View a markdown version of this page

Cobertura de runtime e solução de problemas para instância do Amazon EC2 - Amazon GuardDuty
Análise de estatísticas de coberturaAlteração do status da cobertura com EventBridge notificaçõesSolucionando problemas de cobertura de runtime do Amazon EC2

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cobertura de runtime e solução de problemas para instância do Amazon EC2

Para um recurso Amazon EC2, a cobertura de runtime é avaliada no nível da instância. Suas instâncias do Amazon EC2 podem executar vários tipos de aplicativos e workloads em seu ambiente AWS . Esse atributo também suporta instâncias do Amazon EC2 gerenciadas pelo Amazon EC2 e, se você tiver clusters do Amazon ECS em execução em uma instância do Amazon EC2, os problemas de cobertura no nível da instância aparecerão na cobertura de runtime do Amazon EC2.

Análise de estatísticas de cobertura

As estatísticas de cobertura das instâncias do Amazon EC2 associadas às suas próprias contas ou contas-membro são a porcentagem das instâncias do EC2 íntegras em relação a todas as instâncias do EC2 nas Região da AWS selecionadas. A seguinte equação representa isso como:

( instances/All Instâncias íntegras) *100

Se você também implantou o agente de GuardDuty segurança para seus clusters do Amazon ECS, qualquer problema de cobertura no nível da instância associado aos clusters do Amazon ECS executados em uma instância do Amazon EC2 aparecerá como um problema de cobertura de tempo de execução da instância do Amazon EC2.

Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.

Console

  • Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  • No painel de navegação, escolha Monitoramento de runtime.

  • Escolha a guia Cobertura de runtime.

  • Na guia Cobertura de runtime da instância EC2, é possível visualizar as estatísticas de cobertura agregadas pelo status de cobertura de cada instância do Amazon EC2 que está disponível na tabela Lista de instâncias.

    • Você pode filtrar a tabela Lista de instância pelas seguintes colunas:

      • ID da conta

      • Tipo de gerenciamento de agentes

      • Versão do agente

      • Status da cobertura

      • ID da instância

      • ARN do cluster

  • Se alguma das suas instâncias do EC2 tiver o Status de cobertura como Não íntegro, a coluna Problema incluirá informações adicionais sobre o motivo para o status Não íntegro.

API/CLI

  • Execute a ListCoverageAPI com seu próprio ID de detector válido, região atual e endpoint de serviço. É possível filtrar e classificar a lista de instâncias utilizando essa API.

    • Você pode alterar o filter-criteria de exemplo com uma das seguintes opções para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando o filter-criteria inclui RESOURCE_TYPE como EC2, o Monitoramento de runtime não suporta o uso de ISSUE como AttributeName. Ao usá-lo, a resposta da API resultará emInvalidInputException.

      Você pode alterar o AttributeName de exemplo em sort-criteria com uma das seguintes opções:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Você pode alterar o max-results (até 50).

    • Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Execute a GetCoverageStatisticsAPI para recuperar estatísticas agregadas de cobertura com base no. statisticsType

    • Você pode alterar o statisticsType de exemplo com uma das seguintes opções:

      • COUNT_BY_COVERAGE_STATUS: representa estatísticas de cobertura para clusters do EKS agregadas por status de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estatísticas de cobertura agregadas com base no tipo de AWS recurso na lista.

      • Você pode alterar o filter-criteria de exemplo no comando. É possível usar as seguintes opções para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se o status de cobertura da sua instância EC2 é Não íntegro, consulte Solucionando problemas de cobertura de runtime do Amazon EC2.

Alteração do status da cobertura com EventBridge notificações

O status da cobertura da sua instância Amazon ECS pode aparecer como Não íntegro. Para saber quando o status de cobertura é alterado, recomendamos monitorar o status de cobertura periodicamente e solucionar o problema, se o status se tornar Não íntegro. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou não. Por padrão, GuardDuty publica isso no EventBridge barramento da sua conta.

Exemplo de esquema de notificação

Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.

Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura da sua instância do Amazon EC2 mudar de Healthy paraUnhealthy, detail-type deveria ser. GuardDuty Runtime Protection Unhealthy Para ser notificado quando o status da cobertura mudar de Unhealthy paraHealthy, substitua o valor de detail-type porGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Conta da AWS ID",
  "time": "event timestamp (string)",
  "region": "Região da AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Solucionando problemas de cobertura de runtime do Amazon EC2

Se o status da cobertura da sua instância do Amazon EC2 for Não íntegra, você poderá ver o motivo na coluna Problema.

Caso sua instância EC2 esteja associada a um cluster EKS e o agente de segurança para EKS tenha sido instalado manualmente ou por meio da configuração automatizada do agente, para solucionar o problema de cobertura, consulte Cobertura de runtime e solução de problemas para clusters do Amazon EKS.

A tabela a seguir lista os tipos de problema e as etapas de solução dos respectivos problemas.

Tipo de problema Emitir mensagem Etapas de solução de problemas

Atendente não sendo relatado

Aguardando a notificação do SSM

O recebimento da notificação do SSM pode demorar alguns minutos.

Verifique se a instância Amazon EC2 será administrada por SSM. Para obter mais informações, consulte as etapas em Método 1 - Usando o AWS Systems Manager emInstalando o agente de segurança manualmente.

(Intencionalmente vazio)

Se você estiver gerenciando o agente de GuardDuty segurança manualmente, certifique-se de seguir as etapas abaixoGerenciando o agente de segurança manualmente para o recurso do Amazon EC2.

Caso tenha ativado a configuração automatizada do agente:

Valide se o endpoint da VPC da sua instância do Amazon EC2 está configurado corretamente. Para obter mais informações, consulte Validando a configuração do endpoint da VPC.

Se sua organização tiver uma política de controle de serviços (SCP), valide se o limite de permissões não está restringindo a permissão guardduty:SendSecurityTelemetry. Para obter mais informações, consulte Validando a política de controle de serviço da sua organização em um ambiente de várias contas.

Atendente desconectado

  • Visualize o status do agente de segurança. Para obter mais informações, consulte Validando o status GuardDuty de instalação do agente de segurança.

  • Visualize os logs do agente de segurança para identificar a possível causa raiz. Os logs fornecem os detalhes dos erros que podem ser usados para solucionar o problema autonomamente. Esses arquivos de log estão disponíveis em /var/log/amzn-guardduty-agent/.

    Faça sudo journalctl -u amazon-guardduty-agent.

Agente não provisionado

As instâncias com tags de exclusão são excluídas do Monitoramento de Runtime.

GuardDuty não recebe eventos de tempo de execução de instâncias do Amazon EC2 que são iniciadas com a tag de exclusão:. GuardDutyManaged false

Para receber eventos de runtime dessa instância do Amazon EC2, remova a tag de exclusão.

A versão do kernel é inferior à versão compatível.

Para obter informações sobre as versões do kernel compatíveis em todas as distribuições do sistema operacional, consulte Validação dos requisitos de arquitetura para as instâncias do Amazon EC2.

A versão do kernel é superior à versão compatível.

Para obter informações sobre as versões do kernel compatíveis em todas as distribuições do sistema operacional, consulte Validação dos requisitos de arquitetura para as instâncias do Amazon EC2.

Não é possível recuperar o documento de identidade da instância.

Siga estas etapas:

  1. Confirme se seu recurso é uma instância do Amazon EC2 e não uma instância híbrida que não seja do EC2.

  2. Confirme se o serviço de metadados de instância (IMDS) está habilitado. Para isso, consulte Configurar opções de serviço de metadados de instância no Guia do usuário do Amazon EC2.

  3. Verifique se o documento de identidade da instância existe. Para isso, consulte Recuperar o documento de identidade da instância no Guia do usuário do Amazon EC2.

  4. Se o documento de identidade da instância ainda não existir, reinicie a instância. O documento de identidade da instância é gerado quando a instância é interrompida e iniciada, reiniciada ou lançada.

Falha na criação da associação do SSM

GuardDuty A associação SSM já existe em sua conta

  1. Excluir a associação atual manualmente. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  2. Depois de excluir a associação, desative e reative a configuração GuardDuty automática do agente para o Amazon EC2.

Sua conta tem muitas associações do SSM

Escolha uma das seguintes duas opções:

  • Excluir todas as associações do SSM não utilizadas. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  • Verifique se sua conta se qualifica para um aumento de cota. Para obter informações, consulte as cotas do Systems Manager no Referência geral da AWS.

Falha na atualização da associação SSM

GuardDuty A associação SSM não existe em sua conta

GuardDuty A associação SSM não está presente em sua conta. Desabilite e, em seguida, reabilite o Monitoramento de runtime.

Falha na exclusão da associação SSM

GuardDuty A associação SSM não existe em sua conta

A associação SSM não está presente em sua conta. Caso a associação do SSM tenha sido excluída intencionalmente, nenhuma ação será necessária.

Falha na execução da associação de instância do SSM

Os requisitos arquitetônicos ou outros pré-requisitos não foram atendidos.

Para obter informações sobre distribuições verificadas do sistema operacional, consulte Pré-requisitos para suporte de instância do Amazon EC2.

Caso esse problema persista, as etapas a seguir ajudarão a identificar e possivelmente resolver o problema:

  1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, em Gerenciamento de nó, selecione State Manager.

  3. Filtrar por Nome do documento e digitar AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Selecione o ID da associação correspondente e visualize seu Histórico de execução.

  5. Usando o histórico de execução, visualize as falhas, identifique a possível causa raiz e tente resolvê-la.

Falha na criação de endpoint da VPC

A criação de VPC endpoint não é compatível com VPC compartilhada vpcId

O Monitoramento de runtime suporta o uso de uma VPC compartilhada em uma organização. Para obter mais informações, consulte Como usar uma VPC compartilhada com Monitoramento de Runtime.

Somente ao usar VPC compartilhada com configuração de agente automatizado

O ID da conta do 111122223333 proprietário da VPC compartilhada vpcId não tem o Runtime Monitoring, a configuração automatizada do agente ou ambos ativados

 A conta compartilhada do proprietário da VPC deve habilitar o Monitoramento de runtime e a configuração de agente automatizado para pelo menos um tipo de recurso (Amazon EKS ou Amazon ECS (AWS Fargate)). Para obter mais informações, consulte Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty.

A ativação do DNS privado requer ambos enableDnsSupport e os atributos da enableDnsHostnames VPC definidos true como vpcId for (Serviço: Ec2, Código de status: 400, ID da solicitação:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Verifique se os seguintes atributos da VPC estão definidos como true: enableDnsSupport e enableDnsHostnames. Para obter mais informações, consulte Atributos de DNS na sua VPC.

Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/para criar o Amazon VPC, selecione Habilitar nomes de host DNS e Ativar resolução de DNS. Para obter mais informações, consulte Opções de configuração da VPC.

Depois de atualizar os atributos da VPC, você deve acelerar uma nova tentativa da criação do endpoint da VPC fazendo uma das seguintes alterações:

  • Você pode adicionar ou modificar a tag GuardDutyManaged para sua instância do Amazon EC2 (recomendado). Por exemplo, você pode adicionar GuardDutyManaged:true para incluir a instância para o Monitoramento de Runtime.

  • Você pode alterar o estado da instância do Amazon EC2 (parar ou reiniciar).

Falha na exclusão de endpoint da VPC compartilhada

A exclusão compartilhada do VPC endpoint não é permitida para ID da conta, vpcId VPC 111122223333 compartilhada e ID da conta do proprietário. 555555555555
Etapas possíveis:

  • A desativação do status de Monitoramento de runtime da conta de participante da VPC compartilhada não afeta a política de endpoint da VPC compartilhada e o grupo de segurança que existe na conta do proprietário.

    Para excluir o grupo de segurança e endpoint da VPC compartilhada, desative o Monitoramento de runtime ou o status de configuração de agente automatizado na conta do proprietário da VPC compartilhada.

  • A conta do participante da VPC compartilhada não pode excluir o grupo de segurança e o endpoint da VPC compartilhada hospedados na conta compartilhada do proprietário da VPC.

Agente não sendo relatado

(Intencionalmente vazio)

Não há mais suporte para o tipo de problema. Se você continuar enfrentando esse problema e ainda não o fez, habilite o agente GuardDuty automatizado para o Amazon EC2.

Se o problema ainda persistir, considere desabilitar o Monitoramento de runtime por alguns minutos e depois habilitá-lo novamente.