Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para el soporte de EC2 instancias de Amazon
En esta sección se incluyen los requisitos previos para monitorizar el comportamiento en tiempo de ejecución de tus EC2 instancias de Amazon. Una vez cumplidos estos requisitos previos, consulte Habilitación GuardDuty de la supervisión del tiempo.
Temas
Haga que EC2 las instancias se administren mediante SSM (solo para la configuración automática de agentes)
GuardDuty usa AWS Systems Manager (SSM) para implementar, instalar y administrar automáticamente el agente de seguridad en sus instancias. Si planea instalar y administrar el GuardDuty agente de forma manual, el SSM no es necesario.
Para gestionar sus EC2 instancias de Amazon con Systems Manager, consulte Configuración de Systems Manager para EC2 instancias de Amazon en la Guía del AWS Systems Manager usuario.
Valide los requisitos de arquitectura
La arquitectura de la distribución del sistema operativo puede afectar al comportamiento del agente de GuardDuty seguridad. Debe cumplir los siguientes requisitos antes de utilizar Runtime Monitoring for Amazon EC2 instances:
-
El soporte del kernel incluye
eBPF,TracepointsyKprobe. Para las arquitecturas de CPU, Runtime Monitoring admite AMD64 (x64) y ARM64 (Graviton2 y versiones posteriores). 1En la siguiente tabla se muestra la distribución del sistema operativo que se ha verificado para admitir el agente GuardDuty de seguridad para EC2 las instancias de Amazon.
Distribución del sistema operativo 2 Versión de kernel 3 Amazon Linux 2 Amazon Linux 2023 Ubuntu 20.04 y Ubuntu 22.04 Ubuntu 24.04 6.8
Debian 11 y Debian 12 RedHat 9.4 5.14
Fedora 34.0 5.11, 5.17
Fedora 40 6.8
Fedora 41 6.12
CentOS Stream 9 5.14
Oracle Linux 8.9 5.15
Oracle Linux 9.3 5.15
Rocky Linux 9.5 5.14
-
Runtime Monitoring for Amazon EC2 resources no admite la instancia de Graviton de primera generación, como los tipos de instancia A1.
-
Soporte para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede funcionar en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.
-
Para cualquier versión del núcleo, debe establecer el
CONFIG_DEBUG_INFO_BTFindicador eny(que significa verdadero). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado. -
En las versiones 5.10 y anteriores del núcleo, el agente GuardDuty de seguridad utiliza la memoria bloqueada en la RAM (
RLIMIT_MEMLOCK) para funcionar según lo previsto. Si elRLIMIT_MEMLOCKvalor del sistema es demasiado bajo, se GuardDuty recomienda establecer los límites fijos y flexibles en al menos 32 MB. Para obtener información sobre cómo comprobar y modificar elRLIMIT_MEMLOCKvalor predeterminado, consulteVisualización y actualización de valores RLIMIT_MEMLOCK.
-
-
Requisitos adicionales: solo si tienes Amazon ECS/Amazon EC2
En el caso de Amazon ECS/Amazon EC2, le recomendamos que utilice la última versión optimizada para Amazon ECS AMIs (con fecha del 29 de septiembre de 2023 o posterior) o que utilice la versión 1.77.0 del agente de Amazon ECS.
Visualización y actualización de valores RLIMIT_MEMLOCK
Si el RLIMIT_MEMLOCK límite del sistema es demasiado bajo, es posible que el agente de GuardDuty seguridad no funcione según lo diseñado. GuardDuty recomienda que los límites físicos y flexibles sean de al menos 32 MB. Si no actualiza los límites, no GuardDuty podrá supervisar los eventos de tiempo de ejecución de su recurso. Cuando RLIMIT_MEMLOCK supere los límites mínimos establecidos, la actualización de estos límites pasa a ser opcional.
Puede modificar el RLIMIT_MEMLOCK valor predeterminado antes o después de instalar el agente GuardDuty de seguridad.
Para ver RLIMIT_MEMLOCK los valores
-
Ejecute
ps aux | grep guardduty. Esto generará el ID del proceso (pid). -
Copie el identificador del proceso (
pid) del resultado del comando anterior. -
Ejecute
grep "Max locked memory" /proc/después depid/limitspidreemplazar el por el ID de proceso copiado del paso anterior.Esto mostrará la memoria máxima bloqueada para ejecutar el agente GuardDuty de seguridad.
Para actualizar RLIMIT_MEMLOCK los valores
-
Si el
/etc/systemd/system.conf.d/archivo existe, comente la líneaNUMBER-limits.confDefaultLimitMEMLOCKde este archivo. Este archivo establece un valor predeterminadoRLIMIT_MEMLOCKcon alta prioridad, que sobrescribe la configuración del/etc/systemd/system.confarchivo. -
Abre el
/etc/systemd/system.confarchivo y quita el comentario de la línea que contiene.#DefaultLimitMEMLOCK= -
Actualice el valor predeterminado proporcionando
RLIMIT_MEMLOCKlímites fijos y flexibles de al menos 32 MB. La actualización debería tener este aspecto:DefaultLimitMEMLOCK=32M:32M. El formato essoft-limit:hard-limit. -
Ejecute
sudo reboot.
Validar la política de control de servicios de su organización en un entorno de cuentas múltiples
Si ha configurado una política de control de servicios (SCP) para administrar los permisos en su organización, valide que el límite de permisos permita la acción. guardduty:SendSecurityTelemetry Es necesaria GuardDuty para admitir la supervisión del tiempo de ejecución en distintos tipos de recursos.
Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte Políticas de control de servicios (SCPs).
Al utilizar la configuración automatizada de agentes
Para Utilice la configuración automatizada de agentes (opción recomendada) ello, Cuenta de AWS debe cumplir los siguientes requisitos previos:
-
Cuando utilices etiquetas de inclusión con una configuración de agente automatizada, GuardDuty para crear una asociación de SSM para una nueva instancia, asegúrate de que la nueva instancia esté gestionada por SSM y aparezca en Fleet Manager en la consola. https://console.aws.amazon.com/systems-manager/
-
Al utilizar etiquetas de exclusión con configuración automatizada del agente
-
Añada la
falseetiquetaGuardDutyManaged: antes de configurar el agente GuardDuty automatizado para su cuenta.Asegúrese de añadir la etiqueta de exclusión a sus EC2 instancias de Amazon antes de lanzarlas. Una vez que hayas activado la configuración automática de agentes para Amazon EC2, cualquier EC2 instancia que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.
-
Activa la opción Permitir etiquetas en los metadatos de tus instancias. Esta configuración es obligatoria porque GuardDuty necesita leer la etiqueta de exclusión del servicio de metadatos de la instancia (IMDS) para determinar si debe excluir la instancia de la instalación del agente. Para obtener más información, consulta Habilitar el acceso a las etiquetas en los metadatos de las instancias en la Guía del EC2 usuario de Amazon.
-
Límite de CPU y memoria para el GuardDuty agente
- Límite de CPU
-
El límite máximo de CPU para el agente GuardDuty de seguridad asociado a EC2 las instancias de Amazon es del 10 por ciento del total de núcleos de vCPU. Por ejemplo, si la EC2 instancia tiene 4 núcleos de vCPU, el agente de seguridad puede utilizar un máximo del 40 por ciento del 400 por ciento total disponible.
- Memory limit (Límite de memoria)
-
De la memoria asociada a tu EC2 instancia de Amazon, hay una memoria limitada que el agente GuardDuty de seguridad puede usar.
En la siguiente tabla aparece el límite de memoria.
Memoria de la EC2 instancia de Amazon
Memoria máxima para el GuardDuty agente
Menos de 8 GB
128 MB
Menos de 32 GB
256 MB
Mayor o igual que 32 GB
1 GB
Siguiente paso
El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución y también administrar el agente de seguridad (automática o manualmente).
