本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 執行期監控如何與 Amazon EC2 執行個體搭配使用
<a name="how-runtime-monitoring-works-ec2"></a>

Amazon EC2 執行個體可以在您的 AWS 環境中執行多種類型的應用程式和工作負載。當您啟用執行期監控和管理 GuardDuty 安全代理程式時，GuardDuty 可協助您偵測現有 Amazon EC2 執行個體中的威脅，以及可能的新執行個體。此功能也支援 Amazon ECS 受管 Amazon EC2 執行個體。如需詳細資訊，請參閱 [Guardduty 中的受管執行個體支援](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html)。

**注意**  
執行期監控不支援在 [Amazon ECS 受管執行個體](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)上執行的應用程式。

啟用執行期監控可讓 GuardDuty 準備好取用目前執行中和 Amazon EC2 執行個體內新程序的執行期事件。GuardDuty 需要安全代理程式將執行期事件從 EC2 執行個體傳送至 GuardDuty。

對於 Amazon EC2 執行個體，GuardDuty 安全代理程式會在執行個體層級運作。您可以決定是否要監控帳戶中的所有 或選擇性 Amazon EC2 執行個體。如果您想要管理選擇性執行個體，則只有這些執行個體需要安全代理程式。

GuardDuty 也可以從 Amazon ECS 叢集中的 Amazon EC2 執行個體中執行的新任務和現有任務取用執行期事件。

若要安裝 GuardDuty 安全代理程式，執行期監控提供下列兩個選項：
+ [使用自動代理程式組態 （建議）](#use-automated-agent-config-ec2)、 或
+ [手動管理安全代理程式](#ec2-security-agent-option2-manual)

## 透過 GuardDuty 使用自動代理程式組態 （建議）
<a name="use-automated-agent-config-ec2"></a>

使用自動化代理程式組態，允許 GuardDuty 代表您在 Amazon EC2 執行個體上安裝安全代理程式。GuardDuty 也會管理安全代理程式的更新。

根據預設，GuardDuty 會在您帳戶中的所有執行個體上安裝安全代理程式。如果您希望 GuardDuty 僅安裝和管理所選 EC2 執行個體的安全代理程式，請視需要將包含或排除標籤新增至 EC2 執行個體。

有時，您可能不想監控屬於您帳戶之所有 Amazon EC2 執行個體的執行期事件。對於您想要監控有限數量執行個體執行時間事件的情況，請將包含標籤新增為 `GuardDutyManaged`：`true` 到這些選取的執行個體。從 Amazon EC2 自動化代理程式組態的可用性開始，如果您的 EC2 執行個體具有包含標籤 (`GuardDutyManaged`：`true`)，即使您未明確啟用自動化代理程式組態，GuardDuty 仍會遵守所選執行個體的標籤和管理安全代理程式。

另一方面，如果您不想監控執行時間事件的 EC2 執行個體數量有限，請將排除標籤 (`GuardDutyManaged`：`false`) 新增至這些選取的執行個體。GuardDuty 不會安裝**或**管理這些 EC2 資源的安全代理程式，**以**遵守排除標籤。

### 影響
<a name="impact-automated-security-agent-ec2"></a>

當您在 AWS 帳戶 或 組織中使用自動化代理程式組態時，您允許 GuardDuty 代表您執行下列步驟：
+ GuardDuty 會為 SSM 受管的所有 Amazon EC2 執行個體建立一個 SSM 關聯，並顯示在 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 主控台的 **Fleet Manager** 下。
+ 使用停用自動代理程式組態的包含標籤 – 啟用執行期監控後，當您未啟用自動代理程式組態，但將包含標籤新增至 Amazon EC2 執行個體時，表示您允許 GuardDuty 代表您管理安全代理程式。然後，SSM 關聯會在具有包含標籤 (`GuardDutyManaged`：) 的每個執行個體中安裝安全代理程式`true`。
+ 如果您啟用自動代理程式組態 – SSM 關聯接著會在屬於您帳戶的所有 EC2 執行個體中安裝安全代理程式。
+ 搭配自動代理程式組態使用排除標籤 – 在您啟用自動代理程式組態之前，當您將排除標籤新增至 Amazon EC2 執行個體時，表示您允許 GuardDuty 防止安裝和管理此所選執行個體的安全代理程式。

  現在，當您啟用自動代理程式組態時，SSM 關聯將在所有 EC2 執行個體中安裝和管理安全代理程式，除了使用排除標籤標記的安全代理程式。
+ GuardDuty 會在所有 VPC 中建立 VPCs 端點，包括共用 VPCs，只要該 VPC 中至少有一個 Linux EC2 執行個體不在終止或關閉執行個體狀態。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊，請參閱*AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施*中的[界面 VPC 端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)。

  如需不同執行個體狀態的資訊，請參閱《*Amazon EC2 使用者指南*》中的[執行個體生命週期](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html)。

  GuardDuty 也支援 [使用共用 VPC 搭配執行期監控](runtime-monitoring-shared-vpc.md)。當您的組織考慮所有先決條件，且 AWS 帳戶 GuardDuty 將使用共用的 VPC 來接收執行期事件。
**注意**  
VPC 端點的使用無需額外費用。
+ 除了 VPC 端點之外，GuardDuty 也會建立新的安全群組。傳入 （傳入） 規則控制允許存取與安全群組相關聯之資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則，並在 CIDR 範圍變更時加以調整。如需詳細資訊，請參閱《*Amazon* [VPC 使用者指南》中的 VPC CIDR 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。

## 手動管理安全代理程式
<a name="ec2-security-agent-option2-manual"></a>

有兩種方式可以手動管理 Amazon EC2 的安全代理程式：
+ 在 中使用 GuardDuty 受管文件，在已 AWS Systems Manager 受 SSM 管理的 Amazon EC2 執行個體上安裝安全代理程式。

  每當您啟動新的 Amazon EC2 執行個體時，請確定它已啟用 SSM。
+ 使用 RPM 套件管理員 (RPM) 指令碼在您的 Amazon EC2 執行個體上安裝安全代理程式，無論是否受 SSM 管理。

## 下一步驟
<a name="next-step-prerequisites-ec2"></a>

若要開始使用執行期監控組態來監控 Amazon EC2 執行個體，請參閱 [Amazon EC2 執行個體支援的先決條件](prereq-runtime-monitoring-ec2-support.md)。