View a markdown version of this page

Como o Monitoramento de runtime funciona com instâncias do Amazon ECS - Amazon GuardDuty
Usar a configuração de agente automatizado (recomendado)Gerenciar o agente de segurança manualmentePróxima etapa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Monitoramento de runtime funciona com instâncias do Amazon ECS

Suas instâncias do Amazon EC2 podem executar vários tipos de aplicativos e workloads em seu ambiente AWS . Quando você ativa o Runtime Monitoring e gerencia o agente de GuardDuty segurança, GuardDuty ajuda a detectar ameaças em suas instâncias existentes do Amazon EC2 e em instâncias potencialmente novas. Esse atributo também é compatível com instâncias do Amazon EC2 gerenciadas pelo Amazon ECS. Para obter mais informações, consulte Suporte a instâncias gerenciadas no Guardduty.

nota

O Monitoramento de Runtime não oferece suporte a aplicações executadas em instâncias gerenciadas do Amazon ECS.

A ativação do monitoramento de tempo de execução GuardDuty prepara o consumo de eventos de tempo de execução dos processos atualmente em execução e de novos processos nas instâncias do Amazon EC2. GuardDuty exige que um agente de segurança envie eventos de tempo de execução da sua instância do EC2 para o. GuardDuty

Para instâncias do Amazon EC2, o agente GuardDuty de segurança opera no nível da instância. Pode-se decidir entre monitorar todas as instâncias do Amazon EC2 da sua conta ou apenas algumas delas. Se quiser gerenciar as instâncias seletivas, o agente de segurança será solicitado somente para essas instâncias.

GuardDuty também pode consumir eventos de tempo de execução de novas tarefas e tarefas existentes em execução nas instâncias do Amazon EC2 dentro dos clusters do Amazon ECS.

Para instalar o agente GuardDuty de segurança, o Runtime Monitoring fornece as duas opções a seguir:

Use a configuração automatizada do agente por meio de GuardDuty (recomendado)

Use a configuração automatizada do agente que permita GuardDuty instalar o agente de segurança em suas instâncias do Amazon EC2 em seu nome. GuardDuty também gerencia as atualizações do agente de segurança.

Por padrão, GuardDuty instala o agente de segurança em todas as instâncias da sua conta. Se você quiser GuardDuty instalar e gerenciar o agente de segurança somente para instâncias EC2 selecionadas, adicione tags de inclusão ou exclusão às suas instâncias do EC2, conforme necessário.

Às vezes, você pode não querer monitorar eventos de runtime para todas as instâncias do Amazon EC2 que pertencem à sua conta. Para casos em que você quiser monitorar os eventos de runtime de um número limitado de instâncias, adicione uma tag de inclusão comoGuardDutyManaged:true a essas instâncias selecionadas. Começando com a disponibilidade da configuração automatizada do agente para o Amazon EC2, se sua instância do EC2 tiver uma tag de inclusão (GuardDutyManaged:true), GuardDuty respeitará a tag e gerenciará o agente de segurança para as instâncias selecionadas, mesmo quando você não habilitar explicitamente a configuração automática do agente.

Por outro lado, se houver um número limitado de instâncias do EC2 para as quais você não deseja monitorar eventos de tempo de execução, adicione uma tag de exclusão (GuardDutyManaged:false) a essas instâncias selecionadas. GuardDuty honrará a etiqueta de exclusão ao não instalar nem gerenciar o agente de segurança desses recursos do EC2.

Impacto

Ao usar a configuração automatizada de agentes em uma Conta da AWS ou em uma organização, você GuardDuty permite realizar as seguintes etapas em seu nome:

  • GuardDuty cria uma associação SSM para todas as suas instâncias do Amazon EC2 que são gerenciadas por SSM e aparecem no Fleet Manager no console. https://console.aws.amazon.com/systems-manager/

  • Uso de tags de inclusão com a configuração automática do agente desativada — Depois de ativar o Runtime Monitoring, quando você não ativa a configuração automática do agente, mas adiciona a tag de inclusão à sua instância do Amazon EC2, isso significa que você está autorizando GuardDuty o gerenciamento do agente de segurança em seu nome. A associação SSM então instalará o agente de segurança em cada instância que tiver a tag de inclusão (GuardDutyManaged:true).

  • Se você ativar a configuração de agente automatizado, a associação SSM instalará o agente de segurança em todas as instâncias do EC2 pertencentes à sua conta.

  • Uso de tags de exclusão com configuração automática de agentes — Antes de ativar a configuração automática do agente, ao adicionar uma tag de exclusão à sua instância do Amazon EC2, significa que você está GuardDuty permitindo impedir a instalação e o gerenciamento do agente de segurança para essa instância selecionada.

    Agora, quando você ativa a configuração de agente automatizado, a associação SSM instala e gerencia o agente de segurança em todas as instâncias do EC2, exceto aquelas que estão marcadas com a tag de exclusão.

  • GuardDuty cria VPC endpoints em todas as VPCs, incluindo VPCs compartilhadas, desde que haja pelo menos uma instância Linux EC2 nessa VPC que não esteja nos estados de instância encerrada ou encerrada. Isso inclui a VPC e o spoke centralizados. VPCs GuardDuty não oferece suporte à criação de um VPC endpoint somente para a VPC centralizada. Para obter mais informações sobre como a VPC centralizada funciona, consulte Interface VPC endpoints no Whitepaper — Criando uma infraestrutura de rede AWS multi-VPC escalável e segura. AWS

    Para obter informações sobre diferentes estados de instância, consulte o Ciclo de vida da instância no Guia do usuário do Amazon EC2.

    GuardDuty também suportaComo usar uma VPC compartilhada com Monitoramento de Runtime. Quando todos os pré-requisitos forem considerados, sua organização GuardDuty usará a VPC compartilhada para receber eventos de tempo de execução. Conta da AWS

    nota

    Não há custo adicional para usar o endpoint da VPC.

  • Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao intervalo CIDR da VPC para seu recurso e também se adapta a ele quando o intervalo CIDR muda. Para obter mais informações, consulte Intervalo CIDR da VPC no Guia do Usuário da Amazon VPC.

Gerenciar o agente de segurança manualmente

Há duas maneiras de gerenciar manualmente o agente de segurança do Amazon EC2:

  • Use documentos GuardDuty gerenciados AWS Systems Manager para instalar o agente de segurança em suas instâncias do Amazon EC2 que já são gerenciadas por SSM.

    Sempre que iniciar uma nova instância do Amazon EC2, verifique se ela está habilitada para SSM.

  • Use scripts do gerenciador de pacotes RPM (RPM) para instalar o agente de segurança em suas instâncias do Amazon EC2, sejam elas gerenciadas por SSM ou não.

Próxima etapa

Para começar a usar a configuração de Monitoramento de runtime para monitorar suas instâncias do Amazon EC2, consulte Pré-requisitos para suporte de instância do Amazon EC2.