Utilice la configuración automatizada de agentes (opción recomendada)Administrar el agente de seguridad manualmente Siguiente paso

Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2

Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo en el entorno de AWS. Cuando se habilita la supervisión en tiempo de ejecución y se administra el agente de seguridad de GuardDuty, GuardDuty ayuda a detectar amenazas en las instancias de Amazon EC2 existentes y en las potencialmente nuevas. Además, esta característica es compatible con las instancias de Amazon EC2 administradas por Amazon ECS.

nota

Runtime Monitoring no admite aplicaciones que se ejecuten en instancias administradas por Amazon ECS.

Al habilitar la supervisión en tiempo de ejecución, se consigue que GuardDuty esté preparado para consumir eventos en tiempo de ejecución tanto de procesos actualmente en ejecución como de procesos nuevos dentro de instancias de Amazon EC2. GuardDuty exige un agente de seguridad para enviar eventos en tiempo de ejecución desde la instancia de EC2 a GuardDuty.

En el caso de las instancias de Amazon EC2, el agente de seguridad de GuardDuty opera a nivel de instancia. Puede decidir si desea supervisar todas las instancias de Amazon EC2 en la cuenta o solo algunas. Si desea administrar instancias determinadas, el agente de seguridad solo será necesario para estas instancias.

Además, GuardDuty puede consumir eventos en tiempo de ejecución de tareas nuevas y tareas existentes que se ejecuten en instancias de Amazon EC2 dentro de clústeres de Amazon ECS.

La supervisión en tiempo de ejecución ofrece las siguientes dos opciones para instalar el agente de seguridad de GuardDuty:

Utilice la configuración automatizada de agentes (opción recomendada), or
Administrar el agente de seguridad manualmente

Utilice la configuración automatizada de agentes a través de GuardDuty (opción recomendada)

Utilice la configuración automatizada del agente que permite a GuardDuty instalar el agente de seguridad en las instancias de Amazon EC2 en su nombre. GuardDuty también administra las actualizaciones del agente de seguridad.

De forma predeterminada, GuardDuty instala el agente de seguridad en todas las instancias de la cuenta. Si desea que GuardDuty instale y administre el agente de seguridad únicamente para determinadas instancias de EC2, agregue etiquetas de inclusión o exclusión a las instancias de EC2, según sea necesario.

En algunos casos, es posible que no desee supervisar los eventos en tiempo de ejecución de todas las instancias de Amazon EC2 pertenecientes a la cuenta. Para los casos en los que desee supervisar los eventos en tiempo de ejecución de una cantidad limitada de instancias, agregue una etiqueta de inclusión como GuardDutyManaged:true a estas instancias determinadas. Desde que está disponible la configuración automatizada de agentes para Amazon EC2, si la instancia de EC2 tiene una etiqueta de inclusión (GuardDutyManaged:true), GuardDuty respetará la etiqueta y administrará el agente de seguridad para las instancias seleccionadas incluso cuando no se habilite explícitamente la configuración automatizada de agentes.

Por otro lado, si existe una cantidad limitada de instancias de EC2 para las que no desea supervisar los eventos en tiempo de ejecución, agregue una etiqueta de exclusión (GuardDutyManaged:false) a estas instancias seleccionadas. GuardDuty respetará la etiqueta de exclusión y no instalará ni administrará el agente de seguridad para estos recursos de EC2.

Impact

Cuando se utiliza la configuración automatizada de agentes en una Cuenta de AWS u organización, se permite a GuardDuty realizar los siguientes pasos en su nombre:

GuardDuty crea una asociación de SSM para todas las instancias de Amazon EC2 administradas por SSM y que aparecen en el Administrador de flotas en la consola https://console.aws.amazon.com/systems-manager/.
Utilizar etiquetas de inclusión con la configuración automatizada del agente desactivada: después de habilitar la supervisión en tiempo de ejecución, si no habilita la configuración automatizada del agente pero agrega una etiqueta de inclusión a la instancia de Amazon EC2, significa que permite que GuardDuty administre el agente de seguridad en su nombre. La asociación de SSM instalará entonces el agente de seguridad en cada instancia que tenga la etiqueta de inclusión (GuardDutyManaged:true).
Si habilita la configuración automatizada del agente: la asociación de SSM instalará entonces el agente de seguridad en todas las instancias de EC2 pertenecientes a la cuenta.
Usar etiquetas de exclusión con la configuración automatizada de agentes: antes de habilitar la configuración automatizada de agentes, al agregar una etiqueta de exclusión a la instancia de Amazon EC2, se permite que GuardDuty evite la instalación y administración del agente de seguridad para la instancia seleccionada.

Ahora, al habilitar la configuración automatizada del agente, la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 excepto en aquellas etiquetadas con la etiqueta de exclusión.
GuardDuty crea puntos de conexión de VPC en todas las VPC, incluidas las VPC compartidas, siempre que haya al menos una instancia de EC2 de Linux en esa VPC que no tenga el estado de instancia terminada o apagada. Esto incluye la VPC centralizada y las VPC de radio. GuardDuty no admite la creación de un punto de conexión de VPC únicamente para la VPC centralizada. Para obtener más información sobre cómo funciona la VPC centralizada, consulte Puntos de conexión de VPC de interfaz en el documento técnico de AWS: Creación de una infraestructura de red de AWS de múltiples VPC escalable y segura.

Para obtener información sobre los diferentes estados de las instancias, consulte Ciclo de vida de las instancias en la Guía del usuario de Amazon EC2.

GuardDuty también admite Uso de VPC compartida con Runtime Monitoring. Cuando todos los requisitos previos son considerados para la organización y la Cuenta de AWS, GuardDuty utilizará la VPC compartida para recibir eventos en tiempo de ejecución.

nota
El uso del punto de conexión de VPC no conlleva ningún costo adicional.
Junto con el punto de conexión de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC correspondiente al recurso, a la vez que se adapta cuando el rango de CIDR cambia. Para obtener más información, consulte Rango de CIDR de la VPC en la Guía del usuario de Amazon VPC.

Administrar el agente de seguridad manualmente

Existen dos formas de administrar manualmente el agente de seguridad para Amazon EC2:

Utilice los documentos administrados de GuardDuty en AWS Systems Manager para instalar el agente de seguridad en las instancias de Amazon EC2 que ya son administradas por SSM.

Siempre que lance una nueva instancia de Amazon EC2, asegúrese de que esté habilitada para SSM.
Utilice scripts del administrador de paquetes RPM (RPM) para instalar el agente de seguridad en las instancias de Amazon EC2, independientemente de si son administradas por SSM o no.

Siguiente paso

Para comenzar a utilizar la configuración de supervisión en tiempo de ejecución para supervisar las instancias de Amazon EC2, consulte Requisitos previos para la compatibilidad con instancias de Amazon EC2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Con clústeres de Amazon EKS

Con Fargate (solo Amazon ECS)