Runtime Monitoring を有効にした後

Runtime Monitoring を有効にし、スタンドアロンアカウントまたは複数のメンバーアカウントに GuardDuty セキュリティエージェントをインストールした後、次のステップを実行して保護プラン設定が期待どおりに機能することを確認し、GuardDuty セキュリティエージェントが使用するメモリと CPU の量をモニタリングできます。

「ランタイムカバレッジの評価」

GuardDuty では、セキュリティエージェントをデプロイしたリソースのカバレッジステータスを継続的に評価することをお勧めします。カバレッジステータスは「正常」または「異常」の場合があります。「正常」のカバレッジステータスは、オペレーティングシステムレベルのアクティビティがあるときに、GuardDuty が対応するリソースからランタイムイベントを受信していることを示します。

リソースのカバレッジステータスが「正常」になると、GuardDuty はランタイムイベントを受信し、脅威を検出するために分析できます。GuardDuty が、コンテナワークロードとインスタンスで実行されているタスクまたはアプリケーションで潜在的なセキュリティ脅威を検出すると、GuardDuty はGuardDuty Runtime Monitoring の検出結果タイプを生成します。

カバレッジステータスが [異常] から [正常] に変わったときなどに通知を受け取るように Amazon EventBridge (EventBridge) を設定することもできます。詳細については、「ランタイムカバレッジ統計の確認と問題のトラブルシューティング」を参照してください。

GuardDuty セキュリティエージェントの CPU とメモリのモニタリングを設定する

カバレッジステータスが [正常] と表示されていることを評価した後、リソースタイプのセキュリティエージェントのパフォーマンスを評価できます。セキュリティエージェントリリース v1.5 以降の Amazon EKS クラスターの場合、GuardDuty は (アドオン) セキュリティエージェントのパラメータの設定をサポートしています。詳細については、「CPU とメモリモニタリングの設定」を参照してください。

「GuardDuty による潜在的な脅威の検出」

GuardDuty はリソースのランタイムイベントの受信を開始すると、それらのイベントの分析を開始します。GuardDuty が Amazon EC2 インスタンス、Amazon ECS クラスターまたは Amazon EKS クラスターのいずれかで潜在的なセキュリティ脅威を検出すると、1 つ以上のGuardDuty Runtime Monitoring の検出結果タイプが生成されます。検出の詳細にアクセスして、影響を受けたリソースの詳細を表示できます。