Fargate (ECS僅限 Amazon) 資源-管理 GuardDuty 安全代理程式的方法

執行階段監控可讓您選擇偵測帳戶中所有 Amazon ECS 叢集 (帳戶層級) 或選擇性叢集 (叢集層級) 上的潛在安全威脅。當您為將執行的每個 Amazon ECS Fargate 任務啟用自動化代理程式組態時， GuardDuty 會為該任務中的每個容器工作負載新增一個附屬容器。 GuardDuty 安全代理程式被部署到這個附屬容器。這就是瞭解 GuardDuty Amazon ECS 任務內容器的執行階段行為的方式。

執行階段監控僅支援透過管理 Amazon ECS 叢集的安全代理程式 (AWS Fargate) GuardDuty。不支援在 Amazon ECS 叢集上手動管理安全代理程式。

在設定帳戶之前，請先評估您要如何管理 GuardDuty 安全代理程式，並可能監控屬於 Amazon ECS 任務之容器的執行階段行為。請考慮下列方法。

管理所有 Amazon ECS 叢集的 GuardDuty 安全代理程式

這種方法將幫助您在帳戶級別檢測潛在的安全威脅。當您想要 GuardDuty 偵測屬於您帳戶的所有 Amazon ECS 叢集的潛在安全威脅時，請使用此方法。

管理大部分 Amazon ECS 叢集的 GuardDuty 安全代理程式，但排除部分 Amazon ECS 叢集

當您想 GuardDuty 要偵測 AWS 環境中大部分 Amazon ECS 叢集的潛在安全威脅，但排除部分叢集時，請使用此方法。此方法可協助您在叢集層級監控 Amazon ECS 任務中容器的執行階段行為。例如，屬於您帳戶的 Amazon ECS 叢集數量為 1000。但是，您只想監視 930 個 Amazon ECS 群集。

此方法要求您在不想監控的 Amazon ECS 叢集中新增預先定義的 GuardDuty 標籤。如需詳細資訊，請參閱 管理 Fargate 的自動化安全代理程式 (ECS僅限 Amazon)。

管理選擇性 Amazon ECS 叢集的 GuardDuty 安全代理程式

當您想要 GuardDuty 偵測某些 Amazon ECS 叢集的潛在安全威脅時，請使用此方法。此方法可協助您在叢集層級監控 Amazon ECS 任務中容器的執行階段行為。例如，屬於您帳戶的 Amazon ECS 叢集數量為 1000。不過，您只想要監視 230 個叢集。

此方法要求您將預先定義的 GuardDuty 標籤新增至要監控的 Amazon ECS 叢集。如需詳細資訊，請參閱 管理 Fargate 的自動化安全代理程式 (ECS僅限 Amazon)。