翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング
<a name="gdu-assess-coverage-ec2"></a>

Amazon EC2 リソースの場合、ランタイムカバレッジはインスタンスレベルで評価されます。Amazon EC2 インスタンスは、 AWS 環境内のさまざまなタイプのアプリケーションやワークロードを実行できます。この機能は Amazon ECS によって管理されている Amazon EC2 インスタンスもサポートしており、Amazon EC2 インスタンスで Amazon ECS クラスターを実行している場合、インスタンスレベルでのカバレッジの問題は Amazon EC2 ランタイムカバレッジに表示されます。

**Topics**
+ [カバレッジ統計の確認](#review-coverage-statistics-ec2-runtime-monitoring)
+ [カバレッジステータス変更時の EventBridge 通知](#ec2-runtime-monitoring-coverage-status-change)
+ [Amazon EC2 ランタイムカバレッジの問題のトラブルシューティング](#ec2-runtime-monitoring-coverage-issues-troubleshoot)

## カバレッジ統計の確認
<a name="review-coverage-statistics-ec2-runtime-monitoring"></a>

自分のアカウントまたはメンバーアカウントに関連付けられた Amazon EC2 インスタンスのカバレッジ統計は、選択した AWS リージョンのすべての EC2 インスタンスに対する正常な EC2 インスタンスの割合です。次の式はこれを次のように表します。

(正常なインスタンス/すべてのインスタンス)\$1100

Amazon ECS クラスターに GuardDuty セキュリティエージェントもデプロイしている場合、Amazon EC2 インスタンスで実行されている Amazon ECS クラスターに関連するインスタンスレベルのカバレッジの問題は、Amazon EC2 インスタンスのランタイムカバレッジ問題として表示されます。

いずれかのアクセス方法を選択して、アカウントのカバレッジ統計を確認してください。

------
#### [ Console ]
+ にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
+ ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
+ **[ランタイムカバレッジ]** タブを選択します。
+ **[EC2 インスタンスのランタイムカバレッジ]** タブでは、**[クラスターリスト]** テーブルにある各 Amazon EC2 インスタンスのカバレッジステータス別に集計されたカバレッジ統計を表示できます。
  + **[インスタンスリスト]** テーブルは次の列でフィルタリングできます。
    + **アカウント ID**
    + **[エージェント管理タイプ]**
    + **[エージェントバージョン]**
    + **[カバレッジステータス]**
    + **[インスタンス ID]**
    + **クラスター ARN**
+ EC2 インスタンスのいずれかの **[カバレッジステータス]** が **[異常]** の場合、**[問題]** 列には、**[異常]** ステータスである理由に関する追加情報が含まれています。

------
#### [ API/CLI ]
+ 独自の有効なディテクター ID、現在のリージョン、サービスエンドポイントを使用して [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html) API を実行します。この API を使用して、インスタンスリストをフィルタリングしたり、ソートしたりできます。
  + 以下の `CriterionKey` のオプションのいずれかを使用して例 `filter-criteria` を変更できます。
    + `ACCOUNT_ID`
    + `RESOURCE_TYPE`
    + `COVERAGE_STATUS`
    + `AGENT_VERSION`
    + `MANAGEMENT_TYPE`
    + `INSTANCE_ID`
    + `CLUSTER_ARN`
  + `filter-criteria` に **[EC2]** として `RESOURCE_TYPE` が含まれている場合、Runtime Monitoring は `AttributeName` としての **[ISSUE]** の使用をサポートしていません。これを使用すると、API レスポンスは `InvalidInputException` になります。

    以下のオプションで `sort-criteria` の例 `AttributeName` を変更できます。
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `INSTANCE_ID`
    + `UPDATED_AT`
  + *max-results* (最大 50) を変更できます。
  + アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html) API を実行すると、`statisticsType` に基づいてカバレッジ集計された統計情報を取得できます。
  + 例 `statisticsType` を次のオプションのいずれかに変更できます。
    + `COUNT_BY_COVERAGE_STATUS` - カバレッジステータス別に集計された EKS クラスターのカバレッジ統計を表します。
    + `COUNT_BY_RESOURCE_TYPE` – リスト内の AWS リソースのタイプに基づいて集計されたカバレッジ統計。
    + コマンドで例 `filter-criteria` を変更できます。`CriterionKey` に対して次のオプションを設定できます。
      + `ACCOUNT_ID`
      + `RESOURCE_TYPE`
      + `COVERAGE_STATUS`
      + `AGENT_VERSION`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
      + `CLUSTER_ARN`
  + アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

EC2 インスタンスのカバレッジステータスが **[異常]** である場合は、「[Amazon EC2 ランタイムカバレッジの問題のトラブルシューティング](#ec2-runtime-monitoring-coverage-issues-troubleshoot)」を参照してください。

## カバレッジステータス変更時の EventBridge 通知
<a name="ec2-runtime-monitoring-coverage-status-change"></a>

Amazon EC2 インスタンスのカバレッジステータスが **[異常]** と表示される場合があります。カバレッジステータスの変化を検出するためにカバレッジステータスを定期的に監視し、ステータスが **[異常]** の場合はトラブルシューティングすることをお勧めします。または、Amazon EventBridge ルールを作成して、カバレッジステータスが **[異常]** から **[正常]** に変更された場合やそれ以外の変更があった場合に通知を受け取ることもできます。デフォルトでは、GuardDuty はこれをアカウントの [EventBridge バス](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)に公開します。

### 通知スキーマの例
<a name="ec2-gdu-coverage-status-eventbridge-schema"></a>

EventBridge のルールでは、あらかじめ定義されたサンプルイベントとイベントパターンを使用して、カバレッジステータスの通知を受け取ることができます。EventBridge ルールの作成の詳細については、「*Amazon EventBridge ユーザーガイド*」の「[ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)」を参照してください。

さらに、次の通知スキーマの例を使用して、カスタムイベントパターンを作成します。アカウントの値を必ず置き換えてください。Amazon EC2 インスタンスのカバレッジステータスが `Healthy` から `Unhealthy` に変更されたときに通知を受け取るには、`detail-type` が *GuardDuty Runtime Protection Unhealthy* である必要があります。カバレッジステータスが `Unhealthy` から `Healthy` に変更されたときに通知を受け取るには、`detail-type` の値を *GuardDuty Runtime Protection Healthy* に置き換えます。

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "AWS アカウント ID",
  "time": "event timestamp (string)",
  "region": "AWS リージョン",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Amazon EC2 ランタイムカバレッジの問題のトラブルシューティング
<a name="ec2-runtime-monitoring-coverage-issues-troubleshoot"></a>

Amazon EC2 インスタンスのカバレッジステータスが **[異常]** の場合、その理由を **[問題]** 列で確認できます。

EC2 インスタンスが EKS クラスターに関連付けられていて、EKS のセキュリティエージェントが手動または自動エージェント設定でインストールされている場合は、「[Amazon EKS クラスターのランタイムカバレッジとトラブルシューティング](eks-runtime-monitoring-coverage.md)」を参照してカバレッジの問題をトラブルシューティングします。

次の表に、問題のタイプと対応するトラブルシューティングステップを示します。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/gdu-assess-coverage-ec2.html)