Cobertura de tempo de execução e solução de problemas para a EC2 instância Amazon - Amazon GuardDuty
Análise de estatísticas de coberturaAlteração do status da cobertura com EventBridge notificaçõesSolução de problemas de cobertura EC2 de tempo de execução da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cobertura de tempo de execução e solução de problemas para a EC2 instância Amazon

Para um EC2 recurso da Amazon, a cobertura do tempo de execução é avaliada no nível da instância. Suas EC2 instâncias da Amazon podem executar vários tipos de aplicativos e cargas de trabalho, entre outros, em seu AWS ambiente. Esse recurso também oferece suporte a EC2 instâncias Amazon gerenciadas pelo Amazon ECS e, se você tiver clusters do Amazon ECS em execução em uma EC2 instância da Amazon, os problemas de cobertura no nível da instância aparecerão na cobertura de tempo de EC2 execução da Amazon.

Análise de estatísticas de cobertura

As estatísticas de cobertura das EC2 instâncias da Amazon associadas às suas próprias contas ou às suas contas membros são a porcentagem das EC2 instâncias saudáveis em todas as EC2 instâncias selecionadas Região da AWS. A seguinte equação representa isso como:

( instances/All Instâncias íntegras) *100

Se você também implantou o agente de GuardDuty segurança para seus clusters do Amazon ECS, qualquer problema de cobertura no nível da instância associado aos clusters do Amazon ECS executados em uma EC2 instância da Amazon aparecerá como um problema de cobertura do tempo de execução da EC2 instância da Amazon.

Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.

Console

  • Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  • No painel de navegação, escolha Monitoramento de runtime.

  • Escolha a guia Cobertura de runtime.

  • Na guia Cobertura de tempo de execução da EC2 instância, você pode ver as estatísticas de cobertura agregadas pelo status de cobertura de cada EC2 instância da Amazon que está disponível na tabela da lista de instâncias.

    • Você pode filtrar a tabela Lista de instância pelas seguintes colunas:

      • ID da conta

      • Tipo de gerenciamento de agentes

      • Versão do agente

      • Status da cobertura

      • ID da instância

      • ARN do cluster

  • Se alguma de suas EC2 instâncias tiver o status de Cobertura como Insalubre, a coluna Problema incluirá informações adicionais sobre o motivo do status Insalubre.

API/CLI

  • Execute a ListCoverageAPI com seu próprio ID de detector válido, região atual e endpoint de serviço. É possível filtrar e classificar a lista de instâncias utilizando essa API.

    • Você pode alterar o filter-criteria de exemplo com uma das seguintes opções para CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Quando o filter-criteria inclui RESOURCE_TYPE como EC2, o Runtime Monitoring não suporta o uso de ISSUE como AttributeName o. Ao usá-lo, a resposta da API resultará emInvalidInputException.

      Você pode alterar o AttributeName de exemplo em sort-criteria com uma das seguintes opções:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Você pode alterar o max-results (até 50).

    • Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Execute a GetCoverageStatisticsAPI para recuperar estatísticas agregadas de cobertura com base no. statisticsType

    • Você pode alterar o statisticsType de exemplo com uma das seguintes opções:

      • COUNT_BY_COVERAGE_STATUS: representa estatísticas de cobertura para clusters do EKS agregadas por status de cobertura.

      • COUNT_BY_RESOURCE_TYPE— Estatísticas de cobertura agregadas com base no tipo de AWS recurso na lista.

      • Você pode alterar o filter-criteria de exemplo no comando. É possível usar as seguintes opções para CriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Se o status da cobertura da sua EC2 instância for Insalubre, consulteSolução de problemas de cobertura EC2 de tempo de execução da Amazon.

Alteração do status da cobertura com EventBridge notificações

O status da cobertura da sua EC2 instância Amazon pode aparecer como Insalubre. Para saber quando o status de cobertura é alterado, recomendamos monitorar o status de cobertura periodicamente e solucionar o problema, se o status se tornar Não íntegro. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou não. Por padrão, GuardDuty publica isso no EventBridge barramento da sua conta.

Exemplo de esquema de notificação

Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.

Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura da sua EC2 instância Amazon mudar de Healthy paraUnhealthy, detail-type deveria serGuardDuty Runtime Protection Unhealthy. Para ser notificado quando o status da cobertura mudar de Unhealthy paraHealthy, substitua o valor de detail-type porGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Conta da AWS ID",
  "time": "event timestamp (string)",
  "region": "Região da AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Solução de problemas de cobertura EC2 de tempo de execução da Amazon

Se o status da cobertura da sua EC2 instância Amazon for Insalubre, você poderá ver o motivo na coluna Problema.

Se sua EC2 instância estiver associada a um cluster EKS e o agente de segurança do EKS tiver sido instalado manualmente ou por meio da configuração automática do agente, consulte Cobertura de runtime e solução de problemas para clusters do Amazon EKS para solucionar o problema de cobertura.

A tabela a seguir lista os tipos de problema e as etapas de solução dos respectivos problemas.

Tipo de problema Emitir mensagem Etapas de solução de problemas

Atendente não sendo relatado

Aguardando a notificação do SSM

O recebimento da notificação do SSM pode demorar alguns minutos.

Certifique-se de que a EC2 instância da Amazon seja gerenciada por SSM. Para obter mais informações, consulte as etapas em Método 1 - Usando o AWS Systems Manager emInstalando o agente de segurança manualmente.

(Intencionalmente vazio)

Se você estiver gerenciando o agente de GuardDuty segurança manualmente, certifique-se de seguir as etapas abaixoGerenciando o agente de segurança manualmente para EC2 recursos da Amazon.

Caso tenha ativado a configuração automatizada do agente:

Valide se o VPC endpoint da sua instância EC2 Amazon está configurado corretamente. Para obter mais informações, consulte Validando a configuração do endpoint da VPC.

Se sua organização tiver uma política de controle de serviços (SCP), valide se o limite de permissões não está restringindo a permissão guardduty:SendSecurityTelemetry. Para obter mais informações, consulte Validando a política de controle de serviços da sua organização em um ambiente com várias contas.

Atendente desconectado

  • Visualize o status do agente de segurança. Para obter mais informações, consulte Validando o status GuardDuty de instalação do agente de segurança.

  • Visualize os logs do agente de segurança para identificar a possível causa raiz. Os logs fornecem os detalhes dos erros que podem ser usados para solucionar o problema autonomamente. Esses arquivos de log estão disponíveis em /var/log/amzn-guardduty-agent/.

    Faça sudo journalctl -u amazon-guardduty-agent.

Agente não provisionado

As instâncias com tags de exclusão são excluídas do Runtime Monitoring.

GuardDuty não recebe eventos de tempo de execução de EC2 instâncias da Amazon que são iniciadas com a tag de exclusãoGuardDutyManaged:false.

Para receber eventos de tempo de execução dessa EC2 instância da Amazon, remova a tag de exclusão.

A versão do kernel é inferior à versão suportada.

Para obter informações sobre as versões do kernel suportadas em todas as distribuições do sistema operacional, consulte as instâncias Valide os requisitos de arquitetura da Amazon EC2.

A versão do kernel é superior à versão suportada.

Para obter informações sobre as versões do kernel suportadas em todas as distribuições do sistema operacional, consulte as instâncias Valide os requisitos de arquitetura da Amazon EC2.

Não foi possível recuperar o documento de identidade da instância.

Siga estas etapas:

  1. Confirme se seu recurso é uma EC2 instância da Amazon e não uma EC2 não-instância híbrida.

  2. Confirme se o Instance Metadata Service (IMDS) está ativado. Para fazer isso, consulte Configurar as opções do serviço de metadados da instância no Guia do EC2 usuário da Amazon.

  3. Verifique se o documento de identidade da instância existe. Para fazer isso, consulte Recuperar o documento de identidade da instância no Guia do EC2 usuário da Amazon.

  4. Se o documento de identidade da instância ainda não existir, reinicie a instância. O documento de identidade da instância é gerado quando a instância é interrompida e iniciada, reiniciada ou lançada.

Falha na criação da associação do SSM

GuardDuty A associação SSM já existe em sua conta

  1. Excluir a associação atual manualmente. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  2. Depois de excluir a associação, desative e reative a configuração GuardDuty automática do agente para a Amazon EC2.

Sua conta tem muitas associações do SSM

Escolha uma das seguintes duas opções:

  • Excluir todas as associações do SSM não utilizadas. Para obter mais informações, consulte Excluindo associações no Guia do usuário AWS Systems Manager

  • Verifique se sua conta se qualifica para um aumento de cota. Para obter informações, consulte as cotas do Systems Manager no Referência geral da AWS.

Falha na atualização da associação SSM

GuardDuty A associação SSM não existe em sua conta

GuardDuty A associação SSM não está presente em sua conta. Desabilite e, em seguida, reabilite o Monitoramento de runtime.

Falha na exclusão da associação SSM

GuardDuty A associação SSM não existe em sua conta

A associação SSM não está presente em sua conta. Caso a associação do SSM tenha sido excluída intencionalmente, nenhuma ação será necessária.

Falha na execução da associação de instância do SSM

Os requisitos arquitetônicos ou outros pré-requisitos não foram atendidos.

Para obter informações sobre distribuições verificadas do sistema operacional, consulte Pré-requisitos para suporte a instâncias da Amazon EC2 .

Caso esse problema persista, as etapas a seguir ajudarão a identificar e possivelmente resolver o problema:

  1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, em Gerenciamento de nó, selecione State Manager.

  3. Filtrar por Nome do documento e digitar AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Selecione o ID da associação correspondente e visualize seu Histórico de execução.

  5. Usando o histórico de execução, visualize as falhas, identifique a possível causa raiz e tente resolvê-la.

Falha na criação de endpoint da VPC

A criação de endpoints de VPC não é compatível com VPC compartilhada vpcId

O Monitoramento de runtime suporta o uso de uma VPC compartilhada em uma organização. Para obter mais informações, consulte Usando VPC compartilhada com monitoramento de tempo de execução.

Somente ao usar VPC compartilhada com configuração de agente automatizado

O ID da conta do 111122223333 proprietário da VPC compartilhada vpcId não tem o Runtime Monitoring, a configuração automatizada do agente ou ambos ativados

 A conta compartilhada do proprietário da VPC deve habilitar o Monitoramento de runtime e a configuração de agente automatizado para pelo menos um tipo de recurso (Amazon EKS ou Amazon ECS (AWS Fargate)). Para obter mais informações, consulte Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty .

A ativação do DNS privado requer ambos enableDnsSupport e os atributos da enableDnsHostnames VPC definidos true como vpcId for (Serviço: Ec2, Código de status: 400, ID da solicitação:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Verifique se os seguintes atributos da VPC estão definidos como true: enableDnsSupport e enableDnsHostnames. Para obter mais informações, consulte Atributos de DNS na sua VPC.

Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/para criar o Amazon VPC, certifique-se de selecionar Habilitar nomes de host DNS e Ativar resolução de DNS. Para obter mais informações, consulte Opções de configuração da VPC.

Falha na exclusão de endpoint da VPC compartilhada

A exclusão compartilhada do VPC endpoint não é permitida para ID da conta, vpcId VPC 111122223333 compartilhada e ID da conta do proprietário. 555555555555
Etapas possíveis:

  • A desativação do status de Monitoramento de runtime da conta de participante da VPC compartilhada não afeta a política de endpoint da VPC compartilhada e o grupo de segurança que existe na conta do proprietário.

    Para excluir o grupo de segurança e endpoint da VPC compartilhada, desative o Monitoramento de runtime ou o status de configuração de agente automatizado na conta do proprietário da VPC compartilhada.

  • A conta do participante da VPC compartilhada não pode excluir o grupo de segurança e o endpoint da VPC compartilhada hospedados na conta compartilhada do proprietário da VPC.

Agente não sendo relatado

(Intencionalmente vazio)

Não há mais suporte para o tipo de problema. Se você continuar enfrentando esse problema e ainda não o fez, habilite o agente GuardDuty automatizado para a Amazon EC2.

Se o problema ainda persistir, considere desabilitar o Monitoramento de runtime por alguns minutos e depois habilitá-lo novamente.