Pré-requisitos para suporte a instâncias da Amazon EC2 - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para suporte a instâncias da Amazon EC2

Esta seção inclui os pré-requisitos para monitorar o comportamento em tempo de execução de suas instâncias da Amazon. EC2 Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.

Faça com que EC2 as instâncias sejam gerenciadas por SSM (somente para configuração automatizada de agentes)

GuardDuty usa AWS Systems Manager (SSM) para implantar, instalar e gerenciar automaticamente o agente de segurança em suas instâncias. Se você planeja instalar e gerenciar manualmente o GuardDuty agente, o SSM não é necessário.

Para gerenciar suas EC2 instâncias da Amazon com o Systems Manager, consulte Configurando o Systems Manager para EC2 instâncias da Amazon no Guia AWS Systems Manager do usuário.

Valide os requisitos de arquitetura

A arquitetura da distribuição do sistema operacional pode afetar o comportamento do agente de GuardDuty segurança. Você deve atender aos seguintes requisitos antes de usar o Runtime Monitoring para EC2 instâncias da Amazon:

  • O suporte do kernel inclui eBPF Tracepoints e. Kprobe Para arquiteturas de CPU, o Runtime Monitoring suporta AMD64 (x64) e ARM64 (Graviton2 e superior). 1

    A tabela a seguir mostra a distribuição do sistema operacional que foi verificada para oferecer suporte ao agente GuardDuty de segurança para EC2 instâncias da Amazon.

    Distribuição do sistema operacional 2 Versão do kernel 3
    Amazon Linux 2

    5.4 4, 5.10, 5.15 4

    Amazon Linux 2023

    5,4 4, 5,10, 5,15 4, 6,1, 6,5, 6,8, 6,12

    Ubuntu 20.04 e Ubuntu 22.04

    5,4 4, 5,10, 5,15 4, 6,1, 6,5, 6,8

    Ubuntu 24.04

    6.8

    Debian 11 e Debian 12

    5,4 4, 5,10, 5,15 4, 6,1, 6,5, 6,8

    RedHat 9.4

    5.14

    Fedora 34.0

    5.11, 5.17

    Fedora 40

    6.8

    Fedora 41

    6.12

    CentOS Stream 9

    5.14

    Oracle Linux 8.9

    5.15

    Oracle Linux 9.3

    5.15

    Rocky Linux 9.5

    5.14

    1. O Runtime Monitoring para EC2 recursos da Amazon não oferece suporte à instância Graviton de primeira geração, como os tipos de instância A1.

    2. Suporte para vários sistemas operacionais - GuardDuty verificou o suporte do Runtime Monitoring para a distribuição operacional listada na tabela anterior. Embora o agente GuardDuty de segurança possa ser executado em sistemas operacionais não listados na tabela anterior, a GuardDuty equipe não pode garantir o valor de segurança esperado.

    3. Para qualquer versão do kernel, você deve definir o CONFIG_DEBUG_INFO_BTF sinalizador como y (significando verdadeiro). Isso é necessário para que o agente GuardDuty de segurança possa ser executado conforme o esperado.

    4. Para as versões 5.10 e anteriores do kernel, o agente GuardDuty de segurança usa memória bloqueada na RAM (RLIMIT_MEMLOCK) para funcionar conforme o esperado. Se o RLIMIT_MEMLOCK valor do seu sistema estiver definido como muito baixo, GuardDuty recomenda definir limites rígidos e flexíveis para pelo menos 32 MB. Para obter informações sobre como verificar e modificar o RLIMIT_MEMLOCK valor padrão, consulte. Visualizando e atualizando RLIMIT_MEMLOCK valores

  • Requisitos adicionais - Somente se você tiver a Amazon ECS/Amazon EC2

    Para a Amazon ECS/Amazon EC2, recomendamos que você use a versão mais recente otimizada para Amazon ECS AMIs (datada de 29 de setembro de 2023 ou posterior) ou use a versão v1.77.0 do agente Amazon ECS.

Visualizando e atualizando RLIMIT_MEMLOCK valores

Quando o RLIMIT_MEMLOCK limite do sistema está muito baixo, o agente GuardDuty de segurança pode não funcionar conforme projetado. GuardDuty recomenda que os limites rígidos e flexíveis sejam de pelo menos 32 MB. Se você não atualizar os limites, não GuardDuty conseguirá monitorar os eventos de tempo de execução do seu recurso. Quando RLIMIT_MEMLOCK está acima dos limites mínimos estabelecidos, torna-se opcional que você atualize esses limites.

Você pode modificar o RLIMIT_MEMLOCK valor padrão antes ou depois de instalar o agente GuardDuty de segurança.

Para visualizar RLIMIT_MEMLOCK valores
  1. Executar ps aux | grep guardduty. Isso exibirá o ID do processo (pid).

  2. Copie o ID do processo (pid) da saída do comando anterior.

  3. Execute grep "Max locked memory" /proc/pid/limits após pid substituir o pelo ID do processo copiado da etapa anterior.

    Isso exibirá a memória máxima bloqueada para executar o agente GuardDuty de segurança.

Para atualizar RLIMIT_MEMLOCK valores
  1. Se o /etc/systemd/system.conf.d/NUMBER-limits.conf arquivo existir, comente a linha DefaultLimitMEMLOCK desse arquivo. Esse arquivo define um padrão RLIMIT_MEMLOCK com alta prioridade, que substitui suas configurações no /etc/systemd/system.conf arquivo.

  2. Abra o /etc/systemd/system.conf arquivo e descomente a linha que tem#DefaultLimitMEMLOCK=.

  3. Atualize o valor padrão fornecendo RLIMIT_MEMLOCK limites rígidos e flexíveis de pelo menos 32 MB. A atualização deve ficar assim:DefaultLimitMEMLOCK=32M:32M. O formato é soft-limit:hard-limit.

  4. Executar sudo reboot.

Validando a política de controle de serviços da sua organização em um ambiente com várias contas

Se você configurou uma política de controle de serviços (SCP) para gerenciar permissões em sua organização, valide se o limite de permissões permite a ação. guardduty:SendSecurityTelemetry É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.

Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).

Ao usar a configuração de agente automatizado

Para Usar a configuração de agente automatizado (recomendado) isso, você Conta da AWS deve atender aos seguintes pré-requisitos:

  • Ao usar tags de inclusão com configuração automática de agentes, GuardDuty para criar uma associação SSM para uma nova instância, certifique-se de que a nova instância seja gerenciada por SSM e apareça no Fleet Manager no https://console.aws.amazon.com/systems-manager/console.

  • Ao usar tags de exclusão com configuração de agente automatizado:

    • Adicione a false tagGuardDutyManaged: antes de configurar o agente GuardDuty automatizado para sua conta.

      Certifique-se de adicionar a tag de exclusão às suas EC2 instâncias da Amazon antes de iniciá-las. Depois de habilitar a configuração automática do agente para a Amazon EC2, qualquer EC2 instância que seja iniciada sem uma tag de exclusão será coberta pela configuração GuardDuty automática do agente.

    • Ative a opção Permitir tags na configuração de metadados para suas instâncias. Essa configuração é necessária porque GuardDuty precisa ler a tag de exclusão do serviço de metadados da instância (IMDS) para determinar se ela deve excluir a instância da instalação do agente. Para obter mais informações, consulte Habilitar o acesso às tags nos metadados da instância no Guia do EC2 usuário da Amazon.

Limite de CPU e memória para o GuardDuty agente

Limite da CPU

O limite máximo de CPU para o agente GuardDuty de segurança associado às EC2 instâncias da Amazon é de 10% do total de núcleos de vCPU. Por exemplo, se sua EC2 instância tiver 4 núcleos de vCPU, o agente de segurança poderá usar no máximo 40% do total disponível de 400%.

Limite de memória

Da memória associada à sua EC2 instância da Amazon, há uma memória limitada que o agente GuardDuty de segurança pode usar.

A tabela a seguir mostra o limite de memória.

Memória da EC2 instância Amazon

Memória máxima para o GuardDuty agente

Menor que 8 GB

128 MB

Menor que 32 GB

256 MB

Maior que ou igual a 32 GB

1 GB

Próxima etapa

A próxima etapa é configurar o Monitoramento de runtime e também gerenciar o agente de segurança (automática ou manualmente).