런타임 모니터링 구성 이후

런타임 커버리지 평가

런타임 모니터링을 활성화하고 GuardDuty 보안 에이전트를 배포한 후에는 보안 에이전트를 배포한 리소스의 적용 범위 상태를 지속적으로 평가하는 것이 좋습니다. 적용 범위는 정상 또는 비정상일 수 있습니다. 정상 커버리지 상태는 운영 체제 수준의 활동이 있을 때 해당 리소스로부터 런타임 이벤트를 수신하고 있음을 GuardDuty 나타냅니다.

리소스의 커버리지 상태가 정상이 되면 런타임 이벤트를 수신하고 이를 분석하여 위협을 탐지할 수 있습니다. GuardDuty 컨테이너 워크로드 및 인스턴스에서 실행되는 작업 또는 애플리케이션에서 잠재적 보안 위협이 GuardDuty 탐지되면 하나 이상의 Runtime Monitoring 검색 유형을 GuardDuty 생성합니다.

보장 상태가 비정상에서 정상으로 변경되거나 다른 방식으로 변경될 때 알림을 받도록 Amazon EventBridge (EventBridge) 을 구성할 수도 있습니다. 자세한 내용은 리소스의 런타임 커버리지 평가 단원을 참조하십시오.

GuardDuty 보안 에이전트를 위한 설정 CPU 및 메모리 모니터링

적용 범위 상태가 정상으로 표시되는지 확인한 후 리소스 유형에 맞는 보안 에이전트의 성능을 평가할 수 있습니다. 보안 에이전트 릴리스 v1.5 이상이 설치된 Amazon EKS 클러스터의 경우 (애드온) 보안 에이전트의 매개변수 구성을 GuardDuty 지원합니다. 자세한 내용은 설정 CPU 및 메모리 모니터링 단원을 참조하십시오.

GuardDuty 잠재적 위협을 탐지합니다.

리소스의 런타임 이벤트를 수신하기 GuardDuty 시작하면 해당 이벤트를 분석하기 시작합니다. Amazon EC2 인스턴스, Amazon 클러스터 또는 Amazon ECS EKS 클러스터에서 잠재적 보안 위협을 GuardDuty 탐지하면 하나 이상의 런타임 모니터링 검색 유형 보안 위협이 생성됩니다. 결과 세부 정보에 액세스하여 영향을 받는 리소스 세부 정보를 볼 수 있습니다.