EKS Runtime Monitoring 設定後

「ランタイムカバレッジの評価」

Runtime Monitoring を有効にして GuardDuty セキュリティエージェントをデプロイしたら、セキュリティエージェントをデプロイしたリソースのカバレッジステータスを継続的に評価することをお勧めします。カバレッジステータスは「正常」または「異常」の場合があります。Healthy カバレッジステータス GuardDuty は、オペレーティングシステムレベルのアクティビティがある場合、 が対応するリソースからランタイムイベントを受信していることを示します。

リソースのカバレッジステータスが正常になると、 GuardDuty はランタイムイベントを受信し、脅威検出のために分析できます。がコンテナワークロードとインスタンスで実行されているタスクまたはアプリケーションで潜在的なセキュリティ脅威 GuardDuty を検出すると、 は 1 つ以上の Runtime Monitoring の検出結果タイプ GuardDuty を生成します。

また、カバレッジステータスが異常から正常に変わったときに通知を受け取るように Amazon EventBridge （EventBridge) を設定することもできます。 詳細については、「リソースのランタイムカバレッジの評価」を参照してください。

GuardDuty セキュリティエージェントのセットアップCPUとメモリモニタリング

カバレッジステータスが Healthy と表示されると評価したら、リソースタイプのセキュリティエージェントのパフォーマンスを評価できます。セキュリティエージェントのリリース v1.5 以降を持つ Amazon EKSクラスターの場合、 は (アドオン) セキュリティエージェントのパラメータの設定 GuardDuty をサポートします。詳細については、「セットアップCPUとメモリモニタリング」を参照してください。

GuardDuty が潜在的な脅威を検出する

GuardDuty がリソースのランタイムイベントを受信し始めると、それらのイベントの分析が開始されます。が Amazon EC2インスタンス、Amazon ECSクラスター、または Amazon EKSクラスターのいずれかで潜在的なセキュリティ脅威 GuardDuty を検出すると、1 つ以上の が生成されますRuntime Monitoring の検出結果タイプ。検出の詳細にアクセスして、影響を受けたリソースの詳細を表示できます。