GuardDuty 运行时监控

运行时监控可观察和分析操作系统级别、网络和文件事件，以帮助您检测特定的潜在威胁 AWS 您环境中的工作负载。

支持的 AWS 运行时监控中的资源 — GuardDuty 最初发布的运行时监控仅支持亚马逊 Elastic Kubernetes Service（亚马逊）资源。EKS现在，你可以使用 “运行时监控” 功能为你提供威胁检测 AWS Fargate 还有亚马逊弹性容器服务（亚马逊ECS）和亚马逊弹性计算云（亚马逊EC2）资源。

GuardDuty 不支持在上面运行的 Amazon EKS 集群 AWS Fargate.

在本文档以及与运行时监控相关的其他章节中， GuardDuty 使用资源类型的术语来指代亚马逊EKS、Fargate Amazon ECS 和亚马逊EC2资源。

Runtime Monitoring 使用 GuardDuty 安全代理，该代理可增加运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接。对于要监控潜在威胁的每种资源类型，您可以自动或手动管理该特定资源类型的安全代理（Fargate（ECS仅限 Amazon）除外）。自动管理安全代理意味着您 GuardDuty 允许代表您安装和更新安全客户端。另一方面，当您手动管理资源的安全代理时，您负责根据需要安装和更新安全代理。

借助此扩展功能， GuardDuty 可以帮助您识别和应对可能针对在您的个人工作负载和实例中运行的应用程序和数据的潜在威胁。例如，威胁可能会从破坏单个容器开始，而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下，错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。

通过分析单个容器和工作负载的运行时事件， GuardDuty 可以潜在地识别容器及相关容器的漏洞 AWS 在初始阶段提供证书，并检测企图升级权限、可疑API请求以及对环境中数据的恶意访问。

内容

• 工作方式
• 运行时监控中的 30 天免费试用是如何运作的
• 关键概念-管理 GuardDuty 安全代理的方法
• 启用 GuardDuty 运行时监控
• 配置EKS运行时监控（API仅限）
• 从EKS运行时监控迁移到运行时监控
• 评估资源的运行时间覆盖率
• 设置CPU和内存监控
• 收集的 GuardDuty 使用运行时事件类型
• Amazon ECR 存储库托管 GuardDuty 代理
• GuardDuty 代理发布历史记录
• 禁用和清理资源的影响