本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為獨立帳戶中的 Amazon EC2 資源啟用 GuardDuty 自動化代理程式
獨立帳戶擁有 AWS 帳戶 在特定 中啟用或停用保護計劃的決定 AWS 區域。
如果您的帳戶透過 AWS Organizations或邀請方法與 GuardDuty 管理員帳戶相關聯,則本節不適用於您的帳戶。如需詳細資訊,請參閱啟用多帳戶環境的執行期監控。
啟用執行期監控之後,請務必透過自動化組態或手動部署來安裝 GuardDuty 安全代理程式。完成下列程序列出的所有步驟時,請務必安裝 安全代理程式。
根據您的偏好監控所有 或選擇性 Amazon EC2 資源,選擇偏好的方法,並遵循下表中的步驟。
- Configure for all instances
-
設定獨立帳戶中所有執行個體的執行期監控
登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/guardduty/
:// 開啟 GuardDuty 主控台。 -
在導覽窗格中,選擇執行期監控。
-
在組態索引標籤下,選擇編輯。
-
在 EC2 區段中,選擇啟用。
-
選擇儲存。
-
您可以驗證 GuardDuty 建立的 SSM 關聯將在屬於您帳戶的所有 EC2 資源上安裝和管理安全代理程式。
在 https://https://console.aws.amazon.com/systems-manager/
開啟 AWS Systems Manager 主控台。 -
開啟 SSM 關聯的目標索引標籤 (
GuardDutyRuntimeMonitoring-do-not-delete)。請注意,標籤金鑰會顯示為 InstanceIds。
- Using inclusion tag in selected instances
-
為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式
登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/
:// 開啟 Amazon EC2 主控台。 -
將
GuardDutyManaged:true標籤新增至您希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源。 -
您可以驗證 GuardDuty 建立的 SSM 關聯只會在以包含標籤標記的 EC2 資源上安裝和管理安全代理程式。
在 https://https://console.aws.amazon.com/systems-manager/
開啟 AWS Systems Manager 主控台。 -
開啟建立之 SSM 關聯的目標索引標籤 (
GuardDutyRuntimeMonitoring-do-not-delete)。標籤金鑰會顯示為 tag:GuardDutyManaged。
-
- Using exclusion tag in selected instances
-
注意
在啟動排除標籤之前,請務必將排除標籤新增至 Amazon EC2 執行個體。啟用 Amazon EC2 的自動代理程式組態後,任何在沒有排除標籤的情況下啟動的 EC2 執行個體都將包含在 GuardDuty 自動化代理程式組態中。
為選取的 Amazon EC2 執行個體設定 GuardDuty 安全代理程式
登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ec2/
:// 開啟 Amazon EC2 主控台。 -
將
GuardDutyManaged:false標籤新增至您不希望 GuardDuty 監控和偵測潛在威脅的執行個體。如需新增此標籤的詳細資訊,請參閱如何將標籤新增至個別資源。 -
若要在執行個體中繼資料中使用排除標籤,請執行下列步驟:
-
在執行個體的詳細資訊索引標籤下,檢視執行個體中繼資料中允許標籤的狀態。
如果目前已停用,請使用下列步驟將狀態變更為已啟用。否則,請跳過這個步驟。
-
選取您要允許標籤的執行個體。
-
在動作功能表下,選擇執行個體設定。
-
選擇允許執行個體中繼資料中的標籤。
-
在存取執行個體中繼資料中的標籤下,選取允許。
-
選擇儲存。
-
-
在您新增排除標籤後,請執行與設定所有執行個體索引標籤中指定相同的步驟。
您現在可以評估執行時間 Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解。
