As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para suporte de instância do Amazon EC2
Esta seção inclui os pré-requisitos para monitorar o comportamento de runtime das instâncias do Amazon EC2. Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.
Tópicos
Tornar as instâncias do EC2 gerenciadas por SSM (somente para configuração automatizada de agentes)
GuardDuty usa AWS Systems Manager (SSM) para implantar, instalar e gerenciar automaticamente o agente de segurança em suas instâncias. Se você planeja instalar e gerenciar manualmente o GuardDuty agente, o SSM não é necessário.
Para gerenciar suas instâncias do Amazon EC2 com o Systems Manager, consulte Configurando o Systems Manager para instâncias do Amazon EC2 no Guia do usuário do AWS Systems Manager .
Validação dos requisitos de arquitetura
A arquitetura da distribuição do sistema operacional pode afetar o comportamento do agente de GuardDuty segurança. Você deve atender aos seguintes requisitos para usar o Monitoramento de runtime para instâncias do Amazon EC2:
-
O suporte do kernel inclui
eBPF,TracepointseKprobe. Para arquiteturas de CPU, o Runtime Monitoring suporta AMD64 (x64) e ARM64 (Graviton2 e superior). 1A tabela a seguir mostra a distribuição do sistema operacional que foi verificada para oferecer suporte ao agente GuardDuty de segurança para instâncias do Amazon EC2.
Distribuição do sistema operacional 2 Versão do kernel 3 Amazon Linux 2 Amazon Linux 2023 Ubuntu 20.04 e Ubuntu 22.04 Debian 11 e Debian 12 Ubuntu 24.04 6.8
RedHat 9.4 5.14
Fedora 34.0 5.11, 5.17
Fedora 40 6.8
Fedora 41 6.12
CentOS Stream 9 5.14
Oracle Linux 8.9 5,15
Oracle Linux 9.3 5,15
Rocky Linux 9.5 5.14
Alma Linux 9 5.14
Alma Linux 10 6.12
Servidor SUSE Linux Enterprise 16 6.12
-
O Monitoramento de Runtime para recursos do Amazon EC2 não é compatível com a instância Graviton de primeira geração, como os tipos de instância A1.
-
Suporte para vários sistemas operacionais - GuardDuty verificou o suporte do Runtime Monitoring para a distribuição operacional listada na tabela anterior. Embora o agente GuardDuty de segurança possa ser executado em sistemas operacionais não listados na tabela anterior, a GuardDuty equipe não pode garantir o valor de segurança esperado.
-
Para qualquer versão do kernel, você deve definir o sinalizador
CONFIG_DEBUG_INFO_BTFcomoy(isto é, verdadeiro). Isso é necessário para que o agente GuardDuty de segurança possa ser executado conforme o esperado. -
Para as versões 5.10 e anteriores do kernel, o agente GuardDuty de segurança usa memória bloqueada na RAM (
RLIMIT_MEMLOCK) para funcionar conforme o esperado. Se oRLIMIT_MEMLOCKvalor do seu sistema estiver definido como muito baixo, GuardDuty recomenda definir limites rígidos e flexíveis para pelo menos 32 MB. Para obter informações sobre como verificar e modificar o valor deRLIMIT_MEMLOCKpadrão, consulte Visualização e atualização de valores de RLIMIT_MEMLOCK. -
Para o Ubuntu 24.04, as versões 6.13 e 6.14 do kernel oferecem suporte somente às versões do agente EC2 1.9.2 e superiores.
-
-
Requisitos adicionais - Somente se você tiver o Amazon ECS/Amazon EC2
Para o Amazon ECS/Amazon EC2, recomendamos que você use a versão mais recente otimizada para Amazon ECS AMIs (datada de 29 de setembro de 2023 ou posterior) ou use a versão v1.77.0 do agente Amazon ECS.
Visualização e atualização de valores de RLIMIT_MEMLOCK
Quando o RLIMIT_MEMLOCK limite do seu sistema é definido como muito baixo, o agente de GuardDuty segurança pode não funcionar conforme projetado. GuardDuty recomenda que os limites rígidos e flexíveis sejam de pelo menos 32 MB. Se você não atualizar os limites, não GuardDuty conseguirá monitorar os eventos de tempo de execução do seu recurso. Quando RLIMIT_MEMLOCK está acima dos limites mínimos estabelecidos, torna-se opcional que você atualize esses limites.
Você pode modificar o RLIMIT_MEMLOCK valor padrão antes ou depois de instalar o agente GuardDuty de segurança.
Para visualizar valores RLIMIT_MEMLOCK
-
Executar
ps aux | grep guardduty. Isso exibirá o ID do processo (pid). -
Copie o ID do processo (
pid) da saída do comando anterior. -
Execute
grep "Max locked memory" /proc/após substituir opid/limitspidpelo ID do processo copiado da etapa anterior.Isso exibirá a memória máxima bloqueada para executar o agente GuardDuty de segurança.
Para atualizar valores RLIMIT_MEMLOCK
-
Se o arquivo
/etc/systemd/system.conf.d/existir, comente a linha deNUMBER-limits.confDefaultLimitMEMLOCKdesse arquivo. Esse arquivo define umRLIMIT_MEMLOCKpadrão com alta prioridade, que substitui suas configurações no arquivo/etc/systemd/system.conf. -
Abra o arquivo
/etc/systemd/system.confe remova o comentário da linha com#DefaultLimitMEMLOCK=. -
Atualize o valor padrão fornecendo limites de
RLIMIT_MEMLOCKrígidos e flexíveis de pelo menos 32 MB. A atualização deve ter a seguinte aparência:DefaultLimitMEMLOCK=32M:32M. O formato ésoft-limit:hard-limit. -
Executar
sudo reboot.
Validando a política de controle de serviço da sua organização em um ambiente de várias contas
Se você configurou uma política de controle de serviços (SCP) para gerenciar permissões na sua organização, confirme se o limite de permissões permite a ação guardduty:SendSecurityTelemetry. É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.
Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).
Ao usar a configuração de agente automatizado
Para Usar a configuração de agente automatizado (recomendado) isso, você Conta da AWS deve atender aos seguintes pré-requisitos:
-
Ao usar tags de inclusão com configuração automática de agentes, GuardDuty para criar uma associação SSM para uma nova instância, certifique-se de que a nova instância seja gerenciada por SSM e apareça no Fleet Manager no https://console.aws.amazon.com/systems-manager/
console. -
Ao usar tags de exclusão com configuração de agente automatizado:
-
Adicione a
falsetagGuardDutyManaged: antes de configurar o agente GuardDuty automatizado para sua conta.Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.
-
Habilite a configuração Permitir tags nos metadados para suas instâncias. Essa configuração é necessária porque GuardDuty precisa ler a tag de exclusão do serviço de metadados da instância (IMDS) para determinar se ela deve excluir a instância da instalação do agente. Para obter mais informações, consulte Habilitar o acesso a tags em metadados da instância no Guia do usuário do Amazon EC2.
-
Limite de CPU e memória para o GuardDuty agente
- Limite da CPU
-
O limite máximo de CPU para o agente GuardDuty de segurança associado às instâncias do Amazon EC2 é de 10% do total de núcleos de vCPU. Por exemplo, se sua instância do EC2 tiver 4 núcleos de vCPU, o agente de segurança poderá usar, no máximo, 40% do total disponível de 400%.
- Limite de memória
-
Da memória associada à sua instância do Amazon EC2, há uma memória limitada que o agente de GuardDuty segurança pode usar.
A tabela a seguir mostra o limite de memória.
Memória da instância do Amazon EC2.
Memória máxima para GuardDuty agente
Menor que 8 GB
128 MB
Menor que 32 GB
256 MB
Maior que ou igual a 32 GB
1 GB
Próxima etapa
A próxima etapa é configurar o Monitoramento de runtime e também gerenciar o agente de segurança (automática ou manualmente).
