运行时监控配置后

评估运行时间覆盖率

启用运行时监控并部署 GuardDuty 安全代理后，我们建议您持续评估部署安全代理的资源的覆盖状态。保险状态可能为 “健康” 或 “不健康”。健康覆盖状态表示当存在操作系统级活动时， GuardDuty 正在接收来自相应资源的运行时事件。

当资源的覆盖状态变为 “健康” 时， GuardDuty 可以接收运行时事件并对其进行分析以进行威胁检测。在容器工作负载和实例中运行的任务或应用程序中 GuardDuty 检测到潜在的安全威胁时， GuardDuty 会生成一个或多个运行时监控查找类型。

您还可以将 Amazon EventBridge (EventBridge) 配置为在保险状态从 “不健康” 变为 “健康” 等时收到通知。有关更多信息，请参阅 评估资源的运行时间覆盖率。

GuardDuty 安全代理CPU的设置和内存监控

在评估覆盖状态显示为 “健康” 之后，您可以针对您的资源类型评估安全代理的性能。对于安全代理 v1.5 或更高版本的 Amazon EKS 集群， GuardDuty 支持配置（附加组件）安全代理的参数。有关更多信息，请参阅 设置CPU和内存监控。

GuardDuty 检测潜在威胁

当 GuardDuty 开始接收资源的运行时事件时，它就会开始分析这些事件。当在您的任何 Amazon EC2 实例、Amazon 集群或 Amazon ECS 集群中 GuardDuty 检测到潜在的安全威胁时，它会生成一个或多个安全威胁运行时监控查找类型。EKS您可以访问调查结果详细信息以查看受影响的资源详细信息。