本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用執行階段監控識別未經授
Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。使用機器學習 (ML) 模型,以及異常和威脅偵測功能, GuardDuty 持續監控不同的記錄檔來源和執行階段活動,以識別環境中潛在的安全風險和惡意活動並排定優先順序。
中的運行時監控通過持續監控 AWS 日誌和聯網活動以識別惡意或未經授權的行為來 GuardDuty 保護在 Fargate 和 EC2 容器實例上運行的工作負載。執行階段監控使用輕量型、完全受控的 GuardDuty 安全代理程式來分析主機上的行為,例如檔案存取、程序執行和網路連線。這涵蓋的問題包括權限提升、使用暴露的登入資料,或與惡意 IP 地址、網域通訊,以及 Amazon EC2 執行個體和容器工作負載上存在惡意軟體的情況。如需詳細資訊,請參閱GuardDuty 使用指南中的GuardDuty執行階段監視。
您的安全管理員會針對中的單一或多個帳戶啟 AWS Organizations 用執行階段監視 GuardDuty。他們還會選取是否在您使用 Fargate 時 GuardDuty 自動部署 GuardDuty 安全代理程式。您的所有叢集都會自動受到保護,並代表您 GuardDuty管理安全代理程式。
在下列情況下,您也可以手動設定 GuardDuty 安全代理程式:
-
您使用 EC2 容器執行個體
-
您需要精細控制,才能在叢集層級啟用執行階段監控
若要使用執行階段監控,您必須設定受保護的叢集,以及在 EC2 容器執行個體上安裝和管理安 GuardDuty 全代理程式。
運行時監控如何與 Amazon ECS 一起工作
執行階段監控使用輕量級 GuardDuty 安全代理程式來監控 Amazon ECS 工作負載活動,瞭解應用程式請求的方式、取得存取權和使用基礎系統資源。
對於 Fargate 任務, GuardDuty 安全代理程式會為每項工作作為附屬容器執行。
對於 EC2 容器執行個體, GuardDuty 安全代理程式會在執行個體上以程序的形式執行。
GuardDuty 安全代理程式會從下列資源收集資料,然後將資料傳送 GuardDuty 至處理。您可以在 GuardDuty 主控台中檢視發現項目。您也可以將它們傳送給其他 AWS 服務 (例如 AWS Security Hub,或協力廠商的安全性廠商),以進行彙總和補救。如需有關如何檢視和管理發現項目的資訊,請參閱 Amazon GuardDuty 使用者指南中的管理 Amazon GuardDuty 發現項目。
-
來自下列 Amazon ECS API 呼叫的回應:
-
當您使用此
--include TAGS選項時,回應參數包括「執行階段監視」標籤 (設定標籤時)。 -
對於 Fargate 發射類型,響應參數包括 GuardDuty 側車容器。
-
回應參數包括「執行階段監視」帳戶設定,由您的安全性管理員設定。
-
-
容器代理程式內部檢查資料。如需詳細資訊,請參閱 Amazon ECS 容器內省。
啟動類型的工作中繼資料端點:
考量事項
使用執行時期監視時,請考量下列事項
-
運行時監視具有與之相關的成本。如需詳細資訊,請參閱 Amazon GuardDuty 定價
。 -
Amazon ECS 無處不支援執行階段監控。
-
Windows 作業系統不支援執行階段監視。
-
在 Fargate 上使用 Amazon ECS Exec 時,您必須指定容器名稱,因為 GuardDuty 安全代理程式會以附屬容器的形式執行。
-
您無法在 GuardDuty 安全代理程式附屬容器上使用 Amazon ECS Exec。
-
在叢集層級控制執行階段監控的 IAM 使用者必須具有適當的 IAM 許可才能進行標記。如需詳細資訊,請參閱 IAM 教學課程:根據 IAM 使用者指南中的標籤定義存取 AWS 資源的許可。
-
Fargate 任務必須使用任務執行角色。此角色授與任務權限,以便代表您擷取、更新和管理儲存在 Amazon ECR 私有儲存庫中的 GuardDuty 安全代理程式。
資源使用率
您新增至叢集的標記會計入叢集標記配額。
GuardDuty 代理程式並行容器不會計入每個工作定義配額的容器中。
與大多數安全軟件一樣, GuardDuty. 如需有關 Fargate 記憶體限制的資訊,請參閱《GuardDuty 使用指南》中的 CPU 和記憶體限制。如需 Amazon EC2 記憶體限制的相關資訊,請參閱 GuardDuty 代理程式的 CPU 和記憶體限制。
