View a markdown version of this page

在多帳戶環境中為 Amazon EC2 資源啟用 GuardDuty 代理程式 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在多帳戶環境中為 Amazon EC2 資源啟用 GuardDuty 代理程式

在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以啟用或停用屬於其組織中成員帳戶的資源類型的自動代理程式組態。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶會使用 管理其成員帳戶 AWS Organizations。如需有關多帳戶環境的詳細資訊,請參閱 Managing multiple accounts

Configure for all instances

如果您為執行期監控的所有帳戶選擇啟用,請為委派的 GuardDuty 管理員帳戶選擇下列其中一個選項:

  • 選項 1

    自動化代理程式組態下,於 EC2 區段中,選取為所有帳戶啟用

  • 選項 2

    • 自動化代理程式組態下,於 EC2 區段中,選取手動設定帳戶

    • 委派管理員 (此帳戶) 下,選擇啟用

  • 選擇儲存

如果您選擇手動設定執行期監控的帳戶,請執行下列步驟:

  • 自動化代理程式組態下,於 EC2 區段中,選取手動設定帳戶

  • 委派管理員 (此帳戶) 下,選擇啟用

  • 選擇儲存

無論您選擇哪個選項為委派的 GuardDuty 管理員帳戶啟用自動代理程式組態,都可以驗證 GuardDuty 建立的 SSM 關聯將在屬於此帳戶的所有 EC2 資源上安裝和管理安全代理程式。

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 開啟 SSM 關聯的目標索引標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤金鑰會顯示為 InstanceIds

Using inclusion tag in selected instances
為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedtrue 標籤新增至您希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 安裝和管理這些所選 EC2 執行個體的安全代理程式。您不需要明確啟用自動代理程式組態。

  3. 您可以驗證 GuardDuty 建立的 SSM 關聯只會在以包含標籤標記的 EC2 資源上安裝和管理安全代理程式。

    在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

    1. 開啟建立之 SSM 關聯的目標索引標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。標籤金鑰會顯示為 tag:GuardDutyManaged

Using exclusion tag in selected instances
注意

在啟動排除標籤之前,請務必將排除標籤新增至 Amazon EC2 執行個體。啟用 Amazon EC2 的自動代理程式組態後,任何在沒有排除標籤的情況下啟動的 EC2 執行個體都會包含在 GuardDuty 自動代理程式組態中。

為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedfalse 標籤新增至您不希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標籤,請執行下列步驟:

    1. 在執行個體的詳細資訊索引標籤下,檢視執行個體中繼資料中允許標籤的狀態。

      如果目前已停用,請使用下列步驟將狀態變更為已啟用。否則,請跳過這個步驟。

    2. 動作功能表下,選擇執行個體設定

    3. 選擇允許執行個體中繼資料中的標籤

  4. 新增排除標籤後,請執行與設定所有執行個體索引標籤中指定的相同步驟。

您現在可以評估執行時間 Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解

注意

最多可能需要 24 小時才會更新成員帳戶的組態。

Configure for all instances

下列步驟假設您為執行期監控區段中的所有帳戶選擇啟用

  1. Amazon EC2自動客服人員組態區段中,選擇為所有帳戶啟用

  2. 您可以驗證 GuardDuty 建立的 SSM 關聯 (GuardDutyRuntimeMonitoring-do-not-delete) 將在屬於此帳戶的所有 EC2 資源上安裝和管理安全代理程式。

    1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

    2. 開啟 SSM 關聯的目標索引標籤。請注意,標籤金鑰會顯示為 InstanceIds

Using inclusion tag in selected instances
為選取的 Amazon EC2 執行個體設定 GuardDuty 代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedtrue 標籤新增至您希望 GuardDuty 監控和偵測潛在威脅的 EC2 執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 安裝和管理這些所選 EC2 執行個體的安全代理程式。您不需要明確啟用自動代理程式組態。

  3. 您可以驗證 GuardDuty 建立的 SSM 關聯將在屬於您帳戶的所有 EC2 資源上安裝和管理安全代理程式。

    1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

    2. 開啟 SSM 關聯的目標索引標籤 (GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤金鑰會顯示為 InstanceIds

Using exclusion tag in selected instances
注意

在啟動排除標籤之前,請務必將排除標籤新增至 Amazon EC2 執行個體。啟用 Amazon EC2 的自動代理程式組態後,任何在沒有排除標籤的情況下啟動的 EC2 執行個體都會包含在 GuardDuty 自動代理程式組態中。

為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedfalse 標籤新增至您不希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標籤,請執行下列步驟:

    1. 在執行個體的詳細資訊索引標籤下,檢視執行個體中繼資料中允許標籤的狀態。

      如果目前已停用,請使用下列步驟將狀態變更為已啟用。否則,請跳過這個步驟。

    2. 動作功能表下,選擇執行個體設定

    3. 選擇允許執行個體中繼資料中的標籤

  4. 新增排除標籤後,請執行與設定所有執行個體索引標籤中指定的相同步驟。

您現在可以評估執行時間 Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解

委派的 GuardDuty 管理員帳戶可以設定 Amazon EC2 資源的自動代理程式組態,以便在新成員帳戶加入組織時自動為其啟用 。

Configure for all instances

下列步驟假設您已在執行期監控區段下為新成員帳戶選取自動啟用

  1. 在導覽窗格中,選擇執行期監控

  2. 執行期監控頁面上,選擇編輯

  3. 選取為新成員帳戶自動啟用。此步驟可確保每當新帳戶加入您的組織時,會自動為其帳戶啟用 Amazon EC2 的自動代理程式組態。只有組織的委派 GuardDuty 管理員帳戶可以修改此選項。

  4. 選擇儲存

當新的成員帳戶加入組織時,系統會自動為其啟用此組態。若要讓 GuardDuty 管理屬於此新成員帳戶的 Amazon EC2 執行個體的安全代理程式,請確定對於 EC2 執行個體符合所有先決條件。

建立 SSM 關聯時 (GuardDutyRuntimeMonitoring-do-not-delete),您可以驗證 SSM 關聯將在屬於新成員帳戶的所有 EC2 執行個體上安裝和管理安全代理程式。

Using inclusion tag in selected instances
為帳戶中選取的執行個體設定 GuardDuty 安全代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedtrue 標籤新增至您希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 安裝和管理這些所選執行個體的安全代理程式。您不需要明確啟用自動代理程式組態。

  3. 您可以驗證 GuardDuty 建立的 SSM 關聯只會在以包含標籤標記的 EC2 資源上安裝和管理安全代理程式。

    1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

    2. 開啟要建立之 SSM 關聯的目標索引標籤。標籤金鑰會顯示為 tag:GuardDutyManaged

Using exclusion tag in selected instances
注意

在啟動排除標籤之前,請務必將排除標籤新增至 Amazon EC2 執行個體。啟用 Amazon EC2 的自動代理程式組態後,任何在沒有排除標籤的情況下啟動的 EC2 執行個體都會包含在 GuardDuty 自動代理程式組態中。

為獨立帳戶中的特定執行個體設定 GuardDuty 安全代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedfalse 標籤新增至您不希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的資訊,請參閱如何將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標籤,請執行下列步驟:

    1. 在執行個體的詳細資訊索引標籤下,檢視執行個體中繼資料中允許標籤的狀態。

      如果目前已停用,請使用下列步驟將狀態變更為已啟用。否則,請跳過這個步驟。

    2. 動作功能表下,選擇執行個體設定

    3. 選擇允許執行個體中繼資料中的標籤

  4. 新增排除標籤後,請執行與設定所有執行個體索引標籤中指定的相同步驟。

您現在可以評估執行時間 Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解

Configure for all instances

  1. 帳戶頁面上,選取要啟用執行期監控自動代理程式組態 (Amazon EC2) 的一或多個帳戶。請確定您在此步驟中選取的帳戶已啟用執行期監控。

  2. 編輯保護計畫中,選擇適當的選項以啟用執行期監控自動代理程式組態 (Amazon EC2)

  3. 選擇確認

Using inclusion tag in selected instances
為所選執行個體設定 GuardDuty 安全代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedtrue 標籤新增至您希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

    新增此標籤將允許 GuardDuty 管理已標記 Amazon EC2 執行個體的安全代理程式。您不需要明確啟用自動代理程式組態 (執行期監控 - 自動化代理程式組態 (EC2)

Using exclusion tag in selected instances
注意

在啟動排除標籤之前,請務必將排除標籤新增至 Amazon EC2 執行個體。啟用 Amazon EC2 的自動代理程式組態後,任何在沒有排除標籤的情況下啟動的 EC2 執行個體都將包含在 GuardDuty 自動化代理程式組態中。

為所選執行個體設定 GuardDuty 安全代理程式

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/:// 開啟 Amazon EC2 主控台。

  2. GuardDutyManagedfalse 標籤新增至您不希望 GuardDuty 監控或偵測潛在威脅的 EC2 執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源

  3. 若要在執行個體中繼資料中使用排除標籤,請執行下列步驟:

    1. 在執行個體的詳細資訊索引標籤下,檢視執行個體中繼資料中允許標籤的狀態。

      如果目前已停用,請使用下列步驟將狀態變更為已啟用。否則,請跳過這個步驟。

    2. 動作功能表下,選擇執行個體設定

    3. 選擇允許執行個體中繼資料中的標籤

  4. 新增排除標籤之後,請執行與設定所有執行個體索引標籤中指定的相同步驟。

您現在可以評估 Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解