本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
运行时监控配置后
- 评估运行时间覆盖率
-
启用运行时监控并部署 GuardDuty 安全代理后,我们建议您持续评估部署安全代理的资源的覆盖状态。保险状态可能为 “健康” 或 “不健康”。健康覆盖状态表示当存在操作系统级活动时, GuardDuty 正在接收来自相应资源的运行时事件。
当资源的覆盖状态变为 “健康” 时, GuardDuty 可以接收运行时事件并对其进行分析以进行威胁检测。在容器工作负载和实例中运行的任务或应用程序中 GuardDuty 检测到潜在的安全威胁时, GuardDuty 会生成一个或多个运行时监控查找类型。
您还可以将 Amazon EventBridge (EventBridge) 配置为在保险状态从 “不健康” 变为 “健康” 等时收到通知。有关更多信息,请参阅 评估资源的运行时间覆盖率。
- GuardDuty 安全代理CPU的设置和内存监控
-
在评估覆盖状态显示为 “健康” 之后,您可以针对您的资源类型评估安全代理的性能。对于安全代理 v1.5 或更高版本的 Amazon EKS 集群, GuardDuty 支持配置(附加组件)安全代理的参数。有关更多信息,请参阅 设置CPU和内存监控。
- GuardDuty 检测潜在威胁
-
当 GuardDuty 开始接收资源的运行时事件时,它就会开始分析这些事件。当在您的任何 Amazon EC2 实例、Amazon 集群或 Amazon ECS 集群中 GuardDuty 检测到潜在的安全威胁时,它会生成一个或多个安全威胁运行时监控查找类型。EKS您可以访问调查结果详细信息以查看受影响的资源详细信息。