Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat untuk mengaktifkan Runtime Monitoring
Untuk mengaktifkan Runtime Monitoring dan mengelola agen GuardDuty keamanan, Anda harus memenuhi prasyarat untuk setiap jenis sumber daya yang ingin Anda pantau untuk deteksi ancaman. Setiap jenis sumber daya memiliki prasyarat yang berbeda. Misalnya, GuardDuty mendukung distribusi OS yang berbeda berdasarkan jenis sumber daya.
Saat Anda hanya ingin memantau sumber daya Amazon EC2, Anda akan mengikuti prasyarat untuk instans Amazon EC2. Jika di lain waktu, Anda memilih untuk memantau sumber daya Amazon EKS, Anda harus mengikuti prasyarat khusus untuk kluster Amazon EKS.
Bagian berikut mencakup prasyarat berdasarkan jenis sumber daya.
**Topics**
+ [Prasyarat untuk dukungan instans Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
+ [Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS)](prereq-runtime-monitoring-ecs-support.md)
+ [Prasyarat untuk dukungan cluster Amazon EKS](prereq-runtime-monitoring-eks-support.md)
# Prasyarat untuk dukungan instans Amazon EC2
Bagian ini mencakup prasyarat untuk memantau perilaku runtime instans Amazon EC2 Anda. Setelah prasyarat ini terpenuhi, lihat. [Mengaktifkan GuardDuty Runtime Monitoring](runtime-monitoring-configuration.md)
**Topics**
+ [Jadikan instans EC2 SSM dikelola (hanya untuk konfigurasi agen otomatis)](#ssm-managed-prereq-ec2)
+ [Validasi persyaratan arsitektur](#validating-architecture-req-ec2)
+ [Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun](#validate-organization-scp-ec2)
+ [Saat menggunakan konfigurasi agen otomatis](#runtime-ec2-prereq-automated-agent)
+ [CPU dan batas memori untuk GuardDuty agen](#ec2-cpu-memory-limits-gdu-agent)
+ [Langkah berikutnya](#next-step-after-prereq-ec2)
## Jadikan instans EC2 SSM dikelola (hanya untuk konfigurasi agen otomatis)
GuardDuty menggunakan AWS Systems Manager (SSM) untuk secara otomatis menyebarkan, menginstal, dan mengelola agen keamanan pada instans Anda. Jika Anda berencana untuk menginstal dan mengelola GuardDuty agen secara manual, SSM tidak diperlukan.
*Untuk mengelola instans Amazon EC2 dengan Systems Manager, lihat [Menyiapkan Systems Manager untuk instans Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) di Panduan Pengguna.AWS Systems Manager *
## Validasi persyaratan arsitektur
Arsitektur distribusi OS Anda dapat memengaruhi perilaku agen GuardDuty keamanan. Anda harus memenuhi persyaratan berikut sebelum menggunakan Runtime Monitoring untuk instans Amazon EC2:
+ Dukungan kernel termasuk`eBPF`, `Tracepoints` dan`Kprobe`. Untuk arsitektur CPU, Runtime Monitoring mendukung AMD64 (`x64`) dan ARM64 (Graviton2 dan di atasnya). [1](#runtime-monitoring-ec2-graviton-2-support)
Tabel berikut menunjukkan distribusi OS yang telah diverifikasi untuk mendukung agen GuardDuty keamanan untuk instans Amazon EC2.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)
1. Runtime Monitoring untuk resource Amazon EC2 tidak mendukung instans Graviton generasi pertama seperti tipe instans A1.
1. Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.
1. Untuk versi kernel apa pun, Anda harus menyetel `CONFIG_DEBUG_INFO_BTF` flag ke `y` (artinya *true*). Ini diperlukan agar agen GuardDuty keamanan dapat berjalan seperti yang diharapkan.
1. Untuk kernel versi 5.10 dan sebelumnya, agen GuardDuty keamanan menggunakan memori terkunci di RAM (`RLIMIT_MEMLOCK`) berfungsi seperti yang diharapkan. Jika `RLIMIT_MEMLOCK` nilai sistem Anda disetel terlalu rendah, GuardDuty rekomendasikan pengaturan batas keras dan lunak setidaknya 32 MB. Untuk informasi tentang memverifikasi dan memodifikasi `RLIMIT_MEMLOCK` nilai default, lihat[Melihat dan memperbarui `RLIMIT_MEMLOCK` nilai](#runtime-monitoring-ec2-modify-rlimit-memlock).
1. Untuk Ubuntu 24.04, kernel versi 6.13 dan 6.14 mendukung versi agen EC2 hanya 1.9.2 dan di atasnya.
+ Persyaratan tambahan - Hanya jika Anda memiliki Amazon ECS/Amazon EC2
Untuk Amazon ECS/Amazon EC2, kami menyarankan Anda menggunakan Amazon ECS terbaru yang dioptimalkan AMIs (tertanggal 29 September 2023 atau lebih baru), atau menggunakan agen Amazon ECS versi v1.77.0.
### Melihat dan memperbarui `RLIMIT_MEMLOCK` nilai
Ketika `RLIMIT_MEMLOCK` batas sistem Anda ditetapkan terlalu rendah, agen GuardDuty keamanan mungkin tidak berfungsi seperti yang dirancang. GuardDuty merekomendasikan bahwa batas keras dan lunak harus setidaknya 32 MB. Jika Anda tidak memperbarui batas, tidak GuardDuty akan dapat memantau peristiwa runtime untuk sumber daya Anda. Ketika `RLIMIT_MEMLOCK` berada di atas batas minimum yang dinyatakan, itu menjadi opsional bagi Anda untuk memperbarui batas ini.
Anda dapat mengubah `RLIMIT_MEMLOCK` nilai default baik sebelum atau setelah menginstal agen GuardDuty keamanan.
**Untuk melihat `RLIMIT_MEMLOCK` nilai**
1. Jalankan `ps aux | grep guardduty`. Ini akan menampilkan ID proses (`pid`).
1. Salin ID proses (`pid`) dari output dari perintah sebelumnya.
1. Jalankan `grep "Max locked memory" /proc/pid/limits` setelah mengganti `pid` dengan ID proses yang disalin dari langkah sebelumnya.
Ini akan menampilkan memori terkunci maksimum untuk menjalankan agen GuardDuty keamanan.
**Untuk memperbarui `RLIMIT_MEMLOCK` nilai**
1. Jika `/etc/systemd/system.conf.d/NUMBER-limits.conf` file tersebut ada, maka komentari baris `DefaultLimitMEMLOCK` dari file ini. File ini menetapkan default `RLIMIT_MEMLOCK` dengan prioritas tinggi, yang menimpa pengaturan Anda dalam `/etc/systemd/system.conf` file.
1. Buka `/etc/systemd/system.conf` file dan hapus komentar pada baris yang ada`#DefaultLimitMEMLOCK=`.
1. Perbarui nilai default dengan memberikan `RLIMIT_MEMLOCK` batas keras dan lunak setidaknya 32MB. Pembaruan akan terlihat seperti ini:`DefaultLimitMEMLOCK=32M:32M`. Formatnya adalah `soft-limit:hard-limit`.
1. Jalankan `sudo reboot`.
## Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun
Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, validasi bahwa batas izin memungkinkan tindakan tersebut. `guardduty:SendSecurityTelemetry` Hal ini diperlukan GuardDuty untuk mendukung Runtime Monitoring di berbagai jenis sumber daya.
Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
## Saat menggunakan konfigurasi agen otomatis
Untuk[Gunakan konfigurasi agen otomatis (disarankan)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2), Anda Akun AWS harus memenuhi prasyarat berikut:
+ Saat menggunakan tag inklusi dengan konfigurasi agen otomatis, GuardDuty untuk membuat asosiasi SSM untuk instance baru, pastikan instans baru dikelola SSM dan muncul di bawah **Fleet Manager** di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)konsol.
+ Saat menggunakan tag pengecualian dengan konfigurasi agen otomatis:
+ Tambahkan `false` tag`GuardDutyManaged`: sebelum mengonfigurasi agen GuardDuty otomatis untuk akun Anda.
Pastikan Anda menambahkan tag pengecualian ke instans Amazon EC2 sebelum meluncurkannya. Setelah Anda mengaktifkan konfigurasi agen otomatis untuk Amazon EC2, instans EC2 apa pun yang diluncurkan tanpa tag pengecualian akan tercakup dalam konfigurasi agen otomatis. GuardDuty
+ Aktifkan **Izinkan tag dalam pengaturan metadata** untuk instance Anda. Pengaturan ini diperlukan karena GuardDuty perlu membaca tag pengecualian dari layanan metadata instance (IMDS) untuk menentukan apakah harus mengecualikan instance dari instalasi agen. Untuk informasi selengkapnya, lihat [Mengaktifkan akses ke tag dalam metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS) di Panduan Pengguna *Amazon EC2*.
## CPU dan batas memori untuk GuardDuty agen
**Batas CPU**
Batas CPU maksimum untuk agen GuardDuty keamanan yang terkait dengan instans Amazon EC2 adalah 10 persen dari total inti vCPU. Misalnya, jika instans EC2 Anda memiliki 4 core vCPU, maka agen keamanan dapat menggunakan maksimum 40 persen dari total 400 persen yang tersedia.
**Batas memori**
Dari memori yang terkait dengan instans Amazon EC2 Anda, ada memori terbatas yang dapat digunakan agen GuardDuty keamanan.
Tabel berikut menunjukkan batas memori.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)
## Langkah berikutnya
Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengelola agen keamanan (secara otomatis atau manual).
# Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS)
Bagian ini mencakup prasyarat untuk memantau perilaku runtime sumber daya Fargate-Amazon ECS Anda. Setelah prasyarat ini terpenuhi, lihat. [Mengaktifkan GuardDuty Runtime Monitoring](runtime-monitoring-configuration.md)
**Topics**
+ [Memvalidasi persyaratan arsitektur](#validating-architecture-req-ecs)
+ [Prasyarat untuk akses gambar kontainer](#before-enable-runtime-monitoring-ecs)
+ [Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun](#validate-organization-scp-ecs)
+ [Memvalidasi izin peran dan batas izin kebijakan](#guardduty-runtime-monitoring-ecs-permission-boundary)
+ [Batas CPU dan memori](#ecs-runtime-agent-cpu-memory-limits)
## Memvalidasi persyaratan arsitektur
Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari kluster Amazon ECS Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi.
**Pertimbangan awal:**
AWS Fargate Platform untuk cluster Amazon ECS Anda harus Linux. Versi platform yang sesuai harus setidaknya`1.4.0`, atau`LATEST`. Untuk informasi selengkapnya tentang versi platform, lihat [versi platform Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
Versi platform Windows belum didukung.
### Platform terverifikasi
Distribusi OS dan arsitektur CPU berdampak pada dukungan yang diberikan oleh agen GuardDuty keamanan. Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi Runtime Monitoring.
| Distribusi OS **[1](#runtime-monitoring-ecs-os-support)** | Dukungan kernel | Arsitektur CPU x64 () AMD64 | Arsitektur CPU Graviton () ARM64 |
| --- | --- | --- | --- |
| Linux | eBPF, Tracepoints, Kprobe | Didukung | Didukung |
1 Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.
## Prasyarat untuk akses gambar kontainer
Prasyarat berikut membantu Anda mengakses gambar GuardDuty kontainer sespan dari repositori Amazon ECR.
### Persyaratan izin
Peran eksekusi tugas memerlukan izin Amazon Elastic Container Registry (Amazon ECR) tertentu untuk mengunduh GuardDuty gambar kontainer agen keamanan:
```
...
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
...
```
Untuk lebih membatasi izin Amazon ECR, Anda dapat menambahkan URI repositori Amazon ECR yang menampung GuardDuty agen keamanan untuk ( AWS Fargate hanya Amazon ECS). Untuk informasi selengkapnya, lihat [Agen hosting repositori Amazon ECR GuardDuty](runtime-monitoring-ecr-repository-gdu-agent.md).
Anda dapat menggunakan kebijakan ECSTask ExecutionRolePolicy terkelola [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) atau menambahkan izin di atas ke `TaskExecutionRole` kebijakan Anda.
### Konfigurasi definisi tugas
Saat membuat atau memperbarui layanan Amazon ECS, Anda perlu memberikan informasi subnet dalam definisi tugas Anda:
Menjalankan [CreateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_CreateService.html)dan [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) APIs di *Amazon Elastic Container Service API Reference* mengharuskan Anda untuk meneruskan informasi subnet. Untuk informasi selengkapnya, lihat [definisi tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) di *Panduan Pengembang Layanan Kontainer Elastis Amazon*.
### Persyaratan konektivitas jaringan
Anda harus memastikan konektivitas jaringan untuk mengunduh gambar GuardDuty kontainer dari Amazon ECR. Persyaratan ini khusus untuk GuardDuty karena menggunakan Amazon ECR untuk meng-host agen keamanannya. Bergantung pada konfigurasi jaringan Anda, Anda perlu menerapkan salah satu opsi berikut:
**Opsi 1 - Menggunakan akses jaringan publik (jika tersedia)**
Jika tugas Fargate Anda berjalan di subnet dengan akses internet keluar, tidak diperlukan konfigurasi jaringan tambahan.
**Opsi 2 - Menggunakan titik akhir Amazon VPC (untuk subnet pribadi)**
Jika tugas Fargate Anda berjalan di subnet pribadi tanpa akses internet, Anda harus mengonfigurasi titik akhir VPC untuk ECR guna memastikan bahwa URI repositori ECR yang menampung agen keamanan dapat diakses jaringan. GuardDuty Tanpa titik akhir ini, tugas dalam subnet pribadi tidak dapat mengunduh gambar GuardDuty kontainer.
*Untuk petunjuk penyiapan titik akhir VPC, lihat Membuat titik akhir [VPC untuk Amazon ECR di Panduan Pengguna Amazon Elastic Container](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create) Registry.*
Untuk informasi tentang mengaktifkan Fargate mengunduh GuardDuty penampung, lihat [Menggunakan gambar Amazon ECR dengan Amazon ECS di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) *Elastic Container Registry*.
### Konfigurasi grup keamanan
Gambar GuardDuty kontainer ada di Amazon ECR dan memerlukan akses Amazon S3. Persyaratan ini khusus untuk mengunduh gambar kontainer dari Amazon ECR. Untuk tugas dengan akses jaringan terbatas, Anda harus mengonfigurasi grup keamanan Anda untuk mengizinkan akses ke S3.
Tambahkan aturan keluar di grup keamanan Anda yang memungkinkan lalu lintas ke [daftar awalan terkelola S3 (`pl-xxxxxxxx`) pada](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html#gateway-endpoint-security) port 443. Untuk menambahkan aturan keluar, lihat [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) di Panduan Pengguna *Amazon VPC*.
Untuk melihat daftar awalan AWS-managed di konsol atau mendeskripsikannya dengan menggunakan AWS Command Line Interface (AWS CLI), lihat daftar [awalan AWS-managed di](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) Panduan Pengguna Amazon *VPC*.
## Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun
Bagian ini menjelaskan cara memvalidasi setelan kebijakan kontrol layanan (SCP) Anda untuk memastikan Runtime Monitoring berfungsi seperti yang diharapkan di seluruh organisasi Anda.
Jika Anda telah menyiapkan satu atau beberapa kebijakan kontrol layanan untuk mengelola izin di organisasi, Anda harus memvalidasi bahwa kebijakan tersebut tidak menolak tindakan tersebut`guardduty:SendSecurityTelemetry`. Untuk informasi tentang cara SCPs kerja, lihat [evaluasi SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) di *Panduan AWS Organizations Pengguna*.
Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
Lakukan langkah-langkah berikut untuk semua SCPs yang telah Anda atur di lingkungan multi-akun Anda:
**Untuk memvalidasi `guardduty:SendSecurityTelemetry` tidak ditolak di SCP**
1. Masuk ke konsol Organizations di [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Anda harus masuk sebagai peran IAM, atau masuk sebagai pengguna root [(tidak disarankan)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) di akun manajemen organisasi.
1. Pada panel navigasi sebelah kiri, pilih **Kebijakan**. Kemudian, di bawah **Jenis kebijakan yang didukung**, pilih **Kebijakan kontrol layanan**.
1. Pada halaman **Kebijakan kontrol layanan**, pilih nama kebijakan yang ingin Anda validasi.
1. Pada halaman detail kebijakan, lihat **Konten** kebijakan ini. Pastikan bahwa itu tidak menyangkal `guardduty:SendSecurityTelemetry` tindakan.
Kebijakan SCP berikut adalah contoh untuk *tidak menyangkal tindakan*: `guardduty:SendSecurityTelemetry`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:SendSecurityTelemetry"
],
"Resource": "*"
}
]
}
```
------
Jika kebijakan Anda menolak tindakan ini, Anda harus memperbarui kebijakan tersebut. Untuk informasi selengkapnya, lihat [Memperbarui kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) di *Panduan AWS Organizations Pengguna*.
## Memvalidasi izin peran dan batas izin kebijakan
Gunakan langkah-langkah berikut untuk memvalidasi bahwa batas izin yang terkait dengan peran dan kebijakannya **tidak membatasi** tindakan. `guardduty:SendSecurityTelemetry`
**Untuk melihat batas izin untuk peran dan kebijakannya**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi kiri, di bawah **Manajemen akses**, pilih **Peran**.
1. Pada halaman **Peran**, pilih peran *`TaskExecutionRole`* yang mungkin telah Anda buat.
1. Pada halaman peran yang dipilih, di bawah tab **Izin, perluas** nama kebijakan yang terkait dengan peran ini. Kemudian, validasi bahwa kebijakan ini tidak membatasi`guardduty:SendSecurityTelemetry`.
1. Jika **batas Izin ditetapkan, maka perluas** bagian ini. Kemudian, perluas setiap kebijakan untuk meninjau bahwa itu tidak membatasi `guardduty:SendSecurityTelemetry` tindakan. Kebijakan harus tampak mirip dengan ini[Example SCP policy](#ecs-runtime-scp-not-deny-policy-example).
Sesuai kebutuhan, lakukan salah satu tindakan berikut:
+ Untuk mengubah kebijakan, pilih **Edit**. Pada halaman **Ubah izin** untuk kebijakan ini, perbarui kebijakan di **editor Kebijakan**. Pastikan skema JSON tetap valid. Lalu, pilih **Selanjutnya**. Kemudian, Anda dapat meninjau dan menyimpan perubahan.
+ **Untuk mengubah batas izin ini dan memilih batas lain, pilih Ubah batas.**
+ **Untuk menghapus batas izin ini, pilih Hapus batas.**
Untuk informasi tentang mengelola kebijakan, lihat [Kebijakan dan izin AWS Identity and Access Management di](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) *Panduan Pengguna IAM*.
## Batas CPU dan memori
Dalam definisi tugas Fargate, Anda harus menentukan CPU dan nilai memori di tingkat tugas. Tabel berikut menunjukkan kombinasi yang valid dari CPU tingkat tugas dan nilai memori, dan batas memori maksimum agen GuardDuty keamanan yang sesuai untuk wadah. GuardDuty
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)
Setelah mengaktifkan Runtime Monitoring dan menilai bahwa status cakupan klaster Anda **Sehat**, Anda dapat menyiapkan dan melihat metrik wawasan Container. Untuk informasi selengkapnya, lihat [Menyiapkan pemantauan di Amazon ECS cluster](runtime-monitoring-setting-cpu-mem-monitoring.md#ecs-runtime-cpu-memory-monitoring-agent).
Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengkonfigurasi agen keamanan.
# Prasyarat untuk dukungan cluster Amazon EKS
Bagian ini mencakup prasyarat untuk memantau perilaku runtime sumber daya Amazon EKS Anda. Prasyarat ini sangat penting bagi GuardDuty agen untuk berfungsi seperti yang diharapkan. Setelah prasyarat ini terpenuhi, lihat [Mengaktifkan GuardDuty Runtime Monitoring](runtime-monitoring-configuration.md) untuk mulai memantau sumber daya Anda.
## Dukungan untuk fitur Amazon EKS
Runtime Monitoring **mendukung** klaster Amazon EKS yang berjalan di instans Amazon EC2 dan Mode Otomatis Amazon EKS.
Runtime Monitoring **tidak mendukung** klaster Amazon EKS dengan Amazon EKS Hybrid Nodes, dan yang berjalan. AWS Fargate
Untuk informasi tentang fitur Amazon EKS ini, lihat [Apa itu Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) di **Panduan Pengguna Amazon EKS**.
## Memvalidasi persyaratan arsitektur
Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari kluster EKS Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi. Jika Anda mengelola GuardDuty agen secara manual, pastikan bahwa versi Kubernetes mendukung versi GuardDuty agen yang sedang digunakan.
### Platform terverifikasi
Distribusi OS, versi kernel, dan arsitektur CPU memengaruhi dukungan yang diberikan oleh agen GuardDuty keamanan. Dukungan kernel termasuk`eBPF`, `Tracepoints` dan`Kprobe`. Untuk arsitektur CPU, Runtime Monitoring mendukung AMD64 (`x64`) dan ARM64 (Graviton2 dan di atasnya). [1](#runtime-monitoring-eks-graviton-2-support)
Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi EKS Runtime Monitoring.
| Distribusi OS **[2](#runtime-monitoring-eks-os-support)** | Versi kernel **[3](#runtime-monitoring-eks-kernel-version-required-flag)** | Versi Kubernetes yang didukung |
| --- | --- | --- |
| Bottlerocket | 5.4, 5.10, 5.15, 6.1 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23 - v1.35 |
| Ubuntu | 5.4, 5.10, 5.15, 6.1 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2 | 5.4, 5.10, 5.15, 6.1 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2023 *[5](#runtime-eks-al2023-support-v1.6.0)* | 5.4, 5.10, 5.15, 6.1 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| RedHat 9.4 | 5.14 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Fedora 34 | 5.11, 5,17 | v1.21 - v1.35 |
| Fedora 40 | 6.8 | v1.28 - v1.35 |
| Fedora 41 | 6.12 | v1.28 - v1.35 |
| CentOS Aliran 9 | 5.14 | v1.21 - v1.35 |
1. Runtime Monitoring untuk klaster Amazon EKS tidak mendukung instans Graviton generasi pertama seperti tipe instans A1.
1. Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.
1. Untuk versi kernel apa pun, Anda harus menyetel `CONFIG_DEBUG_INFO_BTF` flag ke `y` (artinya *true*). Ini diperlukan agar agen GuardDuty keamanan dapat berjalan seperti yang diharapkan.
1. Saat ini, dengan versi Kernel`6.1`, tidak GuardDuty dapat menghasilkan [GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md) yang terkait [Acara Sistem Nama Domain (DNS)](runtime-monitoring-collected-events.md#eks-runtime-dns-events) dengan.
1. Runtime Monitoring mendukung AL2023 dengan rilis agen GuardDuty keamanan v1.6.0 ke atas. Untuk informasi selengkapnya, lihat [GuardDuty versi agen keamanan untuk sumber daya Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
#### Versi Kubernetes didukung oleh agen keamanan GuardDuty
Tabel berikut menunjukkan versi Kubernetes untuk kluster EKS Anda yang didukung oleh agen keamanan. GuardDuty
| Amazon EKS versi agen GuardDuty keamanan add-on | Versi Kubernetes |
| --- | --- |
| v1.12.1 (terbaru - v1.12.1-eksbuild.2) | 1,28 - 1,35 |
| v1.11.0 (terbaru - v1.11.0-eksbuild.4) | 1,28 - 1,34 |
| v1.10.0 (terbaru - v1.10.0-eksbuild.2) | 1,21 - 1,33 |
| v1.9.0 (terbaru - v1.9.0-eksbuild.2) v1.8.1 (terbaru - v1.8.1-eksbuild.2) | 1,21 - 1,32 |
| v1.7.1 v1.7.0 v1.6.1 | 1,21 - 1,31 |
| v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 | 1,21 - 1,29 |
| v1.3.0 v1.2.0 | 1,21 - 1,28 |
| v1.1.0 | 1,21 - 1,26 |
| v1.0.0 | 1,21 - 1,25 |
Beberapa versi agen GuardDuty keamanan akan mencapai akhir dukungan standar.
Untuk informasi tentang versi rilis agen, lihat[GuardDuty versi agen keamanan untuk sumber daya Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
### Batas CPU dan memori
Tabel berikut menunjukkan batas CPU dan memori untuk add-on Amazon EKS for GuardDuty (`aws-guardduty-agent`).
| Parameter | Batas minimum | Batas maksimum |
| --- | --- | --- |
| CPU | 200m | 1000m |
| Memori | 256 Mi | 1024 Mi |
Saat Anda menggunakan add-on Amazon EKS versi 1.5.0 atau yang lebih baru, GuardDuty menyediakan kemampuan untuk mengonfigurasi skema add-on untuk nilai CPU dan memori Anda. Untuk informasi tentang rentang yang dapat dikonfigurasi, lihat[Parameter dan nilai yang dapat dikonfigurasi](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values).
Setelah mengaktifkan EKS Runtime Monitoring dan menilai status cakupan klaster EKS Anda, Anda dapat mengatur dan melihat metrik wawasan container. Untuk informasi selengkapnya, lihat [Menyiapkan CPU dan pemantauan memori](runtime-monitoring-setting-cpu-mem-monitoring.md).
## Memvalidasi kebijakan kontrol layanan organisasi Anda
Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, validasi bahwa batas izin tidak membatasi. `guardduty:SendSecurityTelemetry` Hal ini diperlukan GuardDuty untuk mendukung Runtime Monitoring di berbagai jenis sumber daya.
Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).