启用运行时监控之后

启用运行时监控并在您的独立账户或多个成员账户中安装 GuardDuty 安全代理后，您可以按照以下步骤来确保防护计划设置按预期运行，并监控 GuardDuty 安全代理使用的内存和 CPU 量。

评估运行时覆盖率

GuardDuty 建议您持续评估部署了安全代理的资源的覆盖率状态。覆盖率状态可能为正常或不正常。覆盖率正常状态表明存在操作系统级别的活动时，GuardDuty 正在接收来自相应资源的运行时事件。

当资源的覆盖率状态变为正常时，GuardDuty 能够接收运行时事件并进行分析，以满足威胁检测的需要。当 GuardDuty 在容器工作负载和实例中运行的任务或应用程序中检测到潜在的安全威胁时，GuardDuty 就会生成 GuardDuty 运行时监控调查发现类型。

您还可以配置 Amazon EventBridge（EventBridge），以在覆盖率状态从不正常变为健康等时接收通知。有关更多信息，请参阅 检查运行时间覆盖率统计数据并对问题进行故障排除。

为 GuardDuty 安全代理设置 CPU 和内存监控

经过评估，覆盖率状态显示为正常后，您可以评估您的资源类型的安全代理性能。对于具有安全代理版本 1.5 或更高版本的 Amazon EKS 集群，GuardDuty 支持配置（附加组件）安全代理的参数。有关更多信息，请参阅 设置 CPU 和内存监控。

GuardDuty 检测潜在威胁

GuardDuty 开始接收资源的运行时事件后，将会开始分析这些事件。当 GuardDuty 在您的任何 Amazon EC2 实例、Amazon ECS 集群或 Amazon EKS 集群中检测到潜在的安全威胁时，将会生成一个或多个 GuardDuty 运行时监控调查发现类型。您可以访问调查发现详细信息来查看受影响资源的详细信息。