工作方式

要使用运行时监控，您必须启用运行时监控功能，然后管理 GuardDuty 安全代理。以下列表说明了这一两步过程：

1. 为您的账户启用运行时监控，以便 GuardDuty 可以接受从 Amazon EC2 实例、Amazon ECS 集群和 Amazon EKS 工作负载收到的运行时事件。

2. 为要监控其运行时行为的单个资源管理 GuardDuty 代理。您可以根据资源类型，选择手动部署 GuardDuty 安全代理，或者让 GuardDuty 代表您对其进行管理（称为自动代理配置）。

   GuardDuty 使用实例身份角色对每种资源类型的安全代理进行身份验证，以便将相关运行时事件发送到 VPC 端点。

注意

GuardDuty 不会让这些运行时事件可由您访问。

当您在 EKS 运行时监控或 EC2 实例运行时监控中管理安全代理（手动或通过 GuardDuty），而 GuardDuty 目前部署在 Amazon EC2 实例上并接收从该实例收集的运行时事件类型时，GuardDuty 不会因分析来自此 Amazon EC2 实例的 VPC 流日志而向您的 AWS 账户收取费用。这有助于 GuardDuty 避免在账户中产生双重使用成本。

以下主题说明了为每种资源类型启用运行时监控和管理 GuardDuty 安全代理的工作原理差异。

内容

• 运行时监控如何与 Amazon EKS 集群结合使用
• 运行时监控如何与 Amazon EC2 实例结合使用
• 运行时监控如何与 Fargate（仅限 Amazon ECS）结合使用
• 启用运行时监控之后