런타임 모니터링을 활성화한 후

런타임 모니터링을 활성화하고 독립 실행형 계정 또는 여러 멤버 계정에 GuardDuty 보안 에이전트를 설치한 후 다음 단계를 수행하여 보호 계획 설정이 예상대로 작동하는지 확인하고 GuardDuty 보안 에이전트가 사용하는 메모리 및 CPU의 양을 모니터링할 수 있습니다.

런타임 범위 평가

GuardDuty는 보안 에이전트를 배포한 리소스의 적용 범위 상태를 지속적으로 평가할 것을 권장합니다. 적용 범위는 정상 또는 비정상일 수 있습니다. 정상 적용 상태는 운영 체제 수준 활동이 있을 때 GuardDuty가 해당 리소스로부터 런타임 이벤트를 수신하고 있음을 나타냅니다.

리소스의 적용 범위 상태가 정상이 되면 GuardDuty는 런타임 이벤트를 수신하고 위협 탐지를 위해 분석할 수 있습니다. GuardDuty가 컨테이너 워크로드 및 인스턴스에서 실행되는 태스크 또는 애플리케이션에서 잠재적 보안 위협을 감지하면 GuardDuty가 GuardDuty 런타임 모니터링 조사 결과 유형를 생성합니다.

적용 범위가 비정상에서 정상으로 변경되는 경우 알림을 받도록 Amazon EventBridge(EventBridge)를 구성할 수도 있습니다. 자세한 내용은 런타임 범위 통계 검토 및 문제 해결 단원을 참조하십시오.

GuardDuty 보안 에이전트에 대한 CPU 및 메모리 모니터링 설정

적용 범위 상태가 정상으로 표시되는지 평가한 후 리소스 유형에 대한 보안 에이전트의 성능을 평가할 수 있습니다. 보안 에이전트 릴리스 v1.5 이상이 있는 Amazon EKS 클러스터의 경우 GuardDuty는 (추가 기능) 보안 에이전트의 파라미터 구성을 지원합니다. 자세한 내용은 CPU 및 메모리 모니터링 설정 단원을 참조하십시오.

GuardDuty가 잠재적 위협 탐지

GuardDuty가 리소스에 대한 런타임 이벤트를 수신하기 시작하면 해당 이벤트를 분석하기 시작합니다. GuardDuty가 Amazon EC2 인스턴스, Amazon ECS 클러스터 또는 Amazon EKS 클러스터에서 잠재적 보안 위협을 감지하면 하나 이상의 GuardDuty 런타임 모니터링 조사 결과 유형를 생성합니다. 조사 결과 세부 정보에 액세스하여 영향을 받는 리소스 세부 정보를 볼 수 있습니다.