Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione degli agenti GuardDuty di sicurezza
È possibile gestire il GuardDuty security agent per la risorsa che si desidera monitorare. Se desideri monitorare più di un tipo di risorsa, assicurati di gestire l' GuardDuty agente per quella risorsa.
I seguenti argomenti ti aiuteranno nei passaggi successivi per gestire il Security Agent.
**Topics**
+ [Abilitazione dell'agente di sicurezza automatizzato per l'istanza Amazon EC2](managing-gdu-agent-ec2-automated.md)
+ [Gestione manuale dell'agente di sicurezza per la risorsa Amazon EC2](managing-gdu-agent-ec2-manually.md)
+ [Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md)
+ [Gestione automatica dell'agente di sicurezza per le risorse Amazon EKS](managing-gdu-agent-eks-automatically.md)
+ [Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS](managing-gdu-agent-eks-manually.md)
+ [Configurazione GuardDuty dei parametri dell'agente di sicurezza (componente aggiuntivo) per Amazon EKS](guardduty-configure-security-agent-eks-addon.md)
+ [Convalida della configurazione degli endpoint VPC](validate-vpc-endpoint-config-runtime-monitoring.md)
# Abilitazione dell'agente di sicurezza automatizzato per l'istanza Amazon EC2
Questa sezione include i passaggi per abilitare l'agente GuardDuty automatizzato per le tue risorse Amazon EC2 nel tuo account autonomo o in un ambiente con più account.
Prima di continuare, assicurati di seguire tutte le. [Prerequisiti per il supporto delle istanze Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
Se stai passando dalla gestione manuale dell' GuardDuty agente all'attivazione dell'agente GuardDuty automatizzato, prima di seguire i passaggi per abilitare l'agente GuardDuty automatizzato, consulta[Migrazione dall'agente manuale di Amazon EC2 all'agente automatizzato](migrate-from-ec2-manual-to-automated-agent.md).
# GuardDuty Agente di abilitazione per le risorse Amazon EC2 in un ambiente con più account
In ambienti con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatica degli agenti per i tipi di risorse appartenenti agli account dei membri dell'organizzazione. GuardDuty Gli account membro non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti multi-account, consulta [Gestione di più account](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
## Per l'account amministratore delegato GuardDuty
------
#### [ Configure for all instances ]
Se hai scelto **Abilita per tutti gli account** per il monitoraggio del runtime, scegli una delle seguenti opzioni per l'account GuardDuty amministratore delegato:
+ **Opzione 1**
In **Configurazione automatica dell'agente**, nella sezione **EC2**, seleziona **Abilita per tutti gli account**.
+ **Opzione 2**
+ In **Configurazione automatizzata dell'agente**, nella sezione **EC2**, seleziona **Configura gli account manualmente**.
+ **In **Amministratore delegato (questo account)**, scegli Abilita.**
+ Scegli **Save** (Salva).
Se hai scelto **Configura gli account manualmente** per il monitoraggio del runtime, procedi nel seguente modo:
+ In **Configurazione automatizzata degli agenti**, nella sezione **EC2**, seleziona **Configura gli account manualmente**.
+ **In **Amministratore delegato (questo account)**, scegli Abilita.**
+ Scegli **Save** (Salva).
Indipendentemente dall'opzione scelta per abilitare la configurazione automatica dell'agente per l'account GuardDuty amministratore delegato, puoi verificare che l'associazione SSM GuardDuty creata installerà e gestirà il security agent su tutte le risorse EC2 appartenenti a questo account.
1. Apri la console all' AWS Systems Manager indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Targets** per l'associazione SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Osservate che il **tasto Tag** appare come **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Per configurare GuardDuty l'agente per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `true` tag`GuardDutyManaged`: alle istanze che desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'aggiunta di questo tag consentirà GuardDuty di installare e gestire il security agent per queste istanze EC2 selezionate. **Non** è necessario abilitare la configurazione automatica degli agenti in modo esplicito.
1. È possibile verificare che l'associazione SSM GuardDuty creata installi e gestisca il security agent solo sulle risorse EC2 etichettate con i tag di inclusione.
Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Target** per l'associazione SSM che viene creata (`GuardDutyRuntimeMonitoring-do-not-delete`). La **chiave Tag** appare come **tag: GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Nota**
Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
**Per configurare GuardDuty l'agente per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `false` tag`GuardDutyManaged`: alle istanze in cui **non** desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Affinché i [tag di esclusione siano disponibili](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nei metadati dell'istanza, effettuate le seguenti operazioni:**
1. Nella scheda **Dettagli** dell'istanza, visualizza lo stato di **Consenti i tag nei metadati dell'istanza**.
Se attualmente è **Disabilitato**, utilizza i seguenti passaggi per modificare lo stato in **Abilitato**. In caso contrario, puoi ignorare questo passaggio.
1. Nel menu **Azioni**, scegli **Impostazioni istanza**.
1. Scegli **Consenti tag nei metadati dell'istanza**.
1. Dopo aver aggiunto il tag di esclusione, esegui gli stessi passaggi specificati nella scheda **Configura per tutte le istanze**.
------
Ora puoi valutare il runtime. [Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2](gdu-assess-coverage-ec2.md)
## Attivazione automatica per tutti gli account dei membri
**Nota**
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
------
#### [ Configure for all instances ]
I passaggi seguenti presuppongono che tu abbia scelto **Abilita per tutti gli account** nella sezione Runtime Monitoring:
1. Scegli **Abilita per tutti gli account** nella sezione **Configurazione automatica degli agenti** per **Amazon EC2**.
1. Puoi verificare che l'associazione SSM che GuardDuty crea (`GuardDutyRuntimeMonitoring-do-not-delete`) installi e gestisca il security agent su tutte le risorse EC2 appartenenti a questo account.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Target** per l'associazione SSM. Osserva che il **tasto Tag** appare come **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Per configurare GuardDuty l'agente per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `true` tag`GuardDutyManaged`: alle istanze EC2 che desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'aggiunta di questo tag consentirà GuardDuty di installare e gestire il security agent per queste istanze EC2 selezionate. **Non** è necessario abilitare la configurazione automatica degli agenti in modo esplicito.
1. Puoi verificare che l'associazione SSM che GuardDuty crea installerà e gestirà il security agent su tutte le risorse EC2 appartenenti al tuo account.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Targets** per l'associazione SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Osservate che il **tasto Tag** appare come **InstanceIds**.
------
#### [ Using exclusion tag in selected instances ]
**Nota**
Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
**Per configurare l'agente GuardDuty di sicurezza per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `false` tag`GuardDutyManaged`: alle istanze in cui **non** desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Affinché i [tag di esclusione siano disponibili](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nei metadati dell'istanza, effettuate le seguenti operazioni:**
1. Nella scheda **Dettagli** dell'istanza, visualizza lo stato di **Consenti i tag nei metadati dell'istanza**.
Se attualmente è **Disabilitato**, utilizza i seguenti passaggi per modificare lo stato in **Abilitato**. In caso contrario, puoi ignorare questo passaggio.
1. Nel menu **Azioni**, scegli **Impostazioni istanza**.
1. Scegli **Consenti tag nei metadati dell'istanza**.
1. Dopo aver aggiunto il tag di esclusione, esegui gli stessi passaggi specificati nella scheda **Configura per tutte le istanze**.
------
Ora puoi valutare il runtime. [Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2](gdu-assess-coverage-ec2.md)
## Attivazione automatica solo per gli account dei nuovi membri
L'account GuardDuty amministratore delegato può impostare la configurazione automatica dell'agente per la risorsa Amazon EC2 in modo che si abiliti automaticamente per i nuovi account membri quando entrano a far parte dell'organizzazione.
------
#### [ Configure for all instances ]
I passaggi seguenti presuppongono che tu abbia selezionato **Abilita automaticamente gli account dei nuovi membri** nella sezione **Runtime Monitoring**:
1. Nel riquadro di navigazione, scegli **Runtime Monitoring**.
1. Nella pagina **Runtime Monitoring**, scegli **Modifica**.
1. Seleziona **Abilita automaticamente per i nuovi account membri**. Questo passaggio garantisce che ogni volta che un nuovo account si unisce alla tua organizzazione, la configurazione automatizzata degli agenti per Amazon EC2 venga abilitata automaticamente per l'account. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa selezione.
1. Scegli **Save** (Salva).
Quando un nuovo account membro si unisce all'organizzazione, questa configurazione verrà abilitata automaticamente per lui. GuardDuty Per gestire l'agente di sicurezza per le istanze Amazon EC2 che appartengono a questo nuovo account membro, assicurati che tutti i prerequisiti [Per l'istanza EC2](prereq-runtime-monitoring-ec2-support.md) siano soddisfatti.
Quando viene creata un'associazione SSM (`GuardDutyRuntimeMonitoring-do-not-delete`), puoi verificare che l'associazione SSM installi e gestisca il security agent su tutte le istanze EC2 appartenenti al nuovo account membro.
+ Apri la console all'indirizzo. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Apri la scheda **Target** per l'associazione SSM. Osserva che il **tasto Tag** appare come **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Per configurare il GuardDuty Security Agent per istanze selezionate nel tuo account**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `true` tag`GuardDutyManaged`: alle istanze che desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'aggiunta di questo tag consentirà GuardDuty di installare e gestire il security agent per queste istanze selezionate. Non è necessario abilitare esplicitamente la configurazione automatica dell'agente.
1. È possibile verificare che l'associazione SSM GuardDuty creata installi e gestisca il security agent solo sulle risorse EC2 etichettate con i tag di inclusione.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Target** per l'associazione SSM che viene creata. La **chiave Tag** appare come **tag: GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Nota**
Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
**Per configurare il GuardDuty Security Agent per istanze specifiche nel tuo account autonomo**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `false` tag`GuardDutyManaged`: alle istanze in cui **non** desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Affinché i [tag di esclusione siano disponibili](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nei metadati dell'istanza, effettuate le seguenti operazioni:**
1. Nella scheda **Dettagli** dell'istanza, visualizza lo stato di **Consenti i tag nei metadati dell'istanza**.
Se attualmente è **Disabilitato**, utilizza i seguenti passaggi per modificare lo stato in **Abilitato**. In caso contrario, puoi ignorare questo passaggio.
1. Nel menu **Azioni**, scegli **Impostazioni istanza**.
1. Scegli **Consenti tag nei metadati dell'istanza**.
1. Dopo aver aggiunto il tag di esclusione, esegui gli stessi passaggi specificati nella scheda **Configura per tutte le istanze**.
------
Ora puoi valutare il runtime. [Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2](gdu-assess-coverage-ec2.md)
## Solo account membri selettivi
------
#### [ Configure for all instances ]
1. Nella pagina **Account**, seleziona uno o più account per i quali desideri abilitare la **configurazione dell'agente Runtime Monitoring-Automated (Amazon EC2)**. Assicurati che gli account selezionati in questo passaggio abbiano già abilitato il Runtime Monitoring.
1. Da **Modifica piani di protezione**, scegli l'opzione appropriata per abilitare la **configurazione automatica degli agenti di Runtime Monitoring-Automated (Amazon EC2)**.
1. Scegli **Conferma**.
------
#### [ Using inclusion tag in selected instances ]
**Per configurare l'agente di GuardDuty sicurezza per istanze selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `true` tag`GuardDutyManaged`: alle istanze che desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'aggiunta di questo tag consentirà di GuardDuty gestire l'agente di sicurezza per le istanze Amazon EC2 con tag. Non è necessario abilitare esplicitamente la configurazione automatica degli agenti (**Runtime Monitoring - Automated agent configuration (**EC2).
------
#### [ Using exclusion tag in selected instances ]
**Nota**
Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
**Per configurare l'agente di GuardDuty sicurezza per istanze selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `false` tag`GuardDutyManaged`: alle istanze EC2 che **non** desideri GuardDuty monitorare o rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Affinché i [tag di esclusione siano disponibili](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nei metadati dell'istanza, effettuate le seguenti operazioni:**
1. Nella scheda **Dettagli** dell'istanza, visualizza lo stato di **Consenti i tag nei metadati dell'istanza**.
Se attualmente è **Disabilitato**, utilizza i seguenti passaggi per modificare lo stato in **Abilitato**. In caso contrario, puoi ignorare questo passaggio.
1. Nel menu **Azioni**, scegli **Impostazioni istanza**.
1. Scegli **Consenti tag nei metadati dell'istanza**.
1. Dopo aver aggiunto il tag di esclusione, esegui gli stessi passaggi specificati nella scheda **Configura per tutte le istanze**.
------
Ora puoi valutare. [Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2](gdu-assess-coverage-ec2.md)
# Abilitazione dell'agente GuardDuty automatizzato per le risorse Amazon EC2 in un account autonomo
A un account indipendente spetta la decisione di abilitare o disabilitare un piano di protezione Account AWS in uno specifico account. Regione AWS
Se il tuo account è associato a un account GuardDuty amministratore tramite AWS Organizations o tramite il metodo di invito, questa sezione non si applica al tuo account. Per ulteriori informazioni, consulta [Abilitazione del monitoraggio del runtime per ambienti con più account](enable-runtime-monitoring-multiple-acc-env.md).
Dopo aver abilitato il Runtime Monitoring, assicurati GuardDuty di installare Security Agent tramite la configurazione automatica o la distribuzione manuale. Come parte del completamento di tutti i passaggi elencati nella procedura seguente, assicuratevi di installare il security agent.
In base alla tua preferenza di monitorare tutte le risorse Amazon EC2 o solo alcune, scegli un metodo preferito e segui i passaggi indicati nella tabella seguente.
------
#### [ Configure for all instances ]
**Per configurare il monitoraggio del runtime per tutte le istanze nel tuo account autonomo**
1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Nel riquadro di navigazione, scegli **Runtime Monitoring**.
1. Nella scheda **Configurazione**, scegli **Modifica**.
1. Nella sezione **EC2**, scegli **Abilita.**
1. Scegli **Save** (Salva).
1. Puoi verificare che l'associazione SSM che GuardDuty crea installerà e gestirà il security agent su tutte le risorse EC2 appartenenti al tuo account.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Targets** per l'associazione SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Osservate che il **tasto Tag** appare come **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Per configurare l'agente GuardDuty di sicurezza per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `true` tag`GuardDutyManaged`: alle istanze che desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Puoi verificare che l'associazione SSM che GuardDuty crea installerà e gestirà il security agent solo sulle risorse EC2 etichettate con i tag di inclusione.
Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Apri la scheda **Target** per l'associazione SSM che viene creata (`GuardDutyRuntimeMonitoring-do-not-delete`). La **chiave Tag** appare come **tag: GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Nota**
Assicurati di aggiungere il tag di esclusione alle istanze Amazon EC2 prima di avviarle. Dopo aver abilitato la configurazione automatizzata degli agenti per Amazon EC2, qualsiasi istanza EC2 che viene avviata senza un tag di esclusione sarà coperta dalla configurazione automatizzata dell'agente. GuardDuty
**Per configurare l'agente GuardDuty di sicurezza per istanze Amazon EC2 selezionate**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Aggiungi il `false` tag`GuardDutyManaged`: alle istanze in cui **non** desideri GuardDuty monitorare e rilevare potenziali minacce. Per informazioni sull'aggiunta di questo tag, consulta [Per aggiungere un tag a una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Affinché i [tag di esclusione siano disponibili](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nei metadati dell'istanza, effettuate le seguenti operazioni:**
1. Nella scheda **Dettagli** dell'istanza, visualizza lo stato di **Consenti i tag nei metadati dell'istanza**.
Se attualmente è **Disabilitato**, utilizza i seguenti passaggi per modificare lo stato in **Abilitato**. In caso contrario, puoi ignorare questo passaggio.
1. Seleziona l'istanza per la quale desideri consentire i tag.
1. Nel menu **Azioni**, scegli **Impostazioni istanza**.
1. Scegli **Consenti tag nei metadati dell'istanza**.
1. **In **Accesso ai tag nei metadati dell'istanza**, seleziona Consenti.**
1. Scegli **Save** (Salva).
1. Dopo aver aggiunto il tag di esclusione, esegui gli stessi passaggi specificati nella scheda **Configura per** tutte le istanze.
------
Ora puoi valutare il runtime. [Copertura del runtime e risoluzione dei problemi per l'istanza Amazon EC2](gdu-assess-coverage-ec2.md)
# Migrazione dall'agente manuale di Amazon EC2 all'agente automatizzato
Questa sezione si applica a Account AWS chi in precedenza gestiva manualmente il Security Agent e ora desidera utilizzare la configurazione GuardDuty automatizzata dell'agente. Se ciò non ti riguarda, continua con la configurazione del security agent per il tuo account.
Quando abiliti l'agente GuardDuty automatizzato, GuardDuty gestisce l'agente di sicurezza per tuo conto. Per informazioni sui passaggi GuardDuty necessari, consulta[Utilizza la configurazione automatica degli agenti (scelta consigliata)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).
## Eseguire la pulizia delle risorse
**Eliminare l'associazione SSM**
+ Elimina qualsiasi associazione SSM che potresti aver creato durante la gestione manuale del security agent per Amazon EC2. Per ulteriori informazioni, consulta [Eliminazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html) delle associazioni.
+ Questo viene fatto in modo che GuardDuty possa assumere il controllo della gestione delle azioni SSM indipendentemente dal fatto che si utilizzino agenti automatici a livello di account o di istanza (utilizzando tag di inclusione o esclusione). Per ulteriori informazioni su cosa possono essere eseguite le azioni SSM, GuardDuty consulta. [Autorizzazioni di ruolo collegate al servizio per GuardDuty](slr-permissions.md)
+ Quando si elimina un'associazione SSM creata in precedenza per la gestione manuale del Security Agent, potrebbe verificarsi un breve periodo di sovrapposizione quando si GuardDuty crea un'associazione SSM per la gestione automatica del Security Agent. Durante questo periodo, potrebbero verificarsi conflitti basati sulla pianificazione SSM. Per ulteriori informazioni, consulta la pianificazione [SSM di Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).
**Gestisci i tag di inclusione ed esclusione per le tue istanze Amazon EC2**
+ **Tag di inclusione**: quando non abiliti la configurazione GuardDuty automatizzata degli agenti ma contrassegni una qualsiasi delle tue istanze Amazon EC2 con un tag di inclusione (`GuardDutyManaged`:`true`), GuardDuty crea un'associazione SSM che installerà e gestirà il security agent sulle istanze EC2 selezionate. Si tratta di un comportamento previsto che ti aiuta a gestire il security agent solo su istanze EC2 selezionate. Per ulteriori informazioni, consulta [Come funziona il monitoraggio del runtime con le istanze Amazon EC2](how-runtime-monitoring-works-ec2.md).
Per GuardDuty impedire l'installazione e la gestione del security agent, rimuovi il tag di inclusione da queste istanze EC2. Per ulteriori informazioni, consulta [Aggiungere ed eliminare tag](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) nella Guida per l'*utente di Amazon EC2*.
+ **Tag di esclusione**: se desideri abilitare la configurazione GuardDuty automatica degli agenti per tutte le istanze EC2 del tuo account, assicurati che nessuna istanza EC2 sia contrassegnata con un tag di esclusione (:). `GuardDutyManaged` `false`
# Gestione manuale dell'agente di sicurezza per la risorsa Amazon EC2
Questa sezione fornisce i passaggi per installare e aggiornare manualmente l'agente di sicurezza per le risorse Amazon EC2.
Dopo aver abilitato il Runtime Monitoring, dovrai installare il GuardDuty security agent manualmente. Per gestire manualmente il GuardDuty security agent, devi prima creare manualmente un endpoint Amazon VPC. Dopodiché, puoi installare il security agent in modo GuardDuty che inizi a ricevere gli eventi di runtime dalle istanze Amazon EC2. Quando GuardDuty rilascia una nuova versione dell'agente per questa risorsa, puoi aggiornare la versione dell'agente nel tuo account.
I seguenti argomenti includono i passaggi per gestire continuamente l'agente di sicurezza per le tue risorse Amazon EC2.
**Topics**
+ [Prerequisito: creazione manuale di un endpoint Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md)
+ [Installazione manuale del security agent](installing-gdu-security-agent-ec2-manually.md)
+ [Aggiornamento manuale del GuardDuty security agent per l'istanza Amazon EC2](gdu-update-security-agent-ec2.md)
# Prerequisito: creazione manuale di un endpoint Amazon VPC
Prima di poter installare il GuardDuty security agent, devi creare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuterà a GuardDuty ricevere gli eventi di runtime delle tue istanze Amazon EC2.
**Nota**
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
**Per creare un endpoint Amazon VPC**
1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Nel pannello di navigazione, in **VPC private cloud**, scegli Endpoints.**
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Nella pagina **Crea endpoint** per **Categoria servizio**, scegli **Altri servizi endpoint**.
1. Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**.
Assicurati di sostituirlo *us-east-1* con il tuo. Regione AWS Questa deve essere la stessa regione dell'istanza Amazon EC2 che appartiene all'ID del tuo AWS account.
1. Scegli **Verifica del servizio**.
1. Dopo aver verificato con successo il nome del servizio, scegli il **VPC** in cui risiede l'istanza. Aggiungi la seguente policy per limitare l'utilizzo degli endpoint Amazon VPC solo all'account specificato. Con la `Condition` dell'organizzazione fornita sotto a questa policy, puoi aggiornare la policy seguente per limitare l'accesso all'endpoint. Per fornire il supporto degli endpoint Amazon VPC a un account specifico della tua organizzazione, IDs consulta. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
L'ID account di `aws:PrincipalAccount` deve corrispondere all'account contenente il VPC e l'endpoint VPC. L'elenco seguente mostra come condividere l'endpoint VPC con altri account: AWS IDs
+ Per specificare più account per accedere all'endpoint VPC, sostituiscilo `"aws:PrincipalAccount: "111122223333"` con il seguente blocco:
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
Assicurati di sostituire l' AWS account IDs con l'account IDs di quegli account che devono accedere all'endpoint VPC.
+ Per consentire a tutti i membri di un'organizzazione di accedere all'endpoint VPC, sostituiscilo `"aws:PrincipalAccount: "111122223333"` con la seguente riga:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
Assicurati di sostituire l'organizzazione *o-abcdef0123* con il tuo ID dell'organizzazione.
+ Per limitare l'accesso a una risorsa tramite un ID dell'organizzazione, aggiungi il tuo `ResourceOrgID` alla politica. Per ulteriori informazioni, consulta la sezione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) nella *Guida per l’utente di IAM*.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. In **Impostazioni aggiuntive**, scegli **Abilita nome DNS**.
1. In **Sottoreti**, scegli le sottoreti in cui risiede l'istanza.
1. In **Gruppi di sicurezza**, scegli un gruppo di sicurezza con la porta in ingresso 443 abilitata dal tuo VPC (o dalla tua istanza Amazon EC2). Se non disponi già di un gruppo di sicurezza con una porta in ingresso 443 abilitata, consulta [Creare un gruppo di sicurezza per il tuo VPC nella Amazon *VPC*](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) User Guide.
Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o istanza), puoi utilizzare la porta 443 in ingresso da qualsiasi indirizzo IP. `(0.0.0.0/0)` Tuttavia, GuardDuty consiglia di utilizzare indirizzi IP che corrispondano al blocco CIDR per il VPC. Per ulteriori informazioni, consulta i [blocchi VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.
Dopo aver seguito i passaggi, verifica [Convalida della configurazione degli endpoint VPC](validate-vpc-endpoint-config-runtime-monitoring.md) che l'endpoint VPC sia stato configurato correttamente.
# Installazione manuale del security agent
GuardDuty fornisce i due metodi seguenti per installare il GuardDuty security agent sulle istanze Amazon EC2. Prima di procedere, assicurati di seguire i passaggi riportati di seguito. [Prerequisito: creazione manuale di un endpoint Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md)
Scegli un metodo di accesso preferito per installare il security agent nelle tue risorse Amazon EC2.
+ [Metodo 1 - Utilizzo AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring)— Questo metodo richiede la gestione dell'istanza Amazon EC2. AWS Systems Manager
+ [Metodo 2: utilizzo dei gestori di pacchetti Linux](#install-gdu-by-rpm-scripts-runtime-monitoring)— Puoi utilizzare questo metodo indipendentemente dal fatto che le tue istanze Amazon EC2 siano gestite o meno. AWS Systems Manager In base alle [distribuzioni del sistema operativo](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2), è possibile scegliere un metodo appropriato per installare gli script RPM o gli script Debian. Se si utilizza la piattaforma *Fedora*, è necessario utilizzare questo metodo per installare l'agente.
## Metodo 1 - Utilizzo AWS Systems Manager
Per utilizzare questo metodo, assicurati che le tue istanze Amazon EC2 siano AWS Systems Manager gestite, quindi installa l'agente.
### AWS Systems Manager istanza Amazon EC2 gestita
Utilizza i seguenti passaggi per gestire le tue istanze AWS Systems Manager Amazon EC2.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ti aiuta a gestire AWS applicazioni e risorse end-to-end e a consentire operazioni sicure su larga scala.
*Per gestire le istanze Amazon EC2 con AWS Systems Manager, consulta [Configurazione delle istanze di Systems Manager per Amazon EC2 nella Guida per l'](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)utente.AWS Systems Manager *
+ La tabella seguente mostra i nuovi documenti gestiti: GuardDuty AWS Systems Manager
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
Per ulteriori informazioni AWS Systems Manager, consulta i documenti di [Amazon EC2 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) nella Guida per *AWS Systems Manager l'utente*.
**Per i server Debian**
L'Amazon Machine Images (AMIs) per Debian Server fornito da AWS richiede l'installazione dell' AWS Systems Manager agente (agente SSM). È necessario eseguire un passaggio aggiuntivo per installare l'agente SSM per gestire le istanze di Amazon EC2 Debian Server tramite SSM. *Per informazioni sui passaggi da eseguire, vedere [Installazione manuale dell'agente SSM sulle istanze del server Debian](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html) nella Guida per l'utente.AWS Systems Manager *
**Per installare l' GuardDuty agente per l'istanza Amazon EC2 utilizzando AWS Systems Manager**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione, scegli **Documenti**
1. In **Owned by Amazon**, scegli`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`.
1. Scegliere **Run Command**.
1. Inserisci i seguenti parametri Run Command
+ Azione: Scegli **Installa**.
+ Tipo di installazione: scegli **Installa o Disinstalla.**
+ Valore: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
+ Versione: se rimane vuoto, otterrai la versione più recente del GuardDuty Security Agent. Per ulteriori informazioni sulle versioni di rilascio,[GuardDuty versioni degli agenti di sicurezza per le istanze Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
1. Seleziona l'istanza Amazon EC2 di destinazione. Puoi selezionare una o più istanze Amazon EC2. *Per ulteriori informazioni, consulta [AWS Systems Manager Esecuzione di comandi dalla console nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html) per l'AWS Systems Manager utente*
1. Verifica se l'installazione dell' GuardDuty agente è integra. Per ulteriori informazioni, consulta [Convalida dello stato di installazione del GuardDuty Security Agent](#validate-ec2-gdu-agent-installation-healthy).
## Metodo 2: utilizzo dei gestori di pacchetti Linux
Con questo metodo, è possibile installare l'agente GuardDuty di sicurezza eseguendo script RPM o script Debian. In base ai sistemi operativi, puoi scegliere un metodo preferito:
+ Usa gli script RPM per installare il security agent su distribuzioni OS AL2 AL2023, RedHat CentOS o Fedora.
+ Usa gli script Debian per installare il security agent sulle distribuzioni del sistema operativo Ubuntu o Debian. Per informazioni sulle distribuzioni supportate di Ubuntu e Debian OS, vedere. [Convalida i requisiti architettonici](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2)
------
#### [ RPM installation ]
**Importante**
Si consiglia di verificare la firma RPM del GuardDuty Security Agent prima di installarla sulla macchina.
1. Verifica la firma RPM del GuardDuty Security Agent
1.
**Preparare il modello**
Prepara i comandi con la chiave pubblica appropriata, la firma di x86\$164 RPM, la firma di arm64 RPM e il collegamento di accesso corrispondente agli script RPM ospitati nei bucket Amazon S3. Sostituisci il valore dell'ID dell' AWS account e la versione dell' Regione AWS agente per accedere agli script RPM. GuardDuty
+ **Chiave pubblica**:
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty firma RPM dell'agente di sicurezza**:
Firma di x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
```
Firma di arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Accedi ai link agli script RPM nel bucket Amazon S3**:
Link di accesso per x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Link di accesso per arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Scarica il modello**
Nel seguente comando per scaricare la chiave pubblica appropriata, la firma di x86\$164 RPM, la firma di arm64 RPM e il collegamento di accesso corrispondente agli script RPM ospitati nei bucket Amazon S3, assicurati di sostituire l'ID dell'account con l'ID appropriato e la regione con la regione corrente. Account AWS
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1.
**Importa la chiave pubblica**
Usa il seguente comando per importare la chiave pubblica nel database:
```
gpg --import publickey.pem
```
gpg mostra l'importazione con successo
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1.
**Verifica la firma**
Utilizzate il seguente comando per verificare la firma
```
gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Se la verifica ha esito positivo, verrà visualizzato un messaggio simile al risultato riportato di seguito. È ora possibile procedere all'installazione del GuardDuty security agent utilizzando RPM.
Output di esempio:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
Se la verifica fallisce, significa che la firma su RPM è stata potenzialmente manomessa. È necessario rimuovere la chiave pubblica dal database e ripetere il processo di verifica.
Esempio:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Usa il seguente comando per rimuovere la chiave pubblica dal database:
```
gpg --delete-keys AwsGuardDuty
```
Ora prova di nuovo la procedura di verifica.
1. [Connect con SSH da Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Installa il GuardDuty security agent utilizzando il seguente comando:
```
sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
```
1. Verifica se l'installazione dell' GuardDuty agente è integra. Per ulteriori informazioni sui passaggi, vedere[Convalida dello stato di installazione del GuardDuty Security Agent](#validate-ec2-gdu-agent-installation-healthy).
------
#### [ Debian installation ]
**Importante**
Si consiglia di verificare la firma Debian del GuardDuty security agent prima di installarla sulla macchina.
1. Verifica la firma Debian dell'agente GuardDuty di sicurezza
1.
**Preparare i modelli per la chiave pubblica appropriata, la firma del pacchetto Debian amd64, la firma del pacchetto Debian arm64 e il collegamento di accesso corrispondente agli script Debian ospitati nei bucket Amazon S3**
Nei seguenti modelli, sostituisci il valore di Regione AWS, AWS account ID e la versione dell'agente per accedere agli script dei GuardDuty pacchetti Debian.
+ **Chiave pubblica**:
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty firma Debian dell'agente di sicurezza**:
Firma di amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
```
Firma di arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Accedi ai link agli script Debian nel bucket Amazon S3**:
Link di accesso per amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
```
Link di accesso per arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Scarica la chiave pubblica appropriata, la firma di amd64, la firma di arm64 e il link di accesso corrispondente agli script Debian ospitati nei bucket Amazon S3**
Nei seguenti comandi, sostituisci l'ID dell'account con l' Account AWS ID appropriato e la regione con la regione corrente.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1. Importa la chiave pubblica nel database
```
gpg --import publickey.pem
```
gpg mostra che l'importazione è avvenuta con successo
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1. Verifica la firma
```
gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
```
Dopo una verifica avvenuta con successo, vedrai un messaggio simile al seguente risultato:
Output di esempio:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
È ora possibile procedere all'installazione del GuardDuty security agent utilizzando Debian.
Tuttavia, se la verifica fallisce, significa che la firma nel pacchetto Debian è stata potenzialmente manomessa.
Esempio:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Usare il seguente comando per rimuovere la chiave pubblica dal database:
```
gpg --delete-keys AwsGuardDuty
```
Ora, riprova il processo di verifica.
1. [Connect con SSH da Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Installa il GuardDuty security agent utilizzando il seguente comando:
```
sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
```
1. Verifica se l'installazione dell' GuardDuty agente è integra. Per ulteriori informazioni sui passaggi, vedere[Convalida dello stato di installazione del GuardDuty Security Agent](#validate-ec2-gdu-agent-installation-healthy).
------
## Errore di memoria esaurita
Se riscontri un `out-of-memory` errore durante l'installazione o l'aggiornamento manuale del GuardDuty Security Agent per Amazon EC2, consulta. [Risoluzione dell'errore di esaurimento della memoria](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)
## Convalida dello stato di installazione del GuardDuty Security Agent
Dopo aver eseguito i passaggi per installare il GuardDuty security agent, utilizzate i seguenti passaggi per convalidare lo stato dell'agente:
**Per verificare se il GuardDuty security agent è integro**
1. [Connect con SSH da Linux o macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Esegui il comando seguente per verificare lo stato del GuardDuty security agent:
```
sudo systemctl status amazon-guardduty-agent
```
Se desideri visualizzare i registri di installazione del Security Agent, sono disponibili in`/var/log/amzn-guardduty-agent/`.
Per visualizzare i log, fai. `sudo journalctl -u amazon-guardduty-agent`
# Aggiornamento manuale del GuardDuty security agent per l'istanza Amazon EC2
GuardDuty rilascia aggiornamenti alle versioni del Security Agent. Quando gestisci manualmente l'agente di sicurezza, sei responsabile dell'aggiornamento dell'agente per le tue istanze Amazon EC2. Per informazioni sulle nuove versioni degli agenti, consulta [GuardDuty versioni di rilascio di Security Agent](runtime-monitoring-agent-release-history.md) per le istanze Amazon EC2. Per ricevere notifiche relative al rilascio di una nuova versione dell'agente, consulta. [Iscrizione agli annunci di Amazon SNS GuardDuty](guardduty_sns.md)
**Per aggiornare manualmente l'agente di sicurezza per l'istanza Amazon EC2**
Il processo di aggiornamento del security agent è lo stesso dell'installazione del security agent. A seconda del metodo utilizzato per installare l'agente, puoi eseguire i passaggi [Installazione manuale del security agent](installing-gdu-security-agent-ec2-manually.md) per le istanze Amazon EC2.
Se utilizzi [Method 1 - By using AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring), puoi aggiornare il security agent utilizzando il **comando Run**. Utilizza la versione dell'agente a cui desideri eseguire l'aggiornamento.
Se si utilizza [il Metodo 2 - Utilizzando Linux Package Managers](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:), è possibile utilizzare gli script come specificato nella [Installazione manuale del security agent](installing-gdu-security-agent-ec2-manually.md) sezione. Gli script includono già l'ultima versione rilasciata dall'agente. Per informazioni sulle versioni dell'agente rilasciate di recente, vedere[GuardDuty versioni degli agenti di sicurezza per le istanze Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
Dopo aver aggiornato il Security Agent, puoi controllare lo stato dell'installazione esaminando i log. Per ulteriori informazioni, consulta [Convalida dello stato di installazione del GuardDuty Security Agent](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy).
# Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)
Runtime Monitoring supporta la gestione dell'agente di sicurezza per i cluster Amazon ECS (AWS Fargate) solo tramite. GuardDuty Non è disponibile alcun supporto per la gestione manuale del security agent sui cluster Amazon ECS.
Prima di procedere con i passaggi di questa sezione, assicurati di seguire. [Prerequisiti per il AWS Fargate supporto (solo Amazon ECS)](prereq-runtime-monitoring-ecs-support.md)
In base a[Approcci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), scegli un metodo preferito per abilitare l'agente GuardDuty automatizzato per le tue risorse.
**Topics**
## Configurazione GuardDuty dell'agente per un ambiente con più account
In un ambiente con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatica degli agenti per gli account dei membri e gestire la configurazione automatizzata degli agenti per i cluster Amazon ECS che appartengono agli account dei membri della loro organizzazione. Un account GuardDuty membro non può modificare questa configurazione. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti con più account, vedere [Gestione di più account](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html) in. GuardDuty
### Abilitazione della configurazione automatizzata degli agenti per l'account amministratore delegato GuardDuty
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Se hai scelto **Abilita per tutti gli account** per il monitoraggio del runtime, hai le seguenti opzioni:
+ Scegli **Abilita per tutti gli account** nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
+ Scegli **Configura gli account manualmente**.
Se hai scelto **Configura gli account manualmente** nella sezione Runtime Monitoring, procedi come segue:
1. Scegli **Configura gli account manualmente** nella sezione Configurazione automatica degli agenti.
1. Scegli **Abilita** nella sezione **Account GuardDuty amministratore delegato (questo account)**.
Scegli **Save** (Salva).
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, scegli **Abilita** nella configurazione automatizzata dell'agente.**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente GuardDuty l'agente tramite la configurazione automatica degli agenti.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Attivazione automatica per tutti gli account dei membri
------
#### [ Manage for all Amazon ECS clusters (account level) ]
I passaggi seguenti presuppongono che tu abbia scelto **Abilita per tutti gli account** nella sezione Runtime Monitoring.
1. Scegli **Abilita per tutti gli account** nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
1. Scegli **Save** (Salva).
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione, scegli Modifica**.**
1. Scegli **Abilita per tutti gli account** nella sezione **Configurazione automatica dell'agente**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Indipendentemente da come scegli di abilitare il Runtime Monitoring, i seguenti passaggi ti aiuteranno a monitorare attività selettive di Amazon ECS Fargate per tutti gli account membri della tua organizzazione.
1. Non abilitare alcuna configurazione nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella selezionata nel passaggio precedente.
1. Scegli **Save** (Salva).
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la gestione **automatica degli GuardDuty agenti**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilitazione della configurazione automatica degli agenti per gli account dei membri attivi esistenti
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Nella pagina Runtime Monitoring, nella scheda **Configurazione**, è possibile visualizzare lo stato corrente della configurazione automatizzata dell'agente.
1. Nel riquadro di configurazione dell'agente automatizzato, nella sezione **Account membri attivi**, scegli **Azioni**.
1. Da **Operazioni**, scegli **Abilita per tutti gli account membri attivi esistenti**.
1. Scegli **Conferma**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, nella sezione Configurazione automatizzata dell'agente, in Account **membri attivi, scegli Azioni**.**
1. Da **Operazioni**, scegli **Abilita per tutti gli account membri attivi**.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Conferma**.
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilita automaticamente la configurazione automatizzata degli agenti per i nuovi membri
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Nella pagina Runtime Monitoring, scegli **Modifica** per aggiornare la configurazione esistente.
1. Nella sezione Configurazione automatizzata dell'agente, seleziona **Abilita automaticamente per nuovi account membro**.
1. Scegli **Save** (Salva).
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, seleziona **Abilita automaticamente gli account dei nuovi membri** nella sezione Configurazione automatica degli agenti.**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilitazione selettiva della configurazione automatizzata degli agenti per gli account dei membri attivi
------
#### [ Manage for all Amazon ECS (account level) ]
1. Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
1. Da **Modifica piani di protezione**, scegli l'opzione appropriata per abilitare la **configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate**).
1. Scegli **Conferma**.
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Da **Modifica piani di protezione**, scegli l'opzione appropriata per abilitare la **configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate**).
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Assicurati di non abilitare la configurazione **automatizzata degli agenti (o la configurazione** degli **agenti automatizzati di Runtime Monitoring-ECS-Fargate)** per gli account selezionati che hanno i cluster Amazon ECS che desideri monitorare.
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
## Configurazione dell' GuardDuty agente per un account autonomo
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Nel riquadro di navigazione, scegli **Runtime Monitoring**.
1. Nella scheda **Configurazione**:
1.
**Per gestire la configurazione automatizzata degli agenti per tutti i cluster Amazon ECS (a livello di account)**
Scegli **Abilita** nella sezione **Configurazione automatica dell'agente** per **AWS Fargate (solo ECS**). All'avvio di una nuova attività Fargate Amazon ECS, GuardDuty gestirà l'implementazione del security agent.
1. Scegli **Save** (Salva).
1.
**Per gestire la configurazione automatizzata degli agenti escludendo alcuni cluster Amazon ECS (a livello di cluster)**
1. Aggiungi un tag al cluster Amazon ECS per il quale desideri escludere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `false`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Nella scheda **Configurazione**, scegli **Abilita** nella sezione **Configurazione automatica dell'agente**.
**Nota**
Aggiungi sempre il tag di esclusione al tuo cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente di sicurezza verrà distribuito in tutte le attività avviate all'interno del cluster Amazon ECS corrispondente.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1.
**Per gestire la configurazione automatizzata degli agenti includendo alcuni cluster Amazon ECS (a livello di cluster)**
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
# Gestione automatica dell'agente di sicurezza per le risorse Amazon EKS
Il monitoraggio del runtime supporta l'abilitazione del security agent tramite configurazione GuardDuty automatizzata e manuale. Questa sezione fornisce i passaggi per abilitare la configurazione automatizzata degli agenti per i cluster Amazon EKS.
Prima di procedere, assicurati di aver seguito il. [Prerequisiti per il supporto dei cluster Amazon EKS](prereq-runtime-monitoring-eks-support.md)
In base al tuo approccio preferito[Gestisci l'agente di sicurezza tramite GuardDuty](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto), scegli di conseguenza i passaggi nelle sezioni seguenti.
## Configurazione dell'agente automatizzato per ambienti con più account
In ambienti con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatizzata degli agenti per gli account dei membri e gestire l'agente automatizzato per i cluster EKS appartenenti agli account membro dell'organizzazione. GuardDuty Gli account dei membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti multi-account, consulta [Gestione di più account](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Configurazione della configurazione automatizzata dell'agente per l'account amministratore delegato GuardDuty
| **Approccio preferito per la gestione del Security Agent GuardDuty ** | **Fasi** |
| --- | --- |
| Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) | Se hai scelto **Abilita per tutti gli account** nella sezione Runtime Monitoring, hai le seguenti opzioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Se hai scelto **Configura gli account manualmente** nella sezione Runtime Monitoring, procedi come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Scegli **Save** (Salva). |
| Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) | Scegli lo scenario più adatto a te tra le procedure seguenti. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare cluster EKS selettivi utilizzando i tag di inclusione | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi nel vostro account: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestisci manualmente l'agente di GuardDuty sicurezza | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Abilita automaticamente l'agente automatizzato per tutti gli account dei membri
**Nota**
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
| **Approccio preferito per gestire l'agente GuardDuty di sicurezza** | **Fasi** |
| --- | --- |
| Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) | Questo argomento riguarda l'abilitazione del monitoraggio del runtime per tutti gli account membri e, pertanto, i passaggi seguenti presuppongono che sia necessario aver scelto **Abilita per tutti gli account** nella sezione Runtime Monitoring. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) | Scegli lo scenario più adatto a te tra le procedure seguenti. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare cluster EKS selettivi utilizzando i tag di inclusione | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per tutti gli account membri della vostra organizzazione: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestisci manualmente l'agente di GuardDuty sicurezza | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Attivazione dell'agente automatizzato per tutti gli account dei membri attivi esistenti
**Nota**
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
**Per gestire il GuardDuty Security Agent per gli account dei membri attivi esistenti nell'organizzazione**
+ GuardDuty Per ricevere gli eventi di runtime dai cluster EKS che appartengono agli account dei membri attivi esistenti nell'organizzazione, è necessario scegliere un approccio preferito per gestire l'agente di GuardDuty sicurezza per questi cluster EKS. Per ulteriori informazioni su ognuno di questi approcci, consulta [Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
### Abilita automaticamente la configurazione automatica degli agenti per i nuovi membri
| **Approccio preferito per gestire l'agente GuardDuty di sicurezza** | **Fasi** |
| --- | --- |
| Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) | Scegli lo scenario più adatto a te tra le procedure seguenti. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare cluster EKS selettivi utilizzando i tag di inclusione | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per i nuovi account membro della vostra organizzazione. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestisci manualmente l'agente di GuardDuty sicurezza | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Configurazione selettiva dell'agente automatizzato per gli account dei membri attivi
| **Approccio preferito per gestire l'agente di sicurezza GuardDuty ** | **Fasi** |
| --- | --- |
| Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) | Scegli lo scenario più adatto a te tra le procedure seguenti. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Monitorare cluster EKS selettivi utilizzando i tag di inclusione | Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi che appartengono agli account selezionati: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestisci manualmente l'agente di GuardDuty sicurezza | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
## Configurazione dell'agente automatizzato per un account autonomo
A un account autonomo spetta la decisione di abilitare o disabilitare un piano di protezione in uno specifico account Account AWS . Regione AWS
Se il tuo account è associato a un account GuardDuty amministratore tramite AWS Organizations o tramite il metodo di invito, questa sezione non si applica al tuo account. Per ulteriori informazioni, consulta [Abilitazione del monitoraggio del runtime per ambienti con più account](enable-runtime-monitoring-multiple-acc-env.md).
Dopo aver abilitato il Runtime Monitoring, assicurati GuardDuty di installare Security Agent tramite la configurazione automatica o la distribuzione manuale. Come parte del completamento di tutti i passaggi elencati nella procedura seguente, assicuratevi di installare il security agent.
In base alla tua preferenza di monitorare tutte le risorse Amazon EKS o solo alcune, scegli un metodo preferito e segui i passaggi indicati nella tabella seguente.
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel riquadro di navigazione, scegli **Runtime Monitoring**.
1. Nella scheda **Configurazione**, scegli **Abilita per abilitare** la configurazione automatica degli agenti per il tuo account.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
# Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS
Questa sezione descrive come gestire il tuo agente aggiuntivo Amazon EKS (GuardDuty agente) dopo aver abilitato Runtime Monitoring (o EKS Runtime Monitoring). Per utilizzare Runtime Monitoring, devi abilitare Runtime Monitoring e configurare il componente aggiuntivo Amazon EKS,`aws-guardduty-agent`. È necessario eseguire entrambi i passaggi per GuardDuty rilevare e generare [GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md) potenziali minacce.
Per gestire l'agente manualmente, è necessario creare un endpoint VPC come prerequisito. Questo aiuta a GuardDuty ricevere gli eventi di runtime. Successivamente, puoi installare il security agent in modo che inizi GuardDuty a ricevere gli eventi di runtime dalle risorse Amazon EKS. Quando GuardDuty rilascia una nuova versione dell'agente per questa risorsa, puoi aggiornare la versione dell'agente nel tuo account.
**Topics**
+ [Prerequisito: creazione di un endpoint Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Aggiornamento manuale dell'agente di sicurezza per le risorse Amazon EKS](eksrunmon-update-security-agent.md)
# Prerequisito: creazione di un endpoint Amazon VPC
Prima di poter installare il GuardDuty security agent, devi creare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuterà a GuardDuty ricevere gli eventi di runtime delle tue risorse Amazon EKS.
**Nota**
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
Scegli un metodo di accesso preferito per creare un endpoint Amazon VPC.
------
#### [ Console ]
**Per creare un endpoint VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dal riquadro di navigazione, in **Cloud privato virtuale**, scegli **Endpoint**.
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Nella pagina **Crea endpoint** per **Categoria servizio**, scegli **Altri servizi endpoint**.
1. Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**.
Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID.
1. Scegli **Verifica del servizio**.
1. Dopo aver verificato correttamente il nome del servizio, scegli il **VPC** in cui risiede il cluster. Aggiungi la policy seguente per limitare l'utilizzo degli endpoint VPC solo all'account specificato. Con la `Condition` dell'organizzazione fornita sotto a questa policy, puoi aggiornare la policy seguente per limitare l'accesso all'endpoint. Per fornire il supporto degli endpoint VPC a un account IDs specifico della tua organizzazione, consulta. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
L'ID account di `aws:PrincipalAccount` deve corrispondere all'account contenente il VPC e l'endpoint VPC. L'elenco seguente mostra come condividere l'endpoint VPC con altri: Account AWS IDs
**Condizione dell'organizzazione per limitare l'accesso all'endpoint**
+ Per specificare più account per accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue:
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
+ Per consentire a tutti i membri di un'organizzazione di accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
+ Per limitare l'accesso a una risorsa da parte di un ID organizzazione, aggiungi il tuo `ResourceOrgID` alla policy.
[Per ulteriori informazioni, consulta ResourceOrg ID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. In **Impostazioni aggiuntive**, scegli **Abilita nome DNS**.
1. In **Sottoreti**, scegli le sottoreti in cui risiede il cluster.
1. In **Gruppi di sicurezza**, scegli un gruppo di sicurezza con la porta 443 in ingresso abilitata dal tuo VPC (o dal cluster EKS). Se non disponi già di un gruppo di sicurezza con una porta 443 in ingresso abilitata, [Crea un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).
Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o istanza), puoi utilizzare la porta 443 in ingresso da qualsiasi indirizzo IP. `(0.0.0.0/0)` Tuttavia, GuardDuty consiglia di utilizzare indirizzi IP che corrispondano al blocco CIDR per il VPC. Per ulteriori informazioni, consulta i [blocchi VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.
------
#### [ API/CLI ]
**Per creare un endpoint VPC**
+ Invoca. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Utilizza i seguenti valori per i parametri:
+ Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**.
Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID.
+ Per [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), abilita l'opzione DNS privato impostandola su`true`.
+ Per AWS Command Line Interface, vedi [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).
------
Dopo aver seguito i passaggi, verifica [Convalida della configurazione degli endpoint VPC](validate-vpc-endpoint-config-runtime-monitoring.md) che l'endpoint VPC sia stato configurato correttamente.
# Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS
Questa sezione descrive come implementare il GuardDuty security agent per la prima volta per cluster EKS specifici. Prima di procedere con questa sezione, assicuratevi di aver già impostato i prerequisiti e abilitato il Runtime Monitoring per i vostri account. Il GuardDuty security agent (componente aggiuntivo EKS) non funzionerà se non abilitate il Runtime Monitoring.
Scegliete il metodo di accesso preferito per implementare il GuardDuty security agent per la prima volta.
------
#### [ Console ]
1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Scegli il **Nome cluster**.
1. Selezionare la scheda **Componenti aggiuntivi**.
1. Scegli **Ottieni altri componenti aggiuntivi**.
1. Nella pagina **Seleziona componenti aggiuntivi**, scegli **Amazon GuardDuty EKS Runtime Monitoring**.
1. GuardDuty consiglia di scegliere la **versione** più recente e predefinita dell'agente.
1. Nella pagina **Configura le impostazioni dei componenti aggiuntivi selezionati**, utilizza le impostazioni predefinite. Se lo **stato** del componente aggiuntivo EKS è **Richiede attivazione**, scegli **Attiva GuardDuty**. Questa azione aprirà la GuardDuty console per configurare il monitoraggio del runtime per i tuoi account.
1. Dopo aver configurato il Runtime Monitoring per i tuoi account, torna alla console Amazon EKS. Lo **Stato** del componente aggiuntivo EKS dovrebbe essere stato modificato in **Pronto per l'installazione**.
1.
**(Facoltativo) Fornitura dello schema di configurazione aggiuntivo EKS**
Per la versione aggiuntiva, se si sceglie la **versione** **1.5.0 o successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per informazioni sugli intervalli di parametri, vedere. [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md)
1. Espandi **le impostazioni di configurazione opzionali** per visualizzare i parametri configurabili e il valore e il formato previsti.
1. Imposta i parametri. I valori devono essere compresi nell'intervallo fornito in[Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).
1. Scegli **Salva modifiche** per creare il componente aggiuntivo in base alla configurazione avanzata.
1. Per il **metodo di risoluzione dei conflitti**, l'opzione scelta verrà utilizzata per risolvere un conflitto quando si aggiorna il valore di un parametro a un valore non predefinito. Per ulteriori informazioni sulle opzioni elencate, consulta [ResolveConflicts nell'*Amazon* EKS API Reference](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, verifica tutti i dettagli, quindi scegli **Crea**.
1. Torna ai dettagli del cluster e scegli la scheda **Risorse**.
1. Puoi visualizzare i nuovi pod con il prefisso. **aws-guardduty-agent**
------
#### [ API/CLI ]
È possibile configurare il componente aggiuntivo di Amazon EKS (`aws-guardduty-agent`) utilizzando una delle opzioni seguenti:
+ Corri [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)per il tuo account.
+
**Nota**
Per il componente aggiuntivo`version`, se scegli la **versione 1.5.0 o successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per ulteriori informazioni, consulta [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).
Utilizza i valori seguenti per i parametri della richiesta:
+ In `addonName`, immettere `aws-guardduty-agent`.
È possibile utilizzare il seguente AWS CLI esempio quando si utilizzano valori configurabili supportati per versioni aggiuntive o successive. `v1.5.0` Assicurati di sostituire i valori segnaposto evidenziati in rosso e quelli `Example.json` associati ai valori configurati.
```
aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example Esempio.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
+ Per informazioni sulle `addonVersion` supportate, consulta [Versioni di Kubernetes supportate dal security agent GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ In alternativa, puoi usare. AWS CLI Per ulteriori informazioni, consulta [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).
------
**Nomi DNS privati per endpoint VPC**
Per impostazione predefinita, il security agent si risolve e si connette al nome DNS privato dell'endpoint VPC. Per un endpoint non FIPS, il DNS privato verrà visualizzato nel seguente formato:
Endpoint non FIPS: `guardduty-data.us-east-1.amazonaws.com`
Il Regione AWS,*us-east-1*, cambierà in base alla tua regione.
# Aggiornamento manuale dell'agente di sicurezza per le risorse Amazon EKS
Quando gestisci manualmente il GuardDuty security agent, hai la responsabilità di aggiornarlo per il tuo account. Per ricevere notifiche sulle nuove versioni degli agenti, puoi abbonarti a un feed RSS a[GuardDuty versioni di rilascio di Security Agent](runtime-monitoring-agent-release-history.md).
È possibile aggiornare il Security Agent alla versione più recente per beneficiare del supporto e dei miglioramenti aggiuntivi. Se la versione corrente dell'agente sta per terminare il supporto standard, per continuare a utilizzare Runtime Monitoring (o EKS Runtime Monitoring), è necessario eseguire l'aggiornamento a una versione dell'agente successiva disponibile o all'ultima versione dell'agente.
**Prerequisito**
Prima di aggiornare la versione del Security Agent, assicurati che la versione dell'agente che intendi utilizzare ora sia compatibile con la tua versione di Kubernetes. Per ulteriori informazioni, consulta [Versioni di Kubernetes supportate dal security agent GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
------
#### [ Console ]
1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Scegli il **Nome cluster**.
1. **Nella sezione **Informazioni sul cluster**, scegli la scheda Componenti aggiuntivi.**
1. Nella scheda **Componenti aggiuntivi**, seleziona **GuardDutyEKS Runtime** Monitoring.
1. Scegli **Modifica** per aggiornare i dettagli dell'agente.
1. Nella pagina **Configure GuardDuty EKS Runtime Monitoring**, aggiorna i dettagli.
1.
**(Facoltativo) Aggiornamento delle impostazioni di configurazione opzionali**
Se la **versione** del componente aggiuntivo EKS è *1.5.0* o superiore, puoi anche aggiornare lo schema di configurazione del componente aggiuntivo.
1. Espandi **Impostazioni di configurazione opzionali** per visualizzare lo schema di configurazione.
1. Aggiorna i valori dei parametri in base all'intervallo fornito in[Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).
1. Scegli **Salva modifiche** per avviare l'aggiornamento.
1. Per il **metodo di risoluzione dei conflitti**, l'opzione scelta verrà utilizzata per risolvere un conflitto quando si aggiorna il valore di un parametro a un valore non predefinito. Per ulteriori informazioni sulle opzioni elencate, consulta [ResolveConflicts nell'*Amazon* EKS API Reference](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).
------
#### [ API/CLI ]
Per aggiornare l'agente GuardDuty di sicurezza per i tuoi cluster Amazon EKS, consulta [Aggiornamento di un componente aggiuntivo](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on).
**Nota**
Per il componente aggiuntivo`version`, se scegli la **versione 1.5.0 o una versione successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per informazioni sugli intervalli di parametri, vedere. [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md)
È possibile utilizzare l' AWS CLI esempio seguente quando si utilizzano valori configurabili supportati per le versioni aggiuntive *1.5.0* e successive. Assicurati di sostituire i valori segnaposto evidenziati in rosso e quelli associati ai `Example.json` valori configurati.
```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example Esempio.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
------
Se la tua versione del componente aggiuntivo Amazon EKS è 1.5.0 o successiva e hai configurato lo schema del componente aggiuntivo, puoi verificare se i valori vengono visualizzati correttamente per il tuo cluster. Per ulteriori informazioni, consulta [Verifica degli aggiornamenti dello schema di configurazione](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).
# Configurazione GuardDuty dei parametri dell'agente di sicurezza (componente aggiuntivo) per Amazon EKS
Puoi configurare parametri specifici del tuo agente di GuardDuty sicurezza per Amazon EKS. Questo supporto è disponibile per la versione 1.5.0 e successive del GuardDuty Security Agent. Per informazioni sulle ultime versioni dei componenti aggiuntivi, consulta. [GuardDuty versioni degli agenti di sicurezza per le risorse Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)
**Perché devo aggiornare lo schema di configurazione del Security Agent**
Lo schema di configurazione per l'agente GuardDuty di sicurezza è lo stesso per tutti i contenitori all'interno dei cluster Amazon EKS. Quando i valori predefiniti non sono in linea con i carichi di lavoro associati e le dimensioni dell'istanza, prendi in considerazione la configurazione delle impostazioni della CPU, delle impostazioni della memoria e delle impostazioni. `PriorityClass` `dnsPolicy` Indipendentemente da come gestisci l' GuardDuty agente per i tuoi cluster Amazon EKS, puoi configurare o aggiornare la configurazione esistente di questi parametri.
## Comportamento di configurazione automatizzato degli agenti con parametri configurati
Quando GuardDuty gestisce il Security Agent (componente aggiuntivo EKS) per conto dell'utente, aggiorna il componente aggiuntivo, se necessario. GuardDuty imposterà il valore dei parametri configurabili su un valore predefinito. Tuttavia, è ancora possibile aggiornare i parametri al valore desiderato. Se ciò causa un conflitto, l'opzione predefinita per [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) è. `None`
## Parametri e valori configurabili
Per informazioni sui passaggi per configurare i parametri del componente aggiuntivo, consulta:
+ [Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS](eksrunmon-deploy-security-agent.md) o
+ [Aggiornamento manuale dell'agente di sicurezza per le risorse Amazon EKS](eksrunmon-update-security-agent.md)
Le tabelle seguenti forniscono gli intervalli e i valori che puoi utilizzare per distribuire manualmente il componente aggiuntivo Amazon EKS o aggiornare le impostazioni del componente aggiuntivo esistenti.
**Impostazioni della CPU**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**Impostazioni della memoria**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**Impostazioni di `PriorityClass`**
Quando GuardDuty crea un componente aggiuntivo Amazon EKS per te, l'assegnato `PriorityClass` è`aws-guardduty-agent.priorityclass`. Ciò significa che non verrà intrapresa alcuna azione in base alla priorità del pod dell'agente. È possibile configurare questo parametro aggiuntivo scegliendo una delle seguenti `PriorityClass` opzioni:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes offre queste due opzioni: e. `PriorityClass` `system-cluster-critical` `system-node-critical` *Per ulteriori informazioni, consulta la documentazione di [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)Kubernetes.*
**Impostazioni di `dnsPolicy`**
Scegli una delle seguenti opzioni di policy DNS supportate da Kubernetes. Quando non viene specificata alcuna configurazione, `ClusterFirst` viene utilizzato come valore predefinito.
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
Per informazioni su queste politiche, consulta la [politica DNS di Pod nella documentazione](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy) di *Kubernetes*.
## Verifica degli aggiornamenti dello schema di configurazione
Dopo aver configurato i parametri, effettuate le seguenti operazioni per verificare che lo schema di configurazione sia stato aggiornato:
1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Nel pannello di navigazione scegliere **Cluster**.
1. Nella pagina **Cluster**, seleziona il **nome del cluster per il** quale desideri verificare gli aggiornamenti.
1. Scegli la scheda **Risorse**.
1. Dal riquadro **Tipi di risorse**, in **Carichi di lavoro, scegli**. **DaemonSets**
1. Seleziona **aws-guardduty-agent**.
1. Nella **aws-guardduty-agent**pagina, scegli **Visualizzazione raw per visualizzare** la risposta JSON non formattata. Verifica che i parametri configurabili visualizzino il valore che hai fornito.
Dopo la verifica, passa alla GuardDuty console. Seleziona il corrispondente Regione AWS e visualizza lo stato della copertura per i tuoi cluster Amazon EKS. Per ulteriori informazioni, consulta [Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS](eks-runtime-monitoring-coverage.md).
# Convalida della configurazione degli endpoint VPC
Dopo aver installato il security agent manualmente o tramite la configurazione GuardDuty automatica, puoi utilizzare questo documento per convalidare la configurazione dell'endpoint VPC. Puoi utilizzare questi passaggi anche dopo aver risolto qualsiasi [problema di copertura del runtime](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html) per un tipo di risorsa. Puoi assicurarti che i passaggi abbiano funzionato come previsto e che lo stato della copertura venga potenzialmente visualizzato come **Integro**.
Utilizza i seguenti passaggi per verificare che la configurazione dell'endpoint VPC per il tuo tipo di risorsa sia configurata correttamente nell'account del proprietario del VPC:
1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, in **Virtual private cloud**, scegli **Your VPCs**.
1. Nella VPCs pagina I **tuoi**, scegli **IPv4 CIDR** associato al tuo ID **VPC**.
1. Dal riquadro di navigazione, in **Cloud privato virtuale**, scegli **Endpoint**.
1. **Nella tabella **Endpoints**, seleziona la riga con il **nome del servizio** simile a com.amazonaws. *us-east-1*.guardduty-data.** La regione (`us-east-1`) potrebbe essere diversa per il tuo endpoint.
1. Verrà visualizzato un pannello con i dettagli dell'endpoint. Nella scheda **Gruppi di sicurezza**, seleziona il link **ID del gruppo** associato per maggiori dettagli.
1. Nella tabella **Gruppi di sicurezza**, seleziona la riga con l'**ID del gruppo di sicurezza** associato per visualizzare i dettagli.
1. **Nella scheda **Regole in entrata**, assicurati che esista una politica di ingresso con l'**intervallo di porte** pari a **443** e **Source** come valore copiato dal CIDR. IPv4 ** Le regole in entrata controllano il traffico in entrata a cui è consentito raggiungere l'istanza. L'immagine seguente mostra le regole in entrata per un gruppo di sicurezza associato al VPC utilizzato GuardDuty dal security agent.
Se non disponi già di un gruppo di sicurezza con una porta in ingresso 443 abilitata, [crea un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) nella *Amazon EC2* User Guide.
Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o cluster), fornisci il supporto alla porta 443 in ingresso da qualsiasi indirizzo IP (0.0.0.0/0).
L'elenco seguente include elementi utili dopo l'installazione o l'aggiornamento del Security Agent.
**Valuta la copertura del runtime**
Il passaggio successivo dopo l'installazione o l'aggiornamento del security agent consiste nel valutare la copertura in fase di esecuzione delle risorse. Se lo stato di copertura del runtime è **Inadeguato**, è necessario risolvere il problema. Per ulteriori informazioni, consulta [Problemi di copertura del runtime e risoluzione dei problemi](runtime-monitoring-assessing-coverage.md).
Se lo stato della copertura in fase di esecuzione risulta **integro**, significa che Runtime Monitoring è in grado di raccogliere e ricevere eventi di runtime. Per un elenco di questi eventi, vedere[Tipi di eventi di runtime raccolti](runtime-monitoring-collected-events.md).
**Nome DNS privato per l'endpoint**
Dopo aver installato il GuardDuty security agent per le tue risorse, per impostazione predefinita, si risolverà e si connetterà al nome DNS privato dell'endpoint VPC. Per un endpoint non FIPS, il DNS privato verrà visualizzato nel seguente formato:
`guardduty-data.us-east-1.amazonaws.com`
Il Regione AWS,*us-east-1*, cambierà in base alla tua regione.
**Un host può essere installato con due agenti di sicurezza**
Quando lavori con un agente GuardDuty di sicurezza per un'istanza Amazon EC2, puoi installare e utilizzare l'agente sull'host sottostante all'interno di un cluster Amazon EKS. Se hai già implementato un agente di sicurezza su quel cluster EKS, sullo stesso host potrebbero essere in esecuzione due agenti di sicurezza contemporaneamente. Per informazioni su come GuardDuty funziona in questo scenario, consulta[Agenti di sicurezza sullo stesso host](two-security-agents-installed-on-ec2-node.md).