Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identifizieren Sie mithilfe von Runtime Monitoring nicht autorisiertes Verhalten
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.
Runtime Monitoring in GuardDuty schützt Workloads, die auf Fargate- und EC2-Container-Instances ausgeführt werden, indem die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht werden, um bösartiges oder nicht autorisiertes Verhalten zu erkennen. Runtime Monitoring verwendet einen schlanken, vollständig verwalteten GuardDuty Security Agent, der das Verhalten auf dem Host analysiert, z. B. den Dateizugriff, die Prozessausführung und Netzwerkverbindungen. Dies deckt Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen, Domänen und das Vorhandensein von Malware auf Ihren Amazon EC2 EC2-Instances und Container-Workloads ab. Weitere Informationen finden Sie unter GuardDutyRuntime Monitoring im GuardDuty Benutzerhandbuch.
Ihr Sicherheitsadministrator aktiviert Runtime Monitoring für ein einzelnes oder mehrere Konten in AWS Organizations für GuardDuty. Sie wählen auch aus, ob der GuardDuty Security Agent GuardDuty automatisch installiert wird, wenn Sie Fargate verwenden. Alle Ihre Cluster sind automatisch geschützt und GuardDuty verwalten den Security Agent in Ihrem Namen.
In den folgenden Fällen können Sie den GuardDuty Security Agent auch manuell konfigurieren:
-
Sie verwenden EC2-Container-Instances
-
Sie benötigen eine detaillierte Steuerung, um Runtime Monitoring auf Cluster-Ebene zu aktivieren
Um Runtime Monitoring verwenden zu können, müssen Sie die geschützten Cluster konfigurieren und den GuardDuty Security Agent auf Ihren EC2-Container-Instances installieren und verwalten.
So funktioniert Runtime Monitoring mit Amazon ECS
Runtime Monitoring verwendet einen schlanken GuardDuty Sicherheitsagenten, der die Amazon ECS-Workload-Aktivitäten im Hinblick darauf überwacht, wie Anwendungen die zugrunde liegenden Systemressourcen anfordern, darauf zugreifen und diese verbrauchen.
Bei Fargate-Aufgaben wird der GuardDuty Security Agent als Sidecar-Container für jede Aufgabe ausgeführt.
Bei EC2-Container-Instances wird der GuardDuty Security Agent als Prozess auf der Instance ausgeführt.
Der GuardDuty Security Agent sammelt Daten aus den folgenden Ressourcen und sendet die Daten dann zur Verarbeitung GuardDuty an. Sie können die Ergebnisse in der GuardDuty Konsole einsehen. Sie können sie auch an andere Sicherheitsanbieter AWS Security Hub, AWS-Services z. B. oder einen Drittanbieter für Sicherheitslösungen, zur Aggregation und Problembehebung senden. Informationen zum Anzeigen und Verwalten von Ergebnissen finden Sie unter GuardDuty Amazon-Ergebnisse verwalten im GuardDuty Amazon-Benutzerhandbuch.
-
Antworten aus den folgenden Amazon ECS-API-Aufrufen:
-
Zu den Antwortparametern gehört das Runtime Monitoring-Tag (wenn das Tag gesetzt ist), wenn Sie die
--include TAGSOption verwenden. -
Für den Starttyp Fargate beinhalten die Antwortparameter den GuardDuty Sidecar-Container.
-
Zu den Antwortparametern gehört die Runtime Monitoring-Kontoeinstellung, die von Ihrem Sicherheitsadministrator festgelegt wird.
-
-
Die Introspektionsdaten des Container-Agenten. Weitere Informationen finden Sie unter Introspektion von Amazon ECS-Containern.
Der Endpunkt der Aufgabenmetadaten für den Starttyp:
Überlegungen
Beachten Sie bei der Verwendung von Runtime Monitoring Folgendes:
-
Runtime Monitoring ist mit Kosten verbunden. Weitere Informationen finden Sie unter GuardDuty Amazon-Preise
. -
Runtime Monitoring wird auf Amazon ECS Anywhere nicht unterstützt.
-
Runtime Monitoring wird für das Windows-Betriebssystem nicht unterstützt.
-
Wenn Sie Amazon ECS Exec auf Fargate verwenden, müssen Sie den Container-Namen angeben, da der GuardDuty Security Agent als Sidecar-Container läuft.
-
Sie können Amazon ECS Exec nicht auf dem Sidecar-Container des GuardDuty Security Agents verwenden.
-
Der IAM-Benutzer, der Runtime Monitoring auf Cluster-Ebene steuert, muss über die entsprechenden IAM-Berechtigungen für das Tagging verfügen. Weitere Informationen finden Sie im IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags im IAM-Benutzerhandbuch.
-
Fargate-Aufgaben müssen eine Aufgabenausführungsrolle verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent, der in einem privaten Amazon ECR-Repository gespeichert ist, in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten.
Ressourcenauslastung
Das Tag, das Sie dem Cluster hinzufügen, wird auf das Cluster-Tag-Kontingent angerechnet.
Der GuardDuty Agent-Sidecar-Container wird nicht auf das Kontingent für Container pro Aufgabendefinition angerechnet.
Wie bei der meisten Sicherheitssoftware gibt es einen leichten Mehraufwand für. GuardDuty Informationen zu den Fargate-Speicherlimits finden Sie unter CPU- und Speicherlimits im GuardDuty Benutzerhandbuch. Informationen zu den Amazon EC2 EC2-Speicherlimits finden Sie unter CPU- und Speicherlimit für GuardDuty Agenten.
