As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para suporte a instâncias da Amazon EC2
Esta seção inclui os pré-requisitos para monitorar o comportamento em tempo de execução de suas instâncias da Amazon. EC2 Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.
Tópicos
Faça EC2 instâncias gerenciadas por SSM (somente para configuração automatizada de agentes)
GuardDuty usa AWS Systems Manager (SSM) para implantar, instalar e gerenciar automaticamente o agente de segurança em suas instâncias. Se você planeja instalar e gerenciar manualmente o GuardDuty agente, o SSM não é necessário.
Para gerenciar suas EC2 instâncias da Amazon com o Systems Manager, consulte Configurando o Systems Manager para EC2 instâncias da Amazon no Guia AWS Systems Manager do usuário.
Valide os requisitos de arquitetura
A arquitetura da distribuição do sistema operacional pode afetar o comportamento do agente de GuardDuty segurança. Você deve atender aos seguintes requisitos antes de usar o Runtime Monitoring para EC2 instâncias da Amazon:
-
O suporte do kernel inclui
eBPFTracepointse.KprobePara arquiteturas de CPU, o Runtime Monitoring suporta AMD64 (x64) e ARM64 (Graviton2 e superior). 1A tabela a seguir mostra a distribuição do sistema operacional que foi verificada para oferecer suporte ao agente GuardDuty de segurança para EC2 instâncias da Amazon.
Distribuição do sistema operacional 2 Versão do kernel 3 Amazon Linux 2 Amazon Linux 2023 Ubuntu 20.04 e Ubuntu 22.04 Debian 11 e Debian 12 Ubuntu 24.04 6.8
RedHat 9.4 5.14
Fedora 34.0 5.11, 5.17
Fedora 40 6.8
Fedora 41 6.12
CentOS Stream 9 5.14
Oracle Linux 8.9 5,15
Oracle Linux 9.3 5,15
Rocky Linux 9.5 5.14
-
O Runtime Monitoring para EC2 recursos da Amazon não oferece suporte à instância Graviton de primeira geração, como os tipos de instância A1.
-
Suporte para vários sistemas operacionais - GuardDuty verificou o suporte do Runtime Monitoring para a distribuição operacional listada na tabela anterior. Embora o agente GuardDuty de segurança possa ser executado em sistemas operacionais não listados na tabela anterior, a GuardDuty equipe não pode garantir o valor de segurança esperado.
-
Para qualquer versão do kernel, você deve definir o
CONFIG_DEBUG_INFO_BTFsinalizador comoy(significando verdadeiro). Isso é necessário para que o agente GuardDuty de segurança possa ser executado conforme o esperado. -
Para as versões 5.10 e anteriores do kernel, o agente GuardDuty de segurança usa memória bloqueada na RAM (
RLIMIT_MEMLOCK) para funcionar conforme o esperado. Se oRLIMIT_MEMLOCKvalor do seu sistema estiver definido como muito baixo, GuardDuty recomenda definir limites rígidos e flexíveis para pelo menos 32 MB. Para obter informações sobre como verificar e modificar oRLIMIT_MEMLOCKvalor padrão, consulte. Visualizando e atualizando RLIMIT_MEMLOCK valores -
Para o Ubuntu 24.04, as versões 6.13 e 6.14 do kernel suportam somente as versões 1.8.0 e EC2 superiores do agente.
-
-
Requisitos adicionais - Somente se você tiver a Amazon ECS/Amazon EC2
Para a Amazon ECS/Amazon EC2, recomendamos que você use a versão mais recente otimizada para Amazon ECS AMIs (datada de 29 de setembro de 2023 ou posterior) ou use a versão v1.77.0 do agente Amazon ECS.
Visualizando e atualizando RLIMIT_MEMLOCK valores
Quando o RLIMIT_MEMLOCK limite do sistema está muito baixo, o agente GuardDuty de segurança pode não funcionar conforme projetado. GuardDuty recomenda que os limites rígidos e flexíveis sejam de pelo menos 32 MB. Se você não atualizar os limites, não GuardDuty conseguirá monitorar os eventos de tempo de execução do seu recurso. Quando RLIMIT_MEMLOCK está acima dos limites mínimos estabelecidos, torna-se opcional que você atualize esses limites.
Você pode modificar o RLIMIT_MEMLOCK valor padrão antes ou depois de instalar o agente GuardDuty de segurança.
Para visualizar RLIMIT_MEMLOCK valores
-
Executar
ps aux | grep guardduty. Isso exibirá o ID do processo (pid). -
Copie o ID do processo (
pid) da saída do comando anterior. -
Execute
grep "Max locked memory" /proc/apóspid/limitspidsubstituir o pelo ID do processo copiado da etapa anterior.Isso exibirá a memória máxima bloqueada para executar o agente GuardDuty de segurança.
Para atualizar RLIMIT_MEMLOCK valores
-
Se o
/etc/systemd/system.conf.d/arquivo existir, comente a linhaNUMBER-limits.confDefaultLimitMEMLOCKdesse arquivo. Esse arquivo define um padrãoRLIMIT_MEMLOCKcom alta prioridade, que substitui suas configurações no/etc/systemd/system.confarquivo. -
Abra o
/etc/systemd/system.confarquivo e descomente a linha que tem#DefaultLimitMEMLOCK=. -
Atualize o valor padrão fornecendo
RLIMIT_MEMLOCKlimites rígidos e flexíveis de pelo menos 32 MB. A atualização deve ficar assim:DefaultLimitMEMLOCK=32M:32M. O formato ésoft-limit:hard-limit. -
Executar
sudo reboot.
Validando a política de controle de serviços da sua organização em um ambiente com várias contas
Se você configurou uma política de controle de serviços (SCP) para gerenciar permissões em sua organização, valide se o limite de permissões permite a ação. guardduty:SendSecurityTelemetry É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.
Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).
Ao usar a configuração de agente automatizado
Para Usar a configuração de agente automatizado (recomendado) isso, você Conta da AWS deve atender aos seguintes pré-requisitos:
-
Ao usar tags de inclusão com configuração automática de agentes, GuardDuty para criar uma associação SSM para uma nova instância, certifique-se de que a nova instância seja gerenciada por SSM e apareça no Fleet Manager no https://console.aws.amazon.com/systems-manager/
console. -
Ao usar tags de exclusão com configuração de agente automatizado:
-
Adicione a
falsetagGuardDutyManaged: antes de configurar o agente GuardDuty automatizado para sua conta.Certifique-se de adicionar a tag de exclusão às suas EC2 instâncias da Amazon antes de iniciá-las. Depois de habilitar a configuração automática do agente para a Amazon EC2, qualquer EC2 instância que seja iniciada sem uma tag de exclusão será coberta pela configuração GuardDuty automática do agente.
-
Ative a opção Permitir tags na configuração de metadados para suas instâncias. Essa configuração é necessária porque é GuardDuty necessário ler a tag de exclusão do serviço de metadados da instância (IMDS) para determinar se ela deve excluir a instância da instalação do agente. Para obter mais informações, consulte Habilitar o acesso às tags nos metadados da instância no Guia do EC2 usuário da Amazon.
-
Limite de CPU e memória para o GuardDuty agente
- Limite da CPU
-
O limite máximo de CPU para o agente GuardDuty de segurança associado às EC2 instâncias da Amazon é de 10% do total de núcleos de vCPU. Por exemplo, se sua EC2 instância tiver 4 núcleos de vCPU, o agente de segurança poderá usar no máximo 40% do total disponível de 400%.
- Limite de memória
-
Da memória associada à sua EC2 instância da Amazon, há uma memória limitada que o agente GuardDuty de segurança pode usar.
A tabela a seguir mostra o limite de memória.
Memória da EC2 instância Amazon
Memória máxima para o GuardDuty agente
Menor que 8 GB
128 MB
Menor que 32 GB
256 MB
Maior que ou igual a 32 GB
1 GB
Próxima etapa
A próxima etapa é configurar o Monitoramento de runtime e também gerenciar o agente de segurança (automática ou manualmente).
