Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prerequisiti per il supporto delle istanze Amazon EC2
<a name="prereq-runtime-monitoring-ec2-support"></a>

Questa sezione include i prerequisiti per il monitoraggio del comportamento di runtime delle istanze Amazon EC2. Una volta soddisfatti questi prerequisiti, consulta. [Abilitazione del monitoraggio del GuardDuty runtime](runtime-monitoring-configuration.md)

**Topics**
+ [Rendi le istanze EC2 gestite tramite SSM (solo per la configurazione automatica degli agenti)](#ssm-managed-prereq-ec2)
+ [Convalida i requisiti architettonici](#validating-architecture-req-ec2)
+ [Convalida della politica di controllo dei servizi della tua organizzazione in un ambiente con più account](#validate-organization-scp-ec2)
+ [Quando si utilizza la configurazione automatica degli agenti](#runtime-ec2-prereq-automated-agent)
+ [Limite di CPU e memoria per l'agente GuardDuty](#ec2-cpu-memory-limits-gdu-agent)
+ [Approfondimenti](#next-step-after-prereq-ec2)

## Rendi le istanze EC2 gestite tramite SSM (solo per la configurazione automatica degli agenti)
<a name="ssm-managed-prereq-ec2"></a>

GuardDuty utilizza AWS Systems Manager (SSM) per distribuire, installare e gestire automaticamente il security agent sulle tue istanze. Se si prevede di installare e gestire manualmente l' GuardDuty agente, l'SSM non è necessario. 

*Per gestire le istanze Amazon EC2 con Systems Manager, consulta [Configurazione delle istanze di Systems Manager per Amazon EC2 nella Guida per l'](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)utente.AWS Systems Manager *

## Convalida i requisiti architettonici
<a name="validating-architecture-req-ec2"></a>

L'architettura della distribuzione del sistema operativo potrebbe influire sul comportamento del GuardDuty Security Agent. È necessario soddisfare i seguenti requisiti prima di utilizzare Runtime Monitoring per le istanze Amazon EC2:
+ Il supporto del kernel include `eBPF` e. `Tracepoints` `Kprobe` Per le architetture CPU, Runtime Monitoring supporta AMD64 (`x64`) e ARM64 (Graviton2 e versioni successive). [1](#runtime-monitoring-ec2-graviton-2-support)

  La tabella seguente mostra la distribuzione del sistema operativo che è stata verificata per supportare l'agente GuardDuty di sicurezza per le istanze Amazon EC2.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

  1. <a name="runtime-monitoring-ec2-graviton-2-support"></a>Il monitoraggio del runtime per le risorse Amazon EC2 non supporta le istanze Graviton di prima generazione come i tipi di istanze A1.

  1. <a name="runtime-monitoring-ec2-os-support"></a>Supporto per vari sistemi operativi: GuardDuty ha verificato il supporto del Runtime Monitoring per la distribuzione operativa elencata nella tabella precedente. Sebbene il GuardDuty security agent possa funzionare su sistemi operativi non elencati nella tabella precedente, il GuardDuty team non può garantire il valore di sicurezza previsto.

  1. <a name="runtime-monitoring-ec2-kernel-version-required-flag"></a>Per qualsiasi versione del kernel, è necessario impostare il `CONFIG_DEBUG_INFO_BTF` flag su `y` (che significa *true*). Ciò è necessario per consentire al GuardDuty Security Agent di funzionare come previsto.

  1. <a name="runtime-monitoring-ec2-kernel-5-10"></a>Per le versioni del kernel 5.10 e precedenti, il GuardDuty security agent utilizza la memoria bloccata nella RAM (`RLIMIT_MEMLOCK`) per funzionare come previsto. Se il `RLIMIT_MEMLOCK` valore del sistema è impostato su un valore troppo basso, si GuardDuty consiglia di impostare i limiti rigidi e morbidi su almeno 32 MB. Per informazioni sulla verifica e la modifica del `RLIMIT_MEMLOCK` valore predefinito, vedere. [Visualizzazione e aggiornamento dei valori `RLIMIT_MEMLOCK`](#runtime-monitoring-ec2-modify-rlimit-memlock)

  1. <a name="runtime-monitoring-ec2-ubuntu-noble-agent-version"></a>Per Ubuntu 24.04, le versioni del kernel 6.13 e 6.14 supportano solo le versioni dell'agente EC2 1.9.2 e successive.
+ Requisiti aggiuntivi: solo se disponi di Amazon ECS/Amazon EC2

  Per Amazon ECS/Amazon EC2, ti consigliamo di utilizzare la versione più recente ottimizzata per Amazon ECS AMIs (datata 29 settembre 2023 o successiva) o di utilizzare la versione dell'agente Amazon ECS v1.77.0. 

### Visualizzazione e aggiornamento dei valori `RLIMIT_MEMLOCK`
<a name="runtime-monitoring-ec2-modify-rlimit-memlock"></a>

Quando il `RLIMIT_MEMLOCK` limite del sistema è troppo basso, il GuardDuty Security Agent potrebbe non funzionare come previsto. GuardDuty raccomanda che sia i limiti rigidi che quelli flessibili siano di almeno 32 MB. Se non aggiorni i limiti, non GuardDuty sarà possibile monitorare gli eventi di runtime della risorsa. Quando `RLIMIT_MEMLOCK` supera i limiti minimi indicati, l'aggiornamento di tali limiti diventa facoltativo.

È possibile modificare il `RLIMIT_MEMLOCK` valore predefinito prima o dopo l'installazione del GuardDuty Security Agent. 

**Per visualizzare `RLIMIT_MEMLOCK` i valori**

1. Esegui `ps aux | grep guardduty`. Questo produrrà l'ID del processo (`pid`).

1. Copia l'ID del processo (`pid`) dall'output del comando precedente.

1. Esegui `grep "Max locked memory" /proc/pid/limits` dopo averlo sostituito `pid` con l'ID di processo copiato dal passaggio precedente.

   Verrà visualizzata la quantità massima di memoria bloccata per l'esecuzione del GuardDuty Security Agent.

**Per aggiornare `RLIMIT_MEMLOCK` i valori**

1. Se il `/etc/systemd/system.conf.d/NUMBER-limits.conf` file esiste, commenta la riga `DefaultLimitMEMLOCK` di questo file. Questo file imposta un valore predefinito `RLIMIT_MEMLOCK` con priorità alta, che sovrascrive le impostazioni nel `/etc/systemd/system.conf` file.

1. Apri il `/etc/systemd/system.conf` file e decommenta la riga che contiene. `#DefaultLimitMEMLOCK=`

1. Aggiorna il valore predefinito fornendo `RLIMIT_MEMLOCK` limiti rigidi e flessibili di almeno 32 MB. L'aggiornamento dovrebbe assomigliare a questo:`DefaultLimitMEMLOCK=32M:32M`. Il formato è `soft-limit:hard-limit`.

1. Esegui `sudo reboot`.

## Convalida della politica di controllo dei servizi della tua organizzazione in un ambiente con più account
<a name="validate-organization-scp-ec2"></a>

Se hai impostato una policy di controllo dei servizi (SCP) per gestire le autorizzazioni nella tua organizzazione, verifica che il limite delle autorizzazioni consenta l'azione. `guardduty:SendSecurityTelemetry` È necessario per supportare il monitoraggio del runtime GuardDuty su diversi tipi di risorse.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione SCPs dell'organizzazione, consulta [le politiche di controllo del servizio (SCPs).](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

## Quando si utilizza la configurazione automatica degli agenti
<a name="runtime-ec2-prereq-automated-agent"></a>

Per [Utilizza la configurazione automatica degli agenti (scelta consigliata)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2) farlo, Account AWS è necessario soddisfare i seguenti prerequisiti:
+ Quando utilizzi tag di inclusione con configurazione automatica degli agenti, per GuardDuty creare un'associazione SSM per una nuova istanza, assicurati che la nuova istanza sia gestita tramite SSM e venga visualizzata in **Fleet Manager nella console**. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Quando si utilizzano i tag di esclusione con la configurazione automatica degli agenti:
  + Aggiungi il `false` tag`GuardDutyManaged`: prima di configurare l'agente GuardDuty automatico per il tuo account.

    Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty 
  + Abilita l'opzione **Consenti tag nelle impostazioni dei metadati** per le tue istanze. Questa impostazione è necessaria perché GuardDuty deve leggere il tag di esclusione dall'Instance Metadata Service (IMDS) per determinare se escludere l'istanza dall'installazione dell'agente. Per ulteriori informazioni, consulta [Abilita l'accesso ai tag nei metadati dell'istanza nella Guida](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS) per l'utente di *Amazon EC2*.

## Limite di CPU e memoria per l'agente GuardDuty
<a name="ec2-cpu-memory-limits-gdu-agent"></a>

**Limite della CPU**  
Il limite massimo di CPU per il GuardDuty security agent associato alle istanze Amazon EC2 è pari al 10% dei core vCPU totali. Ad esempio, se l'istanza EC2 ha 4 core vCPU, il security agent può utilizzare al massimo il 40 percento del 400 percento totale disponibile.

**Memory limit (Limite memoria)**  
Dalla memoria associata all'istanza Amazon EC2, c'è una memoria limitata che il GuardDuty security agent può utilizzare.   
La tabella seguente mostra il limite di memoria.      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

## Approfondimenti
<a name="next-step-after-prereq-ec2"></a>

Il passaggio successivo consiste nella configurazione del Runtime Monitoring e nella gestione del security agent (automaticamente o manualmente).