GuardDuty identificar los contenedores específicos de los clústeres de EKS que pueden estar en peligro. También puede detectar los intentos de transferir los privilegios de un contenedor individual al host EC2 subyacente y al entorno más amplio AWS .

Con la disponibilidad de Runtime Monitoring, se GuardDuty ha consolidado la experiencia de consola de EKS Runtime Monitoring en Runtime Monitoring. GuardDuty no migrará automáticamente la configuración de EKS Runtime Monitoring en su nombre. Para ello, es necesario que actúe. Si desea seguir utilizando únicamente EKS Runtime Monitoring, puede usar APIs o AWS CLI para comprobar y actualizar el estado de la configuración actual de EKS Runtime Monitoring. Sin embargo, GuardDuty recomienda [Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución](migrating-from-eksrunmon-to-runtime-monitoring.md) usar Runtime Monitoring para monitorear los clústeres de Amazon EKS.

**Topics**
+ [Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API)](eks-runtime-monitoring-configuration-multiple-accounts.md)
+ [Configurar la Supervisión en tiempo de ejecución de EKS para una cuenta independiente (API)](eks-runtime-monitoring-configuration-standalone-acc.md)
+ [Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución](migrating-from-eksrunmon-to-runtime-monitoring.md)

# Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API)
<a name="eks-runtime-monitoring-configuration-multiple-accounts"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar EKS Runtime Monitoring para las cuentas de los miembros y administrar los GuardDuty agentes de los clústeres de EKS que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Configuración de EKS Runtime Monitoring para la cuenta de administrador delegado GuardDuty
<a name="eks-protection-configure-delegated-admin"></a>

En esta sección se proporcionan los pasos para configurar EKS Runtime Monitoring y administrar el agente de GuardDuty seguridad para los clústeres de EKS que pertenecen a la cuenta de GuardDuty administrador delegado.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Método preferido para administrar el agente GuardDuty de seguridad**  | **Pasos** | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  Ejecute la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) con su propio ID de detector regional y pase el nombre del objeto `features`como `EKS_RUNTIME_MONITORING` y el estado como `ENABLED`.  Establezca el estado de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta. Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. En el ejemplo siguiente se habilita `EKS_RUNTIME_MONITORING` y `EKS_ADDON_MANAGEMENT`: <pre>aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## Habilitación automática de la supervisión en tiempo de ejecución de EKS para todas las cuentas de miembros
<a name="auto-enable-eksrunmon-existing-memberaccounts"></a>

En esta sección se incluyen los pasos para habilitar la Supervisión en tiempo de ejecución de EKS y administrar el agente de seguridad para todas las cuentas de miembro. Esto incluye la cuenta de GuardDuty administrador delegado, las cuentas de los miembros existentes y las nuevas cuentas que se unen a la organización.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Enfoque preferido para administrar el agente GuardDuty de seguridad**  | **Pasos** | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  Para activar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia*detector ID*.  Establezca el estado de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta. Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. En el ejemplo siguiente se habilita `EKS_RUNTIME_MONITORING` y `EKS_ADDON_MANAGEMENT`: <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  También puedes pasar una lista de cuentas IDs separadas por un espacio.  Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## Configuración de la supervisión en tiempo de ejecución de EKS para todas las cuentas de miembros activas existentes
<a name="eks-protection-configure-active-members"></a>

En esta sección se incluyen los pasos para habilitar EKS Runtime Monitoring y administrar el agente de GuardDuty seguridad para las cuentas de los miembros activos existentes en su organización.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Enfoque preferido para administrar el agente GuardDuty de seguridad**  |  **Pasos**  | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  Para activar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia*detector ID*.  Establezca el estado de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta. Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. En el ejemplo siguiente se habilita `EKS_RUNTIME_MONITORING` y `EKS_ADDON_MANAGEMENT`: <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  También puedes pasar una lista de cuentas IDs separadas por un espacio.  Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## Habilitación automática de la supervisión en tiempo de ejecución de EKS para los nuevos miembros
<a name="eks-protection-configure-auto-enable-new-members"></a>

La cuenta de GuardDuty administrador delegado puede habilitar automáticamente EKS Runtime Monitoring y elegir un enfoque para administrar el agente de GuardDuty seguridad para las nuevas cuentas que se unan a su organización.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Método preferido para gestionar el agente de seguridad GuardDuty**  |  **Pasos**  | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  Para habilitar de forma selectiva la monitorización del tiempo de ejecución de EKS en sus nuevas cuentas, invoque la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API con la suya propia. *detector ID* Establezca el estado de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta. Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. En el siguiente ejemplo se habilitan `EKS_RUNTIME_MONITORING` y `EKS_ADDON_MANAGEMENT` para una sola cuenta. También puedes pasar una lista de cuentas IDs separadas por un espacio. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. <pre>aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'</pre> Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## Habilitación de la Supervisión en tiempo de ejecución de EKS para cuentas de miembros activas individuales
<a name="eks-protection-configure-selectively-member-accounts"></a>

En esta sección se incluyen los pasos para configurar la Supervisión en tiempo de ejecución de EKS y administrar el agente de seguridad para cuentas de miembro activas individuales.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Método preferido para gestionar el agente GuardDuty de seguridad**  |  **Pasos**  | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  Para activar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia*detector ID*.  Establezca el estado de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta. Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. En el ejemplo siguiente se habilita `EKS_RUNTIME_MONITORING` y `EKS_ADDON_MANAGEMENT`: <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  También puedes pasar una lista de cuentas IDs separadas por un espacio.  Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

# Configurar la Supervisión en tiempo de ejecución de EKS para una cuenta independiente (API)
<a name="eks-runtime-monitoring-configuration-standalone-acc"></a>

Una cuenta independiente es la que decide activar o desactivar un plan de protección Cuenta de AWS en un plan específico Región de AWS. 

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API)](eks-runtime-monitoring-configuration-multiple-accounts.md).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según los [Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters), puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.


|  **Enfoque preferido para administrar el agente GuardDuty de seguridad**  | **Pasos** | 
| --- | --- | 
|  Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-standalone-acc.html)  | 
| Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-standalone-acc.html)  | 
| Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-standalone-acc.html)  | 
|  Administración manual del agente de seguridad  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/eks-runtime-monitoring-configuration-standalone-acc.html)  | 

# Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución
<a name="migrating-from-eksrunmon-to-runtime-monitoring"></a>

Con el lanzamiento de GuardDuty Runtime Monitoring, la cobertura de detección de amenazas se ha ampliado a los contenedores de Amazon ECS y a las instancias de Amazon EC2. La experiencia de Supervisión en tiempo de ejecución de EKS se ha consolidado ahora en Supervisión en tiempo de ejecución. Puede habilitar Runtime Monitoring y administrar agentes de GuardDuty seguridad individuales para cada tipo de recurso (instancia de Amazon EC2, clúster de Amazon ECS y clúster de Amazon EKS) cuyo comportamiento en tiempo de ejecución desee supervisar.

GuardDuty ha consolidado la experiencia de consola de EKS Runtime Monitoring en Runtime Monitoring. GuardDuty recomienda [Verificar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS](checking-eks-runtime-monitoring-enable-status.md) y[Migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución](#migrating-from-eksrunmon-to-runtime-monitoring).

Como parte de la migración a la Supervisión en tiempo de ejecución, asegúrese de [Desactivar la Supervisión en tiempo de ejecución de EKS](disabling-eks-runtime-monitoring.md). Esto es crucial porque, si en el futuro decide desactivar la Supervisión en tiempo de ejecución pero no desactiva la Supervisión en tiempo de ejecución de EKS, no dejará de incurrir en costos asociados al uso de esta última.

**Para migrar de la Supervisión en tiempo de ejecución de EKS a la Supervisión en tiempo de ejecución**

1. La GuardDuty consola es compatible con EKS Runtime Monitoring como parte de Runtime Monitoring. 

   Para comenzar a utilizar la Supervisión en tiempo de ejecución, puede [Verificar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS](checking-eks-runtime-monitoring-enable-status.md) de la organización y las cuentas.

   Asegúrese de no desactivar la Supervisión en tiempo de ejecución de EKS antes de habilitar la Supervisión en tiempo de ejecución. Si desactiva la Supervisión en tiempo de ejecución de EKS, también se desactivará la administración del complemento de Amazon EKS. Siga los pasos que se indican a continuación en el mismo orden.

1. Asegúrese de cumplir todos los [Requisitos previos para habilitar la Supervisión en tiempo de ejecución](runtime-monitoring-prerequisites.md).

1. Habilite la Supervisión en tiempo de ejecución. Para hacerlo, replique los mismos ajustes de configuración de la organización que utiliza para la Supervisión en tiempo de ejecución de EKS. Para obtener más información, consulte [Habilitación de la supervisión en tiempo de ejecución](runtime-monitoring-configuration.md). 
   + Si tiene una cuenta independiente, debe habilitar la Supervisión en tiempo de ejecución.

     Si su agente de GuardDuty seguridad ya está desplegado, los ajustes correspondientes se replican automáticamente y no es necesario volver a configurarlos.
   + Si una organización utiliza la configuración de habilitación automática, asegúrese de replicar la misma configuración de habilitación automática para la Supervisión en tiempo de ejecución.
   + Si tiene una organización con ajustes configurados individualmente para las cuentas de los miembros activos existentes, asegúrese de habilitar Runtime Monitoring y configurar el agente de GuardDuty seguridad para estos miembros de forma individual.

1. Una vez que se haya asegurado de que la configuración de Runtime Monitoring y del agente de GuardDuty seguridad es correcta, [desactive EKS Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/disabling-eks-runtime-monitoring.html) mediante la API o el AWS CLI comando. 

1. (Opcional) si desea limpiar cualquier recurso asociado al agente GuardDuty de seguridad, consulte[Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución](runtime-monitoring-agent-resource-clean-up.md).

Si desea continuar con el uso de la Supervisión en tiempo de ejecución de EKS sin activar la Supervisión en tiempo de ejecución, consulte [Supervisión del tiempo de ejecución de EKS en GuardDuty](eks-runtime-monitoring-guardduty.md). En función de su caso de uso, elija los pasos para configurar la Supervisión en tiempo de ejecución de EKS para una cuenta independiente o para varias cuentas de miembro.

# Verificar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS
<a name="checking-eks-runtime-monitoring-enable-status"></a>

Utilice lo siguiente APIs o los AWS CLI comandos para comprobar el estado de configuración existente de EKS Runtime Monitoring. 

**Para comprobar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS existente en la cuenta**
+ Ejecute [GetDetector](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetDetector.html)para comprobar el estado de configuración de su propia cuenta.
+ Como alternativa, puede ejecutar el siguiente comando. Para ello, utilice la AWS CLI:

  ```
  aws guardduty get-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1
  ```

  Asegúrese de reemplazar el ID del detector de su región Cuenta de AWS y el de la región actual. Para encontrar el `detectorId` de tu cuenta y tu región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

**Para comprobar el estado de la configuración actual de EKS Runtime Monitoring en su organización (solo como cuenta de GuardDuty administrador delegado)**
+ Ejecute [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)para comprobar el estado de configuración de su organización.

  También puede ejecutar el siguiente comando mediante la AWS CLI:

  ```
  aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1
  ```

  Asegúrese de sustituir el ID del detector por el ID del detector de su cuenta de GuardDuty administrador delegado y la región por la región actual. Para encontrar el `detectorId` de su cuenta y su región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

# Desactivar la Supervisión en tiempo de ejecución de EKS después de migrar a la Supervisión en tiempo de ejecución
<a name="disabling-eks-runtime-monitoring"></a>

Una vez que se haya asegurado de que la configuración existente para la cuenta u organización se ha replicado en la Supervisión en tiempo de ejecución, podrá desactivar la Supervisión en tiempo de ejecución de EKS.

**Para desactivar la Supervisión en tiempo de ejecución de EKS**
+ **Para desactivar la Supervisión en tiempo de ejecución de EKS en una cuenta propia**

  Ejecuta la [UpdateDetector](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API con tu propia región*detector-id*.

  Como alternativa, puedes usar el siguiente AWS CLI comando. *12abc34d567e8fa901bc2d34e56789f0*Sustitúyalo por su propia región*detector-id*.

  ```
  aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "DISABLED"}]'
  ```
+ **Para desactivar la Supervisión en tiempo de ejecución de EKS para las cuentas de miembro de la organización**

  Ejecute la [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la región *detector-id* de la cuenta de GuardDuty administrador delegado de la organización. 

  Como alternativa, puede usar el siguiente AWS CLI comando. *12abc34d567e8fa901bc2d34e56789f0*Sustitúyala por la región *detector-id* de la cuenta de GuardDuty administrador delegado de la organización y *111122223333* por el Cuenta de AWS ID de la cuenta de miembro para la que deseas deshabilitar esta función.

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "DISABLED"}]'
  ```
+ **Para actualizar la configuración de habilitación automática de la Supervisión en tiempo de ejecución de EKS para la organización**

  Siga este paso únicamente si ha configurado la habilitación automática de la Supervisión en tiempo de ejecución de EKS para las cuentas nuevas (`NEW`) o para todas (`ALL`) las cuentas de miembro de la organización. Si ya ha establecido este ajuste como `NONE`, puede omitir este paso.
**nota**  
Establecer la configuración de habilitación automática de la Supervisión en tiempo de ejecución de EKS en `NONE` significa que la Supervisión en tiempo de ejecución de EKS no se habilitará automáticamente para ninguna cuenta de miembro existente o cuando una nueva cuenta de miembro se una a la organización.

  Ejecute la [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API con la región *detector-id* de la cuenta de GuardDuty administrador delegado de la organización. 

  Como alternativa, puede usar el siguiente AWS CLI comando. *12abc34d567e8fa901bc2d34e56789f0*Sustitúyala por la regional *detector-id* de la cuenta de GuardDuty administrador delegado de la organización. Sustituya *EXISTING\$1VALUE* el por su configuración actual para la activación automática GuardDuty.

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members EXISTING_VALUE --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NONE"}]'
  ```

# GuardDuty versiones de lanzamiento del agente de seguridad
<a name="runtime-monitoring-agent-release-history"></a>

GuardDuty publica de vez en cuando una versión actualizada del agente. Cuando GuardDuty gestiona el agente automáticamente, GuardDuty está diseñado para actualizar el agente en su nombre. Si administra el agente manualmente, será responsable de actualizar la versión del agente para los tipos de recursos: instancias de Amazon EC2, clústeres de Amazon ECS y clústeres de Amazon EKS. 

En las siguientes secciones se proporcionan las versiones de lanzamiento de los agentes de GuardDuty seguridad y las notas de versión asociadas para todos los tipos de recursos compatibles.

**Temas**
+ [GuardDuty versiones de agentes de seguridad para instancias de Amazon EC2](#ec2-gdu-agent-release-history)
+ [GuardDuty versiones de agentes de seguridad para AWS Fargate (solo Amazon ECS)](#ecs-gdu-agent-release-history)
+ [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](#eks-runtime-monitoring-agent-release-history)
+ [Recursos adicionales: próximos pasos](#runtime-monitoring-related-agent-versions-next-steps)

## GuardDuty versiones de agentes de seguridad para instancias de Amazon EC2
<a name="ec2-gdu-agent-release-history"></a>

En la siguiente tabla se muestra el historial de versiones del agente GuardDuty de seguridad para Amazon EC2.


| Versi\$1on para distribuidores de SSM | Versión del agente | Notas de la versión | Fecha de disponibilidad | 
| --- | --- | --- | --- | 
| v1.9.2 | v1.9.2 |  Se agregó soporte para los núcleos 6.15, 6.16, 6.17 y 6.18. Se ha añadido soporte para Alma Linux 9, Alma Linux 10 y SUSE Linux Enterprise Server 16. Para obtener una lista de todas las distribuciones de sistema operativo verificadas para los recursos de Amazon EC2, consulte [Validar los requisitos de arquitectura](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2).  | 24 de febrero de 2026 | 
| v1.9.1 | v1.9.1 |  Ajustes generales del rendimiento y actualizaciones de las funciones de seguridad.  | 10 de noviembre de 2025 | 
| Versión 1.9.0 | Versión 1.9.0 |  Mejoras y ajustes generales de rendimiento.  | 23 de octubre de 2025 | 
| v1.8.0 | v1.8.0 |  Mejoras y ajustes generales de rendimiento.  | 12 de agosto de 2025 | 
| v1.7.2 | v1.7.1 |  Compatibilidad mejorada para la instalación de agentes locales para distribuciones de Linux basadas en RPM.  | 23 de julio de 2025 | 
| v1.7.1 | 1.7.1 |  Se agregó compatibilidad para Fedora 40 y Fedora 41. Para obtener una lista de todas las distribuciones de sistema operativo verificadas para los recursos de Amazon EC2, consulte [Validar los requisitos de arquitectura](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2). Mejoras y ajustes generales de rendimiento.  | 3 de junio de 2025 | 
| v1.7.0 | v1.7.0 |  Se agregó compatibilidad para las versiones 8.9 y 9.3 de Oracle Linux y para la versión 9.5 de Rocky Linux. Para obtener una lista de todas las distribuciones de sistema operativo verificadas para los recursos de Amazon EC2, consulte [Validar los requisitos de arquitectura](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2). Resolución de ID de contenedor mejorada. Mejoras y ajustes generales de rendimiento.  | 3 de abril de 2025 | 
| Versión 1.6.0 | Versión 1.6.0 |  Mejoras y ajustes generales de rendimiento.  | 6 de febrero de 2025 | 
| v1.5.0 | v1.5.0 |  Se agregó soporte para CentOS Stream 9.0, RedHat 9.4, Fedora 34.0 y Ubuntu 24.04. Compatibilidad con instancias de ARM para resultados `.../MetadataDNSRebind`. Mejoras y ajustes generales de rendimiento.  | 20 de noviembre de 2024 | 
| v1.3.1 | v1.3.1 |  Compatibilidad con resolutores de DNS personalizados.  | 12 de septiembre de 2024 | 
| v1.3.0 | v1.3.0 |  Mejoras y ajustes generales de rendimiento. Incluye compatibilidad para capturar señales de seguridad adicionales para futuros [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).  | 19 de agosto de 2024 | 
| v1.2.0 | v1.2.0 |  Compatible con las distribuciones del sistema oporativo Ubuntu 20.04, Ubuntu 22.04, Debian 11 y Debian 12. Compatible con los kernel 6.5 y 6.8 Mejoras y ajustes generales de rendimiento.  | 13 de junio de 2024 | 
| v1.1.0 | v1.1.0 |  Admite la configuración GuardDuty automática de agentes en Runtime Monitoring para instancias de Amazon EC2. Admite nuevas señales de seguridad y resultados publicados con el anuncio de la disponibilidad general dRuntime Monitoring para instancias de EC2. Mejoras y ajustes generales de rendimiento.  | 26 de marzo de 2024 | 
| v1.0.2 | v1.0.2 | Es compatible con la última versión de Amazon ECS AMIs. | 2 de febrero de 2024 | 
| v1.0.1 | v1.0.1 |  Las versiones del agente publicadas antes de la v1.0.2 son incompatibles con Amazon ECS AMIs lanzadas después del 31 de enero de 2024. Mejoras y ajustes generales de rendimiento.  | 23 de enero de 2024 | 
| v1.0.0 | v1.0.0 | Versión inicial de la instalación RPM. Las versiones del agente publicadas antes de la v1.0.2 son incompatibles con Amazon ECS AMIs lanzadas después del 31 de enero de 2024. | 26 de noviembre de 2023 | 

## GuardDuty versiones de agentes de seguridad para AWS Fargate (solo Amazon ECS)
<a name="ecs-gdu-agent-release-history"></a>

En la siguiente tabla se muestra el historial de versiones del agente de GuardDuty seguridad de Fargate (solo en Amazon ECS).


| Versión del agente | Imagen de contenedor | Notas de la versión | Fecha de disponibilidad | 
| --- | --- | --- | --- | 
| Versión 1.9.0 |  **x86\$164** (): AMD64 `sha256:fd9acaa2326f180f0ed0c5a25d8ff0a2d0498a6e900c34c68d4e973ea7fb26a8` **Gravitón** (): ARM64 `sha256:0b04f8c28956684e752677bfd83dbc45afc8a43f7791fa44667b8078ba48a295`  |  Mejoras de seguridad y ajustes generales de rendimiento.  | 28 de octubre de 2025 | 
| v1.8.0 |  **x86\$164** (): AMD64 `sha256:4425417f39e38b24c1be428bacad1dad53e0645530dcf4422436353bfe358e3a` **Gravitón** (): ARM64 `sha256:aff069418fd6825846f8f575c49906a67c8a446d12d9ed0d21ab95bd0d05497b`  |  Mejoras y ajustes generales de rendimiento.  | 12 de agosto de 2025 | 
| v1.7.0 |  **x86\$164** (): AMD64 `sha256:bf9197abdf853607e5fa392b4f97ccdd6ca56dd179be3ce8849e552d96582ac8` **Gravitón** (): ARM64 `sha256:56c8683c948bcd82c0dbcebf755204365ac7285994693c11717bd45f86e279c2`  |  Resolución de ID de contenedor mejorada. Mejoras y ajustes generales de rendimiento.  | 4 de abril de 2025 | 
| Versión 1.6.0 |  **x86\$164** (): AMD64 `sha256:c8dea71d372bc47b2f236f7a091b9a9b06bc8193c1cfe4c9346eb50f89258897` **Gravitón** (): ARM64 `sha256:f4032a566b90537646c2a987bef42eca1b498078ccc58a848603f877971a8dbe`  |  Mejoras y ajustes generales de rendimiento.  | 6 de febrero de 2025 | 
| v1.5.0 |  **x86\$164** (): AMD64 `sha256:5e6fdc41f9eb748219d0498cd6c1dba6a19d875daec50167a0ac80e5028eac54` **Gravitón** (): ARM64 `sha256:d56801ff6864d6014740103b70b1c38431851358d182613bede20fe21090e734`  |  Compatibilidad con tareas de ARM para resultados `.../MetadataDNSRebind`. Mejoras y ajustes generales de rendimiento.  | 14 de noviembre de 2024 | 
| v1.4.1 |  **x86\$164** (): AMD64 `sha256:ef36a11151ec2d3d7db22273bfb954750dee76f0ac7bec37a7ba7e74c3de1c78` **Gravitón** (): ARM64 `sha256:a8844544a59d6b4cba98f8e528b513ac2d97432f208e3ad497cc16b331aa9faa`  |  Endurecimiento de imágenes de contenedor. Mejoras y ajustes generales de rendimiento.  | 24 de octubre de 2024 | 
| v1.3.1 |  **x86\$164** (): AMD64 `sha256:a6e2307d796e2875907bc4c1c69622c906f3192ddc42ef27b99e0a8f0979f3e0` **Gravitón** (): ARM64 `sha256:ad1b6539d806edb504f17e6bcfb8b4026c5e822300afc31c0d23c6a08f9b99e9`  |  Compatibilidad con resolutores de DNS personalizados.  | 11 de septiembre de 2024 | 
| v1.3.0 |  **x86\$164** (): AMD64 `sha256:f1ad3fb2dc55a1110c60eecf4453b9f9c02f29acb261df39814e7d29296bf831` **Gravitón** (): ARM64 `sha256:ff81a755d46681e409f55a95beedae9ebbcf5336e1c0b1e6348af7c6518bdbb1`  |  Mejoras y ajustes generales de rendimiento. Incluye compatibilidad para capturar señales de seguridad adicionales para futuros GuardDuty [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).  | 9 de agosto de 2024 | 
| v1.2.0 |  **x86\$164** (): AMD64 `sha256:1dbad20ac2dc66d52d00bb28dde4281fe0d3c5f261b1649b247c2369d9e26b93` **Gravitón** (): ARM64 `sha256:91930f8446f5f95b93b8ccb18773992affa401eb3f42da89d68077a56bafa6cd`  |  Mejoras y ajustes generales de rendimiento.  | 31 de mayo de 2024 | 
| v1.1.0 |  **x86\$164** (): AMD64 `sha256:83ce3cf2ef85a349ed1797a8cf30a008ac5d8c9f673f2835823957e9dcf71657` **Gravitón** (): ARM64 `sha256:0d4b61648d7bdeab8ab8d94684f805498927c7d437d318204dcccfe8c9383dc7`  |  Admite nuevas señales y resultados de seguridad. Mejoras y ajustes generales de rendimiento.  | 1 de mayo de 2024 | 
| v1.0.1 |  **x86\$164** (): AMD64 `sha256:9f8cd438fb66f62d09bfc641286439f7ed5177988a314a6021ef4ff880642e68` **Gravitón** (): ARM64 `sha256:82c66bb615bd0d1e96db77b1f1fb51dc03220caa593b1962249571bf7147d1b7`  |  Mejoras y ajustes generales de rendimiento.  | 26 de enero de 2024 | 
| v1.0.0 |  **x86\$164** (): AMD64 `sha256:359b8b014e5076c625daa1056090e522631587a7afa3b2e055edda6bd1141017` **Gravitón** (): ARM64 `sha256:b9438690fa8a86067180a11658bec0f4f838ae3fbd225d04b9306250648b3984`  | Versión inicial del agente de GuardDuty seguridad para AWS Fargate (solo Amazon ECS). | 26 de noviembre de 2023 | 

## GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS
<a name="eks-runtime-monitoring-agent-release-history"></a>

GuardDuty publica de vez en cuando una versión actualizada del agente. Cuando GuardDuty gestiona el agente automáticamente, está diseñado para gestionar las actualizaciones del agente en su nombre. Si administra el agente de manera manual, es responsable de actualizar la versión del agente para los clústeres de Amazon EC2. 

Antes de actualizar el agente a una versión específica, añada el registro de imágenes GuardDuty al `allowed-container-registries` controlador de admisión. Para obtener más información, consulte [Agente de alojamiento GuardDuty de repositorios Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md).

En la siguiente tabla se muestra el historial de versiones del [ GuardDuty agente de complementos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#add-ons-guard-duty).


| Versión del agente | Imagen de contenedor | Notas de la versión | Fecha de disponibilidad | Finalización del soporte estándar [1](#eks-security-agent-life-support-end) | 
| --- | --- | --- | --- | --- | 
| v1.12.1 |  **x86\$164** (): AMD64 `sha256:f29a597745e5acff48809bebac7d8091bbc38229453dd26710c549b817362491` **Gravitón** (): ARM64 `sha256:089cebdc7e891177e107a099c9a4e362d9d74b5362cd374b448a16078040f6c6`  |  Ajustes generales del rendimiento y actualizaciones de las funciones de seguridad.  | 17 de noviembre de 2025 | – | 
| v1.11.0 |  **x86\$164** (): AMD64 `sha256:7c398fd50dee5fe493c361aa7fe191e094ddfa000c65b449a9ed6a5cd53610e7` **Gravitón** (): ARM64 `sha256:98a547b47d4770f45e75eb9730c807d9265722ca2f391e0aa5cb19e487ab455f`  |  Se agregó compatibilidad para las distribuciones de sistemas operativos Fedora 40 y Fedora 41. Para obtener más información, consulte [Validación de los requisitos de arquitectura](prereq-runtime-monitoring-eks-support.md#eksrunmon-supported-platform-concepts) (para EKS). Mejoras de seguridad y ajustes generales de rendimiento.  | 29 de agosto de 2025 | – | 
| v1.10.0 |  **x86\$164** (): AMD64 `sha256:6dcbe5b055e1ef0af903071ede0b08f755ad5b7e9774a67df5399efdaa1f3d7d` **Gravitón** (): ARM64 `sha256:f05368822689610a4bab543abf93d3e070b1b559e62a2e67d82dfa9837600f72`  |  Resolución de ID de contenedor mejorada. Mejoras y ajustes generales de rendimiento.  | 4 de abril de 2025 | – | 
| Versión 1.9.0 |  **x86\$164** (): AMD64 `sha256:51c5789ef6570f9bec879ac48a8f4769718cbc31e45430032569917e219af63f` **Gravitón** (): ARM64 `sha256:9c2f74e7ea0827b7e422ae4c91fffc6c2bc41a1cdb96c7191d05259d337154e1`  |  Mejoras y ajustes generales de rendimiento.  | 2 de marzo de 2025 | – | 
| v1.8.1 |  **x86\$164** (): AMD64 `sha256:f2ce8cf89dbe17e3388cecb35053544dadf21af7770545f8d4b50384076aff47` **Gravitón** (): ARM64 `sha256:30f586e4b694e704bcafadfa9081ab0aeff3cfbcde39743a0f1e24f77d79627f`  |  Se agregó soporte para CentOS Stream 9.0, RedHat 9.4, Fedora 34.0 y Ubuntu 24.04. Compatibilidad con instancias de ARM para resultados `.../MetadataDNSRebind`. Mejoras y ajustes generales de rendimiento.  | 23 de noviembre de 2024 | – | 
| v1.7.1 |  **x86\$164** (): AMD64 `sha256:b8b86b5d0872c8b67fecf64ec3d172666360545435a1752447d510951a7fd749` **Gravitón** (): ARM64 `sha256:40ac4cfc354fd430ba7897ca1632e9a500ed13eeb0c315c5bcad38680e76b6e9`  |  Mejoras y ajustes generales de rendimiento. Incluye compatibilidad para capturar señales de seguridad adicionales para futuros [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md). Compatibilidad con resolutores de DNS personalizados.  | 13 de septiembre de 2024 | – | 
| v1.7.0 |  **x86\$164** (): AMD64 `sha256:f3a2a8806e6c2a7fd63a91cccf6f7dffcd7e68554a423d610cea8c7e8f2185ec` **Gravitón** (): ARM64 `sha256:b1a6db35a072c0de3c695e5e909a03e6c4e1fdbe47ecfaeb2784435cf67ebe0a`  |  Mejoras y ajustes generales de rendimiento. Incluye compatibilidad para capturar señales de seguridad adicionales para futuros [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).  | 17 de agosto de 2024 | – | 
| v1.6.1 |  **x86\$164** (): AMD64 `sha256:30650708a6601f6d6b9046f54b30f5fd65af296b1e40b8c24426b9bdb07c3ab1` **Gravitón** (): ARM64 `sha256:5f637c42ffb306b20f776d9d83e1e0b4be40ce245be44afcf43a8902b4d71019`  |  Mejoras y ajustes generales de rendimiento.  | 14 de mayo de 2024 | – | 
| Versión 1.6.0 |  **x86\$164** (): AMD64 `sha256:7dabcbee30d8b053676752fbc19e89f77272d9a6a53cc93731f5872180ef9010` **Gravitón** (): ARM64 `sha256:9710f53afccdf4f22b265a1a6fc27f1469403af1f7d5d08c4869a7269cdd2650`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/runtime-monitoring-agent-release-history.html)  | 29 de abril de 2024 | – | 
| v1.5.0 |  **x86\$164** (): AMD64 `sha256:e09a4e70af4058a212f172cc8eb3fc23ad9bed547ed609faa2bb82cf7cc5532d` **Gravitón** (): ARM64 `sha256:afc9a3f8f17ae12499d76069efcf1b46271a5a4b2b3f6ba5de54637b8f55d5c6`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/runtime-monitoring-agent-release-history.html)  | 7 de marzo de 2024 | – | 
| v1.4.1 |  **x86\$164** (): AMD64 `sha256:66d491927763742660faa87cc2c39bb97b7873039157ae8b90bc999cb73d0b9c` **Gravitón** (): ARM64 `sha256:537a330b2dd82357024fb6daeb8761034b7defd43b10dffe0792c9e6d0778b40`  | Mejoras y ajustes generales de rendimiento.  | 16 de enero de 2024 | – | 
| v1.4.0 |  **x86\$164** (): AMD64 `sha256:848ce13d9430bad554ac23d4699551505326ada2a88e1a721fe9f86b56b52c0f` **Gravitón** (): ARM64 `sha256:0c650aeafeeb5f2bcb8b989ac849bedc1fae1a4de1cf6306ffdd9c6aebe67f8e`  |  El punto de montaje del manifiesto admite una mejor recopilación de datos AppArmor configuración en el manifiesto Argumento recopilar de la línea de comandos Mejoras y ajustes generales de rendimiento  | 21 de diciembre de 2023 | – | 
| v1.3.1 |  **x86\$164** (): AMD64 `sha256:55578fcb7b73097ade5c8404390ef16cf76a7b568490abaae01ac75992b3ea29` **Gravitón** (): ARM64 `sha256:e3ce8d66ac2121f8d476eb58f8bc50ab51336647615eb7cf514c21421cb818fd`  | Actualizaciones y revisiones de seguridad importantes.  | 23 de octubre de 2023 | – | 
|  v1.3.0  | **x86\$164** (): AMD64 `sha256:6dace2337dfbb7609811be89fb4b23ae0b865f1027ad78fbe69530bfbd46c694` **Gravitón** (): ARM64 `sha256:4928a7c6ef40e77c8ec95841323bb9a110db31f12c0ee7ab965e08b43efd01bb` | Compatible con la plataforma Ubuntu Compatible con la versión 1.28 de Kubernetes Mejoras generales de rendimiento y de estabilidad.  | 5 de octubre de 2023 | – | 
| v1.2.0 | **x86\$164** (): AMD64 `sha256:d610413d662ec042057f05d6942496d7f2c08e9f5a077ea307ffdb5d3f11bcc3` **Gravitón** (): ARM64 `sha256:174d7ab28b2f95e5309da80d95b88ad26f602dfe72c2b351a0ef9297a1412bfa` | Además de las instancias AMD64 basadas, la versión 1.2.0 ahora también admite ARM64 instancias basadas. Se ha agregado compatibilidad con Bottlerocket y se ha verificado. Compatible con la versión 1.27 de Kubernetes Mejoras generales de rendimiento y de estabilidad. | 16 de junio de 2023 | – | 
| v1.1.0 | `sha256:b19ba3a3c1a508d153263ae2fda891a7928b5ca9b3a5692db6c101829303281c` | Además de las [Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version), esta versión del agente también es compatible con la versión 1.26 de Kubernetes. Mejoras generales de rendimiento y de estabilidad. | 2 de mayo de 2023 | 14 de mayo de 2024 | 
| v1.0.0 | `sha256:e38bdd2b1323e89113f1a31bd4bc8e5a8098525dd98e6981a28b9906b1e4411e` | Versión inicial del agente del complemento de Amazon EKS. | 30 de marzo de 2023 | 14 de mayo de 2024 | 

**1**Para obtener información sobre cómo actualizar la versión actual del agente que está a punto de finalizar su soporte estándar, consulte [Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS](eksrunmon-update-security-agent.md).

## Recursos adicionales: próximos pasos
<a name="runtime-monitoring-related-agent-versions-next-steps"></a>

Para obtener más información sobre los próximos pasos, consulte los siguientes temas:
+ [Requisitos previos para habilitar la Supervisión en tiempo de ejecución](runtime-monitoring-prerequisites.md): con las nuevas versiones de los agentes, es posible que se actualice la sección de requisitos previos. Verifique y valide que sus recursos cumplen los requisitos previos más recientes.
+ [Administrar agentes GuardDuty de seguridad](runtime-monitoring-managing-agents.md): si administra el agente manualmente, es responsable de administrar las actualizaciones de la versión del agente que se ejecuta en sus recursos. Según el tipo de recurso (Amazon EKS o Amazon EC2-Amazon ECS), lleve a cabo los pasos para actualizar el agente de seguridad. Asegúrese también de validar la [configuración de punto de conexión de VPC](https://docs.aws.amazon.com/guardduty/latest/ug/validate-vpc-endpoint-config-runtime-monitoring.html). 
+ [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md): una vez que haya actualizado el agente de seguridad, podrá evaluar la cobertura de tiempo de ejecución de su recurso. Si hay algún problema de cobertura, siga los pasos de solución de problemas asociados.

# Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución
<a name="runtime-monitoring-agent-resource-clean-up"></a>

Esta sección se aplica Cuenta de AWS si decide deshabilitar Runtime Monitoring o solo la configuración GuardDuty automática del agente para un tipo de recurso.

**Deshabilitar la configuración GuardDuty automática de los agentes**  
GuardDuty no elimina el agente de seguridad que está desplegado en el recurso. Sin embargo, GuardDuty dejará de administrar las actualizaciones del agente de seguridad.  
GuardDuty sigue recibiendo los eventos de tiempo de ejecución de su tipo de recurso. Para evitar que sus estadísticas de uso se vean afectadas, asegúrese de eliminar el agente de GuardDuty seguridad del recurso.   
Ya sea que Cuenta de AWS utilice o no un punto de enlace de VPC compartido, GuardDuty no elimina el punto de enlace de VPC. Si es necesario, tendrá que eliminar el punto de conexión de VPC manualmente.

**Desactivar la Supervisión en tiempo de ejecución **y** la Supervisión en tiempo de ejecución de EKS**  
Esta sección se aplica en los siguientes casos:  
+ Nunca habilitó la Supervisión en tiempo de ejecución de EKS por separado y ahora desactivó la Supervisión en tiempo de ejecución.
+ Va a desactivar tanto la Supervisión en tiempo de ejecución como la Supervisión en tiempo de ejecución de EKS. Si no está seguro del estado de configuración de la Supervisión en tiempo de ejecución de EKS, consulte [Verificar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS](checking-eks-runtime-monitoring-enable-status.md).
**Desactivar la Supervisión en tiempo de ejecución sin desactivar la Supervisión en tiempo de ejecución de EKS**  
En este caso, en algún momento, habilitó la Supervisión en tiempo de ejecución de EKS y, posteriormente, también habilitó la Supervisión en tiempo de ejecución sin desactivar la Supervisión en tiempo de ejecución de EKS.  
Ahora, al desactivar la Supervisión en tiempo de ejecución, también deberá desactivar la Supervisión en tiempo de ejecución de EKS; de lo contrario, no dejará de incurrir en gastos por el uso de la Supervisión en tiempo de ejecución de EKS.
Si se dan las situaciones enumeradas anteriormente, GuardDuty realizará las siguientes acciones en su cuenta:  
+ GuardDuty elimina el punto final de la VPC que tiene `GuardDutyManaged` la `true` etiqueta:. Esta es la VPC que se GuardDuty creó para administrar el agente de seguridad automatizado.
+ GuardDuty elimina el grupo de seguridad que estaba etiquetado como`GuardDutyManaged`:. `true`
+ En el caso de una VPC compartida que haya sido utilizada por al menos una cuenta participante, GuardDuty no se elimina el punto final de la VPC ni el grupo de seguridad asociado al recurso de VPC compartido.
+ En el caso de un recurso de Amazon EKS, GuardDuty elimina el agente de seguridad. Esto es independiente de si se administra de forma manual o automática. GuardDuty

  En el caso de un recurso de Amazon ECS, dado que una tarea de ECS es inmutable, no GuardDuty se puede desinstalar el agente de seguridad de ese recurso. Esto es independiente de la forma en que administre el agente de seguridad, ya sea de forma manual o automática. GuardDuty Después de deshabilitar Runtime Monitoring, no GuardDuty conectará un contenedor lateral cuando comience a ejecutarse una nueva tarea de ECS. Para obtener información sobre cómo trabajar con tareas Fargate-ECS, consulte [Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md).

  En el caso de un recurso de Amazon EC2, GuardDuty desinstala el agente de seguridad de todas las instancias de Amazon EC2 gestionadas por Systems Manager (SSM) únicamente cuando cumpla las siguientes condiciones:
  + El recurso **no** está etiquetado con la etiqueta de exclusión `GuardDutyManaged`:`false`.
  + GuardDuty debe tener permisos para acceder a las etiquetas de los metadatos de la instancia. Para este recurso de EC2, el **Acceso a etiquetas en metadatos de instancia** está establecido en **Permitir**.

**Al dejar de administrar manualmente el agente de seguridad**  
Independientemente del enfoque que utilice para implementar y administrar el agente de GuardDuty seguridad, para dejar de monitorear los eventos de tiempo de ejecución en su recurso, debe eliminar el agente GuardDuty de seguridad. Cuando desee dejar de supervisar los eventos en tiempo de ejecución de un tipo de recurso en una cuenta, también puede eliminar el punto de conexión de Amazon VPC.

# Desinstalar manualmente el agente de seguridad para los recursos de Amazon EC2
<a name="uninstalling-gdu-ec2-agent-runtime-monitoring"></a>

En esta sección se proporcionan métodos para desinstalar el agente de GuardDuty seguridad de los recursos de Amazon EC2. Cuando administra el agente de seguridad manualmente, es responsable de eliminarlo de los recursos. GuardDuty no realizará ninguna acción con respecto a los recursos que usted administra.

Si creó un punto de conexión de Amazon VPC manualmente, después de desinstalar el agente de seguridad en todos los tipos de recursos supervisados de la cuenta, podrá optar por eliminar el punto de conexión de VPC. Se trata de un paso separado. Para obtener más información, consulte [To delete a VPC endpoint](clean-up-guardduty-agent-resources-process.md#runtime-monitoring-delete-vpc-endpoint).

En función de cómo haya instalado el agente de seguridad en el recurso, elija uno de los siguientes métodos para desinstalarlo.

**Topics**
+ [Método 1: mediante el Comando de ejecución](#remove-gdu-ec2-agent-run-command)
+ [Método 2: mediante administradores de paquetes de Linux](#remove-gdu-ec2-agent-rpm-script)

## Método 1: mediante el Comando de ejecución
<a name="remove-gdu-ec2-agent-run-command"></a>

Si instaló el agente de seguridad con [Método 1: usar AWS Systems Manager](installing-gdu-security-agent-ec2-manually.md#install-gdu-by-using-sys-runtime-monitoring), siga estos pasos para desinstalarlo: 

**Para desinstalar el agente GuardDuty de seguridad**

1. Puede desinstalar el agente de GuardDuty seguridad siguiendo los pasos que se especifican en la sección [AWS Systems Manager Ejecutar comando](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) de la *Guía del AWS Systems Manager usuario*. Utilice la acción Desinstalar en los parámetros para desinstalar el agente GuardDuty de seguridad.

   En la sección **Destinos**, asegúrese de que el impacto se produce únicamente en las instancias de Amazon EC2 de las que desea desinstalar el agente de seguridad. 

   Utilice el siguiente GuardDuty documento y distribuidor:
   + Nombre del documento: `AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`
   + Distributor: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`

1. Después de proporcionar todos los detalles, cuando elija **Ejecutar**, se eliminará el agente de seguridad que implementó en las instancias de Amazon EC2 de destino.

   Para eliminar la configuración del punto de conexión de Amazon VPC, debe desactivar tanto la Supervisión en tiempo de ejecución como la Supervisión en tiempo de ejecución de Amazon EKS.

1. Si también desea eliminar el punto de conexión de VPC asociado a este agente de seguridad, consulte [To delete a VPC endpoint](clean-up-guardduty-agent-resources-process.md#runtime-monitoring-delete-vpc-endpoint).

## Método 2: mediante administradores de paquetes de Linux
<a name="remove-gdu-ec2-agent-rpm-script"></a>

Si instaló el agente de seguridad con [Método 2: utilizar administradores de paquetes de Linux](installing-gdu-security-agent-ec2-manually.md#install-gdu-by-rpm-scripts-runtime-monitoring), siga estos pasos para desinstalarlo:

**Para desinstalar el agente GuardDuty de seguridad**

1. Conecte con la instancia. Para conocer los pasos necesarios, consulte [Establecer conexión con la instancia de Linux mediante un cliente SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html) en la *Guía del usuario de Amazon EC2*.

1. 

**Comando para la desinstalación**

   El siguiente comando desinstalará el agente de GuardDuty seguridad de la instancia de Amazon EC2 a la que se conecte:
   + Para RPM:

     ```
     sudo rpm -e amazon-guardduty-agent
     ```
   + Para Debian:

     ```
     sudo dpkg --purge amazon-guardduty-agent
     ```

   Después de ejecutar el comando, también puede comprobar los registros asociados a este.

1. Si también desea eliminar el punto de conexión de VPC asociado a este agente de seguridad, consulte [To delete a VPC endpoint](clean-up-guardduty-agent-resources-process.md#runtime-monitoring-delete-vpc-endpoint).

# Limpiar los recursos de los agentes de seguridad
<a name="clean-up-guardduty-agent-resources-process"></a>

En esta sección se explica cómo puede limpiar los AWS recursos asociados al agente de seguridad. Como se indica en[Desactivar, desinstalar y limpiar recursos](runtime-monitoring-agent-resource-clean-up.md), no GuardDuty eliminará ni quitará todos los recursos del agente de seguridad. En la siguiente sección se ofrecen instrucciones sobre cómo eliminar los recursos del agente de seguridad.

**Eliminación del punto de conexión de VPC de Amazon**  
Si administra el agente de seguridad manualmente, es posible que haya creado un punto de conexión de Amazon VPC manualmente. Después de desinstalar el agente de seguridad para todos los recursos supervisados en la cuenta, podrá optar por eliminar este punto de conexión de VPC.  
En la siguiente lista se presentan distintos casos en los que se puede utilizar una VPC compartida en lugar de no utilizarla.  
+ Sin una VPC compartida: Cuando ya no desee supervisar un recurso en una cuenta, considere la posibilidad de eliminar el punto de conexión de Amazon VPC.
+ Cuando una cuenta de propietario de una VPC compartida elimina el recurso de la VPC compartida que aún se utilizaba, la cobertura de la Supervisión en tiempo de ejecución (y, cuando corresponda, de la Supervisión en tiempo de ejecución de EKS) para los recursos de la cuenta de propietario de la VPC compartida y de la cuenta participante podría pasar a estar en mal estado. Para obtener información sobre el estado de la cobertura, consulte [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md).
Para eliminar un punto de conexión de VPC, consulte [Eliminar un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/delete-interface-endpoint.html) en la *Guía de AWS PrivateLink *.

**Para eliminar el grupo de seguridad**  
+ Sin una VPC compartida: cuando ya no desee supervisar un tipo de recurso en una cuenta, considere la opción de eliminar el grupo de seguridad asociado a la Amazon VPC.
+ Con una VPC compartida: cuando la cuenta de propietario de la VPC compartida elimina el grupo de seguridad, cualquier cuenta de participante que actualmente utilice el grupo de seguridad asociado a la VPC compartida, el estado de cobertura de la Supervisión en tiempo de ejecución para los recursos de la cuenta de propietario de la VPC compartida y la cuenta de participante podrían quedar en mal estado. Para obtener más información, consulte [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md).
Para obtener información sobre los pasos, consulte [Eliminar un grupo de seguridad de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/deleting-security-group.html) en la *Guía del usuario de Amazon EC2*.

**Para eliminar el agente GuardDuty de seguridad de un clúster de EKS**  
Para eliminar del clúster de EKS el agente de seguridad que ya no desea supervisar, consulte [Eliminar del clúster un complemento de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/removing-an-add-on.html) en la *Guía del usuario de Amazon EKS*.  
Al eliminar el agente del complemento de EKS, no se elimina el espacio de nombres `amazon-guardduty` del clúster de EKS. Para eliminar el espacio de nombres `amazon-guardduty`, consulte [Deleting a namespace](https://kubernetes.io/docs/tasks/administer-cluster/namespaces/#deleting-a-namespace).

**Para eliminar el espacio de nombres `amazon-guardduty` (clúster de EKS)**   
Al desactivar la configuración automatizada del agente, no se elimina automáticamente del clúster de EKS el espacio de nombres `amazon-guardduty`. Para eliminar el espacio de nombres `amazon-guardduty`, consulte [Deleting a namespace](https://kubernetes.io/docs/tasks/administer-cluster/namespaces/#deleting-a-namespace).