エージェントが EC2/VM インスタンスにデプロイされているかどうかを検出できますか。

エージェントが EC2/VM インスタンスにデプロイされているかどうかを検出できますか。

明らかに組み込まれているシグネチャは、EC2/VM インスタンス内のリソースを検出しません。  一般に、明らかに組み込まれているシグネチャは、インフラストラクチャレベル内のリソースのみを検出して報告します。

明らかなこと自体は、インスタンス内のリソースを検出できません。ただし、カスタム署名は、AWS Lambda 関数と併せて、EC2 インスタンス内から取得された情報に基づいてアラートを生成することを明らかにする可能性があります。  ここでは、手順の大まかな概要です:

1. 基本的なAWSLambdaBasicExecutionRole および関連する EC2 ロールを使用して IAM ロールを作成する 
2. 以前に作成した IAM ロールを使用してラムダ関数を作成します。このラムダコードは、EC2 データをプルし、それを明白に渡します。
3. ラムダコードを呼び出せるように、既存の明確なサービスロールロールに追加のアクセス許可を加えます。これは、ラムダ呼び出しアクセスを使用してマネージポリシーを作成し、既存の明確なサービスロールにアタッチすることによって行われます。
4. ラムダ関数を変更して、ターゲット EC2 インスタンスから関連情報を取得します。
5. カスタム署名を作成してラムダ関数を呼び出し、結果に基づいてアラートを生成する